Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
PENILAIAN RESIKO TEKNOIOGI INFORMASI & KEAMANAN SISTEM INFORMASI DENGAN MENGGUNAKAN FRAMEWORK COBIT 4.1 DAN GUIDELINES NIST SP 800-30 ( Studi Kasus : Rumah Sakit Umum Dr Slamet Garut ) Yana aditia gerhana1, Erdiansyah, Undang syarifudin Dosen Teknik Informatika UIN SGD Bandung Abstrak
Every organization have a goal. In the digital era, organization use automated information technology to process their information for better support for their goals, and risk management plays and important role to protect information assets of organization and for that purpose can be accomplished. An effective risk management process is an important component of the success of information technology security program. The principle objectives of an organization’s risk management should be protect organization and the ability to perform their purpose is not to protect information technology assets only. For this risk management process should not be treated purely as a function but the technique is the basis of the management functions of the organization.
Key Words: Information Technology Security, Risk Management, Risk level
yang
A. Pendahuluan Di banyak perusahaan, informasi
diperlukan
untuk
security
management process.
dan teknologi merupakan hal yang sangat
Konsep dari kebijakan keamanan IT
mendukung tetapi sedikit yang mengerti
didasari
akan hal tersebut. Keberhasilan organisasi
keamanan, standarisasi dan prosedur.
dikenali
Kontrol
sebagai
penerapan
teknologi
digunakan
untuk
keuntungan
antara
lain
dari
kebijakan
keuntungan
dari
informasi
yang
karena diperlukan untuk mendefinisikan
menggerakan
peraturan–peraturan, pertanggungjawaban
stakeholders.
Untuk
itu
administrasi
menjadi
efektif
dan syarat-syarat yang harus dipenuhi
organisasi harus mengerti dan mengatur
untuk keamanan IT.
hal hal yang berhubungan dengan resiko.
Keamanan informasi
merupakan
Untuk memenuhi keperluan tersebut salah
aspek kunci dari kebijakan implementasi
satunya adalah dengan merawat integritas
teknologi informasi, karena penggunaanya
informasi dan melindungi IT sebagai asset
yang 161
tersebar
luas
seperti
internet,
Edisi Juni 2011 Volume V No. 1 - 2
handheld,
portable
mobile,
dan
memiliki
akses
computer
wireless data
ISSN 1979-8911
device,
didasari seberapa banyak akibat dari
technologies
masalah keamanan dapat mempengaruhi
dan
informasi
bisnis, dan mengimplementasikan system
semakin mudah dan terbuka. Kondisi ini
keamanan
berpeluang dalam terjadinya masalah-
memerlukan
masalah
data,
waktu yang lama.
hacking,
Keuntungan
seperti
penyerangan
pencurian
melalui
virus,
yang
baik
investasi
tidak mahal
dari
keamanan
informasi
semua cara baru
yang berhubungan
mengurangi dari resiko atau mengurangi
dengan
yang
terorganisir.
dari akibat. Keamanan yang baik akan
Resiko-resiko tersebut sama potensialnya
memperbaiki reputasi, kepercayaan diri,
dengan kesalahan kecerobohan, dapat
dan kepercayaan pihak lain dimana bisnis
mengakibatkan maslah yang serius di
dapat diatur, meningkatkan efisiensi tanpa
bidang keuangan, reputasi dan kerusakan
meghilangkan
lainnya.
meningkatkan
Dalam hubungan dengan hal diatas, banyak
RSUD
yang
yang
dihadapi
bila
tidak
waktu waktu
hanya
kerja recover
dan ketika
terjadi insiden keamanan.
harus
mengimplementasikan penilaian sistem resiko
baik
dengan
serangan Denial-of-Service (DoS), dan
kejahatan
yang
selalu
B. Tata Kelola TI Definisi IT Governance menurut
terdapat
ITGI adalah :
kegagalan atau threat terhadap sistem
“Suatu
informasi yang mereka gunakan.
bagian
terintegrasi
dari
akan
kepengurusan perusahaan serta mencakup
keamanan yang baik memerlukan sebuah
kepemimpinan dan struktur serta proses
pedoman yang menjadi standar di dunia
organisasi yang memastikan bahwa TI
IT. COBIT ( Control Objectives for
perusahaan
mempertahankan
Information and related Technology )
memperluas
strategi
menjadi pedoman dalam pembahasan
organisasi.”
Mengenali
keperluan
tercakup dalam tata kelola IT adalah :
memfokuskan pada spesifik resiko IT.
1. Strategic Alignment, penerapan IT
Banyaknya upaya yang dilakukan implementasi
keamanan
tujuan
Pokok pokok permasalahan yang
penilaian di RSUD dr Selamet Garut
untuk
dan
dan
harus
dan
benar
benar
mendukung
pencapaian misi perusahaan, strategi
lingkungan kerja yang terjamin harus 162
Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
IT harus selaras dengan strategi bisnis
yang relevan dan berisiko paling tinggi,
perusahaan.
melalui analisa atas ke-34 proses tersebut.
2. Value Delivery, penerapan IT harus
Sementara untuk kebutuhan penugasan
dapat memberikan nilai tambah bagi
tertentu, misalnya audit atas proyek TI,
pencapaian misi perusahaan.
dapat dimulai dengan memilih proses
3. Risk Management, penerapan IT harus disertai
dengan
yang relevan dari proses-proses tersebut.
pengidentifikasian
COBIT terdiri
dapat diatasi.
menggambarkan proses TI yang terdiri
memadai
dan
1. Plan
penggunaan
and
Organise
menjelaskan
sumber daya yang optimal.
detil
yang
Domain
mengenai
ini
proses
perencanaan dan strategi informasi
5. Performance Measurement, penerapan
proses
dari 4 domain yaitu:
harus didukung dengan sumber daya yang
34
dirancang
resiko resiko IT sehingga dampaknya
4. Resources Management, peneripan IT
dari
Framework
yang akan dikembangkan.
It harus diukur dan dievaluasi secara
2. Acquire and Implement Domain ini
berkala untuk memastikan bahwa
menjelaskan pada proses pemilihan,
kinerja dan kapasitas IT sesuai dengan
pengadaan dan penerapan teknologi
kebutuhan bisnis.
informasi. 3. Deliver and Support Domain ini
COBIT 4.1 COBIT
dapat
sebagai
berkaitan dengan penyampaian aktual
tujuan pengendalian untuk informasi dan
dari layanan yang diperlukan, yaitu
teknologi terkait dan merupakan standar
dengan menyusun operasi tradisional
terbuka
domain ini termasuk pada data aktual.
untuk
diartikan
pengendalian
terhadap
teknologi informasi yang dikembangkan dan
dipromosikan
Governance.
COBIT
oleh
Institut
pertama
4. Monitor and Evaluate Domain ini
IT
mengarahkan
terjadinya
kesalahan
sekali
manajemen pada proses pengendalian
diperkenalkan pada tahun 1996 adalah
organisasi dan penjaminan independen
merupakan alat (tool) yang disiapkan
yang disediakan oleh audit internal
untuk mengatur teknologi informasi (IT
dan eksternal atau diperoleh dari
Governance tool).
sumber alternatif.
Suatu perencanaan audit TI dapat
Berikut ini gambar 2.1 merupakan
dimulai dengan menentukan area-area
rancangan 163
COBIT
Framework
yang
Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
dibagi ke dalam 4 domain, selengkapnya
dapat dilihat pada gambar
Gambar 2.1 COBIT Framework (COBIT 4.1 Excerp, Executive Summary Framework, 2008) COBIT
mempunyai
kematangan
(maturity
level)
mengontrol
proses-proses
TI
tingkat
sehingga suatu organisasi dapat menilai
untuk
proses-proses TI yang dimilikinya dari
dengan
skala
menggunakan metode penilaian (scoring)
non-existent
sampai
optimised (dari 0 sampai 5).
Gambar 2.2 COBIT Framework Maturity Level 164
dengan
Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
(COBIT 4.1 Excerp, Executive Summary Framework, 2008) memproses data yang sangat sensitif.
1. Keamanan Teknologi Informasi
Keamanan perlindungan
berhubungan
akan
berlawanan
nilai
dengan
penyalahgunaan,
dengan
Panduan ini bukan bersifat perintah atau
yang
mengikat. Oleh karena itu penulis ingin
kehilangan,
membandingkan nilai indeks maturity
asset
penyingkapan,
atau
dengan kaidah-kaidah yang ada dalam
kerusakan. Dalam konteks ini nilai asset
NIST SP 800-30.
adalah informasi yang dicatat dengan,
Maksud
diproses oleh, disimpan didalam, dibagi
Resiko adalah akibat buruk dari
dengan, dikirim oleh atau diterima oleh,
suatu
media
mempertimbangkan
elektronik.
Informasi
harus
celah
keamanan, keduanya
dilindungi atas kerusakan dari berbagai
kemungkinan dan akibat dari kejadian.
tipe
dari
Manajemen resiko adalah suatu proses
kehilangan, tidak bisanya akses, dan
mengidentifikasi resiko, menilai resiko,
penyingkapan
Ancaman
dan melakukan langkah untuk mengurangi
kelalaian,
resiko berdasarkan level yang dapat
pencurian, kecelakaan, dan kerusakan
diterima dan ditetapkan. Sehingga tujuan
yang disengaja.
utamanya adalah menolong organisasi
ancaman,
termasuk
banyak
akibat
kesalahan.
kesalahan
dan
Tujuan dari keamanan informasi adalah
melindungi
kepentingan
mengandalkan informasi,
untuk
yang
mengakibatkan
sistem, dan
kerusakan,
Sasaran
dari
Sasaran resiko
dan integritas.
adalah
melakukan manajemen agar
organisasi
dapat
mencapai tujuannya dengan :
2. Manajemen Resiko IT
of
Keamanan yang lebih baik dalam sistem
NIST merupakan singkatan dari Institute
informasi
dengan resiko.
gangguan akan ketersediaan, kepercayaan
National
teknologi
menjadi lebih baik yang berhubungan
komunikasi yang mengirim informasi dari yang
mengelola
Standars
penyimpanan
proses,meneruskan
and
IT, informasi
organisasi.
Technology, SP 800-30 adalah Special
Document seri 800-30 tentang keamanan
Memungkinkan manajemen membuat informasi
komputer. Dokumen ini merupakan atau menjadi panduan pemerintah US untuk 165
lebih
baik
keputusan
Edisi Juni 2011 Volume V No. 1 - 2
manajemen
resiko
untuk
ISSN 1979-8911
menilai
C. Hasil Penilaian Domain PO9 - Menilai dan Pengaturan
pengeluaran biaya IT.
Membantu mengotorisasi
manajemen sistem
Resiko Teknologi Informasi
untuk IT
Dari
yang
hasil
penilaian,
terdapat
bertujuan untuk mendukung dokumen
perbedaan pengertian, pemahaman, dan
hasil performansi dari manajemen
kepentingan antara manajemen level atas,
resiko.
level menengah, dan level bawah dalam Menilai dan Pengaturan ResikoTeknologi Informasi. Lebih jelasnya terlihat pada gambar 5.1 dibawah ini :
Gambar 5.1 Ringkasan Hasil Penilaian PO9
Domain DS5 - Memastikan Keamanan
bawah tidak memiliki pengertian dan
Sistem
kepentingan yang sama akan keamanan
Dari hasil penilaian, manajemen
sistem
level atas, level menengah, dan level
166
secara
utuh.
Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
Gambar 5.2 Ringkasan Hasil Penilaian DS5 Integrasi Indeks Maturity kedalam Risk
prosestelah ditetapkan,
Level Matrix
mempunyai
nilai yang ekivalen dengan risk-level
Tabel 5.1 menerangkan integrasi
matrix yang mendefinisikan bahwa
indeks maturity kedalam risk level matrix
sistem
mempunyai
level
resiko
secara keseluruhan
sedang. Hal ini terlihat dari hasil kuesioner yang cenderung tingkat kepuasan tinggi dengan sistem yang
Tabel 5.1 Integrasi Indeks Maturity Kedalam Risk Level Matrix PO9 PO9 Indeks
2.62
52.4
0.5 (sedang)
26.2
PO9 LA
2.25
45
0.5 (sedang)
22.5
PO9 LM
2.79
55.8
0.5 (sedang)
27.9
3.09
61.8
0.5 (sedang)
karena
terjadi
dengan
membuat celah keamanan semakin besar. Tabel 5.2 Integrasi Indeks Maturity Kedalam Risk Level Matrix DS5 DS5 Indeks
30.9
DS5 All DS5 LA DS5 LM DS5 LB
proses dapat diulang, mempunyai nilai yang ekivalen dengan risk-level matrix sebesar 22.5 yang didefinisikan bahwa
2.54 1.62 2.83 3.47
1. Nilai
Skala Threat Level Resiko Likelihood Resiko 0.5 50.8 25.4 (sedang) 0.5 32.4 16.2 (sedang) 0.5 56.6 28.3 (sedang) 0.5 69.4 34.7 (sedang)
indeks
maturity
domain
resiko
DS5LA adalah 1.62 yang berarti
sedang. Hal ini dikuatkan dengan hasil
repeatable / proses dapat diulang,
wawancara yang menyatakan resiko
mempunyai nilai yang ekivalen
implementasi IT sistem yang ada
dengan risk-level matrix sebesar
masih
16.2 yang didefinisikan bahwa
belum
level
berbahaya
pengembangan sistem yang ada dapat
adalah 2.25 yang berarti repeatable /
mempunyai
ini
ketidakpahaman akan akibat yang
1. Nilai indeks maturity domain PO9LA
sistem
Hal
mungkin
PO9 All
PO9 LB
ada.
Skala Threat Level Resiko Likelihood Resiko
secara
optimal
dilakukan.
sistem mempunyai level resiko
2. Nilai indeks maturity domain PO9LM
sedang. Hal ini merefleksikan
dan PO9LB mempunyai nilai define /
tingkat 167
kepuasan
dan
tingkat
Edisi Juni 2011 Volume V No. 1 - 2
ISSN 1979-8911
kebutuhan akan keamanan sistem
rencana
yang rendah di RSUD dr.Selamet
Governance dan audit SI sebagai
Garut
dapat
bagian dari pengaturan TI dalam
meningkatkan level resiko apabila
rangka mencapai tujuan institusi
SDM dan kebijakan organisasi
secara efektif dan efisien.
yang
mana
tidak mendukung akan perbaikan
indeks
model
IT
2. COBIT versi 4.1 dapat digunakan
tingkat keamanan. 2. Nilai
rancangan
sebagai standar model audit Sistem domain
Informasi Rumah Sakit Umum dr.
DS5LM dan DS5LB mempunyai
Slamet. Kerangka kerja COBIT
nilai
disesuaikan
define
maturity
/
prosestelah
pada
model
audit
ditetapkan, mempunyai nilai yang
Sistem Informasi Rumah Sakit
ekivalen dengan risk-level matrix
Umum dr. Slamet dengan melihat
yang mendefinisikan bahwa sistem
proses bisnis dan tanggungjawab
mempunyai level resiko sedang.
proses
Hal ini terlihat dari hasil kuesioner
terhadap aktivitas rumah sakit.
yang cenderung tingkat kepuasan
3. Model audit yang dikembangkan
teknologi
informasi
tinggi dengan sistem keamanan
pada tesis ini dapat
yang ada. Pihak manajemen level
bagi pihak manajemen Rumah
menengah
Sakit Umum dr. Slamet sebagai
belum
pernah
melakukan tes tingkat keamanan
pedoman
oleh pihak ke tiga yang mana
internal.
bertujuan untuk mengetahui sejauh
4. Hubungan
digunakan
terhadap pengendalian
antara
nilai
indeks
mana kebijakan organisasi telah
maturity yang berdasarkan dari
mampu melindungi aset SI/TI dari
kerangka kerja COBIT 4.1 sesuai
ancaman.
dengan level resiko yang dihitung dari level matrik resiko yang
D. Kesimpulan
didasari dari kerangka kerja NIST
Dari kajian terhadap rancangan
SP 800-30.
model IT Governance dan audit sistem informasi
institusi
dapat
5. Berdasarkan dua buah kerangka
ditarik
kerja
kesimpulan :
yang
dijadikan
acuan
penilaian dapat dikatakan bahwa
1. Rumah Sakit Umum dr. Slamet
RSUD dr. Selamet Garut :
sudah memiliki dan menetapkan 168
Edisi Juni 2011 Volume V No. 1 - 2
6. Mempunyai
tingkat
ISSN 1979-8911
keamanan
8. Dari
penilaian
resiko
yang
yang cukup untuk mendukung
berdasarkan COBIT 4.1 dan NIST
tujuan organisasinya
SP 800-30, RSUD dr.Selamet
untuk
jangka
akan tetapi
menengah
dan
Garut mempunyi tingkat resiko
panjang.
sedang(medium). 9. Proses
7. Pengertian,
pemahaman
akan
mitigasi
dikerjakan
resiko
karena
belum belum
prinsip,
tujuan dari keamanan
teridentifikasinya sumber-sumber
sistem
tiap
ancaman
level
manajemen
terdapat kesenjangan yang kentara.
oleh
pihak
RSUD
dr.Selamet Garut.
Information System Risk Assesment – Practice of Leading Organizations, GAO – US General Accounting Office, 1998. ISO/IEC 17799 – Information Technology – Security Techniques – Code of practice for Information Security Management, ISO / IEC 2006. Maximum Security : A Hacker’s Guide to Protecting Your Internet Site and Network. Technical Guide to Information Security Testing and Assesment, NIST (National Institute of Standard and Technology) 2004 – United State Department of Commerce. The CISSP Prep Guide – Mastering the Ten Domains of Computer Security, Ronald L Krutz dan Russell Dean Vines -2002. The Ethical Hack : A Framework for Business Value Penetration Testing, James S Tiller. The Hacker Handbook, The Strategy behind Breaking into Defending Network.
E. Daftar Pustaka An Introductory Overview of ITIL V3 – The IT Service Management Service. CISA (Certified Information Systems Auditor) Study Guide, 2008 CEH (Certified Ethical Hacker) Study Guide V.5, 2008. COBIT 4.1 – IT Governance Implementation Guide. COBIT - Implementation Set. COBIT - Security Baseline 2004-Rec. Computer Security, NIST (National Institute of Standard and Technology) SP 800-30, 2002 – United State Department of Commerce. Hack Attack Testing – How to Conduct Your Own Security Audit, Jhon Chirillo. Information Security, NIST (National Institute of Standard and Technology) 2004 – United State Department of Commerce.
169