Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
PERANCANGAN PENGUKURAN KEAMANAN SISTEM INFORMASI PADA PERWAKILAN BPKP JAWA TIMUR Siegfried Budyo Muljo Jozua J.1) dan Erma Suryani) 1) Program Studi Magister Manajemen Teknologi, Institut Teknologi Sepuluh Nopember, Jl. Cokroaminoto 12A, Surabaya, 60264, Indonesia e-mail:
[email protected] 2) Jurusan Sistem Informasi, Institut Teknologi Sepuluh Nopember ABSTRAK Implementasi kebijakan keamanan sistem informasi pada suatu organisasi perlu dievaluasi dengan tujuan untuk menilai efektivitas kebijakan dan melakukan tindakan perbaikan yang diperlukan. Demikian pula halnya dengan impelementasi KEP-35/2005, kebijakan keamanan sistem informasi pada Badan Pengawasan Keuangan dan Pembangunan (BPKP). Namun di Perwakilan BPKP Jatim, tindakan tersebut belum pernah dilakukan, karena belum adanya sarana untuk melakukan penilaian. Penelitian ini dimaksudkan untuk mengembangkan rancangan pengukuran keamanan sistem informasi, guna memenuhi kebutuhan sarana penilaian keamanan sistem informasi bagi Perwakilan BPKP Jatim. Tujuan tersebut dicapai melalui proses pemetaan kebijakan kemananan sistem informasi BPKP terhadap standar kemananan ISO 27001. Berdasarkan hasil pemetaan, kemudian disusun rancangan pengukuran keamanan sistem informasi berupa metrik keamanan informasi (information security metrics), menggunakan kerangka kerja ISO 27004. Rancangan pengukuran keamanan sistem informasi yang dihasilkan akan menjadi masukan bagi manajemen Perwakilan BPKP Jawa Timur dalam melakukan evaluasi terhadap implementasi KEP-35/2005 dan sebagai landasan untuk perbaikan dan pengembangan selanjutnya. Kata kunci: BPKP, Pengukuran Keamanan Informasi, ISO 27001, ISO 27004, Security Metrics.
PENDAHULUAN Badan Pengawasan Keuangan dan Pembangunan (BPKP) sesuai dengan Keputusan Presiden Republik Indonesia Nomor 103 Tahun 2001 tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi dan Tata Kerja Lembaga Pemerintah Non-Departemen, sebagaimana telah beberapa kali diubah, terakhir dengan Peraturan Presiden Nomor 64 tahun 2005, adalah lembaga pemerintah non-kementerian yang melaksanakan tugas pemerintah di bidang pengawasan keuangan dan pembangunan. Revitalisasi dan reposisi BPKP melalui penajaman visi, misi, dan strategi sebagai "Auditor Intern Pemerintah yang Proaktif dan Terpercaya dalam Mentransformasikan Manajemen Pemerintahan Menuju Pemerintahan yang Baik dan Bersih" sesuai dengan pengarahan Presiden RI tanggal 11 Desember 2006, menegaskan tugas pokok BPKP pada pengembangan fungsi preventif. Hasil kerja tugas pokok dan fungsi BPKP harus dapat menjawab kebutuhan para pemangku kepentingan (stakeholders) sesuai dengan kebutuhannya, antara lain sebagai bahan pertimbangan untuk menetapkan kebijakan dalam menjalankan pemerintahan dan memenuhi kewajiban akuntabilitas bagi Presiden dan Wakil Presiden, bahan dalam menjalankan fungsi pengawasan terhadap pelaksanaan tugas eksekutif dan sebagai bahan pertimbangan dalam menetapkan berbagai peraturan perundang-undangan ISBN : 978-602-97491-9-9 C-6-1
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
bagi Dewan Perwakilan rakyat (DPR), serta bahan dalam rangka penegakkan supremasi hukum menuju penyelenggaraan pemerintahan yang bersih bagi aparat penegak hukum seperti Kejaksaan, Kepolisian, dan Komisi Pemberantasan Korupsi (KPK). Untuk mendukung tercapainya visi dan misi serta menunjang kelancaran kegiatan operasional dan agar informasi tersedia dengan cepat dan mudah, sehingga mendukung pimpinan dalam mengambil keputusan serta menyediakan kebutuhan informasi kepada para pemangku kepentingan, BPKP memanfaatkan teknologi informasi dan membangun beberapa sistem informasi, antara lain Sistem Informasi Perencanaan untuk Rencana Kerja Tahunan (SIM RKT), Sistem Informasi Manajemen Monitoring Evaluasi Rencana Kerja Tahunan (SIM MONEV RKT), Sistem Informasi manajemen Hasil Pengawasan (SIM-HP), dan sistem elektronik untuk mengelola dokumen yang disebut Document Management System (DMS). Pemanfaatan teknologi informasi telah didukung dengan kebijakan keamanan informasi melalui Keputusan Kepala BPKP Nomor: KEP-35/K/IP/2005 tentang Kebijakan Pengamanan Sistem Informasi di Lingkungan BPKP (KEP- 35/2005) yang menjadi pedoman bagi seluruh pegawai BPKP dalam mengidentifikasi, mengukur, dan menangani risiko atas sistem informasi yang berbasis TI serta untuk meminimalkan risiko melalui usaha pengamanan sistem informasi. KEP-35/2005 juga mengatur mengenai perlunya melakukan monitoring dan audit secara berkala dengan tujuan menilai efektivitas dan melakukan tindakan perbaikan yang diperlukan. Namun demikian, kegiatan tersebut di Perwakilan BPKP Provinsi Jawa Timur (BPKP Jatim) belum pernah dilakukan. Penyebabnya adalah belum adanya pedoman pelaksanaan, terutama yang berkaitan dengan sarana (tools) yang dapat dijadikan alat untuk melakukan penilaian tersebut. Oleh karena itu perlu dilakukan upaya agar monitoring dan audit keamanan informasi dapat dilakukan, yaitu dengan menyiapkan sarana penilaian. Prinsip manajemen yang secara luas diterima menyatakan bahwa penilaian efektivitas keamanan informasi dilakukan melalui pengukuran (Payne, 2006). Payne juga menyarankan digunakannya security metrics (metrik keamanan) untuk melakukan pengukuran, karena merupakan alat yang bermanfaat untuk menilai efektivitas berbagai komponen sistem keamanan. Penelitian ini dimaksudkan untuk mengembangkan rancangan pengukuran keamanan sistem informasi sebagai sarana untuk melakukan penilaian terhadap implementasi kebijakan keamanan sistem informasi di BPKP Jatim. Tersedianya rancangan tersebut akan memberikan manfaat sebagai bahan masukan bagi manajemen BPKP Jatim dalam melakukan penilaian terhadap implementasi kebijakan keamanan sistem informasi dan menyediakan landasan sebagai sarana perbaikan dan pengembangan sarana pengukuran keamanan di masa depan. METODE Penelitian ini secara garis besar terdiri atas empat tahap utama, yaitu tahap analisis kondisi, studi pustaka, identifikasi KEP-35/2005 terhadap ISO 27001, dan pengembangan pengukuran keamanan. Tahap pengembangan pengukuran keamanan terdiri dari serangkaian proses yang sesuai dengan model penyusunan konstruksi pengukuran keamanan berdasarkan ISO 27004 yaitu meliputi penetapan ruang lingkup pengukuran, menentukan tujuan pengukuran, pemilihan obyek dan atribut, dan pengembangan pengukuran keamanan. Tahap analisis kondisi dn studi pustaka dilakukan melalui identifikasi kondisi penerapan kebijakan keamanan sistem informasi di BPKP Jatim, pengumpulan data yang relevan, perumusan permasalahan, dan landasan teori yang menunjang untuk menyelesaikan masalah. Kegiatan tersebut dilakukan dengan cara wawancara dengan pihak BPKP Jatim, menelaah peraturan
ISBN : 978-602-97491-9-9 C-6-2
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
dan kebijakan organisasi yang terkait dengan proses bisnis organisasi dan pengelolaan sistem informasi, serta sumber pustaka yang relevan. Tahap Identifikasi KEP-35/2005 terhadap ISO 27001 Dalam tahap ini dilakukan pemetaan komponen pengendalian dalam KEP-35/2005 terhadap klausul dan sasaran pengendalian pada ISO 27001 dengan tujuan untuk mengidentifikasi komponen pengendalian KEP-35/2005 yang bersesuaian dengan klausul dan sasaran pengendalian ISO 27001. Pemetaan dilaksanakan dengan metode menyampaikan formulir yang berisikan komponen pengendalian KEP-35/2005 dan klausul serta sasaran pengendalian ISO 27001 kepada satgas pengelola sistem BPKP Jatim yang mewakili setiap bidang/unit kerja, untuk dilakukan identifikasi kesesuaian atau korelasi antar komponen pengendalian dari kedua kebijakan dan standar tersebut. Terhadap hasil pemetaan kemudian dilakukan verifikasi melalui proses reviu oleh responden BPKP yang memiliki sertifikat pengendali teknis, untuk memastikan bahwa hasil pemetaan telah memuat seluruh unsur pengendalian KEP-35/2005 yang berkorelasi dengan ISO 27001 dan tidak terdapat perbedaan interpretasi dari setiap unsur satgas. Tahap Pengembangan Pengukuran Keamanan Tahap pengembangan pengukuran keamanan merupakan serangkaian proses sesuai dengan ISO 27004 yaitu: penetapan ruang lingkup pengukuran, menentukan tujuan pengukuran, pemilihan obyek dan atribut, dan pengembangan pengukuran keamanan. Tahap penetapan ruang lingkup adalah proses pemilihan komponen pengendalian yang akan dinilai. Pemilihan ruang lingkup pengukuran menurut ISO 27004, tergantung pada kemampuan sumber daya dan dana yang dimiliki organisasi. Organisasi dapat memilih melakukan penilaian terbatas pada pengendalian yang dinilai paling penting dan merupakan prioritas bagi manajemen. Seiring dengan makin meningkatnya pengalaman dan kemampuan organisasi, ruang lingkup dikembangkan dan menjangkau seluruh aspek pengendalian keamanan informasi. Penetapan ruang lingkup dilaksanakan melalui penyebaran kuesioner kepada petugas satgas sistem informasi untuk memilih bobot peranan komponen pengendalian dalam melindungi keamanan aset informasi pada BPKP Jatim, menggunakan metode pairwise comparison. Tahap tujuan pengukuran adalah pernyataan penetapan tujuan pengukuran yang akan dilakukan terhadap komponen pengendalian yang ditetapkan dalam ruang lingkup pengukuran. Tujuan pengukuran merupakan kebutuhan informasi yang dibutuhkan oleh manajemen, berupa hasil yang diharapkan dapat diperoleh dari tindakan penilaian yang dilakukan. Tujuan pengukuran diperoleh menggunakan metode wawancara langsung dengan para pemangku kepentingan yaitu pejabat pada tingkat Kepala Bidang/Bagian, untuk mengetahui kebutuhan yang diinginkan dari kegiatan pengukuran. Tahap pemilihan obyek pengukuran dan atributnya merupakan tahap identifikasi unsur pengendalian keamanan informasi dan atribut yang terkait dengan ruang lingkup dan tujuan pengukuran yang dipilih. Proses identifikasi dilakukan terhadap unsur pengendalian yang mendukung tercapainya sasaran pengendalian dengan metode menetapkan obyek utama yang akan dicapai dan mengidentifikasi komponen yang mendukung tercapainya tujuan obyek tersebut. Proses dilanjutkan dengan mengidentifikasi apakah terdapat sub komponen yang mendukung tercapainya tujuan komponen, apakah masih terdapat fungsi-fungsi lain yang mendukung komponen di atasnya dan berhenti jika fungsi tersebut merupakan komponen terakhir yang tidak memiliki sub komponen untuk mendukung tercapainya tujuan.
ISBN : 978-602-97491-9-9 C-6-3
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
Hasil identifikasi berupa obyek dan atribut kemudian dilakukan validasi, yaitu dengan mengajukan daftar unsur pengendalian dan atributnya kepada pengelola sistem informasi di setiap bidang dari unsur pengendali teknis, yang memiliki fungsi supervisi dalam kegiatan penugasan, untuk memastikan bahwa atribut telah mencukupi untuk menggambarkan kondisi unsur pengendalian. Tahap menyusun konstruksi pengukuran dilakukan setelah atribut unsur pengendalian diidentifikasi. Tahap penyusunan konstruksi pengukuran meliputi informasi penetapan/ pemilihan ukuran, yaitu ukuran apa yang akan diterapkan terhadap atribut, dengan menggunakan suatu metode pengukuran, agar tujuan pengukuran dapat dipenuhi, pemilihan fungsi pengukuran, model analitis yang diperlukan, indikator yang akan digunakan, dan kriteria pengambikan keputusan yang dipakai. Penyusunan konstruksi pengukuran menggunakan metode yang lazim digunakan pada penugasan di BPKP Jatim, yaitu seluruh proses diserahkan kepada tim dan hasilnya kemudian diajukan kepada Pengendali Teknis untuk di verifikasi guna memastikan bahwa konstruksi pengukuran telah memadai untuk menyajikan informasi yang sesuai dengan kebutuhan manajemen, yang dinyatakan dalam tujuan pengukuran. Seluruh tahapan pengembangan pengukuran keamanan kemudian didokumentasikan dengan maksud agar proses dapat dievaluasi untuk mengetahui kelemahan yang mungkin terjadi dan menjadi landasan untuk penggunaan dan pengembangan pada penugasan pengukuran keamanan sistem informasi berikutnya. HASIL DAN PEMBAHASAN Hasil identifikasi berupa pemetaan komponen pengendalian dalam KEP-35/2005 terhadap klausul dan sasaran pengendalian pada ISO 27001adalah sebagai berikut. Tabel 1. Hasil pemetaan KEP-35/2005 terhadap ISO 27001 KEP-35/2005 1. Pengamanan Perangkat Keras dan Lokasi 2. Pengamanan Perangkat Lunak 3. Pengamanan Sumber Daya Manusia 4. Pengamana Data dan Infromasi
5. Pengamanan Tindakan Hukum 6. Penanganan Tindakan Keamanan
Klausul dan Sasaran Pengendalian ISO 27001 A.7.1, A.9.1, A.9.2, A.10.6, A.10.7 A.11.5, A.11.6, A.11.7, A.10.3, A.10.4, A.12.1, A.12.5 A.8.1, A.8.2, A.8.3, Klausul 5.2.1, 5.2.2 A.6.1, A.6.2, A.7.2, A.10.1, A.10.2, A.10.5, A.10.8, A.10.9, A.10.10, A.11.1, A.11.2, A.11.3, A.11.4, A.12.2, A12.3, A.12.4 A.15.1, A.15.2, Klausul 7.2 A.5.1, A.12.6, A13.1, A.13.2, A.14.1, A.15.3, Klausul 7.3, 8.1, 8.2, 8.3
Sedangkan hasil pembobotan untuk menentukan ruang lingkup pengukuran sesuai dengan prioritas komponen pengendalian yang dinilai paling penting, ditunjukkan pada Gambar 1.
ISBN : 978-602-97491-9-9 C-6-4
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
Gambar 1. Hasil Pembobotan Tingkat Kepentingan Komponen Keamanan SI
Berdasarkan Gambar 1 terlihat bahwa pengamanan sumber daya manusia merupakan komponen keamanan sistem informasi yang memiliki prioritas tertinggi, diikuti oleh pengamanan perangkat lunak. Skor hasil pembobotan selengkapnya adalah Pengamanan Perangkat Keras dan lokasi 0,17,; Pengamanan Perangkat Lunak 0,26; Pengamanan Sumber Daya Manusia 0,27; Pengamanan Data dan Informasi 0,16; Pengamanan Tindakan Hukum 0,06; dan Pengamanan Tindakan Keamanan 0,08. Dengan demikian maka komponen pengendalian keamanan yang dipilih untuk dikembangkan pengukuran keamanannya adalah Pengamanan Sumber Daya Manusia. Sementara itu, hasil identifikasi tujuan pengukuran berdasarkan hasil wawancara terhadap para Kepala Bidang/Bagian, menghasilkan tujuan pengukuran terhadap pengamanan sumber daya manusia sebagai berikut: 1. Informasi apakah terdapat pegawai yang direkrut dan diterima bekerja yang tidak memenuhi persyaratan kompetensi. 2. Kandidat pegawai yang tidak dilakukan screening atas latar belakangnya (track record) 3. Pemahaman pegawai terhadap kebijakan dan pedoman keamanan informasi organisasi. 4. Informasi mengenai kemungkinan terjadinya kecurangan yang dilakukan oleh pegawai, kontraktor, atau pihak ketiga, seperti mengakses, mengubah, merusak, dan menghapus informasi tanpa otorisasi. 5. Pegawai yang sudah mendapat pelatihan keamanan informasi. 6. Pegawai yang mengikuti pelatihan keamanan berdasarkan jadwal pelatihan tahunan. 7. Tingkat kepedulain pegawai terhadap keamanan informasi 8. Kegagalan sistem yang terjadi, yang disebabkan oleh faktor manusia meliputi human error, ketidakpedulian, kesengajaan, dan niat tidak baik. 9. Pegawai yang diberhentikan atau alih tugas yang masih menggunakan peralatan organisasi dan belum dihapus hak aksesnya. 10. Pegawai telah menandatangani pakta integritas. 11. Pegawai yang diganti atau diberhentikan didukung dengan dokumentasi yang jelas mengenai penyebab penggantian atau pemberhentian Hasil dari proses identifikasi obyek dan atribut pengukuran, disajikan pada Tabel 2.
ISBN : 978-602-97491-9-9 C-6-5
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
Tabel 2. Obyek dan Atribut Pengukuran 1. Pegawai yang direkrut dan diterima tidak memenuhi persyaratan kompetensi Obyek Pengukuran Data calon pegawai Atribut Pengukuran Persyaratan kompetensi calon pegawai. 1. Kandidat pegawai yang tidak dilakukan screening Obyek Pengukuran Data calon pegawai Atribut Pengukuran Jumlah calon pegawai yang telah di Screening oleh tim seleksi. 2. Pemahaman pegawai terhadap kebijakan dan pedoman keamanan informasi organisasi Obyek Pengukuran Personel satgas SI Atribut Pengukuran Pemahaman personel terhadap pedoman dan kebijakan keamanan informasi 3. Informasi terjadinya kecurangan yang dilakukan oleh pegawai, kontraktor, atau pihak ketiga, seperti mengakses, mengubah, merusak, dan menghapus informasi tanpa otorisasi. Obyek Pengukuran Laporan insiden keamanan informasi - Jumlah penyimpangan yang terjadi Atribut Pengukuran - Jenis penyimpangan - Identitas pelaku 4. Pegawai yang sudah mendapat pelatihan keamanan informasi Obyek Pengukuran Database pegawai Atribut Pengukuran Catatan pelatihan 5. Pegawai yang mengikuti pelatihan keamanan sesuai jadwal pelatihan tahunan. Obyek Pengukuran Database pegawai Atribut Pengukuran Catatan pelatihan 6. Tingkat kepedulain pegawai terhadap keamanan informasi 1. Jadwal pelatihan kepedulian terhadap keamanan informasi 2. Personel yang telah atau sedang mengikuti Obyek Pengukuran pelatihan 3. Rencana penandatanganan kesepakatan kepedulian 4. Personel yang telah menandatangani kesepakatan kepedulian 1. Personel yang direncanakan mengikuti pelatihan 2. Status personel terkait dengan pelatihan Atribut Pengukuran 3. Personel yang terjadwal untuk menandatangani kesepakatan kepedulian 4. Status personel terkait dengan penandatanganan kesepakatan kepedulian 7. Kegagalan sistem yang terjadi, yang disebabkan oleh faktor manusia meliputi human error, ketidakpedulian, kesengajaan, dan niat tidak baik. Obyek Pengukuran Laporan kegagalan sistem informasi - Jumlah kegagalan Atribut Pengukuran - Kegagalan karena faktor manusia - Jenis penyebab kegagalan 8. Pegawai yang diberhentikan atau alih tugas yang masih menggunakan peralatan organisasi dan belum dihapus hak aksesnya.
Obyek Pengukuran
Atribut Pengukuran
1. 2. 3. 1. 2. 3.
ISBN : 978-602-97491-9-9 C-6-6
Data pegawai yang diganti/dihentikan Data peralatan yang dipinjamkan Database sistem akun pegawai Pegawai yang dihentikan Peralatan yang dikembalikan Hak akses yang dihapuskan
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
9.
Pegawai telah menandatangani pakta integritas
Obyek Pengukuran
1. Rencana penandatanganan pakta integritas 2. Pegawai yang telah menandatangani pakta integritas Atribut Pengukuran 1. Pegawai yang terjadwal menandata-ngani pakta integritas 2. Status pegawai terkait dengan penandatanganan pakta integritas 10. Pegawai yang diganti atau diberhentikan didukung dengan dokumentasi yang jelas mengenai penyebab penggantian atau pemberhentian Obyek Pengukuran Atribut Pengukuran
Data pegawai yang diganti/dihentikan Alasan pemberhentian/penggnatian pengawai
Hasil dari tahap penyusunan konstruksi pengukuran didokumentasikan agar dapat digunakan kembali dalam penugasan berikutnya dan untuk dievaluasi serta dilakukan perbaikan atas kelemahan yang mungkin ditemukan atau penyesuaian terhadap perubahan yang terjadi. Terdapat dua dokumetasi yaitu dokumentasi proses dan dokumentasi struktur pengukuran informasi berupa template. Dokumentasi proses ditunjukkan dalam Tabel 3 dan template struktur pengukuran disajikan dalam Tabel 4. Tabel 3. Dokumentasi Proses Proses Pengembangan Pengukuran 1. Menetapkan ruang lingkup
2. Menetapkan tujuan pengukuran
3. Pemilihan obyek dan atribut
4. Menyusun Konstruksi Pengukuran terdiri dari: - Pemilihan ukuran - Metode pengukuran - Rumus perhitungan - Target - Realisasi
Keterangan/metode yang dijalankan Penetapan ruang lingkup bersifat optional, karena jika organisasi memiliki kemampuan sumber daya yang memadai, maka pada tahap awal pengukuran, organisasi dapat langsung mengembangkan konstruksi pengu-kuran untuk seluruh sasaran pengen-dalian. Jika memerlukan pemilihan ruang lingkup, maka pilihan sasaran pengendalian adalah pengendalian yang menjadi prioritas manajemen. Penetapan prioritas dapat ditetapkan oleh manajemen puncak atau melalui penyebaran kuesioner kepada kelompok manajemen level tengah menggunakan metode pair-wise comparison. Tujuan pengukuran merupakan informasi dari manajemen mengenai informasi apa yang ingin didapatkaan dari kegiatan pengukuran. Diperoleh melalui wawancara atau penugasan dari atasan. Merupakan tugas tim yang akan melakukan penilaian dan diverifikasi oleh pejabat yang kompeten, melalui penelaahan terhadap kebijakan keamanan yang diimplementasikan. Pemilihan obyek dan atribut harus menjamin bahwa tujuan pengukuran dapat dipenuhi. Merupakan tugas tim, disusun berdasarkan obyek dan atribut yang dipilih, sehingga hasil pengukuran memenuhi kebutuhan informasi yang diinginkan manajemen.
ISBN : 978-602-97491-9-9 C-6-7
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
Tabel 4. Template Konstruksi Pengukuran Identifikasi Konstruksi Pengukuran Identitas Identitas pengukuran untuk memudahkan identifikasi dan penelusuran (referensi) ke kertas kerja yang dibuat. Nama Nama pengukuran, sesuai dengan nama unsur pengendalian yang diukur. Periode Waktu dilaksanakannya pengukuran Tujuan Pernyataan tujuan pengukuran yang akan dilakukan terhadap komponen pengendalian Sasaran pengenda- Sasaran pengendalian yang diukur. lian/proses Unsur pengenda-lian Unsur pengendalian yang diukur Obyek Pengukuran dan Atribut Obyek Pengukuran Obyek atau entitas yang dicirikan berdasarkan pengukuran atas atributnya. Obyek pengukuran bisa berupa proses, perencanaan, sistem, atau komponen sistem Atribut Ciri atau properti dari obyek pengukuran yang dapat dikenali secara kualitas maupun kuantitas, baik oleh manusia maupun menggunakan mesin/teknologi. Base Measure (berlaku untuk setiap base measure yang menyertai atribut). Base Measure Kejadian, proses, rencana, atau kegiatan yang diukur. Misal jumlah personel yang mendapat pelatihan, jumlah kejadian serangan virus yang terjadi, dll. Metode Pengukuran Metode untuk melakukan pengukuran/mengkuantifikasikan obyek pengukuran Unit Pengukuran Satuan yang digunakan terhadap hasil kuantifikasi metode pengukuran, misal: jam, kali, buah, orang. Formula Rumus atau algoritma perhitungan yang dilakukan untuk memperoleh hasil pengukuran. Hasil Pengukuran dan Indikator untuk Pengambilan Keputusan Target Kriteria nilai yang harus dicapai Realisasi Hasil perhitungan menggunakan formula Pihak yang berkepentingan (stakeholders) Unit dinilai Diisi dengan nama unit yang dinilai Direviu oleh Diisi dengan nama petugas yang melakukan riviu Pemilik informasi Diisi dengan nama dan jabatan petugas unit yang dinilai Petugas penilai Diisi dengan nama petugas penilai Pemberi data Diisi dengan nama petugas yang menyediakan data Frekuensi kegiatan Pengumpulan data Periode pengumpulan data, misal bulanan, triwulanan, semesteran, atau tahunan Periode laporan Periode laporan harus disampaikan Periode penilaian Periode pelaksanaan penilaian harus dilakukan
ISBN : 978-602-97491-9-9 C-6-8
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
KESIMPULAN DAN SARAN Kesimpulan dari hasil penelitian ini adalah sebagai berikut: 1. Konstruksi pengukuran keamanan informasi berdasarkan standar ISO 27004 dapat digunakan untuk mengembangkan konstruksi pengukuran keamanan sistem informasi bagi BPKP Jatim. 2. Pemetaan kebijakan sistem keamanan informasi organisasi terhdadap ISO 27001 diperlukan jika akan mengembangkan metriks keamanan menggunakan ISO 27004 dan kebijakan sistem organisasi tidak dibangun berdasarkan standar ISO 27001. 3. Penetapan ruang lingkup bersifat optional, karena jika organisasi memiliki kemampuan sumber daya yang memadai, maka pada tahap awal pengukuran, organisasi dapat langsung mengembangkan konstruksi pengukuran untuk seluruh sasaran pengendalian. 4. Dokumentasi proses penyusunan konstruksi pengukuran telah dapat disusun untuk keperluan pelaksanaan penilaian keamanan sistem informasi di BPKP Jatim. 5. Template konstruksi pengukuran keamanan sistem informasi telah dapat disusun sebagai landasan untuk menyusun metriks keamanan bagi komponen pengendalian dalam KEP35/2005 dalam setiap kegiatan penilaian kebijakan keamanan dilingkungan BPKP Jatim. Untuk memperbaiki hasil penelitian ini, maka sarannya adalah: 1. Konstruksi pengukuran tersebut masih harus dilengkapi dengan prosedur audit berupa langkah yang harus dilakukan untuk memperoleh dokumen, data, pengujian fisik, dan tindakan lain untuk mendukung jawaban hasil evaluasi dalam metrik keamanan. 2. Konstruksi metriks keamanan masih berupa perancangan dan belum diimplementasikan dalam praktik, sehingga perlu dilakukan penelitian terhadap implementasinya guna menguji validitas metriks keamanan yang dirancang dan melakukan perbaikan. DAFTAR PUSTAKA Bryant, A. R. (2007), Developing a Framework for Evaluating Organizational Information Assurance Metrics Programs. Ft. Belvoir: Defense Technical Information Center. http://handle.dtic.mil/100.2/ADA467367 Campbell, George K. (2006), How to Use Metrics, CSO Security and Risk. http://www.csoonline.com/article/print/220980 Champlain, Jack J. (2003), Auditing Informations Systems, 2nd Edition, John Wiley & Sons, New Jersey. Chew, Elizabeth, Swanson, M., Stine, K., Bartol, N., Brown, A., Robinson, Will (2008), Performance Measurement Guide for Information Security, National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-55Rev1/SP800-55-rev1.pdf Hayden, Lance (2010), IT Security Metrics a Practical Framework for Measuring Security and Protecting Data, McGraw-Hill, New York. Hinson, Gary (2006), "Seven Myths about Information Security Metrics", ISSA Journal, Juli 2006. Jaquith, Andrew. (2007), Security Metrics: Replacing Fear, Uncertainty, and Doubt, Pearson Education, Inc., New Jersey Kahraman, Erkan. (2005), Evaluating IT Security Performance with Quantifiable Metrics, Tesis Master, Stockholmiensis Universitas Regia, Stockholm ISBN : 978-602-97491-9-9 C-6-9
Prosiding Seminar Nasional Manajemen Teknologi XX Program Studi MMT-ITS, Surabaya 1 Februari 2014
Keputusan Kepala Badan Pengawasan Keuangan dan Pembangunan Nomor: KEP35/K/IP/2005 Tentang Kebijakan Pengamanan Sistem Informasi di Lingkungan Badan Pengawasan Keuangan dan Pembangunan Keputusan Kepala Badan Standardisasi Nasional Nomor 85/KEP/BSN/4/2013 Tentang Penetapan 21 (Dua Puluh Satu) Standar Nasional Indonesia Lundholm, Kristoffer. (2009), Design and Implementation of a Framework for Security Metrics Creation, Tesis Master, Linköping Institute of Technology, Linköping. O’Brien, James A., Marakas, George M., (2010), Introducton to Information Systems, 15th Edition, McGraw-Hill, New York. Pathak, Jagadis. (2005), Information Technology Auditing an Evolving Agenda, Springer, Berlin. Payne, Shirley C. (2006), A Guide to Security Metrics, SANS Institute Sajko, Mario (2012), Measuring and Evaluating the Effectiveness of Information Security, http://www.academypublish.org/papers/pdf/310.pdf Schimkowitsch, Scott E. (2009), Key Components of an Information Security Metrics Program Plan, Tesis Master, University of Oregon, Oregon The International Standard Organization (2005), ISO/IEC 27001 - Information Technology Security Techniques - Information Security Management Systems - Requirement, ISO/IEC, Geneva. The International Standard Organization (2009), ISO/IEC 27004 - Information Technology Security Techniques - Information Security Management Systems - Measurement, ISO/IEC, Geneva. The International Standard Organization (2011), ISO/IEC Dir 2 Rules for The Structure and Drafting of International Standards, 6th edition, ISO/IEC, Geneva. Tim DMS, (2008), Prosedur Operasi Baku Pengelolaan e-Reporting dan e-Library, Pusinfowas Badan Pengawasan Keuangan dan Pembangunan, Jakarta. Wang, C. & Wulf, W. (1997) Toward a Framework For Security Measurement, http://csrc.nist.gov/nissc/1997/proceedings/522.pdf Webster’s Third New International Dictionary, Unabridged For PC Version 2.5 (2000), Merriam-Webster, Incorporated, Springfield
ISBN : 978-602-97491-9-9 C-6-10