TESIS – MM2402
PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001 Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS) Azis Maidy Muspa 9106.205.309 Dosen Pembimbing Ir. Aries Tjahyanto, MKom PROGRAM STUDI MAGISTER MANAJEMEN TEKNOLOGI MANAJEMEN TEKNOLOGI INFORMASI PROGRAM PASCASARJANA INSTITUT TEKNOLOGI SEPULUH NOPEMBER SURABAYA 2010
Latar Belakang
Melaksanakan dan memelihara sebuah rangkaian proses dari sistem untuk secara efektif mengelola informasi, baik itu aksesibilitas, kerahasiaan, integritas serta ketersediaan informasi Memastikan pemilihan kendali sekuritas yang cukup dan sesuai dalam melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders. Memastikan keberlanjutan bisnis, meminimalkan risiko yang mungkin terjadi dan memaksimalkan keuntungan dari investasi dan kesempatan bisnis.
Perumusan Masalah
Bagaimana penggambaran proses bisnis organisasi? Bagaimana melakukan identifikasi risiko terhadap proses bisnis dan aset yang dimiliki organisasi untuk menemukan perbaikan-perbaikan yang perlu dilakukan? Bagaimana membuat SMSI sebagai panduan dalam perlindungan dan pengamanan informasi ?
Batasan Masalah
SMSI yang dibuat hanya berupa usulan dan diperuntukkan bagi MMT-ITS pada umumnya serta SIM akademik pada khususnya. Identifikasi Risiko dilakukan terhadap aset-aset yang berkaitan dengan aplikasi SIM akademik. Pembuatan prosedur dan instruksi kerja hanya untuk beberapa contoh saja dalam lingkup aplikasi SIM akademik.
Tujuan
Perancangan SMSI sebagai panduan untuk mengidentifikasi risiko sekuritas dan memilih sesuai kontrol yang melibatkan pelaksanaan operasi dan kontrol yang bertujuan untuk meninjau dan mengevaluasi kinerja baik itu efisiensi maupun efektivitas pada SIM MMT-ITS.
Manfaat
Mendapatkan pemilihan kendali sekuritas yang cukup dan sesuai untuk melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders-nya. Memperoleh panduan proses untuk mengimplementasikan kontrol terhadap sekuritas informasi, agar dapat menjamin bahwa objek-objek sekuritas tertentu telah dicapai.
Merupakan sarana publikasi yang positif karena penetapan ISO/IEC 27001:2005 akan menunjukkan kepada pelanggan, patner dan pihak pemerintah bahwa kualitas pelayanan dan sekuritas yang baik dalam proses bisnis telah dikendalikan dengan benar.
Tinjauan Pustaka
ISO / IEC 27001:2005,
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi keseluruhan.
ISO/IEC 27001 mendefenisikan keperluankeperluan untuk sistem manajemen sekuritas informasi (SMSI).
Tinjauan Pustaka
Kendala Penerapan SMSI,
Meskipun ISO/IEC 27001 sudah memberikan gambaran lengkap mengenai ketatalaksanaan sistem manajemen sekuritas informasi, tetapi terdapat kesulitan dalam menerapkannya disebabkan kurangnya perhatian banyak orang terhadap pentingnya sistem manajemen sekuritas informasi (terutama Top Manajemen).
Kesulitan penerapan ini meliputi pemilihan metode pendekatan untuk risk assessment, melakukan identifikasi resiko, memperkirakan resiko, dan memilih kendali yang tepat untuk diterapkan
Framwork SMSI
Dasar Formulasi Kebijakan Sekuritas
Informasi
Risk management pendekatan ini
digunakan jika kebijakan sekuritas informasi yang dibuat didasarkan pada tingkat sekuritas sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapi
Dasar Formulasi Kebijakan Sekuritas Informasi
Information security benchmark
adalah tingkat sekuritas yang disarankan pada keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Dasar Formulasi Kebijakan Sekuritas Informasi
Benchmark compliance dapat
diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut.
Strategi Manajemen Sekuritas Informasi [17]
Tinjauan Pustaka
Analisa Risiko.
Secara umum terdapat dua metode identifikasi risiko (Risk Analysis), yaitu[11]:
1.
Kuantitatif ; Identifikasi berdasarkan angka-angka
2.
Kualitatif ; identifikasi meliputi kegiatan dan
nyata (nilai finansial) terhadap biaya pembangunan sekuritas dan besarnya kerugian yang terjadi. identifikasi kuantitatif membantu dalam menghilangkan keraguan yang meliputi estimasi waktu dan biaya serta keraguan personal.
mengenali faktor risiko dilengkapi dengan perkiraan yang menjelaskan masing-masing risiko dan dampaknya.
Tinjauan Pustaka
Analisa Risiko..
Model Plan-Do-Check-Act (PDCA) Proses pemecahan masalah yang digunakan dalam pengendalian mutu[9]. Input dalam model ini berupa kebutuhan sekuritas informasi dan ekspektasi/harapan, sedangkan output yang dihasilkan berupa pengaturan sekuritas informasi. Demikian pada gambar 2.2 ditunjukkan siklus PDCA:
Tinjauan Pustaka
Analisa Risiko…
Gambar 2.2 Model PDCA [10]
Tinjauan Pustaka
Analisa Risiko…,
PLAN (Established SMSI); Tahap penyusunan rencana yang akan dilakukan, penentuan masalah yang akan diatasi, kelemahan yang akan diperbaiki serta pencarian solusi untuk mengatasi masalah. DO (implement and operate the SMSI); Tahap dimana solusi dan perubahan dari proses yang telah direncanakan dilaksanakan. Dengan penerapan prosedur-prosedur serta instruksi kerja sesuai dengan aktivitas yang terjadi dalam organisasi. Check (monitor and review the SMSI); Tahapan untuk meneliti apa yang telah dilaksanakan dan menemukan kelemahan-kelemahan yang perlu diperbaiki. Berdasarkan kelemahan-kelemahan tersebut kemudian disusun rencana perbaikan. ACT (maintain and improve the SMSI); Tahap ini adalah usaha perbaikan berdasarkan hasil perubahan, meliputi pengambilan langkah korektif dan preventif berdasarkan hasil dari audit internal SMSI, tinjauan manajemen atau informasi lain yang relevan.
Metodologi
Gambar 3.1 Metologi Penelitian
Tahap Persiapan. Studi Literatur
Dalam hal ini adalah pembelajaran literatur yang terkait dengan permasalahan yang ada, seperti pembelajaran mengenai sekuritas informasi, SMM, proses pembuatan SMSI serta standar yang digunakan dalam pembuatan SMSI.
Tahap Persiapan., Identifikasi Permasalahan
Selain itu juga akan ditinjau data struktur organisasi dan deskripsi kerja masing-masing bagian atau karyawan. Serta dilakukan pemahaman secara menyeluruh mengenai organisasi, baik tujuan maupun arah organisasi.
Tahap Pengumpulan Data dan Informasi.. Review Dokumen
Dalam pencarian informasi (gathering information) review dokumen selalu menempati tahapan utama, karena dapat memberikan gambaran mengenai sistem yang ada saat ini secara obyektif. Dan diperoleh informasi mengenai visi dan misi, struktur organisasi, serta gambaran proses bisnis secara global dari MMT- ITS.
Tahap Pengumpulan Data dan Informasi… Wawancara
Melalui tahapan wawancara diharapkan dapat diperoleh informasi mengenai gambaran proses bisnis, aset-aset pendukung serta informasi mengenai permasalahan dan ancaman yang berkaitan dengan sekuritas informasi SIM akademik.
Identifikasi Proses Bisnis
Bisnis Proses
Identifikasi Proses Bisnis
Proses utama (Primary Activity)
Berkaitan langsung dengan pelayanan jasa yang diberikan MMT-ITS kepada para stakeholders-nya. Apabila terdapat gangguan terhadap proses utama ini maka dampaknya akan sangat besar terhadap proses pelayanan SIM akademik secara keseluruhan.
Identifikasi Proses Bisnis
Proses penunjang (Supporting Activity)
merupakan aktivitas yang bertujuan untuk membantu terselenggaranya proses bisnis utama.
Identifikasi Proses Bisnis
Proses manajemen
merupakan proses yang berkaitan langsung dengan proses penyusunan rencana, pengorganisasian dan pengendalian sumber daya yang ada. Dalam proses manajemen ini terdapat kegiatan pengawasan atau monitoring dan evaluasi yang bertujuan untuk membantu terselenggaranya proses bisnis utama.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
Profil ancaman yang dibuat akan mengidentifikasikan mengenai aset penting, kebutuhan sekuritas, dan area kritis yang ada pada organisasi.
Identifikasi Proses Bisnis
Membuat Profil Ancaman berbasis Aset
Identifikasi kebutuhan sekuritas yang ada pada aset kritis didasarkan pada kerahasiaan, integritas dan ketersediannya pada organisasi. Sedangkan identifikasi area kritis didasarkan pada sumber ancaman yang ada pada aset kritis.
Identifikasi Proses Bisnis
Identifikasi Proses Bisnis
Tabel 4.2 Kebutuhan sekuritas aset kritis
Tahap Penentuan Titik Kontrol
Analisa Risiko., Terdapat kriteria ancaman risiko yang perlu dibuat prosedur pengendaliannya diantaranya adalah: Risiko yang memiliki jumlah frekuensi kemunculan yang tinggi. Risiko yang bisa menyebabkan kerusakan yang serius.
Tahap Penentuan Titik Kontrol
Analisa Risiko.., Adapun tahapan metodologi dalam memperkirakan risiko adalah sebagai berikut: Identifikasi Resiko
Analisis dan evaluasi resiko
Identifikasi dan evaluasi pengelolaan resiko
Gambar 4.3 Metodologi Perkiraan Risiko
Pemilihan kontrol objective dan kontrol pengelolaan resiko
Identifikasi Risiko
Analisis dan Evaluasi Risiko Risiko dan dampak pada proses bisnis
Analisis dan Evaluasi Risiko Penanganan risiko
Identifikasi dan Evaluasi Pemilihan Pengelolaan Risiko
Menetapkan penanganan atau kontrol yang tepat terhadap risiko yang terjadi. Pencegahan risiko dengan pembuatan prosedur dan pemilihan tujuan kontrol. Menyerahkan penanganan risiko bisnis pada pihak lain seperti asuransi untuk mengurangi dampak risikonya.
Pemilihan Tujuan Kontrol dan Kontrol Pengelolaan Risiko
Tujuan kontrol yang digunakan adalah hasil pemilihan tujuan kontrol pada Annex A ISO 27001:2005 yang disesuaikan dengan ancaman risikonya. Disamping itu terdapat pembuatan cause-effect diagram yang bertujuan untuk mengetahui akar permasalahan dan penyebab terjadinya risiko.
Tujuan kontrol
Diagram Cause-effect untuk risiko pencurian password Jaringan
SDM Phising
Firewall lemah
Password sharing
Social engineering
Pencurian Password Management pasword aplikasi lemah
Software
Pembuatan Dokumentasi SMSI.
Sebelum melakukan pembuatan SMSI, organisasi menunjuk dan membentuk tim pelaksana pembuatan SMSI. karena SMSI merupakan suatu sistem sekuritas yang penerapannya adalah tanggung jawab semua pihak mulai dari kepala MMT-ITS sebagai pihak manajemen atas sampai dengan level yang paling bawah.
Pembuatan Dokumentasi SMSI..
Gambar 4. 7 Struktur organisasi tim pelaksana SMSI
Pembuatan Dokumentasi SMSI…
Management Representative (MR) adalah orang yang ditunjuk oleh organisasi dan bertanggung jawab terhadap SMSI yang didokumentasikan. MR menjamin bahwa dokumentasi SMSI telah dibuat dengan teknik yang benar dan sesuai dengan standar SMSI (ISO 27001:2005). Auditor adalah pihak yang ditunjuk organisasi dan bertugas mengkoordinasi pelaksanaan audit internal dari pelaksanaan SMSI.
Pembuatan Dokumentasi SMSI…,
Pengendali dokumen adalah seorang yang memilisi tanggung jawab mengendalikan seluruh dokumen sekuritas informasi MMT-ITS. Bertugas dalam penerapan SMSI, mulai dari mendistribusikan, menyimpan, memelihara, menarik dokumen, menghancurkan dan memastikan bahwa dokumen sekuritas informasi yang beredar adalah dokumen tersini.
Pembuatan Dokumentasi SMSI…,
Wakil sub bagian merupakan perwasilan dari 3 sub bagian yang mengurusi SIM akademik dan bertindak sebagai pihak pelaksana pembuatan SMSI. Wakil sub bagian bertanggung jawab dalam membuat dan membangun SMSI di lingkungan sub bagiannya masingmasing.
Pembuatan dokumentasi SMSI didasarkan pada klausul 1 s/d 8 yang terdapat pada ISO 27001:2005 & mengadopsi piramida pembuatan dokumentasi SMM
Gambar 4. 8 Struktur Pembuatan Dokumentasi SMSI
Pembuatan Dokumentasi SMSI Pembuatan Manual Sekuritas Informasi (MSI)
Pembuatan MSI bertujuan untuk menerangkan setiap personil mengenai komitmen organisasi terhadap sekuritas informasi. Manual Sekuritas ini memberikan pandangan kedepan mengenai kebijakan, tujuan Sekuritas informasi, sistem-sistem, prosedur dan metodologi pembuatan SMSI. Terdapat 8 MSI dalam dokumentasi SMSI yang akan dibuat untuk MMT-ITS
Pembuatan Dokumentasi SMSI Pembuatan Manual Sekuritas Informasi (MSI)
MSI PENDAHULUAN merujuk pada (MSI-01),
Manual ini berisi latar belakang dibuatnya SMSI pada organisasi, serta siklus yang digunakan dalam proses pembuatan dan penerapan SMSI, yaitu siklus Plan – Do – Check – Act (PDCA), Visi Dan Misi serta beberapa sasaran MMT
Pembuatan Dokumentasi SMSI Pembuatan Prosedur Sekuritas Informasi (PSI)
PSI merupakan uraian atau urutan pekerjaan yang mendukung MSI. Dalam SMSI untuk MMT-ITS ini terdapat 2 tipe prosedur yaitu prosedur yang mendukung operasional dari pihak manajemen dan prosedur untuk kegiatan teknis operasional.
Pembuatan Dokumentasi SMSI Pembuatan Prosedur Sekuritas Informasi (PSI) A.Prosedur pendukung operasional manajemen: PSI PENGENDALIAN DOKUMEN merujuk pada (PSI–MR–01)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku, indikator kinerja / kriteria keberhasilan, rincian prosedur, definisi & daftar singkatan, dan dibuat untuk
mengendalikan seluruh dokumen sekuritas informasi yang dipergunakan dalam penerapan SMSI.
Pembuatan Dokumentasi SMSI Pembuatan Prosedur Sekuritas Informasi (PSI)
B.Prosedur pendukung operasional teknis: PSI PENGAMANAN PASSWORD merujuk pada (PSI-MR-05)
Prosedur ini berisi mengenai tujuan,
ruang lingkup, standar yang berlaku, indikator kinerja / kriteria keberhasilan, rincian prosedur,catatan / rekaman sekuritas informasi dan pengamanan password muncul akibat identifikasi risiko yang mendapati ancaman pencurian password menempati level tinggi.
Pembuatan Dokumentasi SMSI Pembuatan Instruksi Kerja
Instruksi kerja ini berisi mengenai
tujuan,instruksi kerja,catatan/rekaman sekuritas informasi dan dibuat sebagai arahan dan petunjuk pelaksana bagi pelaksana teknis. Instruksi kerja dibuat secara sederhana, praktis dan mudah untuk dipahami.
Pembuatan Dokumentasi SMSI Pembuatan Instruksi Kerja IK PEMBUATAN PASSWORD merujuk pada (IK-ADM-01)
Instruksi ini dibuat untuk menerapkan manajemen password yang baik sehingga dapat menghasilkan password yang berkualitas dan tidak mudah ditebak sehingga fungsi dari password sendiri sebagai autentifikasi dapat tercapai. Hal ini mutlak diperlukan karena pasword merupakan sistem yang akan memastikan bahwa benar-benar pemilik saja yang diperkenankan masuk ke dalamnya.
Pembuatan Dokumentasi SMSI Pembuatan Formulir-formulir DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01)
Merupakan daftar yang berisi dokumendokumen eksternal yang mendukung pengimplementasian SMSI. Formulir ini memudahkan pengguna untuk melihat dan melakukan penelusuran dokumen eksternal, karena mengandung data historis dokumen.
Pembuatan Dokumentasi SMSI Pembuatan Referensi
Referensi berisi dokumen-dokumen pelengkap yang dibutuhkan dalam pembangunan SMSI. Semua referensi ini mengacu pada manual Sekuritas informasi dan prosedur Sekuritas informasi. Demikian adalah referensi yang akan dibuat dalam dokumentasi SMSI untuk MMT-ITS
Pembuatan Dokumentasi SMSI Pembuatan Referensi KEBIJAKAN SEKURITAS INFORMASI merujuk pada (RF-MR-04)
Kebijakan sekuritas informasi yang tercantum dalam dokumen SMSI ini hanya berupa pernyataan saja. Oleh Karena MMTITS belum memiliki kebijakan sekuritas informasi maka perencanaan pembuatan SMSI ditinjau secara umum dengan menyesuaikannya terhadap persyaratan klausul ISO 27001:2005.
Pembuatan Dokumentasi SMSI Verifikasi Dokumentasi SMSI
Dokumentasi SMSI yang telah dibuat harus dilakukan verifikasi terhadap persyaratan kelengkapan dokumen yang terdapat pada ISO 27001:2005. Hal ini dikarenakan persyaratan dokumentasi yang harus ada dalam pembangunan SMSI terdapat pada klausul 4.3.1 ISO 27001:2005.
Pembuatan Dokumentasi SMSI Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI Verifikasi Dokumentasi SMSI
Pembuatan Dokumentasi SMSI Verifikasi Dokumentasi SMSI
Kesimpulan
Penggambaran proses bisnis SIM-Akademik MMT - ITS didasarkan pada deskripsi pekerjaan (job description) bagian Pendidikan dan Kerjasama. Proses bisnis digambarkan menjadi proses utama, penunjang dan manajemen Identifikasi risiko pada proses bisnis dan aset dilakukan dengan mengidentifikasi risiko yang mungkin muncul pada aset-aset yang berkaitan dengan aplikasi SIM akademik serta kelemahan yang mengancam terjadinya risiko. Identifikasi ini akan diukur dan dinilai dengan kriteria tertentu untuk mengetahui level resiko
Kesimpulan
Pembuatan dokumentasi SMSI mengadopsi tata cara pendokumentasian SMM dengan melakukan beberapa penyesuaian terhadap ISO 27001:2005. Struktur atau tahapan pembuatan SMSI Pembuatan dokumentasi SMSI menghasilkan usulan Manual Sekuritas Informasi, Prosedur Sekuritas Informasi, Instruksi Kerja, Referensi serta formulir dan rekaman.
Saran
Pembuatan SMSI MMT-ITS ini hanya berupa usulan mencakup proses SIM-Akademik saja, oleh karena itu diharapkan dalam pengembangan kedepan dapat dilengkapi dengan proses-proses yang lain yang terjadi di MMT-ITS. SMSI MMT-ITS yang dibuat adalah berdasarkan ISO 27001:2005 yang hanya berbasiskan kontrol. Untuk pengembangan selanjutnya diharapkan dapat dibuat SMSI dengan standar yang lain misalnya ITIL dan COBIT yang memiliki kelebihan masing-masing.
DAFTAR PUSTAKA 1.
2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18.
Jacquelin Bisson, CISSP (Analis Keamanan Informasi, Callio Technologies) & René Saint-Germain (Direktur Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 /ISO17799 untuk pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http://202.57.1.181/~download/linux_ opensource/artikel+tutorial/ general_tutorials/wp_iso_id.pdf Syafrizal, Melvin. 2008. Information Security Management Sistem (ISMS) Menggunakan ISO/IEC 27001:2005. STIMIK AMIKOM YOGYAKARTA. Whitmann, E. M dan Mattord, J.H. 2006. Management of Information System. Course Technology. PMII Komisariat UNDIP. Pengertian Kebijakan
kemiskinan/>
NIST SP 800-53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006. Plasma media. Keamanan Informasi.
Wikipedia. Keamanan Informasi [8 Oktober 2008 jam 13.05 WIB] Ferdinand Aruan (2003), Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap ISO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi Informasi ITB Wikipedia. July 2009. Pengertian PDCA, ISO/IEC 27001:2005, Information technology-Security techniques-Information security management systemRequirements. 15 Oktober 2005 Ismiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. < http://www.scribd.com/doc/11100389/Analisis-Resiko-Proyek-an> Brever, D & Nash, M. 2005. the Similarity between ISO 9001 and BS 7799-2. Holil, A. 2007. “Pengungkapan kebutuhan”, bahan ajar mata kuliah analisis desain dan sistem informasi. Brever, D & Nash, M. 2005. the Similarity between ISO 9001 and BS 7799-2. Wikipedia. Mei 2008. Information Technology Infrastructure Library, URL:http://en.wikipedia.org/wiki/ Information_Technology_Infrastructure_Library Wikipedia. Juni 2009. COBIT, URL:http://id.wikipedia.org/wiki/COBIT.htm. Jaya Ari, Made. Juni 2008. Pengenalan identifikasi risiko,
