BAB I PENDAHULUAN
1.1.
Latar Belakang Teknologi informasi (TI) merupakan suatu kebutuhan yang sangat penting
bagi semua instansi maupun perusahaan, karena di percaya dapat meningkatkan efektifitas dan efesiensi proses bisnis perusahaan, tak terkecuali perguruan tinggi. Untuk mencapai hal tersebut di perlukan penggelolaan TI yang baik dan benar agar keberadaan TI dapat menunjang kesuksesan suatu instansi dan perusahaan dalam mencapai tujuannya. Kesuksesan tata kelola perusahaan (enterprise governance) saat ini mempunyai ketergantungan terhadap sejauh mana tata kelola TI (IT Governance) di lakukan. IT Governance merupakan bagian terkait dengan corporate governance. Beberapa hal mendasar jika dibandingkan dengan corporate governance adalah IT Governance
berkaitan dengan bagaimana tingkat level manajemen memperoleh
keyakinan bahwa Manager Sistem Informasi (chief information officer) dan organisasi TI dapat memberikan return berupa value bagi organisasi. Salah satu aspek yang menjadi bagian penting juga dalam teknologi informasi (TI) adalah aspek keamanan.
1
2
Seiring dengan berkembangnya sistem informasi dan teknologi informasi pada saat ini, beberapa hal penting yang menjadi faktor penentu agar sistem yang berjalan dapat befungsi dengan baik dan benar adalah tata kelola keamanan TI yang di terapkan. Untuk mengetahui tingkat keamanan yang ada, framework COBIT 4.1 yang di keluarkan oleh organisasi ISACA memberikan layanan kerangka kerja secara komprehensif untuk membantu manajemen TI dalam sebuah perusahaan dan instansi mencapai tujuan yang di harapkan. Poltekkes Kementerian Kesehatan Palembang merupakan salah satu lembaga pendidikan yang menggantungkan sebagian besar proses pengajarannya pada sistem informasi dan teknologi informasi sebagai sarana dan prasarana untuk memberikan layanan kepada mahasiswa, dosen dan seluruh stafnya serta membantu terlaksananya aktivitas di seluruh unit yang ada. Agar tidak mengalami kendala yang serius ketika sistem yang di terapkan tidak berjalan dengan semestinya dan terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. Maka di perlukannya suatu analisis keamanan informasi yang menggunakan framework COBIT 4.1. Framework COBIT 4.1 merupakan kerangka kerja yang dapat digunakan oleh suatu instansi atau perusahaan untuk membantu mencapai tujuan yang di inginkan. Framework COBIT 4.1 pada sub domain DS5 mempunyai kebutuhan untuk memelihara integritas dari informasi dan untuk melindungi aset teknologi informasi (TI) membutuhkan proses manajemen keamanan. Proses ini meliputi pendirian dan pemeliharaan peran dan pertanggungjawaban, kebijakankebijakan, standar-standar, dan prosedur IT Security. Manajemen keamanan
3
informasi
juga
meliputi
penyelenggaraan
pengawasan
keamanan
(security
monitoring) dan pengujian periodik (periodic testing) dan pengimplementasian tindakan koreksi untuk mengidentifikasikan kelemahan keamanan dan kejadiannya. Berdasarkan uraian dari permasalahan diatas, penulis tertarik membuat proposal skripsi tentang “ ANALISIS KEAMANAN SISTEM INFORMASI PADA
POLTEKKES
KEMENTERIAN
KESEHATAN
PALEMBANG
MENGGUNAKAN FRAMEWORK COBIT 4.1 “.
1.2.
Perumusan Masalah Adapun perumusan masalah dalam penelitian ini, adalah bagaimana
menganalisis tingkat keamanan sistem yang ada di Poltekkes Kementerian Kesehatan Palembang menggunakan framework COBIT 4.1 pada sub domain DS5 agar terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses.
1.3.
Batasan Masalah Batasan masalah yang di lakukan pada penelitian ini yaitu hanya menganalisis
keamanan jaringan di Poltekkes Kementerian Kesehatan Palembang dengan menggunakan framework COBIT 4.1dengan sub Domain DS5 (Ensure System Sequrity).
4
1.4
Tujuan dan Manfaat Penelitian
1.4.1 Tujuan Tujuan penelitian ini adalah untuk mengetahui bagaimana sistem Keamanan data secara fisik dan aplikasi (software) dengan menganalisis menggunakan alat analisis dan desain sistem yang ada dengan kerangka acuan CobiT 4.1 pada Aspek DS5. 1.4.2 Manfaat Manfaat penelitian : 1. Dapat mengetahui sejauh mana tingkat keamanan berdasarkan COBIT yang ada di Poltekkes Kementerian Kesehatan Palembang. 2. Mengetahui sejauh mana tata kelola infrastruktur jaringan di Poltekkes berdasarkan manturity level. 3. Dapat menanmbah wawasan penulis tentang framework COBIT 4.1.
1.5. Sistematika Penulisan BAB I PENDAHULUAN Bab ini berisi uraian mengenai latar belakang, rumusan masalah, tujuan dan manfaat penelitian, batasan masalah, metodologi penelitian, serta sistematika penulisan.
5
BAB II STUDI PUSTAKA Bab ini berisi kajian pustaka tentang teori dan konsep yang digunakan sebagai kerangka berfikir dalam penelitian ini. Pada bagian ini diulas tentang teori, temuan, maupun bahan penelitian sebelumnya dari berbagai referensi yang relefan sebagai dasar dari penelitian ini. BAB III METODOLOGI PENELITIAN Bab ini berisi uraian metode serta tahapan penelitian secara rinci yang digunakan untuk mencapai tujuan penelitian. BAB IV HASIL DAN PEMBAHASAN Bab ini berisi hasil dan pembahasan dari penelitian yang telah dilakukan. BAB V PENUTUP Bab ini adalah bab terakhir yang menyajikan kesimpulan dan saran dari apa yang telah diuraikan dari bab-bab sebelumnya.
6
BAB II TINJAUAN PUSTAKA
2.1.
Tinjauan Objek
2.1.1 Sejarah Poltekkes Kementerian Kesehatan Palembang Politeknik
Kesehatan
Depkes
Palembang
berdiri
berdasarkan
SK
Menkeskesos R.I No : 298/menkeskesos/SK/IV/2001, tanggal 16 April 2001. Pembentukan Politeknik Kesehatan depkes Palembang merupakan gabungan dari 6 (enam) Program Diploma III Kesehatan yang berada di wilayah Kota Palembang yaitu : Akademi Keperawatan (AKPER), Akademi Gizi (AKZI), Akademi Kebidanan (AKBID), Akademi Farmasi (AKFAR), Akademi Kesehatan Gigi (AKG), Akademi Analis Kesehatan (AKK). Peleburan ini ditandai dengan tidak berlakunya lagi Keputusan menteri kesehatan yang berkaitan dengan Organisasi dan Tata Kerja Pendidikan Ahli Madya di lingkungan departemen Kesehatan. Untuk selanjutnya ke enam Akademi Kesehatan tersebut berubah menjadi jurusan-jurusan yang berada dibawah naungan Direktorat Politeknik Kesehatan Kemenkes Palembang. Berdasarkan
surat
Keputusan
Menteri
Kesehatan
R.I.
nomor
:
1049/Menkes/SK/ VII/ 2003 Akademi Keperawatan Depkes Baturaja yang
7
berkedudukan di Baturaja dan Akademi Keperawatan Depkes Lubuk Linggau di Lubuk Linggau bergabung menjadi Program Studi Keperawatan yang merupakan program studi yang ada di Jurusan Keperawatan Palembang Politeknik Kesehatan Kemenkes Palembang. Dengan adanya konversi tersebut untuk selanjutnya pada Poltekkes Kemenkes Palembang terjadi perubahan: 1.) Akademi Kebidanan menjadi Jurusan Kebidanan. 2.) Akademi Keperawatan Palembang menjadi Jurusan Keperawatan Palembang. 3.) Akademi Keperawatan Baturaja menjadi Program Studi Keperawatan Baturaja. 4.) Akademi
Keperawatan Lubuk
Linggau
menjadi Program Studi
Keperawatan Lubuk Linggau. 5.) Akademi Gizi menjadi Jurusan Gizi. 6.) Akademi Farmasi menjadi Jurusan Farmasi. 7.) Akademi Analis Kesehatan menjadi Jurusan Analis Kesehatan. 8.) Akademi Kesehatan Gigi menjadi Jurusan Keperawatan Gigi
8
2.1.2 Visi Misi Poltekkes Kementerian Kesehatan Palembang 2.1.2.1 Visi Poltekkes Kementerian Kesehatan Palembang Sebagai Lembaga Pendidikan Tingkat Kesehatan yang profesional, Unggul dan Mandiri dan mampu berperan aktif dalam pembangunan bangsa melalui proses pendidikan, penelitian, pengabdian kepada masyarakat dan menjadi rujukan untuk pendidikan sejenis. Definisi Operasional Visi : 1.) Profesional 2.) Unggul : 3.) Memiliki sumberdaya manusia yang cukup dan kompeten. 4.) Memiliki banyak jurusan. 5.) Memiliki laboratorium terpadu dan klinik terpadu yang merupakan lahan praktek yang dapat juga di gunakan untuk masyarakat umum. 6.) Mandiri 2.1.2.2 Misi Poltekkes Kementerian Kesehatan Palembang 1. Menyelenggarakan pendidikan dan pengajaran dengan ilmu dan teknologi terkini di bidang kesehatan untuk membentuk sumberdaya manusia yang profesional, mandiri, beriman dan bertaqwa kepada Tuhan Yang Maha Esa.
9
2. Melakukan penelitian berkelanjutan dalam rangka pengembangan ilmu dan teknologi di bidang kesehatan. 3. Melakukan pengabdian kepada masyarakat dengan menerapkan teknologi tepat guna dalam upaya meningkatkan derajat kesehatan masyarakat. 4. Mengembangkan kemitraan dengan lembaga pemerintah, swasta, alumni dan masyarakat dalam mendukung pelaksanaan Tri Dharma Perguruan Tinggi. 5. Memantapkan manajemen organisasi dalam mencapai kinerja yang optimal. 6. Mengembangkan suasana akademik yang kondusif dalam rangka peningkatan mutu proses pembelajaran.
10
2.1.3 Struktur Organisai Poltekkes Kementerian Kesehatan Palembang
Gambar 2.1. Struktur Organisasi
11
Organisasi dan Tata Kerja Poltekkes Kemenkes Palembang diatur dalam Permenkes No.890/MENKES/PER/VIII/2007. 1. Kedudukan, Tugas Dan Fungsi a. Kedudukan Poltekkes Kementerian Kesehatan Palembang berdiri pada tanggal 16 April 2001 berdasarkan Surat Keputusan Menteri Kesehatan dan Kesejahteraan Sosial Republik Indonesia Nomor : 298/MENKESSOS/SK/IV/2001 marger dari 6 (enam) Akademi. Politeknik Kesehatan Kementerian Kesehatan Palembang adalah Unit Pelaksana Teknis di lingkungan Kementerian Kesehatan yang berada di bawah
dan
bertanggung jawab kepada Kepala Badan Pengembangan dan pemberdayaan Sumberdaya Manusia Kesehatan (PPSDM Kesehatan) dan dipimpin oleh seorang Direktur.
Diirektur
Politeknik
Kesehatan
Kementerian
Kesehatan
dalam
melaksanakan tugasnya secara teknis fungsional dibina oleh Kepala Pusat pendidikan Tenaga Kesehatan, secara teknis administratif dibina oleh Sekretaris Badan PPSDM Kesehatan. b. Tugas Politeknik Kesehatan Kementerian Kesehatan Palembang mempunyai tugas melaksanakan pendidikan Profesional dalam program Diploma III dan D.IV kesehatan sesuai peraturan perundang-undangan yang berlaku.
12
c. Fungsi Politeknik Kesehatan Kementerian Kesehatan Palembang mempunyai fungsi sebagai berikut : 1. Pelaksanaan pengembangan pendidikan dalam sejumlah keahlian di bidang kesehatan. 2. Pelaksanaan penelitian di bidang pendidikan dan kesehatan. 3. Pelaksanaan pengabdian kepada masyarakat sesuai dengan bidang yang menjadi tugas dan tanggung jawabnya. 4. Pelaksanaan pembinaan Civitas Akademika dlam hubungannya dengan lingkungan dan Pelaksanaan Kegiatan Pelayanan administratif. 2. Susunan Organisasi Susunan Organisasi Politeknik Kesehatan Kementerian Kesehatan Palembang terdiri dari: 1. Direktur 2. Pembantu Direktur a. Pembantu Direktur Bidang Akademik. b. Pembantu Direktur Bidang Umum dan Keuangan.
13
c. Pembantu Direktur Bidang Kemahasiswaan. 3. Senat Poltekkes Kementerian Kesehatan Palembang. 4. Sub. Bag. ADAK ( Administrasi Akademik, Kemahasiswaan, perencanaan dan Sistem Informasi ). 5. Sub. Bag.ADUM (Administrasi Umum, Keuangan dan Kepegawaian). 6. Jurusan dan Program Studi (Jurusan Keperawatan, Gizi, Kebidanan, Farmasi, Keperawatan Gigi dan Analis Kesehatan Palembang) (Keperawatan Lubuk Linggau, Keperawatan Baturaja). 7. Unit Penelitian dan Pengabdian Kepada Masyarakat. 8. Unsur Penunjang Meliputi : a. Unit Laboratorium. b. Unit Perpustakaan. c. Unit Komputer. d. Unit Pemeliharaan Dan Perbaikan. e. Unit Asrama. f. Unit Penjaminan Mutu.
dan Program Studi
14
2.2
Landasan Teori
2.2.1 Analisis Menurut kamus besar Bahasa Indonesia, Analisis adalah penguraian suatu pokok atas berbagai bagiannya dan penelaahan bagian itu sendiri serta hubungan antar bagian untuk memperoleh pengertian yang tepat dan pemahaman arti keseluruhan. Analisis merupakan penguraian suatu pokok atas berbagai bagiannya dan penelaahan bagian itu sendiri, serta hubungan antar bagian untuk memperoleh pengertian yang tepat dan pemahaman arti keseluruhan. Menurut Dwi Prstowo Darminto dan Rifka Julianty (2002; 52). Dari pengertian diatas dapat disimpulakan bahwa, analisis adalah kegiatan merangkum sejumlah data besar data yang masih mentah menjadi informasi yang dapat diinterpretasikan.Kategorisasi atau pemisahan dari komponen-komponen atau bagian-bagian yang relevan dari seperangkat data juga merupakan bentuk analisis untuk membuat data-data tersebut mudah diatur. Semua bentuk analisis berusaha menggambarkan pola-pola secara konsisten dalam data sehingga hasilnya dapat dipelajari dan diterjemahkan dengan cara yang singkat dan penuh arti.
15
2.2.2 Keamanan Sistem Informasi Keamanan sistem informasi adalah suatu upaya untuk mengamankan aset informasi terhadap ancaman yang mungkin timbul. Sehingga keamanan informasi secara tidak langsung dapat menjamin kontinuitas bisnis, mengurangi resiko-resiko yang terjadi, mengoptimalkan pengembalian investasi (return on investment. Semakin banyak informasi perusahaan yang disimpan, dikelola dan di-sharing-kan maka semakin besar pula resiko terjadi kerusakan, kehilangan atau tereksposnya data ke pihak eksternal yang tidak diinginkan. (Sarno dan iffano : 2009), Sedangkan menurut ISO/IEC (17799:2005) keamanan sistem informasi adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis. Jadi, keamanan sistem informasi adalah sebagai kebijakan, prosedur, dan pengukuran teknis yang di gunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi yang ada. 2.2.3 COBIT COBIT (Control Objectives for Information and Related Technology) adalah kerangka kerja tata kelola IT (IT Governance Framework) dan kumpulan perangkat yang mendukung dan memungkinkan para manager untuk menjembatani jarak (gap)
16
yang ada antara kebutuhan yang dikendalikan (control requirement), masalah teknis (technical issues) dan resiko bisnis (bussiness risk). COBIT mempermudah perkembangan peraturan yang jelas (clear policy development) dan praktik baik (good practice) untuk mengendalikan IT dalam organisasi. COBIT menekankan keputusan terhadap peraturan, membantu organisasi untuk meningkatkan nilai yang ingin dicapai dengan penggunaan IT, memungkinkan untuk menyelaraskan dan menyederhanakan penerapan dari kerangka COBIT. COBIT muncul pertama kali pada tahun 1996 yaitu COBIT versi 1 yang menekankan pada bidang audit, COBIT versi 2 pada tahun 1998 yang menekankan pada tahap control, COBIT versi 3 pada tahun 2000 yang berorientasi kepada manajemen, COBIT versi 4 yang lebih mengarah pada IT Governance, dan terakir dirilis adalah COBIT versi 5 pada tahun 2012 yang mengarah pada tata kelola dan menejemen untuk aset-aset perusahaan IT. COBIT terdiri atas 4 domain, yaitu : a.) Planning and Organizing, b.) Acquisition and Implementation, c.) Delivery and Support, d.) Monitoring and Evaluation.
17
2.2.4. Framework Cobit Konsep dasar kerangka kerja COBIT adalah sebagai penentu kendali dalam TI berdasarkan informasi yang dibutuhkan untuk mendukung tujuan bisnis dan informasi yang dihasilkan dari gabungan penerapan proses TI dan sumber daya terkait. Dalam penerapan pengelolaan TI terdapat dua jenis model kendali, yaitu model kendali bisnis (business controls model) dan model kendali TI (IT focused control model), COBIT mencoba untuk menjembatani kesenjangan dari kedua jenis kendali tersebut. COBIT
di rancang terdiri dari 34
high level control objectives
yang
menggambarkan proses TI yang terdiri dari 4 domain yaitu: Plan and Organise, Acquire and Implement, Deliver and Support dan Monitor and Evaluate. Berikut kerangka kerja COBIT yang terdiri dari 34 proses TI yang terbagi ke dalam 4 domain pengelolaan, yaitu : a. Plan and Organise terbaik
TI
(PO), mencakup masalah mengidentifikasikan cara
untuk memberikan
kontribusi
pencapaian tujuan bisnis organisasi. Domain
yang ini
maksimal terhadap
menitikberatkan
pada
proses perencanaan dan penyelarasan strategi TI dengan strategi organisasi. Domain PO terdiri dari 10 control objectives, yaitu : PO1 – Define a strategic IT plan PO2 – Define the information architechture PO3 – Determine technological direction
18
PO4 – Define IT processes, organisation and relationships PO5 – Manage the IT investment PO6 – Communicate management ains and direction PO7 – Manage IT human resource PO8 – Manage quality PO9 – Asses and manage IT risks PO10 – Manage projects b. Acquire and Implement (AI), domain ini menitikberatkan pada proses pemilihan, pengadaaan dan penerapan TI yang digunakan. Pelaksanaan strategi yang telah ditetapkan, harus disertai solusi-solusi TI yang sesuai dan solusi TI tersebut diadakan, diimplementasikan dan diintegrasikan ke dalam proses bisnis organisasi. Domain AI terdiri dari 7 control objectives, yaitu : AI1 – Identify automated solutions AI2 – Acquire and maintain application software AI3 – Acquire and maintain technology infrastructure AI4 – Enable operation and use AI5 – Procure IT resources AI6 – Manage changes AI7 – Install and accredit solutions and changes c. Deliver and Support (DS), domain ini menitikberatkan pada proses pelayanan TI dan dukungan teknisnya yang meliputi hal keamanan
19
sistem, kesinambungan layanan, pelatihan dan pendidikan untuk pengguna, dan pengelolaan data yang sedang berjalan. Domain DS terdiri dari 13 control objectives, yaitu : DS1 – Define and manage service levels. DS2 – Manage third-party services. DS3 – Manage performance and capacity. DS4 – Ensure continuous service. DS5 – Ensure systems security. DS6 – Identify and allocate costs. DS7 – Educate and train users. DS8 – Manage service desk and incidents. DS9 – Manage the configuration. DS10 – Manage problems. DS11 – Manage data. DS12 – Manage the physical environment. DS13 – Manage operations. d. Monitor and Evaluate (ME), domain ini menitikberatkan pada proses pengawasan pengelolaan TI pada organisasi seluruh kendali-kendali yang diterapkan setiap proses TI harus diawasi dan dinilai kelayakannya secara berkala. Domain ini fokus pada masalah kendali-kendali yang diterapkan dalam organisasi, pemeriksaan internal dan eksternal. Berikut prosesproses TI pada domain monitoring and evaluate :
20
ME1 – Monitor and evaluate IT performance. ME2 – Monitor and evaluate internal control. ME3 – Ensure regulatory compliance. ME4 – Provide IT Governance. 17 Dengan melakukan kontrol terhadap ke 34 obyektif tersebut, organisasi dapat memperoleh keyakinan akan kelayakan tata kelola dan kontrol yang diperlukan untuk lingkungan TI. Untuk mendukung proses TI tersebut tersedia lagi sekitar 215 tujuan kontrol yang lebih detil untuk menjamin kelengkapan dan efektifitas implementasi. 2.2.5. Model Maturity COBIT mempunyai model kematangan (maturity models) untuk mengontrol proses-proses TI dengan menggunakan metode penilaian (scoring) sehingga suatu organisasi dapat menilai proses-proses TI yang dimilikinya dari skala nonexistent sampai dengan optimised (dari 0 sampai 5). 0 - Non Existent Perusahaan sama sekali tidak perduli akan pentingnya teknologi informasi untuk kelola secara baik oleh pihak manajemen.
21
1 - Initial / Ad Hoc Perusahaan secara reaktif melakukan penerapan dan implementasi teknologi informasi sesuai dengan kebutuhan-kebutuhan mendadak yang ada, tanpa didahului dengan perencanaan sebelumnya. 2 - Repeatable but Intituitive Perusahaan telah memiliki pola yang berulangkali dilakukan dalam melakukan manajemen aktivitas terkait dengan tata kelola teknologi informasi, namun keberadaannya belum terdefinisi secara baik dan formal sehingga masih terjadi ketidakkonsistenan. 3 - Defined Perusahaan telah memiliki prosedur baku formal dan tertulis yang telah disosialkan ke segenap jajaran manajemen dan karyawan untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. 4 - Managed and Measurable Perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif kinerja setiap penerapan aplikasi teknologi informasi yang ada.
5 - Optimised Perusahaan telah mengimplementasikan tata kelola teknologi informasi yang mengacu pada “Best Practice”.
22
Gambar 2.2 Grafik Model Kematangan Dengan adanya maturity level model, maka organisasi dapat mengetahui posisi kematangannya saat ini, dan secara terus menerus serta berkesinambungan harus berusaha untuk meningkatkan levelnya sampai tingkat tertinggi agar aspek governance terhadap teknologi informasi dapat berjalan secara efektif. Salah satu cara menghitung tingkat kematangan adalah sebagai berikut : 1. Mengembangkan kuisioner dengan mengacu pada tingkat kematangan proses tata kelola TI berdasarkan framework COBIT 4.1. 2. Menghitung bobot semua proses tata kelola berdasarkan hasil kuisioner. 3. Menghitung tingkat kematangan berdasarkan proses-proses tata kelola terkait. 4. Menentukan nilai kontribusi tiap tingkat kematangan dengan cara membagi nilai tingkat kematangan dengan total tingkat kematangan. 5. Mengalikan nilai kontribusi dengan masingmasing tingkat kematangan.
23
6. Menjumlahkan semua nilai kontribusi yang didapat. 7. Total Nilai Kontribusi = Tingkat Kematangan Proses. 2.2.6 Ensure System Sequrity (DS5) Kontrol atas proses TI untuk memastikan keamanan sistem : 1. Tujuan DS 5 Menjaga integritas informasi dan infrastruktur pengolahan dan meminimalkan dampak kerentanan keamanan dan insiden. 2. DS 5 berfokus pada Mendefinisikan
kebijakan
keamanan
IT, prosedur
dan
standar,
dan
pemantauan, mendeteksi, pelaporan dan menyelesaikan kerentanan keamanan dan insiden. 3. DS 5 dicapai dengan a. Memahami persyaratan keamanan, kerentanan dan ancaman. b. Mengelola identitas pengguna dan otorisasi dengan cara standar. c. Keamanan Pengujian secara teratur. 4. Dan diukur dengan a. Jumlah insiden merusak reputasi dengan masyarakat.
24
b. Jumlah sistem di mana persyaratan keamanan tidak terpenuhi. c. Jumlah pelanggaran dalam pemisahan tugas. 2.2.7. Maturity Model DS 5 Pengelolaan proses untuk memastikan keamanan sistem yang memenuhi kebutuhan bisnis untuk TI mempertahankan integritas informasi dan infrastruktur pengolahan dan meminimalkan dampak dari kerentanan keamanan dan insiden adalah: a. 0 Non-existent Organisasi tidak menyadari kebutuhan untuk keamanan IT . b. 1 Initial / Ad Hoc Organisasi mengakui kebutuhan untuk keamanan IT. c. 2 Repeatable but Intuitive Tanggung jawab dan akuntabilitas untuk keamanan IT ditugaskan ke koordinator keamanan IT, meskipun kewenangan manajemen koordinator terbatas. d. 3 Proses Ditetapkan Kesadaran keamanan ada dan dipromosikan oleh manajemen.
25
e. 4 Managed and Measurable Tanggung jawab untuk keamanan IT ditugaskan jelas, dikelola dan ditegakkan. f. 5 Optimised Keamanan IT adalah tanggung jawab bersama bisnis dan manajemen IT dan terintegrasi dengan tujuan bisnis keamanan perusahaan.
2.3. Penelitian Sebelumnya Penelitian yang dilakukan, oleh Akhmad Zaki Al-Safi dengan judul “Analisis Keamanan Dan Integritas Sistem Informasi Akuntansi Bank DKI Pada DBMS AS/400 Dengan Basis Pengukuran COBIT 4.1” Tujuan dari penelitian ini adalah untuk mengetahui bagaimana sistem keamanan dan integritas data secara fisik dan aplikasi (software) dengan menganalisis menggunakan alat analisis dan desain sistem yang ada (DFD, UML, flowchart), dengan kerangka acuan CobiT 4.1 pada Aspek AI2 dan DS5. Penelitian juga bertujuan menilai pengendalian dan risiko dari sistem informasi akuntansi Bank DKI. Sedangkan penelitian kedua oleh Abdul Hakim, Hoga Saragih1, Agus Suharto dengan judul“EVALUASI TATA KELOLA TEKNOLOGI INFORMASI DENGAN FRAMWORK COBIT. 5 DI KEMENTERIAN ESDM” Tujuan dari penelitian ini adalah untuk mengetahui sejauh mana pengelolaan dan pemanfaatan TI dalam meningkatkan pelayanan TI di KESDM dan mengrekomdasikan usualn
26
kebijakan pengelolaan TI yang efektif dan efisien dengan memggunakan model Cobit 5. Pengumpulan data dengan melakukan wawancara, kuesioner dan observasi. Hasil pengelolaan data yang disesuaikan dengan domain Cobit 5 akan dijadikan penilaian evaluas kapabilitas antar domain, dari beberapa penilian terdapat nilai rataraa tingkat kapabilitas saat ini sebesar 4 pada rentang 0. Nilai kapabilitas tertinggi terdapat pada APO, DSS dan MEA yaitu sebesar 4, sedangkan nilai terendah terdapat pada EDM sebesar 0.
27
BAB III METODOLOGI PENELITIAN
3.1. Metode Penelitian Penelitian ini menggunakan tipe penelitian deskriptif kualitatif. Adapun sifat dari penelitian ini adalah deskriptif, metode deskriptif dapat diartikan sebagai prosedur pemecahan masalah yang diselidiki dengan menggambarkan atau melukiskan keadaan subyek atau obyek penelitian (seseorang, lembaga, masyarakat dan lain-lain) pada saat sekarang berdasarkan fakta-fakta yang tampak atau sebagaimana adanya. Data yang dikumpulkan berupa kata-kata, gambar, dan bukan angka-angka. Data tersebut mungkin berasal dari naskah wawancara, catatanlapangan, foto, video tape, dokumen pribadi, catatan atau memo, dan dokumen resmi lainnya (Santi, 2012: 34) Penelitian deskriptif ditujukan untuk : 1. Mengumpulkan informasi secara aktual dan terperinci 2. Mengidentifikasikan masalah. 3. Membuat perbandingan atau evaluasi.
28
4. Menentukan apa yang dilakukan orang lain dalam menghadapi masalah yang sama dan belajar dari pengalaman mereka untuk menetapkan rencana dan keputusan pada waktu yang akan datang. Pendekatan yang digunakan adalah pendekatan kualitatif. Pendekatan ini diarahkan pada latar belakang dan individu tersebut secara holistik (utuh). Jadi, dalam hal ini tidak boleh mengisolasikan individu atau organisasi ke dalam variabel atau hipotesis. (Santi, 2012: 34).
3.2. Lokasi Dan Waktu Penelitian Penelitian dilakukan di Poltekkes Kementrian Kesehatan Palembang, jalan Jendaral Sudirman KM 3,5 Nomor 1365 Palembang. Sedangkan waktu penelitian dilakukan selama bulan Maret 2015 sampai dengan Juli 2015.
3.3. Populasi dan Sampel Arikunto (2010), mengatakan bahwa “populasi adalah keseluruhan subjek penelitian”. Sedangkan menurut Sugiyono (1997 : 57) memberikan pengertian bahwa : “Populasi adalah wilayah generalisasi yang terdiri dari obyek atau subyek yang menjadi kuantitas dan karakteristik tertentu yang ditetapkan oleh peneliti untuk di pelajari dan kemudian ditarik kesimpulannya”.
29
Populasi yang digunakan sebagai sampel data pada penelitian ini adalah Pegawai yang ada di Poltekkes Kementrian Kesehatan Palembang yang berjumlah 12 orang. Menurut Suharsimi Arikunto (1998 :117) ”sampel adalah bagian dari populasi (sebagian atau wakil populasi yang diteliti). Sampel penelitian adalah sebagian populasi yang diambil sebagai sumber data dan dapat mewakili seluruh populasi.”. Sampel adalah wakil populasi yang diteliti (Arikunto 2010). Untuk mendapatkan sampel yang dapat menggambarkan populasi, maka dalam penelitian ini teknik pengambilan sampel menggunakan sampling jenuh (sensus), yaitu teknik penentuan sampel bila semua anggota populasi digunakan sebagai sampel. Hal ini sering dilakukan bila jumlah populasi relatif kecil, kurang dari 30 orang, atau penelitian yang ingin membuat generalisasi dengan kesalahan yang sangat kecil.
3.4. Skala Pengukuran Skala pengukuran yang akan dipakai dalam kuesioner pada penelitian ini adalah skala maturity, skala maturity adalah skala untuk mengukur level pengembangan manajemen proses. Seberapa bagusya pengembangan atau kapabilitas manajemen tergantung pencapaian tujuan-tujuan COBIT. Jawaban setiap item instrumen yang menggunakan skala maturity berbentuk tanggapan responden terhadap pernyataanpernyataan dalam kuesioner, jawaban tersebut yaitu : Optimized (sempurna, TI berjalan dengan baik), Managed and measureable (dilakukan, ada proses), Difened process (dilakukan dan suda baku), Repeatable but intuitive (dilakukan, tetapi belum
30
baku), Initial / ad-hoc (dilakukan, tetapi tidak ada prosedur), Non-existent (tidak ada proses TI). Penggunaan skala ini ditujukan untuk mengevaluasi kinerja mana yang paling relevan di bawah keadaan tertentu dalam suatu instanti. Tujuannya untuk menguraikan secara efektif faktor-faktor yang penting bagi instansi. Tabel 3.1 skala penilaia Maturity Skor
Tingkatan
Keterangan
Optimized
sempurna, TI berjalan dengan baik
Managed and measureable
dilakukan, ada proses
Difened process
dilakukan dan suda baku
Repeatable but intuitive
dilakukan, tetapi belum baku
Initial
dilakukan, tetapi tidak ada prosedur
Non-Existent
tidak ada proses TI
5 4 3 2 1 0
Tabel 3.2 Rentang Skala Maturity Rentang Nilai
Keterangan Optimized
4,51 s/d 5,00 Managed and Measurable 3,51 s/d 4,50 Defined Process 2,51 s/d 3,50 Repeatable but Intuitive 1,51 s/d 2,50 Initial 0,51 s/d 1,50 Non-Existent 0,00 s/d 0,50
31
3.5. Metode Pengumpulan Data Dalam melakukan penelitian untuk mendapatkan data dan informasi, maka metode yang digunakan dalam proses pengumpulan data dilakukan sebagai berikut : 1.
Observasi Dalam hal ini yang akan di observasi tentang audit keamanan sistem informasi di Poltekkes Kementrian Kesehatan Palembang menggunakan Cobit 4.1.
2.
Studi Pustaka Metode yang dilakukan adalah dengan cara mancari bahan yang mendukung dalam pendefinisian masalah melalui buku-buku, internet, yang erat kaitannya dengan objek permasalahan.
3.
Wawancara Dengan melakukan tanya jawab langsung peneliti dengan pegawai Poltekkes Kementrian Kesehatan Palembang menggunakan Cobit 4.1.
4.
Quesioner Pada metode ini kegiatan yang dilakukan adalah membuat beberapa pertanyaan berdasarkan framework cobit 4.1 untuk melakukan audit keamanan sistem informasi pada Poltekkes Kementrian Kesehatan Palembang.
32
3.6.Tahapan Pelaksanaan Audit Menurut Sarno (2009:33), tahapan pelaksanaan audit teknologi informasi meliputi:
1.
Analisis Kondisi Eksisting Tahapan analisis kondisi eksisting dalam rencana Audit SI/TI merupakan kegiatan peninjauan kondisi perusahaan saat ini terutama yang berkaitan dengan aktivitas bisnis. Peninjauan
dilakukan dengan dua tujuan
utama, yakni pengumpulan data sebagai bahan analisis resiko untuk menentukan lingkungan audit yang nantinya dilakukan dan pengumpulan infomasi yang mendukung pelaksanaan audit, misalnya informasi mengenai aktivitas bisnis yang telah didukung TI serta hukum, regulasi, ketetapan, standar yang terkait dengan aktivitas bisnis tersebut. Mengenai tujuan yang pertama, yakni pengumpulan data sebagai bahan analisis resiko, fokus dari aktivitas pengumpulan data yang dilakukan adalah keseluruhan proses bisnis yang ada di perusahaan, baik proses bisnis utama maupun pendukung. Proses bisnis yang dimaksud tidak hanya terkait dengan TI, namum keseluruhan proses bisnis yang berlangsung di perusahaan. Pengumpulan data proses bisnis tersebut dilakukan terhadap pihak-pihak yang bertanggung jawab terhadap pengelolaan proses berdasarkan struktur organisasi berkaitan tugas pokok dan fungsi yang berkaitan dengan proses tersebut.
33
2.
Penentuan Tingkat Resiko Mengklasifikasikan proses bisnis yang tingkat resikonya tinggi (proses bisnis utama) maupun proses bisnis pendukung. Hasil penentuan tingkat resiko tersebut kemudian dijadikan sebagai bahan dalam penyusunan ruang lingkup pelaksanaan audit yang diarahkan kepada proses bisnis yang didukung oleh teknologi informasi. Resiko bisnis sendiri dapat melibatkan aspek financial, regulasi atau operasional atau informasi dan teknologi yang terkait yang dikenal sebagai Resiko TI. Resiko TI tersebut dapat berupa resiko penyampaian layanan (IT service delivery), resiko penyampaian solusi TI maupun resiko dorongan mencapai manfaat / nilai I. Masing-masing resiko tersebut akan memberikan pengaruh terhadap nilai bisnis, baik pada peningkatan maupun perlindungan terhadap proses bisnis yang berlangsung di perusahaan.
3. Pelaksanaan Audit SI/TI Mengacu kerangkat kerja COBIT yang akan didahulukan dengan proses penentuan ruang lingkup dan tujuan audit (scope dan objective) berdasarkan hasil penentuan tingkat resiko pada tahapan sebelumnya. Aktivitas yang dilakukan selajutnya adalah pengumpulan bukti dari proses TI yang masuk dalam batasan atau ruang lingkup tinjauan. Pengumpulan bukti tersebut menggunakan metode yang sama dengan pengumpulan data pada tahapan analisis kondisi, tetapi aktivitas ini memfokuskan pada penemuan bukti-
34
buki yang diperlukan untuk memastikan bahwa proses TI berjalan sesuai dengan standar pengolahan yang baik. 4. Penentuan Rekomendasi Setelah audit SI/TI dilaksanaka, pengudit bertanggung jawab terhadap pengkomunikasian
hasil
audit
kepada
pihak
manajemen
terkait.
Pengkomunikasian tersebut menghasilkan kesepakatan akan hasil audit yang kemudian akan disusun dalam laporan audit. Perekomundasian tersebut membutuhkan keahlian pengambilan keputusan, kebijakan dan pengetahuan akan proses audit. Laporan akhir dari audit seharusnya mempesentasikan gambaran saat ini dari situasi kemudian memungkinkan pihak menajemen untuk mengambil langkah yang diperlukan.
35
BAB IV HASIL DAN PEMBAHASAN
4.1
Hasil Penelitian
4.1.1
Analisis Kondisi Eksisting
Tahapan kondisi eksisting dalam rencana audit keamanan sistem informasi di Poltekkes Kementrian Kesehatan Palembang yang merupakan lembaga pendidikan kesehatan, sampai dengan tahun 2015, telah dilakukan pembangunan ataupun pengembangan Sitel (Sistem Informasi dan Telematika), baik itu menyangkut piranti lunak, dan piranti keras dan infrastruktur jaringan. Untuk mensinergikan implementasi dan penerapan Sitel, Poltekkes Kementrian Kesehatan Palembang telah mempunyai arah pembangunan atau pengembangan Sitel yang tercantum di dalamnya master plan ICT, website Poltekkes Kementrian Kesehatan Palembang. Sedangkan untuk peningkatan kualitas SDM Teknologi informasi Poltekkes Kementrian Kesehatan Palembang telah mengadakan workshop teknologi informasi yang merupakan fasilitas untuk pelatihan tekniks SDM di bidang teknologi informasi. Manajeman pelaksanaan teknologi informasi dilakukan oleh bagian kurikulum sendiri.
36
4.1.2 Penentuan Tingkat Resiko Dari tahapan kondisi eksisting diatas maka dapat ditentukan tingka resiko pada piranti lunak khususnya website agar tidak mengalami kendala yang serius ketika sistem yang di terapkan tidak berjalan dengan semestinya dan terhindar dari kejahatan hacker atau pihak-pihak yang ingin memasuki sistem tanpa mempunyai hak akses. Piranti keras yang masih menggunakan spesifikasi komputer standar client, belum adanya spesifikasi komputer untuk server penempatan hosting website. Infrastruktur jaringan local hanya ada di Laboratorium Komputer tidak pada bagian administrasi dan bagian kurikulim dan kualitas SDM (Sumber Daya Manusia) belum adanya tenaga ahli khusus untuk mengelolah sistem informasi yang ada di Poltekkes Kementrian Kesehatan Palembang.
4.1.3 Hasil Pelaksanaan Audit Hasil dari pembahasan audit keamanan pada sistem informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang. Kebutuhan untuk menjaga integritas informasi dan melindungi aset TI memerlukan proses manajemen keamanan. Proses ini meliputi penyusunan dan memelihara peranan-peranan keamanan (security roles) serta tanggung jawab, kebijakan, standar dan prosedur. Manajemen keamanan juga mencakup
pengawasan
mengimplementasikan
keamanan
aksi
perbaikan
dan
ujicoba
untuk
secara
kelemahan
periodik,
serta
kekurangan
atau
insiden/bencana. Manajemen keamanan yang efektif melindungi semua aset TI untuk meminimalkan dampak bisnis terhadap kelemahan keamanan dan insiden.
37
Dipandang sebagai suatu kontrol efektif untuk dapat mencapai tujuan, yang didefinisikan dalam COBIT 4.1. Adapun keberadaan (tingkat pemenuhannya) berkaitan langsung dengan upaya pengendalian terhadap kelemahan/kerentanan yang dapat memicu timbulnya ancaman yang berdampak serius pada pencapaian tujuan bisnis. DS5 terdiri dari: DS5 (ensure system sequrity), pertanyaan terdiri dari : 1.
DS5.1 : Manajemen Keamanan TI (Managementof IT Security) Manajemen keamanan TI pada level organisasi yang tertinggi sehingga tindakan manajemen keamanan selaras dengan kebutuhan bisnis. Menerjemahkan bisnis, risiko dan kepatuhan (compliance) ke dalam rencana keamanan TI secara keseluruhan dengan mempertimbangkan infrastruktur TI dan budaya keamanan.
2. DS5.2: Rencana Keamanan TI (IT Security Plan) Memastikan rencana diimplementasikan dalam prosedur dan kebijakan keamanan bersama-sama investasi yang tepat dalam layanan, personel, software dan hardware. Mengkomunikasikan kebijakan dan prosedur keamanan kepada stakeholder dan user. 3. DS5.3 : Manajemen Identitas (Identity Management) Memastikan semua user (internal, eksternal dan temporer) dan aktivitas mereka dalam sistem TI (bisnis, aplikasi, lingkungan TI, operasi sistem, pengembangan dan pemeliharaan) secara unik teridentifikasi. Memudahkan user mengidentifikasi melalui mekanisme otentikasi. Mengkonfirmasi bahwa hak akses pengguna ke
38
sistem dan data sesuai dengan yang ditetapkan, kebutuhan bisnis yang didokumentasikan, dan kebutuhan kerja yang melekat pada identitas pengguna. Memastikan bahwa hak akses pengguna diminta oleh manajemen pengguna, disetujui oleh pemilik sistem dan diimplementasikan oleh penanggung jawab keamanan. Memelihara identitas pengguna dan hak akses dalam repositori pusat. Melakukan langkah-langkah teknis yang menghemat biaya, mengukur prosedural dan menjaganya agar terus update dalam membuat identifikasi user, implementasi otentikasi dan memaksakan hak akses. 4. DS5.4: Manajemen Akun Pengguna (User Account Management) Menempatkan
permintaan,
penyusunan,
penerbitan,
penangguhan.
Pemodifikasian dan penutupan akun pengguna serta hak-hak user yang berkaitan dengan rangkaian prosedur manajemen akun pengguna. Termasuk prosedur persetujuan yang menguraikan data atau pemilik sistem pemberian hak akses. Prosedur ini harus berlaku untuk semua pengguna termasuk administrator, pengguna internal dan eksternal, untuk normal dan kasus darurat. Hak dan kewajiban relatif terhadap akses ke sistem oraganisasi dan informasi seharusnya dicantumkan dalam kontrak kerja semua jenis pengguna. Selanjutnya, melakukan peninjauan manajemen secara teratur setiap akun dan hak yang terhubung. 5. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring)
39
Menguji, menjaga dan memantau implementasi keamanan TI dalam langkah yang proaktif. Keamanan TI seharusnya ditinjau secara periodik untuk memastikan landasan keamanan informasi organisasi yang disetujui dan dipelihara. Logging dan fungsi pemantauan keamanan TI akan memudahkan untuk pencegahan, pendeteksi dini dan sewaktu-waktu untuk melaporkan aktivitas yang tidak seperti biasanya perlu diperhatikan. 6. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) Mendefinisikan secara jelas dan mengkomuniksasikan karakteristik dari insiden keamanan yang potential sehingga dapat diklasifikasikan dan diperlakukan dengan baik oleh peristiwa dan proses manajemen masalah. 7. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology) Membuat
teknologi
keamanan
tahan
terhadap
gangguan,
dan
tidak
mengungkapkan dokumentasi keamanan yang tidak perlu. 8. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) Menentukan bahwa kebijakan dan prosedur sesuai untuk mengatur perubahan, pembatalan,
penghancuran,
distribusi,
sertifikasi,
penyimpanan,
entry,
penggunaan dan pengarsipan kunci kriptografi untuk memastikan perlindungan kunci terhadap modifikasi dan pengungkapan yang tidak sah.
40
9. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) Memasang pencegahan, pendeteksi dan langkahlangkah perbaikan yang sesuai (terutama patch keamanan yang up-to-date dan pengendalian virus) diseluruh organisasi untuk melindungi sistem informasi dan teknologi dari malware (seperti virus, worm, spyware dan spam). 10. DS5.10 Keamanan Jaringan (Network Security) Menggunakan teknik dan prosedur manajemen keamanan (misalnya firewall, peralatan keamanan, segmentasi jaring an, intruksi deteksi) untuk mengotorisasi akses dan kontrol informasi mengalir dari dan ke jaringan. 11. DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) Pertukaran data transaksi sensitif hanya melalui jalur terpercaya atau media dengan kontrol untuk menyediakan keaslian konten, bukti pengiriman, bukti penerimaan dan nonrepudiation. Adapun hasil dari kuesioner untuk domain DS5 (ensure system sequrity) yang disebarkan pada pegawai berjumlah 12 orang pada Poltekkes Kementrian Kesehatan Palembang yaitu :
41
Tabel 4.1 DS5 (Ensure System Sequrity)
6
responden 1 responden 2
5
responden 3 responden 4
4
responden 5
3
responden 6 responden 7
2
responden 8 1
responden 9 responden 10
0 DS5DS5DS5 1 2 3
DS5 4
DS5DS5DS5DS5DS5DS5DS5 5 6 7 8 9 10 11
responden 11 responden 12
Gambabr 4.1 Grafik DS5 (Ensure System Sequrity)
42
Bisa dilihat dari grafik diatas, proses pengawasan dan evaluasi terhadap kinerja teknologi informasi berdasarkan maturity model sudah berjalan baik yaitu berada pada sekala 4 yaitu 3.84 menurut responden komputer sudah berfungsi dengan baik dan penempatannya sudah sesuai dengan aturan, penggunaan internet selalu mendapat pengawasan dari pimpinan sehingga tugas dapat diselesaikan tepat waktu. Namun kegiatan training teknologi informasi untuk pegawai belum secara keseluruhan. 4.1.3 Analisa Kesenjangan (Gap) Berdasarkan analisis keamanan sistem informasi pada Poltekkes Kementrian Kesehatan Palembang yang sedang berjalan (as-is), maka dapat diketahui bahwa tingkat kematangan tersebut diidentifikasikan berada pada level 4. Sedangkan tingkat kematangan yang ditetapkan sebagai acuan (to-be) atau sistem untuk kedepan dalam tata kelola teknologi informasi pada pengelolaan data di Poltekkes Kementrian Kesehatan Palembang diidentifikasikan pada level 5.
4.2 Pembahasan Marturity model merupakan alat ukur untuk mengetahui kondisi proses TI pada Poltekkes Kementrian Kesehatan Palembang ini. Kegiatan pengukuran ini akan menghasilkan penilaian tentang kondisi sekarang dari proses DS5 (Ensure System Sequrity), terdiri dari : 1. DS5.1 : Manajemen Keamanan TI (Managementof IT Security) 2. DS5.2: Rencana Keamanan TI (IT Security Plan)
43
3. DS5.3 : Manajemen Identitas (Identity Management) 4. DS5.4: Manajemen Akun Pengguna (User Account Management) 5. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring) 6. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) 7. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology) 8. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) 9. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) 10. DS5.10 Keamanan Jaringan (Network Security) 11. DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) Pada pengukuran Marturity model ini digunakan pengambilan data melalui kuisioner. Responden yang dilibatkan untuk pengisian kuisioner terutama adalah pada unit kerja TI yang kesehariannya mengoprasikan secara langsung dan mengetahui masalah yang berkaitan dengan proses terpilih, responden juga berasal dari unit kerja lain yang terkait.
44
Sedangkan skala pembuatan indeks bagi pemetaan ketingkat model maturity terdapat pada tabel berikut ini. Tabel 4.2 Skala Pembulatan Indeks
Untuk mendukung audit tata kelola teknlogi informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang, data yang diperoleh dari kuisioner akan diolah dan dilakukan : a. Melakukan perhitungan rata-rata terhadap masing-masing attribut isian dari semua responden. b. Penilaian tingkat marturity proses tersebut diperoleh dengan melakukan perhitungan rata-rata semua attribut. c. Representasi kondisi teknologi informasi yang ada. Ukuran dalam model ini meliputi ukuran ordinal dan ukuran nominal. Ukuran ordinal merupakan angka yang diberikan dimana angka tersebut mengandung pengertian tingkatan. Ukuran nominal digunakan untuk mengurutkan obyek dari
45
tingkatan terendah sampai tertinggi. Ukuran ini tidak memberikan nilai absolut terhadap obyek, tetapi hanya memberikan urutan tingkatan dari tingkat terendah sampai dengan tingkat tertinggi saja. Selanjutnya merelasikan antara nilai tingkatan dan nilai absolut yang dilakukan dengan perhitungan dalam bentuk indeks menggunakan formula matematika sebagai berikut : Persamaan matematik untuk menentukan nilai indeks adalah sebagai berikut:
Secara keseluruhan tingkat kematangan untuk domain DS5 (Ensure System Sequrity) pada Poltekkes Kementrian Kesehatan Palembang adalah terdapat pada tingkat 3.85.
46
Table 4.3 Hasil Pengukuran Tingkat Kematangan Setiap Proses TI pada Domain DS5 (Ensure System Sequrity)
Skala hasil audit tata kelola teknologi informasi pada Poltekkes Kementrian Kesehatan Palembang menggunakan metode Cobit 4.1 yaitu : 1. Tingkat model maturity skala 4 yaitu : a. DS5.1 : Manajemen Keamanan TI (Managementof IT Security) dengan nilai rata-rata 4,33
47
b. DS5.2: Rencana Keamanan TI (IT Security Plan) dengan nilai rata-rata 4,08 c. DS5.3 : Manajemen Identitas (Identity Management) dengan nilai rata-rata 4,02 d. DS5.5: Uji Coba Keamanan, Penjagaan dan Pemantauan (Security Testing, Surveillance and monitoring) dengan nilai rata-rata 4,42 e. DS5.6: Definisi Insiden Keamanan (Security Incident Definition) dengan nilai rata-rata 4,25 f. DS5.7: Proteksi Teknologi Keamanan (Protection of Security Technology) dengan nilai rata-rata 3,92 g. DS5.8: Manajemen Kunci Kriptografi (Cryptographic Key Management) dengan nilai rata-rata 4,50 h. DS5.9: Pencegahan Software Berbahaya, Deteksi dan Perbaikan (Malicious Software Prevention, Detection and Correction) dengan nilai rata-rata 3,17 i.
DS5.11: Pertukaran Data Sensitif (Exchange of Sensitive Data) dengan nilai rata-rata 3,92
Pada tingkat maturity skala 4 yaitu managed and measurable, pada tingkat ini a. Kondisi dimana perusahaan telah memiliki sejumlah indikator atau ukuran kuantitatif yang dijadikan sebagai sasaran maupun objektif terhadap kinerja proses teknologi informasi.
48
b. Terdapat fasilitas untuk memonitor dan mengukur prosedur yang sudah berjalan, dapat mengambil tindakan jika terdapat proses yang diindikasikan tidak efektif. c. Proses diperbaiki terus menerus dan dibandingkan dengan praktik-praktik terbaik. d. Terdapat perangkat bantu dan otomatisasi untuk pengawasan proses.
2. Tingkat model maturity skala 3 yaitu : a. DS5.10 Keamanan Jaringan (Network Security) dengan nilai rata-rata 3,00 b. DS5.4: Manajemen Akun Pengguna (User Account Management) dengan nilai rata-rata 2,92
Pada tingkat maturity skala 3 yaitu defined process, pada tingkat ini a. Kondisi di mana perusahaan telah memiliki prosedur standar formal dan tertulis yang telah disosialisasikan ke segenap jajaran manajemen dan pegawai untuk dipatuhi dan dikerjakan dalam aktivitas sehari-hari. b. Tidak ada pengawasan untuk menjalankan prosedur, sehingga memungkinkan terjadinya banyak penyimpangan. Grafik hasil pengukuran tingkat kematangan proses audit sistem informasi menggunakan Cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang seperti grafik dibawah ini.
49
saat ini Harap an Gap
DS5. 1
DS5. 2
DS5. 3
DS5. 4
DS5. 5
DS5. 6
DS5. 7
DS5. 8
DS5. 9
DS5. 10
DS5.1 1
4,33
4,08
4,02
2,92
4,42
4,25
3,92
3,53
3,53
3,53
3,53
5
5
5
5
5
5
5
5
5
5
5
0,67
0,92
0,98
2,08
0,58
0,75
1,08
1,47
1,47
1,47
1,47
DS5.1 5 DS5.11 DS5.10
DS5.2
4 3 2
DS5.9
DS5.3
1
saat ini
0
harapan DS5.4
Gap
DS5.8 DS5.5 DS5.7
DS5.6
Gambar 4.2 Grafik Penilaian Kuesioner
Hasil seluruh atau tingkat model maturity skala penelitian sistem informasi menggunakan cobit 4.1. (control objective for information and related technology) pada Poltekkes Kementrian Kesehatan Palembang yaitu skala 4 (Managed and
50
Measurable), perusahaan sudah menggunakan teknologi informasi yang ada Prosedur telah distandarisasi dan didokumentasikan, dan dikomunikasikan melalui pelatihan. Hal ini diamanatkan bahwa proses harus diikuti, namun tidak mungkin bahwa penyimpangan akan terdeteksi. Prosedur sendiri tidak canggih tetapi formalisasi praktek yang ada. Temuan dari sistem informasi Poltekkes Kementrian Kesehatan Palembang sudah distandarisasi, terdokumentasi, dan dikomunikasikan melalui pelatihan tetapi implementasi masih tergantung pada pegawai apakah mau mengikuti prosedur tersebut atau tidak. Prosedur yang dibuat tersebut tidak rumit, hanya merupakan formalisasi kegiatan yang sudah ada.
51
BAB V KESIMPULAN DAN SARAN
5.1 Kesimpulan 1. Berdasarkan uraian yang telah di jelaskan pada bab penjelasan dapat di simpulkan bahwa tingkat kematangan (maturity level) pengelolaan proses untuk memastikan keamanan sistem yang ada di Poltekkes Kementerian Kesehatan Palembang menurut domain DS 5 Cobit 4.1 ada di level 3,84 yang termasuk dalam skala Managed and Measurable atau tingkat kematangan 4. 2. Kepedulian mengenai keamanan system dinilai suda baik dan komunikasi berlangsung secara konsisten dan terdokumentasi.
5.2 Saran 1.
Perlu adanya kesadaran dari pimpinan Poltekkes Kementerian Kesehatan Palembang dan semua staf mengenai teknologi informasi yang baik untuk mendukung aktifitas organisasi agar sesuai visi, misi dan tujuan yang telah ditetapkan.
52
2.
Perlu dilakukan pelatihan tentang manfaat dan penggunaan teknologi informasi kepada pegawai dan perlu dibuat suatu aturan yang jelas tentang penggunaan teknologi informasi agar teknologi informasi yang ada Poltekkes Kementerian Kesehatan Palembang dapat berkerja dengan baik dan efisien.
