Contoh Perencanaan Susunan Kepegawaian Bidang Kemananan Teknologi Informasi Dalam Sebuah Organisasi

Contoh Perencanaan Susunan Kepegawaian Bidang Kemananan Teknologi Informasi Dalam Sebuah Organisasi

Proteksi dan Keamanan Teknologi Informasi

Fandhy Haristha S - 7204000225 Hargo Wibowo - 720400025X M. Reza Yamani - 7204000229 Roy Sahat Siregar – 7204000179 Taufik Rinaldi - 7204000357

Magister Teknologi Informasi Fakultas Ilmu Komputer Universitas Indonesia 2005

LSA Security Staffing Plan

Daftar Isi

Cover ……………………………………………………………………………… 1 Daftar Isi ………………………………………………………………………….. 2 1. Pendahuluan ………………………………………………………………….. 3 2. Tugas dan Tanggung Jawab ………………………………………………….. 5 2.1 XX Agency (Lembaga/Organisasi XX) ………………………………… 5 2.2 Director of Program Operations ………………………………………… 5 2.2.1

Special Assistant to the Director (Information Security Officer) ……. 6

2.2.2

Supervisors …………………………………………………………… 6

3. Fungsi Keamanan TI dalam organisasi ……………………………………… 7 3.1 Audit ……………………………………………………………………. 7 3.2 Physical Security ………………………………………………………... 8 3.3 Disaster Recovery/Contingency Planning ………………………………. 8 3.4 Pengadaan (Procurement) ………………………………………………. 8 3.5 Pelatihan ………………………………………………………………… 9 3.6 Sumberdaya Manusia (Personalia) ……………………………………… 9 3.7 Risk Management/Planning …………………………………………….. 9 3.8 Building Operations……………………………………………………... 10 3.9 System Management/System Administrators …………………………... 10 3.10 Telekomunikasi …………………………………………………………. 10 3.11 Help Desk ……………………………………………………………….. 11 3.12 Maintenance of Security Program ………………………………………. 11 4. Kesimpulan …………………………………………………………………… 12 Daftar Pusataka …………………………………………………………………… 14

2


1. Pendahuluan

Tulisan ini akan memberikan penjelasan mengenai bagaimana membuat rencana susunan kepegawaian (staffing) bidang keamanan teknologi informasi dalam sebuah organisasi. Dikutip dari rencana serupa yang dibuat oleh The National Institute of Standards and Technology (NIST)1.

Kebutuhan sumberdaya personel keamanan TI yang ideal disertai dengan tingkat dukungan minimal (minimum level of support) akan dibahas dalam perencanaan ini. Perencanaan ini khususnya ditujukan pada Lembaga Pemerintahan dan organisasi sejenis yang bersifat memberikan jasa kepada pihak lain. Minimnya anggaran yang tersedia bagi beberapa lembaga ini membuat mereka harus membuat keputusan dengan pertimbangan biaya yang efektif dan alokasi sumberdaya yang efisien. Dalam perencanaan ini susunan kepegawaian bidang keamanan TI pada umumnya dibagi menjadi: 1. Director of Program Operations (CIO atau Kepala Departemen/Lembaga) 2. Special Assistant to Director (Information Security Officer) 3. Supervisor 4. User

Pada program keamanan TI yang ideal, deskripsi kerja dari manajer keamanan TI (security manager) dan staff seharusnya tidak pernah berubah, dan harus terdedikasi khusus menangani kemananan TI.

Apa yang umumnya ditemukan pada banyak organisasi, personel keamanan TI mempunyai tugas yang tidak terdedikasi atau rangkap jabatan. Tidak cukup waktu untuk menyelesaikan tugas yang termasuk keamanan TI dan tugas yang bukan termasuk keamanan TI. Sering fungsi keamanan TI tidak diimplementasikan seperti Audit Reviews dan Contingency Plan, atau untuk sementara waktu terabaikan. Tugas

1

The National Institute of Standard and Technology adalah lembaga federal di Amerika Serikat yang berada dibawah

3


keamanan TI yang mendesak (time-sensitive) seperti manajemen hak akses diselesaikan dengan cepat tanpa menyediakan waktu untuk meninjau ulang dan merevisi prosedurprosedur yang dibutuhkan.

Tulisan ini diawali dengan deskripsi dari beberapa elemen dari organisasi yang memiliki tanggung jawab terhadap keamanan TI atau terlibat dalam pembuat keputusan yang berhubungan dengan keamanan TI. Kemudian diikuti dengan fungsi dari beberapa personel keamanan TI tersebut disertai dengan susunan kepegawaian yang minimal dan ideal.

4


2. Tugas dan Tanggung jawab Pada bagian ini akan dijelaskan mengenai tanggung jawab keamanan TI dari setiap individu yang terlibat dalam kegiatan pembuat keputusan dalam sebuah organisasi. Deskripsi singkat mengenai induk organisasi dan tanggungjawab keamanan TI juga akan dibahas. Gambar dibawah ini memperlihatkan setiap individu dan hubungan diantara mereka dalam bentuk jalur otoritas kemananan (security authority lines).

LSA Security Authority Lines

XX agency Office of Security

Director of Program Operations

LSA Supervisors

Special Assistant to the Director (Information Security Officer

2.1 XX Agency (Lembaga/Organisasi XX) Office of Security, dari suatu lembaga XX membuat beberapa kebijakan (policy) dan kebutuhan dalam bidang keamanan TI. Kebijakan ini mewajibkan seluruh sistem memenuhi standar minimal administrasi, personel dan keamanan teknis. Contohnya, termasuk contingency plan, fasilitas keamanan, proteksi terhadap komunikasi data dan jaringan bagi seluruh sistem dalam organisasi XX.

2.2 Director of Program Operations Direktur Program atau Kepala Departemen atau CIO, memberikan pengarahan dalam manajemen harian dalam seuatu organisasi. Tingkat sensitifitas dari data dalam organisasi membutuhkan program keamanan khusus. Program keamanan TI terdiri dari Information Security Officer yang terdedikasi dan beberapa staff dibawah Direktur Program.

5


Individu ini juga bertanggungjawab

mengkoordinasikan semua interaksi yang

berhubungan dengan keamanan diantara elemen organisasi yang terlibat dalam program keamanan komputer – termasuk juga elemen eksternal dari organisasi.

Direktur harus memastikan pengamanan (safeguards) administrative, fisik dan teknikal disertakan dalam setiap pengembangan dan perbaikan sistem aplikasi.

Pengamanan ini termasuk mendefisikan dan menyetujui spesifikasi kemanan, partisipasi dalam tinjauan teknis terhadap proposal, mengadakan tinjauan terhadap perancangan fitur keamanan, ujicoba fitur keamanan, dan proteksi terhadap data dalam masa pengembangan.

2.2.1

Special Assistant to the Director (Information Security Officer) ISO dan staff mengevaluasi dan menyediakan informasi mengenai program

keamanan terhadap manajemen, mengkomunikasikan kebutuhan keamanan dan punya perhatian yang lebih terhadap keamanan TI organisasi tersebut.

ISO memastikan Rencana Keamanan Organisasi dikembangkan, ditinjau, diimplementasikan, dan direvisi dengan baik. Security awareness dan pelatihan yang dibutuhkan akan diatur dan dijalankan oleh ISO.

2.2.2

Supervisors Supervisor dari user organisasi memastikan bahwa setiap pegawai peduli terhadap

kebutuhan keamanan TI organisasi tersebut. Mereka harus mengawasi aktifitas pegawai dan memastikan aktifitas tersebut sesuai (compliance) terhadap semua kebutuhan kemanan TI dan melaporkan setiap pelanggaran yang terjadi.

6


3. Fungsi Keamanan TI dalam organisasi Pada bagian ini akan dijelaskan beberapa fungsi yang terkait keamanan TI dari setiap staff keamanan TI dalam sebuah organisasi dan jumlah pegawai yang dianjurkan untuk menjalankan fungsi tersebut secara efektif.

Staff keamanan TI harus mengerti dan mengimplementasi kontrol manajemen, operasional dan teknikal.

Implementasi penuh terhadap semua jenis kontrol membutuhkan staff keamanan Ti dengan berbagai keahlian. Pada suatu saat tim keamanan tersebut bias bertindak sebagai spesialis pengadaan barang yang meninjau sebuah spefisikasi dari system upgrade atau kemudian bertindak sebagai pengajar dalam kelas IT security awareness.

Dalam kenyataannya diberbagai organisasi dengan beragam tugas dari tim keamanan TI sering dihadapkan pada kekurangan sumberdaya atau prioritas beban kerja untuk menyelesaikan hanya tugas-tugas yang penting. Fungsi-fungsi yang dibahas dibawah ini mengandung jumlah staff yang dibutuhkan untuk menyelesaikan fungsi tersebut dalam tingkat yang minimal. Tingkat ini dihitung dalam bentuk prosentasi dari 1 staff per tahun.

3.1 Audit. Auditor bertanggungjawab dalam memeriksa sistem untuk melihat apakah sistem tersebut telah memenuhi kebutuhan keamanan TI. termasuk sistem dan kebijakan organisasi, dan apakah kontrol keamanan TI telah dijalankan dengan benar. Staff keamanan secara rutin setipa 3 tahun sekali melakukan tinjauan secara detil terhadap kegiatan operasional organisasi untuk memastikan perubahan-perubahan yang terjadi tetap sesuai dengan kebutuhan keamanan TI. Idealnya kegiatan ini dilakukan secara periodik dan direncanakan dengan baik. Staffing levels:

Ideal – 50% Minimum – 35%

7


3.2 Physical Security Pada banyak organisasi, bagian keamanan fisik ini pada umumnya adalah staff keamanan berupa satuan pengamanan (satpam). Bagian kemanan fisik biasanya bertanggungjawab untuk mengembangkan dan menjalankan kontrol keamanan fisik yang baik, dengan konsultasi dengan manajemen keamanan komputer. program dan manajer fungsional, dan yang pihak lain yang diperlukan. Staf keamanan TI harus bekerjasama dengan bagian keamanan fisik dalam hal pengamanan fisik terhadap perangkat keras komputasi, instalasi terminal, fasilitas backup dan lingkungan kantor. Pemeriksaaan riwayat hidup staff keamanan Ti juga harus dikoordinasikan dengan bagian kemanan fisik. Staffing levels:

Ideal – 10% Minimum - 5%

3.3 Disaster Recovery/Contingency Planning Staff keamanan TI harus memiliki disaster recovery/contingency planning team. Tim ini bertanggungjawab pada aktifitas contingency planning organisasi tersebut dan bekerjasama dengan dengan bagian keamanan fisik, telekomunikasi, IRM, pengadaan barang dan pegawai lainnya. Staffing levels:


3.4 Pengadaan (Procurement) Bagian pengadaan bertanggungjawab untuk memastikan pengadaan barang dalam organisasi telah ditinjau oleh petugas yang berwenang. Staf keamanan bertanggungjawab untuk memastikan jasa dan operasi yang dilakukan organisasi telah memenuhi ekspektasi keamanan komputasi. Staff pengadaan harus memiliki pengetahuan yang cukup tentang standar keamanan TI dan harus digunakan dalam pekerjaan sehari-hari di bagian pengadaan. Staffing levels:

Ideal – 15% Minimum - 5%

8


3.5 Pelatihan Pelatihan mengenai keamanan TI termasuk dalam kebutuhan keamanan TI. Staff keamanan TI memiliki salah satu tanggung jawab utama untuk memberikan pelatihan kepada

user,

operator,

dan

manajer

mengenai

keamanan

komputer.

Staff

mengembangkan alat bantu berupa video, kelas pelatihan untuk pekerja, auditor, manajer dan system administrator, material pembelajaran seperti brosur, trinkets, dan spanduk. Staff juga memberikan pelatihan dalam skala nasional dan ambil bagian dalam setiap pertemuan dan konferensi mengenai keamanan TI yang dilakukan pihak luar. Staffing levels:


3.6 Sumberdaya Manusia (Personalia) Bagian personalia dan staff keamanan TI harus bekerjasama dalam lekaukan investigasi terhadap latar belakang dan, prosedur pemberhentian kerja dari seorang pegawai yang hendak mengundurkan diri. Staff keamanan TI harus familiar terhadap istilah

“least

privilege

access”

dan

“separation

of

duties.”

Konsep

yang

mengimplikasikan tingkat sensitifitas dari data, , access control lists, akuntabilitas dari user ID’s dan passwords. Staffing levels:


3.7 Risk Management/Planning Beberapa organisasi memiliki staff yang bertugas mempelajari berbagai tipe resiko yang mungkin dihadapi oleh organisasi. Staff keamanan TI harus mengembangkan proses untuk mengenali resiko yang ada dalam siklus hidup organisasi. Ketika sebuah kelemahan (vulnerabilities) terdeteksi, tim keamanan harus menganalisa resiko dan jumlah sumberdaya yang dibutuhkan untuk menurunkan resiko (mitigate the risk). Fungsi yang berkelanjutan ini membutuhkan tim yang memahami perkembangan teknologi dan mampu berkoordinasi dengan pihak manajemen, IRM dan petugas telekomunikasi. Staffing levels:


9


3.8 Building Operations Bagian pemeliharaan gedung bertanggungjawab dalam memastikan bahwa setiap fasilitas keamanan gedung, daya listrik dan kontrol lingkungan gedung, aman digunakan selama masa operasional organisasi. Staff keamanan TI harus berkoordinasi dengan mereka untuk memastikan bahwa kebutuhan pengamanan lingkungan sistem dan gedung telah terpenuhi. Staffing levels:


3.9 System Management/System Administrators Pegawai ini adalah manajer dan teknisi yang merancang dan mengoperasikan suatu sistem, jaringan komputer dan LAN dari organisasi. Mereka bertanggungjawab dalam mengimplementasikan kemanan teknis dan harus paham terhadap teknologi pengamanan TI yang berhubungan dengan sistem mereka. Mereka juga perlu memastikan kontinuitas dari layanan mereka dalam memenuhi kebutuhan manajer fungsional, serta menganalisa kelemahan yang ada pada sistem. Staff keamanan TI harus bekerjasama dengan manajer sistem dalam hal meneliti produk keamanan baru, evaluasi produk, ancaman, dan kelemahan pada sistem yang terdapat dalam organisasi. Staffing levels:


3.10 Telekomunikasi Bagian

telekomunikasi

bertanggungjawab

untuk

menyediakan

layanan

telekomunikasi termasuk telekomunikasi suara, data, video dan layanan faks. Tim harus berkoordinasi dengan bagian ini untuk memenuhi kebutuhan keamanan TI dan meneliti teknologi baru yang berhubungan dengan telekomunikasi serta bentuk-bentuk serangan pada jaringan telekomunikasi. Staffing levels:


10


3.11 Help Desk Apakah bagian Help Desk menangani atau tidak menangani setiap insiden, ia harus dapat mengenali gangguan keamanan dan meneruskan panggilan tersebut kepada pihak yang berwenang dalam organisasi untuk direspon. Tim keamanan TI harus bekerjasama dengan manajemen help desk untuk memastikan prosedur yang ada telah dijalankan dalam menangani insiden yang berhubungan dengan keamanan TI. Staffing levels:


3.12 Maintenance of Security Program Program keamanan membutuhkan beberapa aktifitas tambahan yang tidak tercantum dalam fungsi-fungsi diatas.

Untuk setiap area fungsi harus memiliki dokumen penuntun bagi staff dan tim keamanan TI.

Dokumen tersebut harus diteliti, ditulis, ditinjau dan diawasi secara berkala. Sebagai tambahan, manajemen harus memastikan penguasaan atau keahlian dalam bidang keamanan TI dimiliki oleh setiap staff/tim keamanan, serta selalu diperbaharui untuk setiap perubahan yang ada dalam organisasi dan sistem yang ada dalam organisasi tersebut. Bentuk umpan balik dari user juga perlu diadakan untuk mendapatkan tanggapan mengenai penerapan program keamanan TI dalam organisasi. Staffing levels:


11


4

Kesimpulan Sumberdaya minimal dari petugas yang menangani “tulang punggung” dari tim

keamanan TI dalam suatu organisasi secara kasar adalah 4,5 staff setiap tahun. Idealnya, adalah 7,25 staff pertahun. Tabel dibawah ini merangkumkan sumberdaya kepegawaian yang dibutuhkan untuk menerapkan beberapa fungsi keamanan TI dalam organisasi.

Rangkuman dari Fungsional dan Susunan Kepegawaian (Staffing) Security Staff Functions

Ideal Percentage of Time

Minimum Percentage of Time

Audit

50%

35%

Physical Security

10%

5%

Disaster

25%

15%

Procurement

15%

5%

Training

100%

75%

Personnel

100%

75%

Risk

50%

15%

5%

1%

100%

50%

Telecommunications

50%

25%

Social Security

100%

100%

Help Desk

15%

5%

Maintenance of Security

100%

75%

7.25 staff years

4.5 staff years

Recovery/Contingency Planning

Management/Planning Building Operations System Management/System Administrators

Administration Liaison

Program

Totals

12


Angka-angka diatas adalah angka relatif tergantung kebutuhan manajemen lini dalam menerapkan tanggung jawab keamanan TI didalam organisasi. Fungsi personalia dan keamanan fisik adalah area dimana level kepegawaian dapat dikurangi dengan adanya partisipasi dari manajemen. Pembagian fungsi-fungsi ini memungkinkan manajemen dari suatu organisasi menentukan tanggungjawab mana yang membutuhkan level kepegawaian (staffing) yang ideal dan mana yang hanya perlu level minimal, atau dilakukan outsourcing kepada entitas diluar organisasi.

13


Daftar Pustaka

NIST. ”Sample of a Information Technology (IT) Security Staffing Plan For a Large Service Application (LSA).”, Computer Security Division, National Institute of Standards and Technology (NIST), November 15, 1999.

Krutz, Ronald L. ” The CISSP Prep Guide / Gold Edition 2003.”, Wiley, John & Sons, Incorporated, October2002.

CISA. ”CISA Review Manual 2005.”, Information System, Audit and Control Association (ISACA), 2005.

14

Contoh Perencanaan Susunan Kepegawaian Bidang Kemananan Teknologi Informasi Dalam Sebuah Organisasi

Recommend Documents