IEC 27001:2009 DAN FISHBONE

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

AUDIT KEAMANAN INFORMASI PADA PDAM TIRTA TARUM KARAWANG MENGGUNAKAN INDEKS KAMI SNI ISO/IEC 27001:2009 DAN FISHBONE Mochamad Wahyudi

Kaman Nainggolan

Program Pascasarjana Magister Ilmu Komputer STMIK Nusa Mandiri [email protected]

Program Pascasarjana Magister Ilmu Komputer STMIK Nusa Mandiri [email protected]

Abstract - Audit is a process of collecting and evaluating evidence of measurable information about an economic entity conducted by a competent and independent person to be able to determine and report the conformity of information including with predetermined criteria. Some of the most frequent problems with institutions are data or information theft caused by low information security. This happens because companies or agencies are less aware of the importance of the role of ICT in organizations. Therefore it is necessary to conduct an information security audit so that it can know the level of information security in an institution whether the institution has complied with information security as per SNI standard or not and to know how high level of information security at that institution. Through the audit results can be known whether the company is viable or not by using OUR Index to evaluate the level of information security. After the results of the evaluation are known to analyze the cause of the problem occurs by using the fishbone method. When the cause of the problem is known to be established an improvement strategy as a recommendation of improvements to information security. Keywords: Information Security Audit, OUR Index, fishbone ABSTRAK - Audit merupakan sebuah proses pengumpulan dan pengevaluasian bahan bukti tentang informasi yang dapat diukur mengenai suatu entitas ekonomi yang dilakukan seorang yang kompeten dan indepen untuk dapat menentukan dan melaporkan kesesuaian informasi termasuk dengan kriteria-kriteria yang telah ditetapkan. Beberapa masalah yang sering terjadi pada lembaga adalah pencurian data ataupun informasi yang disebabkan oleh rendahnya keamanan informasi. Hal tersebut terjadi karena perusahaan atau lembaga terkait kurang menyadari pentingnya peran TIK dalam

organisasi. Oleh karena itu perlu dilakukan audit keamanan informasi sehingga dapat mengetahui tingkat keamanan informasi pada suatu instansi apakah instansi tersebut sudah mematuhi keamanan informasi sesuai standar SNI atau belum dan untuk mengetahui seberapa tinggi tingkat keamanan informasi pada instansi tersebut. Melalui hasil audit dapat diketahui apakah perusahaan layak atau tidak dengan menggunakan Indeks KAMI untuk mengevaluasi tingkat keamanan informasi. Setelah diketahui hasil evaluasi dilakukan analisis terhadap sebab akibat masalah tersebut terjadi dengan menggunakan metode fishbone. Saat sebab akibat masalah sudah diketahui dapat dibentuk strategi perbaikan sebagai rekomendasi terhadap perbaikan keamanan informasi yang ada. Kata Kunci: Audit Keamanan Informasi, Indeks KAMI, fishbone PENDAHULUAN Dalam kasus yang sekarang banyak permasalahan yang berkaitan dengan Teknologi Informasi (TI), salah satu contohnya mengenai TI pada PDAM yang biasa dikenal dengan Pengenalan Teknologi Informasi (PTI). Dalam TI pastinya banyak hal-hal yang harus diperhatikan, salah satunya keamanan informasi. Untuk keamanan TI sendiri harus menyangkut kerahasiaan, keutuhan, dan ketersediaan. Contoh dari salah satu PDAM yang menggunakan TI adalah PDAM Tirta Tarum Karawang. PDAM Tirta Tarum Karawang merupakan salah satu perusahaan daerah air minum yang harus melayani air bersih dengan baik kepada masyarakat di kota Karawang. Oleh karena itu diperlukan keamanan demi menjaga kerahasiaan dan integritas yang ada di instansi tersebut. Dan selain itu, peran Teknologi Informasi (TI) sangatlah penting untuk

15

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864 ditingkatkan karena kita telah memasuki era informasi (Wahyudi, 2016:1). Menurut KemKomInfo dalam Muhajirin (2014:3) “Indeks KAMI adalah salah satu alat yang digunakan untuk menganalisis tingkat kesiapan pengamanan informasi di instansi pemerintah”. Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau efektifitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan informasi kepada pimpinan instansi dan berfungsi sebagai indikator penerapan keamanan informasi secara nasional. Evaluasi dilakukan terhadap beberapa area target penerapan keamanan informasi dengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamanan yang didefinisikan oleh standar SNI ISO/IEC 27001:2009, diantaranya tata kelola keamanan informasi, pengelolaan resiko keamanan informasi, kerangka kerja keamanan informasi, pengelolaan aset informasi, teknologi dan keamanan informasi, dan yang terakhir peran TIK. Dalam evaluasi keamanan informasi pastinya terdapat beberapa hasil. Dimana dari beberapa hasil haruslah dianalisis kembali untuk memberikan rekomendasi perbaikan. Karena pastinya tidak semua hasil evaluasi mencapai hasil yang layak. Hasil yang tidak layak inilah yang nantinya perlu rekomendasi perbaikan. Untuk memberikan rekomendasi terhadap hasil evaluasi diperlukan metode yang dapat menganalisis sebab-sebab terhadap hasil yang dinyatakan masih belum layak atau belum sesuai target. Salah satu metode analisis yang dapat digunakan untuk mengetahui sebab-sebab dari sebuah permasalahan adalah Fishbone. Fishbone adalah salah satu metode/tool di dalam meningkatkan kualitas (Murnawan dan Mustofa, 2014:31). Sering juga diagram ini disebut dengan diagram sebab-akibat atau cause effect diagram. Fishbone digunakan sebagai identifikasi berbagai sebab dari satu efek atau masalah, dan menganalisis masalah tersebut melalui sesi brainstorming. Masalah akan dibagi menjadi beberapa kategori yang berkaitan. Diantaranya manusia, material, mesin, prosedur, lingkungan, dan sebagainya. Pada penelitian ini akan digunakan Indeks KAMI untuk mengevaluasi hasil kualitas keamanan informasi dan Fishbone untuk menganalisis hasil evaluasi untuk diberikan rekomendasi dari masalah terkait.

16

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER Mulai

Perumusan Masalah

Studi Pustaka

Studi Lapangan

Penerapan Indeks KAMI SNI ISO/IEC 27001/2009

Hasil Evaluasi dan Temuan

Penerapan Fishbone Diagram

Hasil Analisis dan Rekomendasi Perbaikan

Selesai

Gambar 1 Kerangka pemikiran Tujuan Penelitian Tujuan dilakukanya penelitian diantaranya : 1. Evaluasi keamanan TI di PDAM Tirta Tarum Karawang berdasarkan Indeks KAMI. 2. Mengetahui seberapa baik peran TIK pada TI PDAM Tirta Tarum Karawang. 3. Mengetahui beberapa area yang lemah dari lima area teknologi yang diuji 4. Memberikan rekomendasi perbaikan keamanan TI di masa mendatang menggunakan metode Fishbone dengan cara menganalisis hasil evaluasi BAHAN DAN METODE Metode yang digunakan dalam penelitian ini adalah metode deskriptif kualitatif. Tujuan dari penelitian deskriptif ini untuk membuat deskripsi, gambaran atau lukisan secara sistematis, faktual, dan akurat mengenai faktafakta, sifat-sifat serta hubungan antar fenomena yang diselidiki (Nazir, 2003:97). Menurut Moleong (2004:131) menjelaskan bahwa, “metode kualitatif adalah metode yang digunakan untuk meneliti pada kondisi obyek yang alamiah, dimana peneliti adalah instrument kunci, teknik pengumpulan data dilakukan secara gabungan, analisis data bersifat induktif

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

dan hasil penelitian kualitatif lebih menekankan makna dari pada generalisasi.” Metode penelitian yang digunakan diantaranya: 1. Metode Pengumpulan Data 2. Penerapan Kuesioner pada Indeks KAMI 3. Penerapan Fishbone Diagram 4. Memberikan Rekomendasi HASIL DAN PEMBAHASAN

P5

2

P6

2

P7

1

P8

2

P9

2

P10

1

P11

2

P12

1

Total

18

Pengumpulan Data Penelitian ini dilakukan dengan memberikan kuesioner kepada 3 orang staff TI PDAM Tirta Tarum Karawang. Berikut kumpulan tabel data hasil pengolahan kuesioner:

Skor total dari peran TIK dari perhitungan diatas menunjukkan tingkat ketergantungannnya sedang.

Tabel Pengolahan dan Perhitungan Data

Pertanya an

Tabel 3 Pengolahan Data Tata Kelola

Tabel 1. Pengolahan Data Peran TIK Pertanyaan P1

Minim 1

P2

1

Rendah

Sedang

Tinggi

Kritis

P4

P5

1 1

P6

1 1

P8

1

P9

1

P10

2

4

1

P7

1

P8

1

P9

1 1 1 1

P13

1

Total

1 1

P12

1 5

1

0

Dari tabel data di atas menjelaskan bahwa P1 sampai P12 merupakan pertanyaan. Untuk status minim terjawab 2 pertanyaan, rendah 4 pertanyaan, sedang terjawab 5 pertanyaan, dan tinggi terjawab 1 pertanyaan saja sedangkan kritis tidak satupun terjawab. Dalam peran TIK nilai minim mendapatkan skor 0, rendah mendapatkan skor 1, sedang mendapatkan skor 2, tinggi mendapatkan skor 3 dan kritis mendapatkan skor 4. Dari data di atas diperoleh tabel perhitungan sebagai berikut: Tabel 2 Perhitungan Data Peran TIK Pertanyaan P1

Skor 0

P2

0

P3

3

P4

2

P14

1 1

P15

1

P16

1

P17

1

P18

1

P19

1

P20 Total

Diterapk an Meyelur uh

1

P6

P11

Dalam Penerap an

1

P10

1

P11 P12

P2

Dalam Perencana an 1

P4

1

P7

P1 P3

P3 P5

Tidak Dilakuk an

1 7

11

2

0

Dari tabel data di atas P1 sampai P20 didapatkan hasil untuk status tidak dilakukan terjawab 7 pertanyaan, dalam perencanaan 11 pertanyaan, dalam penerapan terjawab 2 pertanyaan, dan kritis tidak terjawab. Dalam tata kelola keamanan informasi terdapat tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P8 pada tingkat kematangan II dan terletak pada kategori pengamanan 1. Sedangkan P9 sampai P11 pada tingkat kematangan II dan pada

17

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

kategori pengamanan 2. Dan untuk P12 sampai P14 pada tingkat kematangan III pada kategori pengamanan 2. Untuk pertanyaan dari P15 sampai P20 memiliki tingkat kematangan IV dengan kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 1 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1,pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Dari data di atas diperoleh tabel perhitungan sebagai berikut:

P4

1

P5

1

P6

1

P7

1

P8

1

P9

1

P10

1

P11

1

P12

1

P13

1

P14

1

P15

1

Total

7

8

0

0

Skor total dari tata kelola keamanan informasi dari perhitungan diatas menunjukkan tingkat ketergantungannnya sedang.

Dari tabel data di atas P1 sampai P15 didapatkan hasil untuk status tidak dilakukan terjawab 7 pertanyaan, dalam perencanaan 8 pertanyaan, dalam penerapan terjawab 0 pertanyaan, dan kritis tidak terjawab. Dalam pengelolaan resiko keamanan informasi terdapat tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P9 pada tingkat kematangan II dan terletak pada kategori pengamanan 1. Sedangkan P10 sampai P11 pada tingkat kematangan III dan pada kategori pengamanan 2. Dan untuk P12 sampai P13 pada tingkat kematangan IV pada kategori pengamanan 2. Untuk pertanyaan dari P14 sampai P15 memiliki tingkat kematangan V pada kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 0 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1,pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Sedangkan skor dalam penerapan pada kategori pengamanan 1 adalah 3, pada kategori pengamanan 2 adalah 6 sedangkan pada kategori pengamanan 6 adalah 9 Dari data di atas diperoleh tabel perhitungan sebagai berikut:

Tabel 4 Pengolahan Data Pengelolaan Resiko

Tabel 5. Perhitungan Data Pengelolaan Resiko

Tabel 4 Perhitungan Data Tata Kelola

Pertanya an

Pertanyaan P1

Skor 1

P2

0

P3

1

P4

1

P5

0

P6

1

P7

1

P8

1

P9

2

P10

4

P11

4

P12

0

P13

2

P14

4

P15

0

P16

0

P17

0

P18

0

P19

0

P20

0

Total

18

Tidak Dilakuk an

Dalam Perencana an

P1

1

P2

1

P3

1

18

Dalam Penerap an

Diterapka n Menyelur uh

Pertanyaan P1

Skor 1

P2

1

P3

1

P4

1

P5

1

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

P6

1

P7

1

P8

1

P9

0

P10

0

P11

0

P12

0

P13

0

P14

0

P15

0

Total

8

Skor total dari tata kelola keamanan informasi dari perhitungan diatas menunjukkan tingkat ketergantungannnya rendah. Tabel 6 Pengolahan Data Kerangka Kerja Pertanya an

Tidak Dilakuk an

P1

Dalam Perencana an

Dalam Penerap an

Diterapka n Menyelur uh

1

P2

1

P3

1

P4

1

P5

1

P6

1

P7

1

P8

1

P9

1

P10

1

P11

1

P12

1

P13

1

terjawab 4 pertanyaan, dalam perencanaan 15 pertanyaan, dalam penerapan terjawab 6 pertanyaan, dan kritis terjawab 1 pertanyaan. Dalam kerangka kerja pengelolaan keamanan informasi terdapat tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P4 pada tingkat kematangan II dan terletak pada kategori pengamanan 1, P7 sampai P8 pada tingkat kematangan II dan pada kategori pengamanan 2, P9 sampai P12 pada tingkat kematangan III pada kategori pengamanan 2, P13 sampai P14 memiliki tingkat kematangan III pada kategori pengamanan 2, P15 sampai P16 memiliki tingkat kematangan IV dan kategori pengamanan 3, P17 sampai P18 memiliki tingkat kematangan II dan kategori pengamanan 1, P19 sampai P21 memiliki tingkat kematangan III dan pada kategori pengamanan 1, P22 sampai 23 memiliki tingkat kematangan III dan pada kategori pengamanan 2, P24 memiliki tingkat kematangan IV dan kategori pengamanan 3, dan untuk P25 sampai P26 memiliki tingkat kematangan V dan pada kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 0 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1, pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Sedangkan skor dalam penerapan pada kategori pengamanan 1 adalah 3, pada kategori pengamanan 2 adalah 6 sedangkan pada kategori pengamanan 6 adalah 9 Dari data di atas diperoleh tabel perhitungan sebagai berikut:

P14

1

P15

1

P16

1

P17

1

P18

1

Pertanyaan P1

Skor 1

P19

1

P2

2

Tabel 7 Perhitungan Data Kerangka Kerja

P20

1

P3

1

P21

1

P4

2

P22

1

P5

1

P23

1

P6

3

P7

2

P24

1

P25

1

P8

2

P26

1

P9

2

P10

2

P11

2

P12

4

Total

4

15

6

1

Dari tabel data di atas P1 sampai P15 didapatkan hasil untuk status tidak dilakukan

19

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

P13

0

P25

P14

0

P26

1

P15

0

P27

1

P16

0

P28

1

P17

1

P29

1

P18

1

P30

1

P19

1

P31

P20

0

P32

P21

0

P33

P22

0

P34

1

P23

0

Total

2

P24

0

P25

0

P26

0

Total

27

Skor total dari tata kelola keamanan informasi dari perhitungan diatas menunjukkan tingkat ketergantungannnya sedang. Tabel 8 Pengolahan Data Pengelolaan Aset Keamanan Pertanya an

Tidak Dilakuk an

Dalam Perencana an

P1

1

P2

1

P3

1

P4

1

P5

1

P6 P7

1 1

P8 P9

Dalam Penerap an

1 1

P10

1

P11

1

P12 P13

1 1

P14

1

P15

1

P16

1

P17

1

P18

1

P19

1

P20

1

P21

1

P22

1

P23

1

P24

20

1

Diterapak an Menyelur uh

1

1 1 1 15

11

0

Dari tabel data di atas P1 sampai P34 didapatkan hasil untuk status tidak dilakukan terjawab 2 pertanyaan, dalam perencanaan 15 pertanyaan, dalam penerapan terjawab 11 pertanyaan, dan kritis tidak terjawab. Dalam pengelolaan aset keamanan informasi terdapat tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P16 pada tingkat kematangan II dan terletak pada kategori pengamanan 1, P17 pada tingkat kematangan I dan pada kategori pengamanan 2, P9 sampai P12 pada tingkat kematangan III pada kategori pengamanan 2, P13 sampai P14 memiliki tingkat kematangan III pada kategori pengamanan 2, P15 sampai P16 memiliki tingkat kematangan IV dan kategori pengamanan 3, P17 sampai P18 memiliki tingkat kematangan II dan kategori pengamanan 1, P19 sampai P21 memiliki tingkat kematangan III dan pada kategori pengamanan 1, P22 sampai 23 memiliki tingkat kematangan III dan pada kategori pengamanan 2, P24 memiliki tingkat kematangan IV dan kategori pengamanan 3, dan untuk P25 sampai P26 memiliki tingkat kematangan V dan pada kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 0 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1, pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Sedangkan skor dalam penerapan pada kategori pengamanan 1 adalah 3, pada kategori pengamanan 2 adalah 6 sedangkan pada kategori pengamanan 6 adalah 9. Dari data di atas diperoleh tabel perhitungan sebagai berikut: Tabel 9. Perhitungan Data Pengelolaan Aset Keamanan

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

Pertanyaan P1

Skor 2

P2

1

P3

1

P4

1

P5

1

P6

2

P7

1

P8

2

P9

1

P10

2

P11

2

P12

2

P13

1

P14

2

P15

2

P16

2

P17

2

P18

2

P19

2

P20

2

P21

4

P22

0

P23

0

P24

0

P25

2

P26

1

P27

1

P28

1

P29

1

P30

1

P31

2

P32

0

P33

2

P34

0

Total

49

Skor total dari tata kelola keamanan informasi dari perhitungan diatas menunjukkan tingkat ketergantungannnya sedang. Tabel 10. Pengolahan Data Aspek Teknologi Pertan Tidak Dalam Dalam Diterap yaan Dilaku Perenca Penera kan kan naan pan Menyel uruh P1 1 P2 1 P3 1

P4 P5 P6 P7 P8 P9 P10 P11 P12 P13 P14 P15 P16 P17 P18 P19 P20 P21 P22 P23 P24 Total

1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

10

13

0

Dari tabel data di atas P1 sampai P24 didapatkan hasil untuk status tidak dilakukan terjawab 1 pertanyaan, dalam perencanaan 10 pertanyaan, dalam penerapan terjawab 13 pertanyaan, dan kritis tidak terjawab. Dalam kerangka pengelolaan aset keamanan informasi terdapat tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P10 pada tingkat kematangan II dan terletak pada kategori pengamanan 1, P11 sampai P16 pada tingkat kematangan III dan pada kategori pengamanan 2, P17 sampai P19 pada tingkat kematangan II pada kategori pengamanan 1, P20 sampai P23 memiliki tingkat kematangan III pada kategori pengamanan 2, dan P24 memiliki tingkat kematangan IV dan kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 0 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1, pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Sedangkan skor dalam penerapan pada kategori pengamanan 1 adalah 3, pada kategori pengamanan 2 adalah 6 sedangkan pada kategori pengamanan 6 adalah 9 Dari data di

21

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864 atas diperoleh berikut:

tabel

perhitungan

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER sebagai

Tabel 11 Perhitungan Data Aspek Teknologi Pertanyaan Skor 2 P1 2 P2 2 P3 2 P4 1 P5 2 P6 2 P7 2 P8 1 P9 2 P10 2 P11 4 P12 2 P13 4 P14 2 P15 2 P16 2 P17 2 P18 2 P19 2 P20 2 P21 2 P22 2 P23 0 P24 48 Total Skor total dari tata kelola keamanan informasi dari perhitungan diatas menunjukkan tingkat ketergantungannnya sedang. Penetapan Status pada Indeks KAMI Penetapan Status pada Peran TIK

22

Gambar 2 Skoring Peran TIK Dari gambar di atas menjelaskan bahwa peran TIK dengan nilai minim mendapatkan skor 0, rendah mendapatkan skor 1, sedang mendapatkan skor 2, tinggi mendapatkan skor 3 dan kritis mendapatkan skor 4. Dan mendapatkan total skor 18 yang menunjukkan tingkat ketergantungannya sedang. 4.1.1

Penetapan Status pada Tata Kelola Keamanan Informasi

Gambar 3 Skoring Tata Kelola Keamanan Informasi Dari gambar di atas tata kelola keamanan informasi memiliki tiga kategori pengamanan dan enam tingkat kematangan. Untuk P1 sampai dengan P8 pada tingkat kematangan II dan terletak pada kategori pengamanan 1. Sedangkan P9 sampai P11 pada tingkat kematangan II dan pada kategori pengamanan 2. Dan untuk P12 sampai P14 pada tingkat kematangan III pada kategori pengamanan 2. Untuk pertanyaan dari P15 sampai P20 memiliki tingkat kematangan IV dengan kategori pengamanan 3. Nilai skor tidak dilakukan pada kategori pengamanan pada kategori pengamanan 1 sampai 3 adalah 0, skor dalam perencanaan pada kategori pengamanan 1 adalah 1,pada kategori pengamanan 2 adalah 2 sedangkan pada kategori pengamanan 3 adalah 3. Skor dalam penerapan pada kategori pengamanan 1 adalah 2, pada kategori pengamanan 2 adalah 4 sedangkan pada kategori pengamanan 3 adalah 6. Dengan total skor yang didapat adalah 18 yang menunjukkan tingkat ketergantungannya sedang. Untuk empat area lainnya selain peran TIK memiliki penilaian yang sama dengan skoring tata kelola.

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

Penetapan Status Pengelolaan Resiko

Gambar 4. Skoring Pengelolaan Resiko Penetapan Status Kerangka Kerja

Gambar 6 Skoring Pengelolaan Aset Penetapan Status Aspek Teknologi

Gambar 7 Skoring Teknologi Keamanan Informasi Mengetahui Hasil Melalui Dashboard Jaring Laba-Laba Gambar 5 Skoring Kerangka Kerja Penetapan Status Pengelolaan Aset

Gambar 8 Jaring Laba-Laba

23

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER

Hasil Evaluasi

Area Peng ama nan Skor 18 8 27 49 48 Statu I+ I I+ I+ I+ s Ting kat Kele 150 ngka pan Ting kat Kem I atan gan Berdasarkan tabel hasil evaluasi kelengkapan pengamanan 5 area, didapatkan skor akhir 150 dari skor 588. Dan tingkat kematangan pada tingkat I hal ini menunjukkan bahwa mulai adanya pemahaman perlunya pengelolaan keamanan informasi akan tetapi penerapan langkah pengamanan belum teratur, kurang adanya pengawasan, pihak pengelola keamanan informasi belum menyadari tanggung jawabnya. Penetapan Hasil Pada Fishbone Diagram Tabel 13 Sebab Akibat Masalah Terkait Masalah Sebab Akibat Man Power: 1. Kurangnya Staff TI 2. Tidak adanya tim koordinasi khusus Machine: 1. Kurangnya pengamanan jaringan Method: Rendahnya 1. Tidak adanya audit Keamanan Informasi internal pada PDAM Tirta 2. Tidak adanya Tarum Karawang program penilaian kinerja 3. Belum adanya langkah mitigasi Measurement: 1. Tidak adanya mekanisme pengukuran mengenai tata kelola informasi

24

Sebab Akibat

Masalah

Method

Machine

Tidak adanya audit internal

Tidak adanya program penilaian kinerja

Belum adanya langkah mitigasi

Kurangnya pengamanan jaraingan SS L

Tabel 12 Hasil Evaluasi Tata Keran Kelol Risi gka Ase Tekn a ko Kerja t ologi

Rendahnya Keamanan Informasi pada PDAM Tirta Tarum Karawang Tidak adanya mekanisme pengukuran tata kelola informasi

Kurangnya Staff TI Tidak adanya tim koordinasi khusus

Measurement

Man Power

Gambar 9 Fishbone Diagram Memberikan Rekomendasi Permasalahan Rekomendasi Man Power: 1. Kurangnya Staff IT 2. Tidak adanya tim koordinasi khusus

Man Power: 1. Menambah Staff IT 2. Dibentuk tim kooordinasi khusus

Machine: 1. Kurangnya pengamana n jaringan Method: 1. Tidak adanya audit internal 2. Tidak adanya program penilaian kerja 3. Belum adanya langkah mitigasi Measurement: 1. Tidak adanya mekanisme pengukuran mengenai tata kelola informasi

Machine: 1. Menambahkan fitur SSL pada situs terkait Method: 1. Dilakukannya audit internal 2. Membuat program penilaian kerja secara berkala 3. Membuat langkah mitigasi unutk pencegahan resiko sedini mungkin Measurement: 1. Menyusun mekanisme pengukuran mengenai tata kelola informasi

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER KESIMPULAN Hasil yang didapat dari penelitian mengenai audit keamanan informasi pada PDAM Tirta Tarum Karawang menggunakan Indeks KAMI sebagai alat evaluasi dan Fishbone Diagram sebagai alat analisisnya mendapatkan skor 12 dari total skor 120. Dari skor ini dapat disimpulkan bahwa PDAM Tirta Tarum Karawang memiliki Peran terhadap TIK adalah sedang, artinya masih banyak perbaikan dalam mengelola keamanan informasi. Masih banyak perangkat-perangkat keamanan yang belum diterapakan pada instansi ini. Sehingga diperlukannya strategi perbaikan untuk kedepannya. Strategi perbaikan yang harus dilakukan yakni: menambah staff TI, membuat tim koordinasi khusus, membuat tahapan mitigasi, melakukan audit internal, membuat program penilaian kinerja, membuat fitur SSL, dan membuat mekasnisme pengukuran tata kelola informasi.

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864 Muhajirin, Adi. (2012). Kajian Tingkat Kematangan Sistem Manajemen Keamanan Informasi Studi Kasus: Suku Dinas Komunikasi dan Informatika Jakarta Selatan. Conference Paper June 2012. Murnawan, Heri dan Mustofa. (2014). Perencanaan Produktivitas Kerja dari Hasil Evaluasi Produktivitas dengan Metode Fishbone di Perusahaan Percetakan Kemasan PT.X . Jurnal Teknik Industri HEURISTIC Vol. 11 No.1 April 2014. Nazir, M. 2003. Metode Penelitian. Jakarta: Ghalia Indonesia. Sakinah, Farroh dan Bambang Setiawan. (2014). Indeks Penilaian Kematangan (Maturity) Manajemen Keamanan Layanan TI. Jurnal Teknik Pomits Vol. 3, No.2, (2014) ISSN: 2337-3539.

DAFTAR REFERENSI Cleary, Barbara A, dan Sally J. Duncan. (2008). Thinking Tools for Kids: an Activity Book for Classroom Learning . Milwaukee Wisconsin :ASQ Quality Press. Dewi,

Indah Kusuma, Fitroh dan Suci Rahmawati. (2015). Usulan manajemen resiko berdasarkan standard SNI ISO/IEC 27001:2009 menggunakan Indeks KAMI(Keamanan Informasi studi kasus: Badan Nasional Penempatan dan Perlindungan Tenaga Kerja Indonesia (BNP2TKI). STUDIA INFORMATIKA: Jurnal Sistem Informasi, Vol. 8 No. 1 (2015).

Gheorghe, Liie dan Ciocoui C.N. (2010). Application of Fishbone Diagram to Determine the Risk of an Event With Multiple Causes Management Research and Practice. Vol 2 Issue 1 (2010) p: 1120.

Supristiowadi, Eko, Bambang Setiawan, dan Yudhistira Kesuma. (2012). Kajian dan Pelaksanaan Perbendaharaan Negara di Lingkungan Kantor Wilayah Perbendaharaan Jawa Timur. Jurnal Teknik ITS Vol.1, No. 1, (Sept.2012) ISSN: 2301-9271. Suswinarno. (2012). Aman dari Risiko dalam Pengadaan Barang/Jasa Pemerintah. Jakarta: Visimedia. Wahyudi, Mochammad. (2016). Audit Information Systems Core Banking System Using Itil V.3 Case Study on BTPN Sharia Bank. 10𝑡ℎ May 2016. Vol. 87. No.1. ISSN: 1992-8645. Wong, Kam Cheong. (2011). Using an Ishikawa Diagram as a Tool to Assist Memory and Retrieval of Relevant Medical Cases from The Medical Literature . Wong Journal of Medical Case Reports 2011, 5:120.

Kuswandi dan Mutiara, Erna. (2004). DELTA Delapan Langkah dan Tujuh Alat Statistik untuk Peningkatan Mutu Berbasis Komputer. Jakarta : PT. Elex Media Komputindo ISBN : 979-20-5657-2. Moleong, Lexy J. 2004. Metode Penelitian Kualitatif. Bandung: Remaja Rosda Karya.

25

VOL. 2. NO. 1 AGUSTUS 2016 E-ISSN: 2527-4864

26

JURNAL ILMU PENGETAHUAN DAN TEKNOLOGI KOMPUTER