ROODHIN FIRMANA 5209100050 PEMBIMBING BEKTI CAHYO HIDAYANTO, S.Si, M.Kom HANIM MARIA ASTUTI, S.Kom, M.Sc
Supported by JURUSAN SISTEM INFORMASI FAKULTAS TEKNOLOGI INFORMASI INSTITUT TEKNOLOGI SEPULUH NOPEMBER
Outline PENDAHULUAN
DASAR TEORI METODOLOGI HASIL PEMBAHASAN KESIMPULAN & SARAN
PENDAHULUAN Latar
Belakang GCG sebagai upaya peningkatan kualitas layanan terlebih yang berkaitan keamanan informasi
Tata kelola yang ada masih belum sepenuhnya layak untuk menuju ke arah GCG yang sesuai dengan ISO 27001
Perlu adanya evaluasi keamanan informasi yang sesuai ISO 27001 berupa Indeks Keamanan Informasi (KAMI)
PENDAHULUAN Rumusan
Masalah
Tingkat kesiapan atau kematangan keamanan informasi yang telah dilakukan oleh PT. PLN Distribusi Jatim berdasarkan nilai Indeks KAMI
PENDAHULUAN Tujuan
Mengetahui kebutuhan keamanan informasi pada PT. PLN Distribusi Jatim Mengetahui kesiapan TIK khususnya tentang keamanan informasi pada PT. PLN Distribusi Jatim Memberikan rekomendasi yang dapat membantu proses pengambilan keputusan terhadap keamanan informasi pada PT. PLN Distribusi Jatim Panduan pembenahan atau bahan pertimbangan kinerja tata kelola keamanan informasi khususnya pada PT. PLN Distribusi Jatim
DASAR TEORI Keamanan Informasi
Aspek Keamanan Informasi
Indeks KAMI
SMKI
METODOLOGI
HASIL & PEMBAHASAN Mengkaji Penetapan Peran atau Tingkat Kepentingan TIK
Penilaian peran dan tingkat kepentingan TIK digunakan untuk langkah awal dalam mengetahui ketergantungan instansi terhadap penggunaan teknologi informasi Hasil penilaian yang dilakukan berkaitan dengan peran dan tingkat kepentingan TIK di PT. PLN Distribusi Jatim ini mendapatkan skor 40 Sumber : Indeks KAMI
HASIL & PEMBAHASAN Penilaian Kelengkapan 5 area
Kategori Area
Skor
Tingkat Kematangan
Tata Kelola Keamanan Informasi
27
I+
Pengelolaan Resiko Keamanan Informasi
17
I+
Kerangka Kerja Keamanan Informasi
25
I+
Pengelolaan Aset Informasi
70
I+
Teknologi dan Keamanan Informasi
51
I+
Sumber : Indeks KAMI
HASIL & PEMBAHASAN Penilaian Kelengkapan 5 area Mulai adanya pemahaman mengenai pengelolaan keamanan informasi.
perlunya
Penerapan langkah pengamanan masih bersifat reaktif, tidak teratur, tidak mengacu kepada keseluruhan risiko yang ada, tanpa alur komunikasi dan kewenangan yang jelas dan tanpa pengawasan Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik Pihak yang terlibat tidak menyadari tanggung jawab mereka Sumber : Indeks KAMI
HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI
Sumber : Indeks KAMI
HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI
High Responden
Sumber : Indeks KAMI
HASIL & PEMBAHASAN Mengkaji Hasil Indeks KAMI Tata Kelola
Pengelolaan Risiko
Status
I+
I+
Validitas Status
No No
No No
Validitas Status
No No
No No
Validitas Status Status Akhir
No No
No No
I+
I+
Kerangka Kerja Tingkat II I+ Tingkat III No No Tingkat IV No No Tingkat V No No I+
Pengelolaan Aset
Aspek Teknologi
I+
I+
No No
No No
No No
No No
No No
No No
I+
I+
Sumber : Indeks KAMI
HASIL & PEMBAHASAN Rekomendasi Perbaikan Tata Kelola Kategori kematangan
II
Kategori Pengamanan
Point Evaluasi
Status / Kondisi
Skor
1
Apakah penanggungjawab pelaksanaan pengamanan informasi diberikan alokasi sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi?
Dalam Perencanaan
1
Saran Perbaikan
Hasil penilaian didapatkan bahwa untuk sumber daya yang sesuai untuk mengelola dan menjamin kepatuhan program keamanan informasi masih dialokasikan secara umum. Untuk pengalokasian sumber daya berdasarkan ISO 27001:2005 bisa dilakukan dengan langkah : Mengkategorikan dan dendefinisikan keamanan informasi berdasarkan kebutuhan, aset,dan personel Selain itu juga berdasarkan pengamanan berdasarkan tingkat kesulitan dan keamanannya Mengukur secara umum tingkat risiko masing-masing aset Mengalokasikan sumber daya manusia yang sesuai berdasarkan histori sebelumnya Melakukan evaluasi kinerja sumber daya secara berkala guna mengontrol pelaksanaan Sumber : Tugas Akhir
HASIL & PEMBAHASAN Rekomendasi Perbaikan Risiko Kategori kematangan II
Kategori Pengamanan
Point Evaluasi
Status / Kondisi
Skor
1
Apakah ancaman dan kelemahan yang terkait dengan aset informasi, terutama untuk setiap aset utama sudah teridentifikasi?
Dalam Perencanaan
1
Saran Perbaikan
Identifikasi ancaman dan kelemahan yang terkait dengan asset informasi dalam dokumen SMKI telah ada tetapi belum dilakukan penerapan sehingga perlu dilakukan penerapan. Langkah untuk melakukan identifikasi antara lain: Membuat daftar ancaman dan kelemahan berdasarkana asset informasi yang ada pada PT. PLN Distribusi Jatim Membuat tingkat atau level ancaman atau kerugian jika risiko aset terjadi serta probabilitas terjadinya risiko tersebut Menentukan penilaian dari tingkat probabilitas terjadinya ancaman Membuat kerangka kerja pengelolaan aset infomasi berdasarkan ancaman dan kelemahan dengan detail di dalamnya. o Daftar aset o Daftar ancaman dan kelemahan o Tingkat atau level ancaman dan kelemahan o Probabilitas atau tingkat kemungkinan munculnya ancaman o Kontrol atau pengendalian berupa prosedur, log,Akhir form Sumber : Tugas
HASIL & PEMBAHASAN Rekomendasi Perbaikan Kerangka Kerja Kategori kematangan
II
Kategori Pengamanan
Point Evaluasi
Status / Kondisi
Skor
1
Apakah tersedia mekanisme untuk mengelola dokumen kebijakan dan prosedur keamanan informasi, termasuk penggunaan daftar induk, distribusi, penarikan dari peredaran dan penyimpanannya?
Dalam Perencanaan
1
Saran Perbaikan
Pengelolaan dokumen kebijakan dan prosedur keamanan informasi pada PT. PLN Distribusi Jatim masih dalam proses perencanaan. Sebaiknya pengelolaan dokumen kebijakan dan prosedur keamanan informasi mengikuti standar ISO/IEC 1799:2005 sebagai berikut : Menerapkan feedback atau timbal baik dengan pihak terkait Mengevaluasi rancangan kebijakan sesuai dengan hasil review kebijakan sebelumnya Melakukan pengelolaan peredaran dokumen kebijakan dan prosedur berdasarkan tiap bagiannya. Pengelolaan kontrol akses dokumen kebijakan dan prosedur terutama untuk pihak ketiga yang terkait di dalamnya. Untuk meningkatkan level kematangan perlu adanya evaluasi secara Sumber : Tugas Akhir berkala
HASIL & PEMBAHASAN Kategori kematangan
Kategori Pengamanan
Point Evaluasi
Apakah tersedia daftar inventaris aset Rekomendasi II 1 Perbaikan Pengelolaan Aset informasi yang lengkap dan akurat?
Saran Perbaikan
Status / Kondisi
Skor
Tidak Dilakukan
0
Dari hasil penilaian daftar inventaris asset informasi yang berada di PT. PLN Distribusi Jatim masih belum lengkap dan akurat. Berdasarkan ISO/IEC 27002:2005 bagian pengelolaan aset, untuk pendaftaran inventaris aset informasi dapat dilakukan dengan cara : Untuk memudahkan proses inventarisasi maka sebaiknya membentuk tim inventarisasi aset terupdate. Menghitung jumlah aset tetap per sub sub kelompok barang Mencatat aset tetap ke dalam kertas kerja inventarisasi Menempelkan label pada aset tetap yang telah di hitung Menentukan kondisi aset tetap dengan kriteria baik, rusak ringan, atau rusak berat Menyusun laporan hasil inventarisasi Membandingkan laporan hasil inventerisasi dengan dokumen aset tetap yang ada Membuat daftar saset tetap yang tidak ditemukan, belum pernah dicatat, dan usak berat serta daftar koreksi nilai Sebaiknya setiap pengelolaan aset didetailkan mengenai pengelola dan penanggung jawab aset tiap bagiannya. Menyampaikan hasil inventarisasi kepada pengelola aset di PT. PLN Distribusi Jatim Sumber : Tugas Akhir Melakukan update inventaris dan evaluasi secara berkala
HASIL & PEMBAHASAN Rekomendasi Perbaikan Teknologi Kategori kematangan
II
Kategori Pengamanan
1
Saran Perbaikan
Point Evaluasi
Status / Kondisi
Skor
Apakah tersedia konfigurasi standar untuk keamanan sistem bagi keseluruhan aset Dalam komputer dan perangkat jaringan, yang 1 Perencanaan dimutakhirkan sesuai perkembangan dan kebutuhan? Konfigurasi standar untuk keamanan informasi tidak semua dimutakhirkan sesuai perkembangan. Untuk melakukan pemutakhiran perlu dilakukan : Mendefinisikan kebutuhan sistem yang ada termasuk konfigurasinya Menentukan avalaibilitas aplikasi sistem yang dipakai di PT. PLN Distribusi Jatim apakah sesuai atau tidak Mendefinsikan sistem atau aplikasi terbaru disesuaikan dengan kebutuhan sistem yang terdapat di PT. PLN Distribusi Jatim Mendefinisikan perencanaan pemutakhiran dengan o Mendefinsikan risiko implementasi o Perencanaan finansial Kelayakan perangkat dalam meningkatkan efisiensi dan efektifitas proses bisnis yang ada Mendokumentasikan prosedur pemutakhiran sistem atau aplikasi baru Melakukan monitoring kinerja secara berkala Sumber : Tugas Akhir
KESIMPULAN Hasil evaluasi dari keseluruhan area yang telah dilakukan pada aspek peran TIK, PT. PLN Distribusi Jatim menunjukkan skor 40 Tingkat kematangan dari hasil evaluasi berada pada level I+ dengan total skor 190 PT. PLN Distribusi Jatim memerlukan saran perbaikan dan penerapan secara keseluruhan guna menjalankan dan memberikan tingkat kematangan yang bagus untuk mengikuti serfitikasi keamanan informasi yang mengacu ISO/IEC 27001:2009 Sumber : Tugas Akhir
SARAN PT. PLN Distribusi Jatim perlu menerapkan keseluruhan poinpoin penilaian yang terdapat pada lima area keamanan informasi Indeks KAMI dapat diterapkan pada semua perusahaan
Penelitian selanjutnya sebaiknya bekerja sama dengan lembaga yang menaungi Indeks KAMI secara langsung dan saran-saran dapat diimplementasikan Dari segi alat evaluasi, perlu adanya petunjuk teknis mengenai proses penilaian untuk memahami perolehan skor yang didapatkan Sumber : Tugas Akhir
Indeks KAMI
Buku Tugas Akhir
Peran TIK Rendah 0
12
Sedang
13
24
Tinggi 25
36
Kritis 37
48
Indeks (Skor Akhir) 0 124 125 272 273 588 Skor Akhir 0 174 175 312 313 588 Skor Akhir 0 272 273 392 393 588 Skor Akhir 0 333 334 453 454 588
Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup Status Kesiapan Tidak Layak Perlu Perbaikan Baik/Cukup
