STRATEGI KEAMANAN INFORMASI PERUSAHAAN MEDIA CETAK/ONLINE MENGGUNAKAN TINJAUAN INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS)
PROPOSAL TESIS
Disusun oleh :
Mochammad Anchar 0911600070
PROGRAM STUDI : MAGISTER ILMU KOMPUTER PROGRAM PASCASARJANA TEKNOLOGI INFORMASI UNIVERSITAS BUDI LUHUR 2010
ABSTRAK Dampak negatif ataupun kerugian yang ditimbulkan oleh ancaman atau gangguan terhadap keamanan informasi organisasi atau perusahaan terutama yang datang dari sisi internal organisasi atau perusahaan tersebut, disamping berbagai ancaman atau gangguan yang datang dari sisi eksternal, setidaknya pada saat ini harus dipandang sebagai suatu permasalahan serius. Oleh karenanya perlu diterapkan adanya suatu strategi penanganan sistem yang mampu menangani upaya pencegahan atau tindakan preventif atas ancaman dan gangguan keamanan data ataupun aset informasi tersebut. ISMS atau kependekan dari Information Security Management System yang akrab dikenal dengan standar ISO/IEC 27001:2005 merupakan salah satu upaya dalam penanganan dan pengendalian keamanan informasi organisasi atau institusi perusahaan yang bersifat standar secara internasional. Guna memperoleh hasil dan penilaian yang baik atas security compliance, setidaknya penanganan dan pengendalian keamanan informasi tersebut menempatkan standar ISO/IEC 27002 yang merupakan best practice dari pemenuhan ISMS tersebut sebagai komponen penunjang yang tepat. Penulisan tesis ini berupaya manganalisa strategi keamanan informasi dari PT. ABC sebagai salah satu perusahaan institusi yang mewakili organisasi atau perusahaan media masa di Indonesia, dalam penanganan dan perlindungan terhadap ancaman dan kerentanan atas aset informasi yang dimilikinya. Adapun hasil dari penulisan tersebut diharapkan dapat menjadi acuan bagi PT. ABC maupun organisasi atau institusi perusahaan lainnya di dalam penerapan strategi keamanan informasi untuk mendapatkan hasil yang baik dan memenuhi standar yang tepat bagi penanganan keamanan informasi yang baik dan handal. Guna memperoleh hasil yang diharapkan tersebut, metodologi penelitian dalam tesis ini menggunakan metode deskriptif kualitatif dengan analisis data primer yang diperoleh melalui observasi atau pengamatan di lapangan terhadap sistem yang diterapkan, di samping hasil wawancara dan kuesioner terhadap nara sumber, serta data skunder yang diperoleh melalui studi kepustakaan beserta literatur lainnya. Penelitian ini menggunakan non-random sampling bersifat purposif ditujukan kepada sejumlah nara sumber tertentu yang memenuhi kriteria. Selanjutnya proses penelitian akan menerapkan Analisis Gap (Gap Analysis) dan Analisis SWOT (Strengths, Weaknesses, Opportunities and Threats) guna mendukung hipotesa dalam penelitian ini.
Kata kunci:
Information Security, Information Security Management System (ISMS), Gap Analysis, Strengths Weaknesses Opportunities and Threats (SWOT) Analysis.
KATA PENGANTAR Dengan mengucap syukur Alhamdulillah, sebagai naskah proposal tesis, penulis telah memilih topik penulisan yang berjudul: “STRATEGI KEAMANAN INFORMASI PERUSAHAAN
MEDIA
CETAK/ONLINE
MENGGUNAKAN
TINJAUAN
INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS): Studi Kasus PT. ABC dalam Upaya Penanganan terhadap Ancaman dan Kerentanan dari Sisi Internal Perusahaan. Sebagai ungkapan terima kasih atas dukungannya selama ini, penulis sampaikan kepada: 1. Semua pihak yang telah banyak memberikan bantuan baik secara moril maupun materil dalam penyelesaian proposal tesis ini.
Akhir kata, penulis ingin mengucapkan terima kasih kepada semua pihak yang tidak tersebut namanya, atas segala kontribusinya di dalam penyusunan tesis ini.
Jakarta, 05 Mei 2010 Penulis,
Mochammad Anchar
DAFTAR ISI Halaman ABSTRAK .................................................................................................................... i KATA PENGANTAR ................................................................................................... ii DAFTAR ISI ................................................................................................................. iii DAFTAR GAMBAR ..................................................................................................... v DAFTAR TABEL ......................................................................................................... vi BAB I. PENDAHULUAN 1.1. Latar Belakang .................................................................................................. 1.2. Masalah Penelitian ............................................................................................ 1.2.1. Identifikasi Masalah .......................................................................... 1.2.2. Batasan Masalah ................................................................................ 1.2.3. Rumusan Masalah ............................................................................. 1.3. Tujuan dan Manfaat Penelitian .......................................................................... 1.3.1. Tujuan Penelitian ............................................................................... 1.3.2. Manfaat Penelitian ............................................................................. 1.4. Sistematika Penulisan ........................................................................................
1 3 3 5 6 6 6 6 7
BAB II. LANDASAN TEORI 2.1. Tinjauan Pustaka .............................................................................................. 2.1.1. Definisi Keamanan Informasi (Information Security) ...................... 2.1.2. Information Security Management System (ISMS) ........................... 2.1.3. Gap Analysis ..................................................................................... 2.1.4. Analisis SWOT ................................................................................. 2.2. Tinjauan Studi .................................................................................................. 2.3. Tinjauan Organisasi .......................................................................................... 2.4. Kerangka Konsep ............................................................................................. 2.5. Hipotesis ...........................................................................................................
8 8 12 14 15 27 29 33 35
BAB III. DESAIN PENELITIAN 3.1. Metode Penelitian ............................................................................................. 3.2. Metode Pemilihan Sampel ................................................................................. 3.3. Metode Pengumpulan Data ............................................................................... 3.2. Instrumentasi .................................................................................................... 3.3. Teknk Analisis Data ......................................................................................... 3.4. Jadwal Penelitian ..............................................................................................
36 37 37 37 37 38
BAB IV. PENUTUP ....................................................................................................... 39 DAFTAR PUSTAKA ..................................................................................................... 40 LAMPIRAN – LAMPIRAN .......................................................................................... 41
DAFTAR GAMBAR
Gambar II-1 II-2 II-3 II-4 II-5 II-6 III-1 IV-1
IV-2
IV-3 IV-4
Halaman PDCA ........................................................................................................ Analisis SWOT ......................................................................................... Struktur Organisasi PT. ABC .................................................................... Diagram Topologi Keamanan Informasi berlaitan dengan Akses Kontrol Diagram Alur Pelaporan Insiden Keamanan Informasi PT. ABC ............. Kerangka Konsep Penelitian ...................................................................... Bagan Aktivitas Penelitian ......................................................................... Nilai Bobot Prioritas Alternatif Strategi yang berhubungan langsung dengan Masalah Pembiayaan/Penganggaran berdasarkan kriteria Biaya/ Penempatan Anggaran ............................................................................... Nilai Bobot Prioritas Alternatif Strategi yang berhubungan langsung dengan Masalah Pembiayaan/Penganggaran berdasarkan kriteria Manfaat (Ketepatgunaan) .......................................................................... Nilai Bobot Prioritas Alternatif Strategi yang tidak berhubungan langsung dengan Masalah Pembiayaan/Penganggaran berdasarkan kriteria Biaya/ Penempatan Anggaran ......................................................................................... Nilai Bobot Prioritas Alternatif Strategi yang tidak berhubungan langsung dengan Masalah Pembiayaan/Penganggaran berdasarkan kriteria Manfaat (Ketepatgunaan) ...................................................................................................
13 17 29 30 31 32 35
58
58 59
60
DAFTAR TABEL
Tabel II-1 II-2 II-3 II-4 III-1 IV-1 IV-2 IV-3 IV-4 IV-5
IV-6
Halaman EFAS .......................................................................................................... IFAS ........................................................................................................... Matriks Gabungan EFAS & IFAS ............................................................. Matriks SWOT ........................................................................................... Jadwal Penyusunan Tesis ........................................................................... Hasil rekapitulasi perhitungan jumlah pemenuhan prosedur dan persyaratan ISMS berdasarkan ISO27002 ................................................. Hasil Rekapitulasi Kuesioner Identifikasi Faktor-Faktor Peluang dan Ancaman Eksternal ....................................................................................
19 21 23 25 38 40 43
Analisis EFAS ...................................................................................................... Analisis IFAS .......................................................................................................
47 49
Analisis Gabungan EFAS dan IFAS ......................................................... Analisis Alternatif Strategi Matrix SWOT ................................................
51 53
BAB I PENDAHULUAN
1.1. Latar Belakang Dengan semakin pesatnya perkembangan sistem informasi baik dari sisi pengolahan data maupun internet melalui pemanfaatan TI dan telekomunikasi, disampaing memiliki nilai positif yang bermanfaat bagi kehidupan manusia, ternyata secara langsung dapat membawa berbagai dampak negatif yang mengarah kepada ancaman keamanan informasi baik berupa pencurian, pengubahan maupun pengerusakan terhadap aset informasi yang dimiliki oleh suatu organisasi atau institusi perusahaan. Banyak perusahaan masih memprioritaskan pengamanan aset informasinya tersebut pada upaya serangan atau gangguan yang datang dari luar. Namun begitu perlu disadari pula bahwa tidak sedikit dari mereka yang harus menerima sejumlah kerugian yang cukup besar oleh karena ancaman ataupun gangguan yang datang dari dalam organisasi atau perusahaan itu sendiri terhadap aset informasi yang dimilikinya. Dampak negatif ataupun kerugian yang ditimbulkan oleh ancaman atau gangguan yang datang dari internal organisasi atau perusahaan ini tentunya harus dipandang sebagai suatu permasalahan serius. Oleh karenanya perlu diterapkan adanya suatu strategi penanganan sistem yang mampu menangani upaya pencegahan atau tindakan preventif atas ancaman keamanan data ataupun aset informasi yang dimungkinkan datang dari dalam suatu organisasi atau institusi perusahaan itu sendiri. Dalam dunia korporasi upaya penanganan dan perlindungan yang terencana, baik dan tepat terhadap keamanan informasi secara berkesinambungan sangatlah diperlukan oleh karena setiap organisasi maupun perusahaan dimanapun berada, menyimpan berbagai informasi yang merupakan aset penting yang sangat berharga bagi kelangsungan hidup organisasi atau perusahaan tersebut. Melalui upaya penanganan dan perlindungan dengan menjaga nilai kerahasiaan, integritas serta
ketersediaan informasi itu sendiri dengan baik dan tepat dimungkinkan juga dapat meningkatkan nilai kredibilitas maupun kepercayaan dari organisasi atau instansi perusahaan baik dimata para mitra dan komunitas bisnis ataupun masyarakat luas pada umumnya. Sebagai salah satu instansi bisnis yang bergerak dibidang industri media cetak dan online, PT. ABC (bukan nama sebenarnya) yang berpusat di Jakarta, menempatkan keamanan informasi (Information Security) sebagai salah satu bagian penting dari perusahaan untuk direncanakan, dilaksanakan serta ditindaklanjuti secara berkesinambungan melalui sistem, tata cara dan standar yang tepat. Upaya penanganan keamanan informasi pada PT. ABC dihadapi oleh sejumlah tantangan baik dari berbagai ancaman maupun kerentanan yang dimungkinkan dapat mengancam keamanan informasi, kesiapan SDM yang mendukung upaya peningkatan penanganan dan perlindungan keamanan informasi, dukungan manajemen, termasuk infrastruktur yang tersedia. Dalam menghadapi tantangan ini, sebagai salah satu upaya penanganan serta perlindungan keamanan informasi terhadap ancaman ataupun kerentanan yang datang dari sisi internal organisasi atau institusi perusahaan, diterapkan suatu sistem penanganan yang lebih bersifat preventif dan terstruktur melalui pendekatan sistem keamanan informasi bertaraf internasional berstandar organisasi atau institusi perusahaan yang dikenal dengan ISMS atau kependekan dari Information Security Management System. Istilah ISMS ini secara resmi diperkenalkan melalui standarisasi internasional ISO berkaitan dengan ruang lingkup teknik-elektro yaitu ISO/IEC 27001 yang diterbitkan pada bulan Oktober 2005 dengan nama lengkap “ISO/IEC 27001:2005 – Information Technology – Security techniques – Information security management systems – Requirements”. Dengan semakin bertambahnya organisasi atau institusi perusahaan yang menyadari bahwa keamanan informasi memiliki gangguan dan ancaman yang tidak hanya datang dari sisi eksternal, namun juga banyak yang berasal dari sisi internal
bahkan dapat membawa kerugian yang cukup signifikan baginya, maka penulisan tesis ini berupaya untuk memaparkan sejumlah upaya penanganan dan perlindungan keamanan informasi dari suatu institusi perusahaan guna menjamin nilai confidentiality, integrity dan availability terhadap informasi tersebut terlindungi serta berjalan dengan baik. Penulisan tesis ini berupaya manganalisa strategi penanganan dan perlindungan keamanan informasi dari suatu institusi perusahaan terhadap berbagai ancaman ataupun gangguan yang berasal dari sisi internal sisi perusahaan tersebut. Adapun hasil dari penulisan tersebut dapat menjadi acuan bagi perusahaan tempat penulis melakukan studi penelitian, maupun organisasi atau institusi perusahaan lainnya di dalam penerapan strategi keamanan informasi untuk memperoleh hasil yang baik dan memenuhi standar penanganan keamanan informasi yang tepat. Guna memperoleh hasil yang diharapkan tersebut, metodologi penelitian dalam tesis ini menggunakan metode deskriptif kualitatif dengan analisis data primer yang diperoleh melalui observasi atau pengamatan di lapangan terhadap sistem yang diterapkan, di samping hasil wawancara dan kuesioner terhadap nara sumber, serta data skunder yang diperoleh melalui studi kepustakaan beserta literatur lainnya. Dalam penelitian ini sampel bersifat purposif ditujukan kepada sejumlah nara sumber tertentu yang memenuhi kriteria. Selanjutnya diterapkan Analisis Gap (Gap Analysis) dan Analisis SWOT (Strengths, Weaknesses, Opportunities and Threats) guna mendukung hipotesa dalam penelitian ini.
1.2. Masalah Penelitian 1.2.1. Identifikasi Masalah Berkenaan dengan keamanan informasi, sebagai salah satu perusahaan media cetak/online yang tumbuh di antara sekian banyak industri media masa Indonesia, PT. ABC dihadapi oleh sejumlah permasalahan yang melibatkan masalah kesiapan SDM,
pengadaan
infrastruktur
TI
dan
Komunikasi,
sistem
penanganan
kelangsungan bisnis perusahaan, kebijakan dan prosedur, dan penanganan manajemen insiden terkait dengan sistem manajemen bagi keamanan informasi perusahaan. Berkaitan dengan masalah SDM, kesiapan, kepedulian serta tingkat kesadaran dari para karyawan merupakan faktor penting untuk terpenuhinya upaya peningkatan keamanan informasi perusahaan. Minimnya kesiapan dari personil atau karyawan perusahaan dapat memberikan dampak akan kurang terpenuhinya sasaran dari pada sistem keamanan informasi itu sendiri. Sementara rendahnya tingkat kesadaran dari personil atau karyawan dapat dikategorikan sebagai sebuah kerentanan bagi sistem keamanan informasi yang diterapkan. Dukungan infrastruktur TI dan komunikasi juga merupakan salah satu faktor penting yang mendukung terselenggaranya sistem keamanan informasi organisasi atau perusahaan. Kurangnya penerapan dukungan penerapan teknologi TI dan komunikai terhadap sejumlah prosedur keamanan informasi dapat memberi peluang atas berbagai obyek maupun upaya yang dapat mengancam serta memberi gangguan terhadap sistem keamanan informasi. Belum terbentuknya sistem penanganan atas kelangsungan bisnis perusahaan (business continuity management) secara formal terhadap sejumlah aspek ataupun obyek penting yang mendukung operasional dan bisnis perusahan merupakan faktor kerentanan terutama bagi nilai integritas dan ketersediaan aset data maupun informasi yang dimiliki perusahaan. Kebijakan dan prosedur berkaitan dengan upaya penanganan keamanan informasi adalah faktor terpenting bagi perusahaan. Berkaitan dengan masalah kebijakan dan prosedur, masih perlu adanya upaya perencanaan, penanganan serta peningkatan yang juga melibatkan menajemen PT. ABC terhadap upaya mendukung keamanan informasi. Sementara dari itu kiranya masih perlu memperhatikan upaya penanganan atau manajemen atas insiden keamanan informasi yang berkaitan dengan pelaksanaan
dari pada sistem keamanan informasi itu sendiri. Dalam hal ini perlu adanya proses serta tindak lanjut atas sejumlah tindakan atau kejadian yang dikategorikan dapat memberi ancaman atau gangguan terhadap aset informasi perusahaan, serta sejumlah aksi yang dikategorikan telah melanggar aturan atau kebijakan keamanan informasi.
1.2.2. Batasan Masalah Upaya penerapan keamanan informasi melalui ISMS setidaknya telah dilakukan oleh sebagian kecil dari berbagai organisasi atau perusahaan yang ada di Indonesia. Dalam proses penelitian ini, penulis berupaya membatasi penilitian terhadap sejumlah permasalahan di dalam penanganan keamanan informasi pada PT. ABC dengan menggunakan pendekatan ISMS (ISO/IEC 27001). Penelitian atas penanganan keamanan informasi pada perusahaan tersebut menggunakan gap analysis melalui pendekatan sejumlah aspek yang tertuang dalam ISO/IEC 27002, serta SWOT analysis sebagai upaya untuk mendapatkan sejumlah alternatif strategi penenganan keamanan informasi yang dapat diterapkan oleh perusahaan. Penelitian diakhiri dengan perangkat uji AHP guna menempatkan prioritas dari pada sejumlah alternatif strategi yang diperoleh tersebut. Objek penelitian atas keamanan informasi perusahaan ini mencoba mengambil salah satu bentuk organisasi atau perusahaan yang bergerak pada bidang industri media cetak/online yang beroperasi semenjak sekitar tahun 1960an dan berlokasi di Jakarta. Adapun semua responden yang mendukung penelitian ini merupakan bagian dari personil termasuk kalangan manajemen dan staf perusahaan yang bersangkutan.
1.2.3. Rumusan Masalah Dalam upaya penanganan keamanan informasi terutama terhadap ancaman dan kerentanan dari sisi internal perusahaan, kiranya perlu ditinjau kembali dengan melakukan suatu analisis yang berupaya menemukan faktor ancaman dan kerentanan tersebut terhadap sejumlah permasalahan yang teridentifikasi, dengan harapan akan diperoleh suatu alternatif strategi dalam penanganan dan peningkatan keamanan informasi perusahaan.
1.3. Tujuan dan Manfaat Penelitian 1.3.1. Tujuan Penelitian Tujuan dari penelitian ini adalah untuk mengetahui faktor kekuatan dan kelemahan internal perusahaan, disamping sejumlah faktor ancaman dan peluang eksternal sehingga dimungkinkan untuk diperoleh suatu alternatif strategi bagi PT. ABC dalam upaya meningkatkan keamanan informasinya.
1.3.2. Manfaat Penelitian Manfaat dari penelitian ini dapat menjadi masukan bagi organisasi ataupun perusahaan baik yang sudah menerapkan suatu standar keamanan informasi ataupun yang masih dalam tahap evaluasi atau perencanaan, dalam upaya menerapkan upaya keamanan informasi melalui standar Information Security Management System (ISMS). Selain itu juga dapat bermanfaat untuk penambahan literatur bagi para akademisi, praktisi maupun pemerhati manajemen keamanan informasi baik melalui jalur akademisi ataupun profesional.
1.4. Sistematikan Penulisan Penulisan tesis yang disampaikan ini terbagi atas sejumlah pembahasan sebagai berikut: BAB I. Merupakan bab pendahuluan yang berisi tentang latar belakang pembahasan berikut batasan masalah terkait dengan pokok penelitian yang akan dibahas serta tujuan dari penelitian itu sendiri. Bab I ini juga merupakan penjelasan informasi singkat bagi keseluruhan bab yang ada dalam penulisan ini. BAB II. Memaparkan sejumlah pendangan para ahli sebagai landasan pemikiran dari penelitian yang dilakukan. Dengan kata lain pandangan ilmiah dari para ahli tersebut dapat dijadikan sebagai dasar penelitian yang juga merupakan hipotesa dari penulisan ilmiah ini. BAB III. Menentukan metodologi yang digunakan dalam proses penelitian. Metodologi penulisan ini akan mengarahkan bentuk hasil penelitian yang akan diperoleh dengan merujuk pada suatu hipotesa. Pada bab ini juga dilampirkan jadwal aktivitas penyusunan berkaitan dengan penyelesaian tesis ini. BAB IV. Merupakan bab analisis dan interpretasi penelitian terhadap sejumlah data yang diperoleh dari objek penelitian. BAB V. Merupakan bab penutup yang berisi keimpulan dan saran berdasarkan penelitian yang telah dilakukan.
BAB II LANDASAN PEMIKIRAN
2.1. Tinjauan Pustaka 2.1.1. Definisi Keamanan Informasi (Information Security) Keamanan Informasi (Information Security) merupakan perlindungan atas informasi maupun sistem informasi terhadap akses, penggunaan, penyebaran, pengubahan atau pengerusakan atas informasi tersebut tanpa hak atau kewenangan. Adapun sasaran umum dari Keamanan Informasi ini adalah perlindungan atas confidentiality, integrity dan availability sebagai konsep utama dari keamanan informasi itu sendiri yang akan dibahas lebih lanjut dalam bab ini [WIK1 10]. Baik institusi pemerintahan, militer, perusahaan, finansial, medis dan sektor bisnis privat jelas memiliki informasi yang bersifat rahasia atas karyawan, pelanggan, produk, penelitian dan status keuangan yang hampir semua informasi tersebut pada masa ini dikumpulkan, diproses dan disimpan pada media elektronik atau komputer, dan dikirim ke komputer lain melalui jaringan (networks). Pertumbuhan pesat dan pemanfaatan secara luas terhadap proses maupun bisnis elektronik melalui jaringan internet seiring dengan semakin banyaknya berbagai tindakan negatif yang dapat merugikan pihak lain, telah menunjukkan betapa perlunya pemikiran-pemikiran atau metode-metode dalam upaya melindungi komputer berikut informasi yang disimpan, diproses maupun yang dikirimnya. Para peneliti dan akademisi terutama yang memusatkan penelitiannya baik pada computer security, information security ataupun information assurance bersamasama dengan berbagai organisasi profesional secara luas saling bertukar informasi untuk menentukan sasaran umum yang dapat diterima dalam menjamin dan memberi kepastian akan nilai keamanan dan realbilitas dari Keamanan Informasi (Information Security).
Secara umum sistem keamanan informasi tak lepas dari sejumlah aspek berikut: − − − − − − − − −
Konsep Keamanan Informasi (Confidentiality, Integrity, Availability) Autentikasi dalam Keamanan Informasi Keabsahan dalam Keamanan Informasi (Non-Repudiation) Manajemen Resiko (Risk Management) dalam Keamanan Informasi Pengendalian Keamanan Informasi (Security Control). Pengklasifikasian Keamanan atas Informasi Pengendalian Akeses (Access Control) dalam Keamanan Informasi Kriptografi dalam Keamanan Informasi Konsolidasi Pertahanan (Defense in Depth)
Di dalam upaya penanganan maupun pengendalian terhadap keamanan informasi, kiranya harus mempertimbangkan tiga aspek penting dalam keamanan informasi yang akrab dengan kependekan CIA (Confidentiality, Integrity, Availability). Confidentiality memastikan bahwa informasi hanya dapat diakses oleh pengguna yang sah dan memiliki wewenang untuk memperoleh atau menggunakannya. Availability melindungi akurasi dan kelengkapan informasi melalui sejumlah metodologi pengolahan yang efektif dengan memastikan bahwa informasi dapat dirubah hanya oleh pengguna yang berwewenang. Availability memastikan bahwa informasi yang bersangkutan dapat diakses oleh mereka yang berwewenang sesuai dengan kebutuhan yang diinginkan.
Selain tiga aspek keamanan informasi di atas, terdapat dua faktor lain yang mendukung keamanan informasi, yaitu:
Accountability berkaitan dengan aktifitas yang dilakukan serta bisa ditelusuri. Hal ini berhubungan dengan kemampuan sistem untuk merekam tindakan dan tingkah laku dari pengguna di dalam sistem. Assurance merupakan dasar dari pengukuran keamanan, baik secara teknikal maupun secara operasional. Hal ini berkaitan dengan upaya perlindungan terhadap sistem dan informasi ketika diproses. Sebagai upaya atas pengendalian keamanan informasi yang tepat kiranya perlu untuk memahami siapa saja atau apa saja yang dapat memberikan suatu ancaman terhadap informasi yang terdapat pada suatu organisasi atau perusahaan, termasuk juga memahami resiko atau bahaya apa saja yang bisa ditimbulkan dari ancaman tersebut. a. Ancaman (Threat) Jan Tudor ([Tudor 06],11) membagi jenis ancaman terhadap kemanan informasi atas tiga kategori sebagai berikut: Intentional threats; merupakan ancaman yang datang dari pengguna yang tidak berhak atas suatu informasi (unauthorized users) yang mengakses data dan informasi dimana ia tidak memiliki hak ijin untuk melihat maupun menggunakan informasi tersebut. Ancaman seperti ini bisa datang baik dari luar ataupun dari dalam suatu organisasi atau perusahaan, dan bentuknya dapat diklasifikasikan sebagai curious atau malicious. Kategori Curious umumnya hanya sebagai suatu tindakan yang hanya melihat-lihat informasi yang didapat tanpa ada suatu maksud tujuan tertentu atas informasi tersebut. Berbeda dengan malicious yang memiliki suatu tujuan tertentu yang bisa mengarah pada motif untuk memperoleh keuntungan pribadi di luar organisasi atau perusahaan, atau bisa juga mengarah pada suatu penghancuran ataupun pengrusakan yang bermotifkan dendam atau tidak puas akan suatu hal dari organisasi atau perusahaan. Unintentional threats; ancaman seperti ini biasanya disebabkan oleh karena karyawan yang ceroboh atau kurang professional dimana ia tidak memegang
langkah-langkah yang menjamin bahwa password yang dimilikinya terlindungi, komputer yang digunakannya telah aman dari berbagai gangguan ataupun software antivirus yang terinstal pada komputer itu selalu update sesuai dengan jadwal update yang ditentukan. Ancaman ini tidak semata terbatas hanya pada karyawan operasional secara umum, akan tetapi bisa saja terjadi pada karyawan ahli tertentu yang dapat mengancam integritas (integrity) atas suatu data yang diproses oleh karena tidak menjalankan prosedur operasional yang seharusnya dilakukan dalam bekerja. Natural threats; merupakan ancaman yang bisa diakibatkan oleh karena kerusakan pada perangkat sistem informasi atau ancaman bencana seperti kebakaran, banjir dan gempa bumi yang bisa mengakibatkan kerusakan atau kehilangan baik perangkat sistem informasi dan data yang ada di dalamnya. Ancaman seperti ini biasanya berpengaruh langsung pada ketersediaan (availability) atas informasi dan berbagai resource yang ada pada organisasi atau perusahaan.
b. Resiko (Risks) Pada kenyataannya banyak berbagai kejadian sehubungan dengan keamanan informasi secara internal merupakan ancaman dan pelanggaran atas confidentiality, integrity dan availability. Berbagai ancaman atau pelanggaran tersebut dari penilaian secara bisnis dapat membawa dampak kerugian financial bagi perusahaan. Adapun resiko tersebut bisa dicontohkan seperti hilangnya nilai keabsahan dokumen kontrak, kesalahan atau ketidakakuratan data financial, beban atau biaya yang meningkat, kehilangan aset, kehilangan kesempatan bisnis, dan hilangnya kepercayaan publik. Salah satu upaya upaya yang dapat dilakukan oleh suatu organisasi atau perusahaan sehubungan dengan resiko atas ancaman terhadap keamanan informasi adalah dengan melakukan mitigasi atau pengurangan resiko tersebut melalui implementasi pengendalian keamanan informasi yang efektif.
2.1.2. Information Security Management System (ISMS) Salah satu yang dapat dilakukan sebagai upaya preventif guna memperkuat dan meningkatkan keamanan informasi adalah dengan menerapkan suatu standar penanganan keamanan informasi yang dikenal dengan Information Seciruty Management System (ISMS). Sistem manajemen keamanan informasi atau yang lebih dikenal secara umum dengan kependekan ISMS (Information Security Management System) merupakan suatu sistem manajemen yang berhubungan dengan keamanan informasi dalam suatu organisasi maupun perusahaan. Istilah ISMS ini secara resmi diperkenalkan melalui standarisasi internasional berkaitan dengan bidang teknik-elektro yaitu ISO/IEC 27001 yang diterbitkan pada bulan Oktober 2005 dengan nama lengkap “ISO/IEC 27001:2005 – Information Technology – Security techniques – Information security management systems – Requirements” dan ISO/IEC 27002 yang baru diterbitkan pada Juli 2007 dengan nama lengkap “ISO/IEC 27002:2007 – Information Technology – Security techniques – Code of practice for information security management”[Carlson 09]. Dasar pemikiran dari ISMS itu sendiri adalah berangkat dari keterkaitan antara People, Process dan Technology. Ketiga komponen tersebut merupakan faktor penting yang harus diperhatikan terutama dalam upaya penanganan keamanan informasi guna mencapai target yang diharapkan. Bilamana satu dari komponen tersebut mengalami suatu kegagalan atau dengan kata lain kurang memberikan dukungan yang diharapkan, maka upaya penanganan keamanan informasi dapat dimungkinkan akan mengahadapi suatu kegagalan. Paling tidak hasil yang ingin dicapai tidak mencapai target keamanan yang diharapkan [Carlson 09].
ISMS memiliki suatu model pelaksanaan yang berkesinambungan dikenal dengan Plan, Do, Check, Act (PDCA) [ISO05]. Model ini harus secara seksama diikuti dan diterapkan dengan baik sebagai syarat program ISMS dapat berjalan dengan baik sesuai tujuan. Berikut ini merupakan ilustrasi Model PDCA dalam pelaksanaan ISMS tersebut.
Plan Establish ISMS
Do
Implement & Operate ISMS
Maintain & Improve ISMS
Act
Monitor & Review ISMS
Check
Gambar II-1. PDCA (Plan-Do-Check-Act) [ISO 05]
Adapun tahapan dari model PDCA adalah sebagai berikut: Plan: Establish the ISMS Mendefinisikan ruang lingkup ISMS dan kebijakan keamanan organisasi atau perusahaan, mendefinisikan dan menganalisa resiko, menentukan control objective dan risk management control. Do: Implement and operate the ISMS Melaksanakan dan menjalankan kebijakan ISMS, pengendalian, proses dan prosedur.
Check: Monitor and Review the ISMS Melakukan prosedur moitoring, mereview secara periodic untuk menguji efektifitas ISMS, dan melakukan audit ISMS secara internal. Act: Maintain and Improve the ISMS Melakukan perbaikan dan tindakan preventif berdasarkan hasil ataupun tinjauan ulang audit ISMS secara internal, atau informasi lainnya yang berkaitan dalam upaya perbaikan ISMS. ISO/IEC 27002 yang mendukung pencapaian ISO/IEC 27001 atau ISMS ini secara umum memiliki 11 area berkaitan dengan pengendalian keamanan informasi yaitu ([Carlson 08], 3) : − − − − − − − − − − −
Security policy Organization of Information Security Asset Management Human Resources Security Physical and Environmental Security Communications and Operations Management Access Control Information System Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance
2.1.3. Gap Analysis Dalam pengertian bisnis dan ekonomi, gap analysis merupakan suatu tool untuk membantu perusahaan di dalam melakukan perbandingan atas performa aktual yang dimiliki terhadap performa potensialnya. Dalam hal ini pada dasarnya dapat diilustrasikan “Dimana kita (saat ini)?” dan “Kemana kita akan menuju
(selanjutnya)?”. Sasaran dari pada gap analysis adalah untuk mengidentifikasikan kesenjangan antara alokasi yang teroptimalisasi dengan integrasi dari pada sejumlah input, serta tingkat alokasi saat ini. Gap analysis dapat dikategorikan dalam perspektif organisasi, arah bisnis, proses bisnis, dan teknologi informasi [WIK 10]. Berikut merupakan beberapa langkah-langkah umum dalam melakukan gap analysis: 1. Menetukan batasan atau ruang lingkup. 2. Mengumpulkan semua dokumentasi yang terdapat pada saat ini di dalam lingkungan
organisasi
(kebijakan,
prosedur,
standar
konfigurasi,
dan
sebagainya) 3. Melakukan identifikasi atas semua aset hardware dan software pada saat ini berkaitan dengan tahapan pada nomor sebelumnya. 4. Melakukan wawancara berikut dokumen, bagaimana proses yang ada sebelumnya dilaksanakan. 5. Melakukan perbandingan tata cara pelaksanaan, konfigurasi dan proses keamanan yang ada pada saat ini terhadap sasaran berkaitan dengan langkah pada nomor 1 di atas. 6. Mengutamakan kesenjangan (gap) yang teridentifikasi, dan membuat langkahlangkah implementasi dengan harapan tiap-tiap ruang lingkup wilayah atau area berada pada tingkat compliance yang tepat [Harris 10].
2.1.4. Analisis SWOT Analisis SWOT merupakan suatu metode perencanaan strategis yang digunakan untuk melakukan evaluasi terhadap tingkat Strengths, Weakness, Opportunities dan Threats (SWOT) yang terlibat di dalam sebuah perencanaan proyek atau bisnis. Analisis SWOT ini akan melakukan pemilahan tujuan atau sasaran dari pada
perencanaan bisnis ataupun proyek dan juga akan melakukan identifikasi atas faktor internal dan eksternal yang dinilai manguntungkan ataupun yang tidak menguntungkan guna memperoleh tujuan atau sasaran tersebut [WIK 10]. Analisis SWOT membandingkan faktor lingkungan internal Strength dan Weakness, dengan faktor lingkungan eksternal Opportunitites dan Threats. Tujuan dari pada analisis SWOT ini adalah untuk menentukan faktor internal dan eksternal utama yang penting untuk memperoleh tujuan atau sasaran yang diinginkannya. Hal tersebut berangkat dari dalam rantai nilai yang dimiliki oleh tiap-tiap organisasi atau perusahaan itu sendiri. Berbagai informasi penting pada analisa SWOT dibagi dalam dua kategori utama yaitu: Faktor Internal (Internal Factors) Faktor internal ini menginformasikan kekuatan (strength) dan kelemahan (weakness) secara internal ke dalam suatu organisasi atau perusahaan. Hal ini dapat dilihat tergantung atas pengaruhnya pada tujuan atau sasaran dari organisasi atau perusahaan tersebut. Sesuatu yang mungkin mewakili suatu kekuatan berkaitan terhadap satu tujuan atau sasaran, dapat dimungkinkan akan menjadi suatu kelemahan bagi tujuan atau sasaran lainnya. Berbagai faktor internal termasuk di dalamnya dapat berupa hal yang berkaitan dengan personil, finansial, kemampuan dalam produksi, dan sebagainya. Faktor Eksternal (External Factors) Faktor eksternal menginformasikan peluang (opportunities) dan ancaman (threat) yang dibawa oleh lingkungan eksternal kepada organisasi atau perusahaan. Berbagai faktor eksternal ini dapat dikarenakan oleh masalah ekonomi makro, perubahan teknologi, perundang-undangan, perubahan sosial budaya masyarakat, dan juga termasuk berbagai perubahan di dalam posisi pasar ataupun persaingan bisnis [WIK 10].
Peluang (External) 3 Mendukung Strategi Turn-around
1 Mendukung Strategi Aggresive
Kelemahan (Internal)
Kekuatan (Internal) 4 Mendukung Strategi Defensive
2 Mendukung Strategi Diversification
Ancaman (External)
Gambar II-2. Anaisis SWOT ([Rangkuti 08],19)
Kuadran 1 merupakan situasi yang sangat menguntungkan dimana organisasi atau perusahaan mempunyai peluang dan kekuatan sehingga dapat memanfaatkan peluang yang ada. Adapun strategi yang harus diterapkan dalam kondisi ini adalah mendukung kebijakan pertumbuhan yang agresif (Growth Oriented Strategy). Kuadran 2 merupakan kondisi dimana meskipun dihadapi oleh berbagai ancaman, organisasi atau perusahaan setidaknya masih memiliki kekuatan dari sisi internal. Adapun strategi yang harus diterapkan adalah mengupayakan kekuatan internal untuk memanfaatkan peluang jangka panjang dengan strategi diversifikasi (produk atau pasar).
Kuadran 3 merupakan kondisi dimana organisasi atau perusahaan menghadapi peluang pasar yang sangat besar, akan tetapi di lain pihak ia menghadapi beberapa kendala atau kelemahan dari sisi internal. Adapun strategi yang dapat diterapkan adalah dengan meminimalkan masalah kelemahan internal dari organisasi atau perusahaan sehingga diharapkan dapat merebut peluang eksternal atau pasar yang lebih baik. Kuadran 4 merupakan kondisi dimana organisasi atau perusahaan dihadapkan oleh situasi yang sangat tidak menguntungkan, dengan kata lain organisasi atau perusahaan tersebut menghadapi berbagai ancaman eksternal dan juga kelemahan internal.
Dalam analisis SWOT ini, sebelum dilakukan analisis dan pengambilan keputusan, proses penyusunan perencanaan strategis dilakukan melalui tahap sebagai berikut yang diawali dengan pengumpulan data. Pada pengumpulan data ini pada dasarnya termasuk juga kegiatan pengklasifikasian dan pra-analisis. Sementara data dapat dibedakan menjadi dua yaitu data internal dan data eksternal. Adapun model yang digunakan pada tahap ini terdiri dari dua matrik (Matrik Faktor Strategi Internal dan Matrik Faktor Strategi Eksternal). Penggunaan metode-metode kuantitatif sangat dianjurkan untuk membuat peramalan (forcasting) dan asumsi seperti ekstrapolasi, brainstorming, statistical modelling, riset operasi dan sebagainya ([Rangkuti 08], 23).
Dalam pembuatan Matrik Faktor Strategi Eksternal diperlukan External Factors Analysis Strategy (EFAS) sebagaimana ditampilkan pada tabel berikut.
Tabel II-1. External Factor Analysis Strategy (EFAS) Faktor-Faktor
Bobot
Rating
Strategi Eksternal (1)
(2)
(3)
Bobot (x)
Komentar/
Rating
Catatan
(4)
(5)
Peluang (Opportunities) Ancaman (Threats) Total
Dengan merujuk pada rangka tabel tersebut, External Factors Analysis Strategy (EFAS) dapat dilakukan melalui tata cara sebagai berikut: 1. Menyusun 5 sampai dengan 10 peluang (opportunities) dan ancaman (threats) pada kolom 1. 2. Memberi nilai bobot kepada masing-masing faktor dalam kolom 2, mulai dari 1,0 (sangat penting) sampai dengan 0,0 (tidak penting). Faktor-faktor tersebut bisa dimungkinkan dapat memberikan dampak terhadap faktor strategis. Adapun penentuan nilai bobot dilaksanakan dengan mengambil hasil dari wawancara (interview) dan brainstorming guna membandingkan faktor-faktor tersebut dari responden.
3. Menghitung rating dalam kolom 3 untuk masing-masing faktor dengan memberikan skala ukuran mulai dari 4 (outstanding) sampai dengan 1 (poor) berdasarkan pengaruh faktor tersebut terhadap kondisi organisasi atau perusahaan itu sendiri. Pemberian nilai rating untuk faktor peluang (opportunities) bersifat posisitf dimana peluang (opportunities) yang semakin besar akan diberi nilai rating +4. Akan tetapi jika peluang (opportunities) kecil maka akan diberikan nilai rating +1. Hal tersebut berbanding terbalik dengan nilai rating ancaman (threats). Sebagai contoh bilamana nilai ancaman (threats) sangat besar maka nilai ratingnya adalah 1, dan sebaliknya jika ancaman (threats) adalah sedikit, maka nilai ratingnya adalah 4. Adapun penentuan rating ini juga dilakukan dengan mengambil hasil dari wawancara (interview) dan brainstorming guna membandingkan masing-masing tersebut dari responden. 4. Melakukan perkalian antara nilai bobot pada kolom 2 dengan nilai rating pada kolom 3 guna memperoleh faktor pembobotan untuk masing-masing faktor yang memiliki variasi nilai mulai dari 4,0 (outstanding) sampai dengan 1 (poor). 5. Menggunakan kolom 5 untuk memberikan komentar atau catatan khusus atas alasan dipilihnya sejumlah faktor tertentu serta bagaimana cara perhitungan nilai pembobotannya. 6. Melakukan penjumlahan nilai pembobotan pada kolom 4 guna memperoleh nilai total (score) pembobotan atas organisasi atau perusahaan yang bersangkutan. Nilai total ini menunjukkan bagaimana suatu organisasi atau perusahaan
tertentu
akan
bereaksi
terhadap
faktor-faktor
strategis
eksternalnya, disamping juga dapat digunakan untuk membandingkan organisasi atau perusahaan tersebut dengan organisasi atau perusahaan lainnya di dalam kategori bisnis atau operasional kerja yang sama.
Untuk selanjutnya setelah faktor-faktor strategis internal suatu organisasi atau perusahaan diidentifikasikan, dilakukan penyusunan tabel Internal Factor Analysis Strategy (IFAS) guna merumuskan berbagai faktor strategis internal dari organisasi atau perusahaan tersebut dalam kerangka Kekuatan (Strength) dan Kelemahan (Weakness), sebagaimana ditampilkan pada contoh tabel berikut. Tabel II-2. Internal Factor Analysis Strategy (IFAS) Faktor-Faktor
Bobot
Rating
Strategi Internal
Bobot (x)
Komentar/Catatan
Rating (2)
(3)
(4)
(5)
(1) Kekuatan (Strength) Kelemahan (Weakness) Total
Dengan merujuk pada rangka tabel tersebut, Internal Factors Analysis Strategy (IFAS) dapat dilakukan dengan tahapan sebagai berikut:
1.
Menentukan faktor-faktor yang menjadi kekuatan (strength) dan kelemahan (weakness) pada kolom 1.
2.
Memberi nilai bobot kepada masing-masing faktor dalam kolom 2, mulai dari 1,0 (sangat penting) sampai dengan 0,0 (tidak penting) berdasarkan pada pengaruh faktor-faktor tersebut terhadap posisi strategis organisasi atau perusahaan. Adapun penentuan nilai bobot dilaksanakan dengan mengambil hasil dari wawancara (interview) dan brainstorming guna membandingkan faktor-faktor tersebut dari responden.
3.
Menghitung rating dalam kolom 3 untuk masing-masing faktor dengan memberikan skala ukuran mulai dari 4 (outstanding) sampai dengan 1 (poor) berdasarkan pengaruh faktor tersebut terhadap kondisi organisasi atau perusahaan itu sendiri. Pemberian nilai rating untuk faktor kekuatan (strength) dan kelemahan (weakness) pada prinsipnya seperti pada pengisian tabel External Factor Analysis Strategy (EFAS) yang telah dijelaskan sebelumnya di atas. Semua variabel dengan kategori kekuatan (strength) yang bernilai positif, diberi nilai mulai dari +1 (cukup) sampai dengan +4 (sangat baik) dengan membandingkannya terhadap rata-rata industri atau pesaing utama dari kategori kelompok bisnis atau operasional kerja yang sama. Adapun penentuan rating ini juga dilakukan dengan mengambil hasil dari wawancara (interview) dan brainstorming guna membandingkan masing-masing tersebut dari responden.
4.
Melakukan perkalian antara nilai bobot pada kolom 2 dengan nilai rating pada kolom 3 guna memperoleh faktor pembobotan untuk masing-masing faktor yang memiliki variasi nilai mulai dari 4,0 (outstanding) sampai dengan 1 (poor).
5.
Menggunakan kolom 5 untuk memberikan komentar atau catatan khusus atas alasan dipilihnya sejumlah faktor tertentu serta bagaimana cara perhitungan nilai pembobotannya.
6.
Melakukan penjumlahan nilai pembobotan pada kolom 4 guna memperoleh nilai total (score) pembobotan atas organisasi atau perusahaan yang bersangkutan. Nilai total ini menunjukkan bagaimana suatu organisasi atau perusahaan
tertentu
akan
bereaksi
terhadap
faktor-faktor
strategis
internalnya. Total nilai (score) ini dapat digunakan untuk membandingkan organisasi atau perusahaan yang bersangkutan tersebut dengan organisasi atau perusahaan lainnya di dalam kategori bisnis atau operasional kerja yang sama. Setelah semua informasi terkumpul, tahap selanjutnya adalah memanfaatkan semua informasi tersebut dalam model kuantitatif untuk pembuktian hipotesis dengan menggunakan Matriks Penggabungan EFAS dan IFAS yang ditampilkan pada rangka tabel berikut. Tabel II-3. Matriks Gabungan EFAS & IFAS Kekuatan
Scores
Kelemahan
(Strengths)
(Weakness)
S
W
-
-
-
-
-
-
Sub Total S
Sub Total W
Peluang
Scores
Ancaman
(Opportunities)
(Threats)
O
T
-
-
-
-
-
-
Sub Total O
Sub Total T
Scores
Scores
Total S + O
Total W + T
Dari kerangka tabel tersebut, yang pertama dilakukan adalah memindahkan hasil pada matriks EFAS dan IFAS ke dalam matriks gabungan EFAS dan IFAS, sehingga akan didapatkan hasil sub total dari EFAS dan IFAS tersebut. Untuk selanjutnya dilakukan perbandingan antara sub total keduanya untuk mendapatkan hasil yang akan memberikan suatu alternatif bahwa analisis ini dapat dikatakan benar dan sesuai dengan permasalahan yang terjadi. Guna membuktikan hipotesis maka dirumuskan langkah strategi lanjut melalui kriteria berikut: a. Apabila S + O > W + T, menunjukkan bahwa faktor strategis kekuatan (strength) dan peluang (opportunities) mendukung tercapainya jalan keluar dari pokok permasalahan yang ada atau terbuktinya hipotesis guna mandapatkan rekomendasi atas strategi yang disarankan. b. Apabila S + O < W + T, menunjukkan bahwa pokok permasalahan adalah kenyataan yang sebenarnya terjadi, yang memiliki kelemahan yang besar di samping ancaman (threats) atau tantangan yang dihadapi sangat besar. Dengan demikian sebagai upaya lebih lanjutnya adalah dengan mencari alternatif lain untuk memperkuat variabel pengamatan (observasi) atau strategi lainnya.
Model yang akan digunakan selanjutnya untuk proses perumusan strategi di sini adalah Matriks SWOT yang ditampilkan berikut.
Tabel II-4. Matriks SWOT ([Rangkuti 08],31) IFAS EFAS
Strength (S) - Tentukan 5-10 faktor kekuatan internal
Weakness (W) - Tentukan 5-10 kelemahan internal
Opportunitites (O)
Strategi SO
Strategi WO
- Tentukan 5-10 peluang
- Ciptakan strategi yang
- Ciptakan strategi yang
eksternal
menggunakan kekuatan
meminimalkan
untuk memanfaatkan
kelemahan untuk
peluang.
memanfaatkan peluang.
Threats (T)
Strategi ST
Strategi WT
- Tentukan 5-10
- Ciptakan strategi yang
- Ciptakan strategi yang
ancaman eksternal
menggunakan kekuatan
meminimalkan
untuk mengatasi
kelemahan untuk
ancaman.
menghindari ancaman.
Keterangan: 1. Dalam sel Opportunities (O), buat 5 sampai 10 peluang eksternal yang dihadapi organisasi atau perusahaan. 2. Dalam sel Threats (T), buat 5 sampai 10 ancaman eksternal yang dihadapi organisasi atau perusahaan. 3. Dalam sel Strengths (S), buat 5 sampai 10 kekuatan yang dimiliki oleh organisasi atau perusahaan (baik yang ada sekarang maupun yang akan datang). 4. Dalam sel Weaknesses (W), buat 5 sampai 10 kelemahan yang dimiliki oleh organisasi atau perusahaan.
Matriks di atas dapat menggambarkan bagaimana peluang (opportunities) dan ancaman (threats) eksternal yang dihadapi oleh organisasi atau perusahaan dapat disesuaikan dengan kekuatan (strength) dan kelemahan (weakness) yang dimilikinya. Matriks SWOT ini dapat memberikan empat kemungkinan alternatif strategis sebagai berikut: 1.
Strategi SO, dibuat berdasarkan jalan pikiran organisasi atau perusahaan yaitu dengan memanfaatkan seluruh kekuatan untuk merebut dan memanfaatkan peluang sebesar-besarnya.
2.
Strategi ST, menggunakan kekuatan yang dimiliki organisasi atau perusahaan guna mengatasi ancaman yang ada.
3.
Strategi WO, diterapkan berdasarkan pemanfaatan peluang yang ada dengan cara meminimalkan kelemahan yang ada.
4.
Strategi WT, berpegang pada tindakan atau aktivitas yang bersifat defensif disamping berusaha untuk meminimalkan kelemahan yang ada, dan berupaya menghindari ancaman yang ada.
2.2. Tinjauan Studi Semakin meningkatnya berbagai kemungkinan ancaman dan gangguan terhadap aset informasi seiring dengan pesatnya perkembangan teknologi yang mendukung berbagai kemudahan dalam pertukaran informasi, telah mendorong berbagai organisasi ataupun perusahaan untuk mengedepankan pentingnya sistem keamanan informasi yang tepat dan handal untuk diterapkan. Standar ISO/IEC27001 atau yang akrab dengan sebutan Information Security Management System (ISMS) merupakan salah satu acuan bagi organisasi maupun institusi perusahaan dalam strategi penanganan keamanan informasi. Berdasarkan catatan informasi, di Indonesia baru tercatat 7 organisasi atau perusahaan yang telah memiliki sertifikasi ISO/IEC 27001. Sangat jauh di bawah
negara Jepang yang menempati urutan pertama dengan perolehan 3378 sertifikasi. Semakin besar jumlah perolehan sertifikasi ISMS pada suatu negara dapat menceerminkan tingginya tingkat kebutuhan organisasi maupun perusahaan akan penanganan dan pengendalian keamanan informasi yang baik disamping memiliki standar yang tepat. Adapun dari ketujuh data pemegang sertifikasi tersebut sebagian besar berasal dari sektor bisnis termasuk sejumlah perusahaan PMA dan lembaga perbankan. Sementara salah satu lembaga keuangan yang secara penuh dibawah naungan pemerintah adalah Bank Indonesia yang memperoleh sertifikasi ISO/IEC 27001 ini pada tahun 2006. Kementerian Komunikasi dan Informatika RI sendiri telah menargetkan untuk memperoleh sertifikasi tersebut pada bulan Juni tahun 2009 lalu yang ditujukan untuk sistem elektronik pengadaan barang dan jasa pemerintah (SePP). Meskipun hingga kini penulis belum mendapatkan informasi akan perolehan sertifikasi atas keamanan informasi tersebut. Menyinggung upaya penanganan keamanan informasi melalui ISMS atau ISO/IEC 27001 ini sejumlah pemerhati masalah keamanan informasi telah melakukan studi dan riset sebelumnya antara lain sebagai berikut: − Perencanaan kebijakan keamanan informasi berdasarkan information security management system (ISMS) ISO 27001 studi kasus: Bank ABC, disusun oleh Aries Fajar Kurnia, Fakultas Ilmu Komputer – UI, 2006. Dalam riset ini penulis berusaha melakukan pengamatan terhadap kemampuan dari people, process dan technology pada obyek penelitian dalam menunjang fungsi dan tugasnya, termasuk atas dokumen kebijakan yang telah dimiliki. Metode penelitian dilakukan melalui pendekatan deskriptif kualitatif, didukung oleh data-data yang diperoleh melalui observasi dan wawancara. Hasil dari penelitian ini adalah berupa analisa strategi perencanaan yang dapat memberikan masukan bagi peningkatan terhadap sistem keamanan informasi yang ada.
− Evaluasi kinerja sistem manajemen keamanan informasi menggunakan ISO 17799: studi kasus Departemen Pertanian RI, disusun oleh Danan Mursito Fakultas Ilmu Komputer – UI, 2008. Dalam riset ini penulis berusaha melakukan pengamatan terhadap kondisi manajemen berikut infrastruktur TI/SI untuk selanjutnya dianalisa dengan melakukan perbandingan terhadap sejumlah literatur yang berkaitan dengan standar perencanaan keamanan informasi. Metode penelitian dilakukan melalui pendekatan deskriptif kualitatif yang didukung dengan observasi, kuesioner dan wawancara. Adapun hasil dari penelitian ini adalah berupa pemaparan sejumlah strategi peningkatan berkaitan dengan kebijakan, prosedur, infrastruktur dan pengendalian atas sistem keamanan informasi yang telah ada. − Institutional Context of the Adoption of ISO/IEC 27001/27002 in China, disusun oleh Xu Yang dan Henk J. de Vries, Erasmus University – Rotterdam, Netherlands, 2009. Metode penelitian bersifat deskriptif kuantitatif dengan tujuan memperoleh informasi organisasi maupun institusi perusahaan di negeri China dari berbagai sektor berdasarkan identifikasi potensial melalui kategori transformasi dan implementasi atas penerapan ISO/IEC 27001/27002. Adapun hasil dari penelitian berupa informasi pembagian sektor organisasi maupun institusi perusahaan di China kedalam kategori tahapan persiapan dan pengimplementasian atas ISO/IEC 27001/27002.
2.3. Tinjauan Organisasi PT. ABC, merupakan salah institusi perusahaan yang bergerak dibidang industri media cetak dan online Indonesia yang berpusat di Jakarta. Pada awal tahun 1961, perusahaan hanya mampu menerbitkan sekitar 7.500 eksemplar. Namun pada akhir tahun 1961, oplahnya melonjak menjadi 25.000 eksemplar. Seiring dengan
perkembangan waktu, perusahaan terus berkembang menjadi koran nasional yang cukup terkemuka. Sebagai ilustrasi, pada tahun 1985 media cetak telah terbit dengan oplah sekitar 250.000 eksemplar. Jumlah karyawan yang semula (tahun 1961) sekitar 28 orang telah membengkak menjadi sekitar 451 orang (tahun 1986).
Dewan Komisaris
Direktur Utama
Direktur Keuangan
Manager Keuangan
Direktur SDM
General Manager LITBANG
Direktur Marketing & Periklanan
Manager Marketing & Periklanan
Staf
Staf
Staf
SDM / Umum Staf
Pemimpin Redaksi (PEMRED)
Wakil PEMRED Redaktur Pelaksana
Wakil Redaktur Pelaksana
TI & Komunikasi Staf
Dewan Redaksi
Redaktur
Staf Redaktur
Gambar II-3. Struktur Organisasi PT. ABC
Adapun visi dan misi perusahaan adalah sebagai berikut: Visi : Menyajikan liputan dan laporan yang adil, akurat, berimbang, aktual dan faktual melalui jurnalisme damai. Misi : Memperjuangkan Kemerdekaan, Keadilan, Kebenaran dan Perdamaian.
Diagram topologi sehubungan dengan keamanan informasi terhadap aset informasi dan data berkaitan dengan sistem informasi perusahaan PT. ABC dapat digambarkan sebagai berikut:
Web Server (Hosting) Site
Production Site Public Internet
Internet Gateway
SMTP, POP HTTP Server Admin Authentication (Access Control)
Authorized Users Office Site (Operational)
Gambar II-4. Diagram Topologi Keamanan Informasi berkaitan dengan Akses Kontrol.
Sementara penanganan pelaporan insiden secara konvensional bilamana didapati suatu tindakan yang mengancam ataupun melanggar aturan keamanan terhadap aset informasi maupun data perusahaan dapat diilustrasikan pada diagram berikut:
Insiden Keamanan Informasi
Non Elektronik/ICT (Tangible)
Elektronik/ICT (Intangible)
Manager bidang yang bersangkutan
Manager/Personil bidang IT & Komunikasi
Direksi / Dewan Direksi
Kebijakan Perusahaan
Penanganan SDM (HRD) *Untuk ditindaklanjuti
Gambar II-5. Diagram alur pelaporan insiden keamanan informasi secara konvensional pada PT. ABC.
2.4. Kerangka Konsep Dalam penulisan tesis ini penulis mencoba untuk memaparkan kerangka konsep Strategi Penanganan Keamanan Informasi terhadap PT. ABC sebagai perusahaan berbasis media cetak/online sebagai berikut: Current Level (Existing Condition)
Next Level (Recommended Target Condition) ISO27001(ISMS) ISO27002 (Code Practice)
Conventional system
Current Existing Management System of Information Security
Gap Analysis
Case (Problem)
Next Alternative Recommended Strategy of Information Security Management System
AHP
- Strengths - Weaknesses
- Opportunities - Threats
IFAS
EFAS
SWOT Analysis
Priority of Strategies
Gambar II-6. Kerangka Konsep Penelitian
Penjelasan: 1. Penelitian ini mencoba untuk mencari atau mendapatkan sejumlah strategi alternatif penanganan keamanan informasi terhadap PT. ABC dengan menempatkan ISMS
(ISO27001) sebagai sasaran model atau standar yang ingin dicapai terhadap kondisi strategi yang ada pada saat ini di perusahaan media cetak/online tersebut. 2. Dalam penelitian ini disamping telah melakukan pengumpulan data skunder melalui literatur kepustakaan ataupun internet, penulis mencoba mengawali penelitiannya dengan melakukan gap-analysis terhadap obyek penelitian yang merujuk kepada sejumlah pemenuhan ISO27002 guna memperoleh sejumlah permasalahan berkaitan dengan keamanan informasi yang dapat diidentifikasi. Disamping itu pula melalui gapanalysis tersebut penulis berupaya untuk memperoleh sejumlah informasi atas faktorfaktor kekuatan dan kelemahan internal yang terdapat pada PT. ABC. 3. Selain itu pula, guna memperoleh informasi atas sejumlah faktor-faktor peluang dan ancaman eksternal, dilakukan survey pada obyek penelitian berupa kuesioner yang outputnya adalah berbagai faktor eksternal yang mungkin berpengaruh terhadap upaya penanganan keamanan informasi perusahaan. Hasil rekapitulasi dari pada pendapat responden pada kuesioner tersebut akan memberikan sejumlah faktor eksternal atas peluang dan ancaman yang sangat dimungkinkan berpengaruh bagi keamanan informasi erat kaitannya dalam penelitian ini. 4. Sebagai upaya untuk memperoleh sejumlah strategi alternatif berkaitan dengan keamanan informasi pada PT. ABC, maka dilakukan suatu analisis SWOT. Adapun berbagai faktor baik faktor-faktor kekuatan dan kelemahan internal (IFAS) maupun faktor-faktor peluang dan ancaman eksternal (EFAS) yang telah disebutkan sebelumnya, akan menjadi input yang sangat dibutuhkan bagi analisis SWOT ini. Sehingga nantinya dapat diperoleh sejumlah alternatif strategi, baik strategi SO, ST, WO dan WT yang merupakan hasil analisis dari SWOT itu sendiri. 5. Setelah diperoleh sejumlah alternatif strategi atas keamanan informasi bagi PT. ABC, selanjutnya dilakukan suatu analisa guna menentukan sejumlah prioritas upaya penenganan keamanan informasi dengan menggunakan tool atau perangkat AHP. Adapun salah satu perangkat AHP yang akan digunakan dalam penelitian ini adalah aplikasi expert choice.
2.5. Hipotesis Hipotesis dalam penelitian ini adalah bahwa upaya untuk mendapatkan strategi alternatif atas keamanan informasi yang lebih baik dengan merujuk pada Information Security Management System (ISMS) atau ISO27001, dapat dilakukan melalui gap analysis yang menggunakan model penerapan ISO27002 serta didukung oleh SWOT analysis.
BAB III DESAIN PENELITIAN
3.1. Metode Penelitian Penulisan tesis ini menggunakan metode penelitian terapan secara deskriptif kualitatif dengan tujuan bersifat eksplorasi tanpa pengujian statistik. Adapun proses penelitian bersifat induktif dimana aktivitas penelitian itu sendiri secara detail dapat diilustrasikan melalui tahapan sebagai berikut: Pengamatan terhadap obyek penelitian (khusus)
Perumusan Strategi alternatif Menghasilkan suatu konsep atau teori baru ( umum)
Pendefinisi an Ruang Lingkup
Pengumpul an data skunder
1
2
SWOT Analysis
Menentukan EFAS/IFAS
6
5
Pengumpul an data primer 3
Gap Analysis 4
Gambar III-1. Bagan Aktivitas Penelitian
Keterangan: 1. Merumuskan batasan atau ruang lingkup penelitian berkaitan dengan penerapan manajemen keamanan informasi terhadap obyek yang meliputi bentuk organisasi, kebijakan maupun infrastruktur yang dimiliki.
2. Mengumpulkan data skunder melalui literatur dan studi kepustakaan berkaitan dengan pemikiran atau sejumlah parameter terhadap penanganan informasi. 3. Mengumpulkan data primer melalui observasi atau pengamatan, interview dan sejumlah angket yang ditujukan kepada nara sumber tertentu. 4. Melakukan gap analysis atas kondisi yang ada pada saat ini di perusahaan dengan kondisi yang diharapkan. 5. Menentukan faktor kekuatan dan kelemahan internal, serta ancaman dan peluang eksternal melalui EFAS dan IFAS. 6. Melakukan SWOT analysis berdasarkan informasi dan analisa data sebelumnya guna mendukung hipotesis disamping merumuskan strategi alternatif yang dapat diterapkan oleh perusahaan untuk meningkatkan kualitas penanganan keamanan informasi dari sebelumnya.
3.2. Metode Pemilihan Sampel Pada penelitian ini obyek pemilihan sampel adalah dengan mengambil data skunder yang diperoleh langsung dari nara sumber tertentu. Sementara proses pemilihan sampel itu sendiri menggunakan convenience sampling dimana nara sumber tersebut dipilih oleh peneliti sesuai dengan bidangnya dengan maksud agar penelitian lebih berbobot dan terarah.
3.3. Metode Pengumpulan Data Metode pengumpulan data dalam penulisan ini dilakukan melalui observasi atau pengamatan terhadap sistem yang diterapkan di lapangan, melakukan wawancara dan penyebaran kuesioner kepada sejumlah nara sumber sesuai bidangnya berkaitan dengan keamanan informasi, di samping sejumlah literatur yang diperoleh baik melalui studi kepustakaan ataupun internet.
3.4. Instrumentasi Oleh karena penelitian bersifat kualitatif maka instrumentasi yang digunakan dalam mendukung penelitian ini adalah penulis sendiri, yang melakukan pengamatan, inteview ataupun tanya jawab kuesioner secara langsung terhadap nara sumber yang ditunjuk sebelumnya.
3.5. Teknik Analisis Data Teknik analisis data dalam penelitian yang bersifat kualitatif ini menggunakan pendekatan yang bersifat non-statistik. Sejumlah data (baik data primer yang diperoleh melalui pengamatan langsung maupun data skunder melalui studi kepustakaan) akan dianalisa melalui pendekatan Gap Analysis dan Strengths Weakness Opportunities and Threat (SWOT) Analysis. Melalui cara ini penulis berharap untuk mendapatkan suatu penilaian antara tingkat kekuatan dan kelemahan internal di samping posisi peluang dan ancaman eksternal di dalam upaya penanganan dan pengendalian keamanan informasi terhadap ancaman dan kerentanan dari sisi internal perusahaan.
3.4. Jadwal Penelitian Jadwal penyusunan tesis dimulai pada bulan Desember 2009 dan direncanakan selesai setelah melewati sidang tesis pada bulan Pebruari 2010, sebagaimana diuraikan pada tebel berikut: Tabel III-1. Jadwal Penyusunan Tesis
BAB V PENUTUP
Demikian proposal tesis ini dibuat, semoga dapat memenuhi kriteria untuk diajukan serta dituangkan dalam penelitian dan penulisan tesis secara penuh. Adapun oleh kerena analisa dan intepretasi data belum dipaparkan dalam proposal tesis ini, maka saat ini penulis belum dapat menguraikan kesimpulan dan saran sebagai hasil dari penilitian yang akan dilakukan. Adapun harapan penulis di dalam proses penelitian ini dapat diuraikan sebagai berikut: − Topik permasalahan yang berkaitan dengan tema dari penulisan ini dapat memenuhi keriteria dalam pengajuan studi bagi penelitian tingkat strata dua (tesis). − Adanya dukungan dari manajemen perusahaan berkaitan dengan pelaksanaan proses penelitian yang membutuhkan sejumlah informasi yang tidak disarankan untuk diketahui oleh khalayak umum. − Proses pengumpulan data baik data primer maupun data skunder terpenuhi dan berjalan dengan baik sehingga mendukung analisa yang akan dilakukan dalam penelitian ini. − Proses analisa memenuhi keriteria sehingga dapat diperoleh berbagai masukan yang mendukung hiotesa tesis berkaitan dengan sejumlah permasalah yang ada. − Akhir kata, proposal tesis ini dapat diterima dan disetujui oleh tim penguji akademik sehingga dapat dilanjuti menuju proses analisis dan interprestasi sebagai pelengkap dari penyusunan tesis secara keseluruhan.
DAFTAR PUSTAKA
[Carlson 2009]
Carlson, Tom, Understanding Information Security Management Systems, Auerbach Publications, New York, 2009., http://www.infosectoday.com. (Diakses Agustus 2009).
[Carlson 2008]
___________, Understanding ISO 27002, Orange Parachute – HotSkills, Inc., 2008. http://www.orangeparachute.com. (Diakses January 2010).
[Harris 2010]
Harris, Shon, Gap Analysis Procedures, 2006, http://searchsecurity.techtarget.com. (Diakses: Januari 2010).
[INF 2009]
Infolock Technologies, An Introduction to Insider Threat Management, 2006., http://www.infolocktech.com. (Diakses: Agustus 2009).
[ISO 2005]
ISO/IEC 27001 First Edition 2005-10-15, ISO/IEC, Switzerland, 2005.
[Kurnia 2006]
Kurnia, Aries F., “Perencanaan kebijakan keamanan informasi berdasarkan information security management system (ISMS) ISO 27001 studi kasus: Bank ABC”, Fasilkom – UI, 2006.
[PRG 1997]
Praxiom Research Group Limited. 2010. ISO/IEC 27002: 2005 (17799: 2005) Information Security Audit Tool. Canada. (Diakses: Pebruari 2010)
[Rangkuti 1997]
Rangkuti, Freddy, Analisis SWOT: Teknik Membedah Kasus Bisnis, Gramedia Pustaka Utama, Jakarta, 1997.
[Rasmussen 2006]
Rasmussen, Gideon T., Insider Risk Management Guide, CyberGuard Corporation 2005, http://www.gideonrasmussen.com, (Diakses: Juli-Agustus 2009).
[Tudor 2006]
Tudor, Jan K., Information Security Architecture: An Integrated Approach to Security in the Organization, 2nd ed., Taylor & Francis Group, LLC., Boca Raton, FL, 2006.
[WIK 10]
Wikipedia, Information Security, http://www.wikipedia.org, (Diakses: Januari 2010).
[Yang 09]
Yang, Xu and Henk J. de Vries. Institutional Context of the Adoption of ISO/IEC 27001/27002 in China, Erasmus University – Rotterdam, Netherlands, 2009.