Seminar Tugas Akhir Judul Tugas Akhir : Pembuatan Evaluasi Pengendalian Terhadap Data Sistem Informasi, Menggunakan Control Objective DS 11 pada COBIT 4.1 DAN ISO/IEC 27002 Studi Kasus Dinas Komunikasi Dan Informatika Jawa Timur Bidang Pengembangan Teknologi Informasi.
By : Rizka Ayu Wulandari 5207 100 065
Pembimbing: Ir. Aris Tjahyanto, M.Kom Indah Kurnia, S.Kom
Abstrak • •
•
• •
Diskominfo merupakan sebuah institusi yang mempunyai tugas melaksanakan urusan pemerintahan di bidang komunikasi dan informatika. Salah satu tugas Diskominfo adalah mengembangkan infrastruktur TIK melalui pengembangan aplikasi. Dilihat dari banyaknya tugas Diskominfo, tentunya banyak data yang dikelola, seperti data pemesanan software, pemasangan jaringan dan lain sebagainya. Hal tersebut membutuhkan suatu pengelolaan data atau informasi yang harus dikelola dengan baik termasuk dari segi pengelolaannya. Pembuatan perangkat evaluasi bertujuan untuk menilai dan mengetahui sejauh mana pihak Diskominfo mengkontrol kemanan data yang ada dengan mengidentifikasi resiko sampai metode pengolaan resiko. Cobit 4.1 dan ISO/IEC 27002 merupakan salah satu framework yang digunakan dalam proses evaluasi, kedua framework tersebut dapat digunakan bersamaan karena dapat saling melengkapi dan menjadi pilhan dengan standart yang tepat. Hasil dari tugas akhir ini berupa perangkat evaluasi yang meliputi : identifikasi resiko, daftar pertnyaan (checklist), penilaian evaluasi, dan pembuatan dokumen rekomendasi evaluasi yang berhubungan dengan proses pengelolaan pengelolaan data sistem informasi, yang nantinya dapat diimplentasikan pada Dinas Komunikasi dan Informatika Jawa Timur (diskominfo jatim).
Latar Belakang • Munculah nilai penting kebutuhan bagi Dinas Komunikasi Dan Informatika Jawa Timur akan adanya suatu pembuatan evaluasi kemanan terkait pengelolaan pengelolaan data sistem informasi. Sehingga semua ancaman yang teridentifikasi dapat dicegah sekaligus mengoptimalkan kinerja TI agar lebih mempunyai nilai tambah bagi proses bisnis yang dijalankan.
• Dengan dimikian pada tugas akhir ini dirancang suatu dokumen perangkat evaluasi Si/Ti. menggunakan framework Cobit 4.1 dengan control objective DS 11 yang nantinya akan di mappingkan dengan framework ISO/IEC 27002, yang merupakan contoh framework yang dapat digunakan dalam proses evaluasi kemanan data TI.
Rumusan Masalah 1. Bagaimana memastikan apakah Dinas Komunikasi Dan Informatika Jawa Timur telah melakukaan kontrol terhadap resiko yang berhubungan dengan proses pengelolaan data?
2. Bagaimana menilai upaya yang telah dilakukan pihak Dinas Komunikasi Dan Informatika Jawa Timur dalam melakukan manajemen pengelolaan data?
3. Apakah kegiatan evaluasi pengamanan data dapat memberi masukan untuk perbaikan proses kemanan data pada Dinas Komunikasi dan Informatika Jawa Timur?
Batasan Masalah Batasan-batasan dalam tugas akhir ini adalah: 1. Penggunaan COBIT 4.1 dan Internatioanal Organisation for Standardization (ISO) 27002 sebagai framework untuk membantu dalam pemenuhan pengukuran pada proses evaluasi yang akan dibuat. 2. Kontrol obyektif yang digunakan sebagai acuan pada COBIT 4.1 yaitu DS11- pada proses Manage Data. Yang meliputi DS11.1 Business Requirements for Data Management, DS11.2 Storage and Retention Arrangements, DS11.3 Media Library Management System, DS11.4 Disposal, DS11.5 Backup and Restoration, dan DS11.6 Security Requirements for Data Management 3. Lingkup data berfokus kepada kelengkapan, keakuratan, ketersedian dan perlindungan data pada bagian pengembangan perangkat lunak (software) Bidang Pengembangan Teknologi Informatika, Dinas Komunikasi Dan Informatika Jawa Timur. 4. Standart yang digunakan untuk membuat panduan dan melakukan evaluasi adalah ISO/IEC 27002.
Tujuan Tugas Akhir 1. Pembuatan Mapping control objective DS11 pada CobIT 4.1 dan ISO/IEC 27002 dengan menyesuaikan aktifitas pada Diskominfo dan melakukan kusioner tentang kemanan data sistem informasi pada Diskominfo. Serta pembuatan panduan pengukuran hasil temuan dan panduan membuat rekomendasi evaluasi.
2. pengukuran aktifitas pengelolaan data dengan mengunakan Maturity level dengan menentukan level yang dapat diukur dari 6 atribut kematangan maturity. Penggunaan maturity untuk mengukur keberhasilan proses dari kontrol objective DS 11 pada Cobit 4.1 dan mengacu pada mapping ISO/IEC 27002.
3. Membuat perencanaan evaluasi dan evaluasi resiko serta membuat rekomendasi evaluasi yang dibutuhkan oleh Diskominfo untuk perbaikan pengelolaan data sistem informasi pada Diskominfo Jatim.
Manfaat Tugas Akhir Mengetahui resiko yang dapat membahayakan kemanan data pada Diskominfo Jatim.
Dengan memberikan dokumen checklist dan perencanaan evaluasi yang baik, diharapkan dapat meningkatkan kualitas operasional dalam pengembangan dan pemeliharaan data dan untuk pengoptimalan pengelolaan data.
Memberikan penilaian dan mengetahui tingkat kecocokan kontrol internal bagi Dinas Komunikasi Dan Informatika khususnya Bidang Pengembangan TI terhadap proses pengelolaan data, apakah telah sesuai dengan pedoman SOP yang telah dilakukan sebelumnya.
Memberikan dokumen mengenai pedoman perangkat evaluasi, yang dapat memberikan masukan dan membantu Dinas Komunikasi Dan Informatika Jawa Timur khususnya Bidang Pengembangan TI dalam melakukan perencanaan evaluasi yang berkontribusi positif terhadap pelaksaan evaluasi pada Dinas Komunikasi Dan Informatika Jawa Timur.
Tinjauan Pustaka
Teknologi informasi
Pengelolaan Data
• teknologi informasi merupakan teknologi komputer yang terdiri atas perangkat lunak, perangkat keras, manusia, jaringan, dan manajemen yang digunakan untuk melaksanakan satu tugas atau lebih terkait proses penyimpanan, pemrosesan dan mendistribusikan informasi sebagai hasilnya kepada pengguna.
• pengolahan data meliputi pengumpulan data,kelengkapan, keakuratan, ketersedian perlindungan data , dan proses penyimpanan data.
Tinjauan pustaka (con`t)
evaluasi
Bukti evaluasi
• evaluasi merupakan pemberian dukungan terhadap pemenuhan control internal yang ada untuk meminimalkan resiko yang berdampak pada bisnis. evaluasi diharapkan dapat dijadikan sebagai referensi proses yang perlu diperbaiki secara berkelanjutan untuk memenuhi kontrol internal agar dapat memberikan dukungan yang optimal terhadap bisnis sekaligus mengurangi resiko yang mungkin timbul
• Bukti evaluasi digunakan untuk melaksanakan uji kepatutan sehingga didapatkan temuan (findings) sebagai kepatutan terhadap standart yang berlaku. Selanjutnya bukti temuan yang di dapatkan akan dijadikan sebagai bahan pertimbangan oleh pihak atau institusi yang bersangkutan.
Proses evaluasi (con`t) proses evaluasi secara umum adalah merupakan langkah yang sistematis atau tahapan yang jelas, untuk mencapain hasil yang diinginkan. Proses perencanaan yang terhimpun dalam metodologi yang terarah, step by step sehingga memudahkandalam pengimplementasiannya.
Tinjauan pustaka (con`t) Maturity Model Maturity model dibuat berdasarkan metode untuk mengevaluasi organisasi. Model ini terdiri dari 6 tingkatan, mulai dari 0 (non-existent) sampai 5 (optimized). Risk Assesment
Identifikasi resiko dilakukan untuk pencarian resiko, sehingga dengan ativitas evaluasi dapat diketahui control yang belum dipenuhi. kemudian dilakukan analisis resikonya (risk analysis) sehingga menghasilkan proses bisnis dengan tingkat resiko tinggi (high), rendah (low), dan sedang (medium). Penilaian resiko (risk assessment) adalah proses yang digunakan untuk mengidentifikasi dan mengevaluasi resiko serta efek potensial yang terkait dengan proses bisnis.
evaluasi berbasis risiko Resiko yang dimaksud adalah kemungkinan tindakan atau kejadian yang akan menimbulkan efek yang merugikan bagi perusahaan. resiko dari proses bisnis yang berlangsung di perusahaan tentunya dapat membantu pengevaluasi dalam memutuskan metode pengujian yang digunakan dalam pelaksaan evaluasi.
Tinjauan pustaka(con`t) Framework CobiT 4.1
Tujuan Framework COBIT adalah menyediakan management dan pemilik bisnis model tata kelola IT yang membantu dalam memberikan nilai IT, dan pemahaman dalam mengelola resiko IT. Cobit memiliki empat domain proses yang saling terkait yaitu : Plan and Organize (PO), Acquire and Implement (AI), Deliver and Support (DS), serta Monitor and Evaluate (ME). Masing – masing proses TI dalam domain tersebut memiliki objectif control yang perlu dipertimbangkan untuk memberian kepastian bahwa tujuan bisnis akan dicapai dan kejadian yang tidak diinginkan dapat dicegah, dideteksi atau dikoreksi.
Perangkat evaluasi Merupakan alatbantu yang berfungsi untuk membantu dan mempermudah pelaksanaan evaluasi oleh evaluator.
ISO/IEC:27002 ISO/IEC 27002 terdiri atas 127 kendali dalam 11 kategori pengelolaan informasi. Tujuan ISO/IEC 27002 adalah untuk memberikan rekomendasi manajemen pengelolaan informasi. Penerapan standar ISO 27002 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem pengelolaan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien.
Mapping cobit 4.1 dan ISO/ IEC 27002
Framework seperti COBIT (Control Objective for Information and Related Technology) dan ISO/IEC 277002 memberikan panduan bagaimana mengukur kinerja organisasi dalam penggunaan informasi. Analisa instrument ini bisa digunakan dalam pembuatan kebijakan atau perencanaan pedoman guideline di tingkat pengambilan keputusan strategis. Pemetaan dari kedua framework mengacu kepada pedoman dari IT Governance Institute yaitu Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit.
Metode Penelitian. •
Tahapan metode dalam pembuatan tugas akhir ini adalah : 4. Pembuatan Perangkat evaluasi :
1. Persiapan
- Identifikasi komponen perangkat evaluasi
- Studi literatur
- Menyusun perangkat evaluasi.
- Survey pada studi kasus
- Temuan evaluasi - Pembuatan penilaian evaluasi.
2. Pengumpulan Data : - Review dokumen terkait
- Pembuatan evaluasi plan. -pembuatan rekomendasi.
- Wawancara - observasi 3. Pengolahan dan analisis data: - Identifikasi dan analisa kontrol objective pada Cobit 4.1 - Mapping pada ISO/IEC 27002 - Mapping standart kontrol objective dengan kontrol yang diterapkan Diskominfo. - Risk Assesment
5. Pembuatan Laporan Tugas Akhir
1. persiapan a. Studi literatur • Studi literatur digunakan untuk mendapatkan gambaran menyeluruh dari apa yang telah dikerjakan sebelumnya dan apa yang akan kita lakukan selanjutnya. • literatur tersebut dilakukan pembelajaran terhadap permasalahan yang terkait, seperti identifikasi komponen, jenis data, pengolahan data, penyimpanan data serta arsitektur informasi yang ada pada Dinas Komunikasi Dan Informatika Jawa Timur.
b. Survey pada studi kasus • pada tahap ini penulis merumuskan masalah, tujuan dan manfaat penelitian yang akhirnya akan dimengerti hal apa saja yang diharapkan dari hasil penelitian ini.
2. Pengumpulan data. a. Review dokumen terkait • pengumpulan informasi, seperti SOP yang telah diterapkan sebelumnya dan dokumen terkait lainnya sesuai dengan pengembangan dan pemeliharaan data. b. Wawancara • Proses wawancara dilakukan dengan menjelaskan terlebih dahulu control objective dan detil dari control objective dari proses yang dianalisa kepada responden serta melakukan pemeriksaan ulang terhadap jawaban responden dengan bukti yang ada sehingga diperoleh keyakinan terhadap jawaban tersebut.
c. Observasi • Dengan melakukan observasi, membantu untuk memperoleh data yang tidak didapatkan dengan metode wawancara. Pada tahap ini juga dilakukan pengamatan secara langsung mengenai resiko apa saja yang muncul beserta dampak yang ditimbulkan dari resiko tersebut terhadap sistem informasi yang ada di Dinas Komunikasi Dan Informatika Jawa Timur.
3. Pengolahan dan analisis data. Identifikasi kontrol objektif pada Cobit 4.1 • Pada cobit 4.1 kita menggunakan kontrolobjektif DS 11, mengenai manage data. yang nantinya akan membahas mengenai identifikasi kebutuhan data. Proses pengelolaan data juga meliputi pembentukan prosedur yang efektif untuk mengelola media data, backup dan recovery data, dan pembuangan media Mapping pada klausul ISO/IEC 27002 • Melakukan mapping antara Cobit 4.1 pada sub control objective DS11 dengan ISO/IEC 2702, hal ini bertujuan untuk melakukan evaluasi dengan lebih teknis dan terkontrol. Risk Assesment • Proses risk assesment ini digunakan untuk menentukan resiko yang ada, sehingga dapat membantu apakah resiko tersebut high, low atau medium. Proses penilaian Risk assessment ini dengan menggunakan standart ISO/IEC 27002, yang mana pada penilaian risk assessment ini nantinya kita akan mmelakukan perhitungan probabilitas dari dampak kejadian dalam skala periode tertentu dan selanjutnya akan dilakukan dampak yang berpenganruh terhadap hasil probabilitas
4.Pembuatan perangkat evaluasi 4.1 Identifikasi penyusunan perangkat evaluasi peninjauan dokumen yang telah dilakukan pada tahap sebelumnya seperti peraturan atau kebijakan perusahaan, SOP ataupun berdasarkan penilaian yang telah dilakukan.
4.2 Menyusun Perangkat Evaluasi. perangkat evaluasi digunakan untuk membantu evaluator dalam melakukan evaluasi. Dalam hal ini termasuk daftar pertanyaan atau checklist, dan tindakan apa yang harus dilakukan evaluator terhadap jawaban responden. Pertanyaan checklist mengacu pada hasil identifikasi klausul ISO/IEC 27002 dari hasil mapping terhadap Cobit 4.1 pada sub kontrol objectife DS11dan hasil dari penilaian risk assessment yang berkategori tinggi.
4.3 Temuan Evaluasi temuan didapat dari hasil checklist perangkat evaluasi, selanjutnya hasil checklist disesuaikan dengan kebijakan dan peraturan yang ada di Diskominfo. Sehingga di dapat temuan yang dapat digunakan sebagai acuan rekomendasi yang dapat digunakan perbaikan pihak Diskominfo dalam melakukan proses pengelolaan data yang lebih baik.
Con`t 4.4 Pembuatan Penilaian Evaluasi. dilakukan penilaian dengan acuan 6 kematangan pada Maturity Model untuk mengetahui kondisi perusahaan sekarang ini. Sehingga dari penilaian ini, nantinya akan didapat kesimpulan mengenai kondisi perusahaan saat ini dan kondisi yang diharapkan
4.5 Pembuatan Evaluasi Plan Pada tahap ini dilakukan dokumentasi dalam pembutan pedoman evaluasi. Pedoman evaluasi berisi mengenai langkah langkah dalam melakukan proses evaluasi. Yang terdiri dari evaluasi plan, ekseskusi dan report.
4.6 Pembuatan Rekomendasi Evaluasi Rekomindasi evaluasi merupakan proses perbaikan yang perlu dilakukan, evaluasi selain menilai juga diperlukan untuk penyediaan rekomendasi panduan praktek bagi manajemen dalam peningkatan kulitas dan efektivitas dari inisiatif penataan TI yang diimpplementasikan. penyusunan rekomendasi, evaluasi SI/TI seharusnya menggambarkan area perbaikan yang perlu dilakukan perusahaan berdasarkan uji kepatutan dan tingkat kedewasaan saat pelaksanaan evaluasi.
Con`t 5. Pembuatan Laporan Tugas Akhir
• Setelah serangkaian proses evaluasi dilakukan selanjutnya dibuat suatu dokumentasi evaluasi dari setiap langkah dari awal sampai akhir. • Dari pembuatan laporan ini sekaligus didapat kesimpulan dari proses-proses tersebut didokumentasikan dan ditulis dalam sebuah laporan yang sesuai dengan format tugas akhir sehingga menghasilkan laporan tugas akhir.
Metodologi Eksisting condition
Define risks, scope, and asset.
Target for improvement evaluasi Process
Survey Pada Studi Kasus (Struktur Organisasi) Kepala Dinas SEKRETARIAT
KELOMPOK JABATAN FUNGSIONAL SUB BAG. TATA USAHA
BIDANG PENGEMBANGAN TEKNOLOGI INFORMATIKA
SEKSI PENGEMBANGAN PERANGKAT LUNAK
BIDANG DISEMINASI DAN INFORMASI
SEKSI LAYANAN INFORMASI PUBLIK
SEKSI PENGEMBANGAN PERANGKAT KERAS
SEKSI MEDIA INTERAKTIF
SEKSI LAYANAN TIK
SEKSI MEDIA INFORMASI
BIDANG PEMBERDAYAAN TEKNOLOGI INFORMASI DAN KOMUNIKASI
BIDANG JARINGAN KOMUNIKASI
SEKSI PEMBERD. TIK PEMERINTAH
SEKSI KOMUNIKASI SOSIAL
SUB BAG. PENYUSUNAN PROGRAM
BIDANG POS DAN TELEKOMUNIKASI
SEKSI POS DAN FILATELI
SEKSI KEMITRAAN PROFESI KOMUNIKASI & PROFESI
SEKSI PEMBERD. TIK MASYARAKAT
SEKSI TELEKOMUNIKASI
SEKSI KOMUNIKASI PEMERINTAH
SEKSI PENGEMB. MUATAN TIK
SEKSI PENGAWASAN DAN PENERTIBAN
UPTD
SUB BAG. KEUANGAN
BIDANG PENGELOLAAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI SEKSI PENGEMBANGAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI
SEKSI PENGENDALIAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI SEKSI PEMELIHARAAN INFRASTRUKTUR TEKNOLOGI INFORMASI DAN KOMUNIKASI
Survey Pada Studi Kasus •
• •
• • • • •
• • •
(Uraian Tugas)
Bidang Pengembangan Tenologi Informatika mempunyai tugas melaksanakan pengembangan dan pengendalian serta pemeliharaan sarana prasarana teknologi informatika. Untuk melaksanakan tugas sebagaimana dimaksud pada diatas Bidang Pengembangan Teknologi Informatika, mempunyai fungsi: Pelaksanaan penyusunan pedoman dalam rangka pengembangan teknologi informatika dan komunikasi. Pelaksanaan penyusunan kebutuhan dan konfigurasi perangkat keras, perangkat lunak, dan layanan teknologi informasi dan komunikasi. Pelaksanaan pemeliharaan perangkat keras dan perangkat lunak. Pelaksanaan koordinasi dalam rangka pengembangan teknologi informasi dan komunikasi. Pelaksanaan tugas-tugas lain yang diberikan oleh Kepala Dinas. Bidang Pengembangan Teknologi Informatika, terdiri atas: Seksi Pengembangan Perangkat Lunak. Seksi Pengembangan Perangkat Keras. Seksi Layanan Teknologi Informasi dan Komunikasi. Masing-masing seksi dipimpin oleh kepala seksi yang berada di bawah dan bertanggung jawab kepada Kepala Bidang.
Proses bisnis bidang PTI
Sistem Informasi Yang Dikelola Diskominfo Bidang Pengembangan TI.
Observasi Kontrol Administratif Kontrol Operasi Supervisi terhadap para pegawai.
Kontrol terhadap peralatan dilakukan secara berkala (1 hari sekali)
Pembinaan dan pelatihan SDM
Pemberian kunci terhadap pintu masuk dan lemari server pada 2 orang yang berbeda
Pemisahan tugas-tugas setiap individu
Pengendalian terhadap virus: memakai software antivirus berlisensi selama 1 tahun
Laporan perbaikan sistem ketika mengalami kegagalan sistem
Observasi (con`t) Perlindungan terhadap pusat data Pada prakteknya suhu di ruangan yang berisi peralatan komputer berada pada tingkat 70 dan 74 derajat Fahrenheit. Sedangkan pada ruangan server berada pada tingkat 80 dan 90 Farenheit.
Kontrol Perangkat Keras Fault-tolerant hanya ada pada transaksi. Toleransi kegagalan pada level transaksi ditangani melalui mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan sebelum terjadi kegagalan transaksi.
Kontrol Akses Setiap pemakai dilengkapi dengan hak akses, NIP dan password. NIP terdiri 18 karakter.
Identifikasi aset • •
Melakukan identifikasi ancaman (threat) terhadap sistem informasi sebagai aset instansi dan dampak bisnis terkait dengan ancaman tersebut. Melakukan identifikasi terhadap kelemahan (vulnerability) yang dapat memicu terjadinya ancaman (threat).
identifikasi Risiko
identifikasi Risiko (con`t)
Risk Assesment •
•
Dalam penilaian risiko, penulis mengestimasi bobot dari berbagai ancaman dan serangan yang terjadi di institusi. Aktivitas yang dilakukan dalam penilaian risiko meliputi: probabilitas terjadinya ancaman dalam skala periode tertentu disertai frekuensi kejadian serangan dan ancaman yang ada pada tabel serta dampak bagi perusahaan pada tabel. Setelah itu untuk mendapatkan perhitugan nilai dari risiko yang ada tinggal dikalikan antara probabilitas dan dampak yang dihasilkan yang berdasarkan dari panduan implementasi ISO/IEC 17799:2000. Dengan mengetahui setiap bobot nilai dari risiko yang ada, diharapkan penulis dapat mendesain sebuah rancangan tata kelola TI yang efektif dan efisien untuk mengelola risiko TI yang terjadi. Probabilitas kejadian
Frekuensi
Nilai
Tidak pernah terjadi
Tidak pernah
0
Sangat rendah
2-3 kali setiap 5 tahun
1
Rendah
<= 1 kali per tahun
2
Sedang
<= 1 kali setiap 6 bulan
3
Tinggi
<= 1 kali setiap bulan
4
Sangat tinggi
>=1 kali setiap bulan
5
Ekstrim
>= 1 kali setiap hari
6
Company Logo
Risk Assesment Dampak kejadian Tidak berpengaruh Minor Signifikan Merusak
Serius Parah
Derajat dampak Tidak mempunyai dampak. Tidak perlu usaha lebih untuk memperbaiki. Dampak dapat diukur, perlu usaha lebih untuk memperbaiki. Merusak reputasi dan keyakinan perusahaan. Memerlukan sumber daya lebih untuk memperbaiki Kehilangan konektivitas. Kehilangan banyak data atau layanan.
Nilai 0 1
Kegagalan sistem permanen.
5
2 3
4
Perhitungan risiko (Probabilitas x Dampak) 0
Nilai
1-3 4-7 8-14 15-19 20-30
Rendah Sedang Tinggi Kritis Ekstrim
Tidak pernah
Penilaian risk assesment
Penilaian risk assesment
Analisis resiko • Dari hasil penilaian risiko diatas adalah sebagai berikut: 1. Risiko tersebut ada karena pada umumnya terdapat kelemahan dalam hal dokumentasi, kurangnya dokumentasi tertulis pada setiap aktifitas, sehingga menimbulkan data atau informasi, kurang tersalurkan dengan baik. 2. Banyak terdapat risiko dengan kategori Tinggi bahkan kritis yang dapat memberikan dampak negatif bagi institusi, misalkan, tidak ada retensi data yang disimpan, sehingga mudah terjadi crash.
Con`t 3. Diperlukan disaster recovery planning yang dibuat untuk menangani risiko
yang menghasilkan dampak yang serius bagi institusi pemerintahan tersebut sehingga tidak menggangu proses bisnis yang ada.
4. Penanganan risiko dilakukan terhadap ancaman yang mempunyai penilaian Tinggi – Ekstrim. Hal ini dikarenakan sumberdaya yang tersedia di Dinas Kominfo tidak mencukupi untuk melakukan penanganan risiko terhadap semua risiko yang muncul. Oleh karena itu untuk risiko yang berkategori Tidak berpengaruh – Sedang disusun sebuah tindakan perbaikan yang dapat segera diimplementasikan kepada institusi tersebut dalam rangka untuk menghemat sumberdaya yang ada dan dapat diimplementasikan melalui persetujuan seorang Kepala Bidang Pengembangan TI.
PEMBUATAN PERANGKAT EVALUASI 1. Identifikasi Komponen Penyusun Perangkat Evaluasi.
Identifikasi Komponen Penyusun Perangkat Evaluasi.
Identifikasi Komponen Penyusun Perangkat Evaluasi
Identifikasi Komponen Penyusun Perangkat Evaluasi
Penyusunan Perangkat dan penilaian Evaluasi. • Perangkat evaluasi ini digunakan sebagai perangkat untuk membantu pihak evaluator dalam melakukan evaluasi. • Pembuatan perangkat evaluasi ini dengan menggunakan acuan ISO/IEC 27002. • perangkat evaluasi ini, tidak hanya membantu pihak evaluator melakukan evaluasi, namun juga terdapat beberapa tindakan yang akan menuntun pihak evaluator terhadap jawaban responden. • Pembuatan penilaian evaluasi , bertujuan membatu pihak evaluator atau orang yang ingin melakukan penilian dan menentukan pada posisi atau level mana posisi organisasi sekrang ini.
.
Penyusunan Perangkat dan penilaian Evaluasi
• Pedoman penilaian ini dilakukan dengan pengukuran tingkat kematangan yang dilakukan dengan mempertimbangkan 6atribut kematangan Cobit yang meliputi:
1) Awareness and communication (AC). 2) Policies standards and procedures (PSP). 3) Tools and automation (TA). 4) Skills and expertise (SE). 5) Responsibilities and accountabilities (RA). 6) Goal setting and measurement (GSM). FORM PERANGKAT EVALUASI
Pedoman penilaian
Pedoman penilaian (con`t)
Uji Coba Perangkat Evaluasi (1) •
Proses uji coba bertujuan untuk mengetahui apakah perangkat evaluasi ini telah sesuai dengan kondisi dan kontrol yang dibutuhkan oleh pihak institusi terkait.
•
Dari hasil uji coba ini, nantinya juga diharapkan adanya contoh temuan atau jawaban, terkait pertanyaan yang telah diajukan pada daftar pertanyaan checklist.
•
Uji coba perangkat evaluasi ini dilakukan dengan memberikan perangkat evaluasi berupa daftar pertanyaan checklist yang dibuat untuk pihak independen Diskominfo jatim, khususnya bidang PTI pada pengembangan perangkat lunak (software).
Uji Coba Perangkat Evaluasi (2) PERANGKAT EVALUASI
key area ISO/IEC 27002
6.8.4 electronic messaging
point penggunnaan pesan elekronik yang digunakan organisasi dalam menunjang dan mempermudah penyampaian informasi perusahaan, seperti email, chatting dll.
Kontrol
checklist
respon instruksi
contoh jawaban dan keterangan
4.1 jika ada kontrol yang dilakukan pada saat ya, adanya kontrol pemadaman listrik, maka akan yang dilakukan dilakukan pengecekan dan Diskominfo dalam melakukan kontrol oleh evaluator, untuk menanggapi maintenance mengetahui kontrol seperti permasalahan sistem dan testing apa yang dilakukan 4. jika listrik listrik padam. secara reguler Diskominfo dalam mati, apakah Adanya UPS dan menanggapi pemadaman pesan elektronik ganset, sehingga listrik terhadap pesan tetap bisa ada beberapa elektronik. menyala? media dan data 4.2 jika tidak ada, dapat penting saja yang dijadikan temuan dan akan tetap informasi bagi evalutor, menyala, sehingga bahwa tidak ada kontrol yang proses bisnis tidak dilakukan dalam masalah sampai terhenti. pemadaman listrik.
Revisi perangkat evaluasi. • Revisi dilakukan untuk memperbaiki pertanyaan yang sulit dijawab maupun yang sulit dipahami oleh evaluator. • Hasil dari tahap revisi ini membuat perbaikan terhadap pertanyaan yang ada pada checklist, yang nantinya dapat dengan mudah memahami dan menjawab pertanyaan.
Contoh revisi perangkat evaluasi (2)
www.designfreebies.org
Company Logo
Contoh revisi perangkat evaluasi (2)
Kesimpulan 1. Proses evaluasi ini berfokus pada area perbaikan terhadap pengolaan data pada Diskominfo, hal ini dikarenakan data kurang dipelihara dengan baik dan rentan terhadap serangan serta ancaman dari berbagai pihak. 2. Kondisi pengelolaan data yang dilakukan saat ini, yang melibatkan keakuratan, kelengkapan dan kemanan isi data, kurang mendapat perhatian. Hal ini dikarenakan tidak adanya dokumentasi dan pelaporan tertulis yang mempengaruhi tidak tersalurkannya informasi dengan baik. 3. Terdapat beberapa kontrol yang telah diterapkan oleh Diskominfo, beberapa kontrol tersebut adalah kontrol administratif, kontrol operasi dan kontrol fisik. 4. Daftar checklist dibuat dengan beberapa acuan seperti, hasil pemetaan Cobit 4.1 dan ISO/IEC 27002, yang membahas mengenai pengelolaan data, penilaian berdasarkan tingkat resiko tertinggi dan pengukuran menurut 6 nilai kematangan berdasarkan Maturity model.
Saran 1. Agar tersalurkannya informasi dengan baik dan tidak melibatkan ketergantungan antar perseorangan, perlu adanya prosedur dalam dokumentasi tertulis yang nantinya dapat membantu dalam beberapa proses bisnis, sehingga mempermudah dalam mencari solusi jika terlibat permasalahan. 2. Dalam pembagian tugas kerja, khususnya dalam pengelolaan data. Dinas komunikasi dan informatika Jawa Timur, dapat melakukan penambahan sumber daya, yang bertujuan mengoptimalkan kinerja organisasi.
3. Tujuan pembuatan evaluasi ini untuk mencapai hasil yang diharapkan secara optimal, perlu adanya antisipasi permasalahan dan memperbaiki kekurangan. Maka dari ini diperlukannya pemantauan dari manajemen tingkat atas untuk meninjau sistem manajemen pengelolaan data yang sudah dibuat pada selang waktu terencana.
www.designfreebies.org
Company Logo
Saran (con`t) 4. Adanya pengoptimalan tempat dan sarana dalam penyimpanan data-data perusahaan. Seperti halnya ruang server, yang merupakan pusat data dan pengaturan kinerja sistem, sebaiknya diberikan ruangan dengan fungsi kenyamanan dan keamanan yang cukup dalam menjaga data perusahaan.
Daftar Pustaka • • • •
• • • •
Alter, S. (1996). Information system: a managent persperctive. Benjamin Cummings : Menlo park, CA Bodnar, George H, & Hopwood, William S. (2004). Accounting Informastion System (9th edition). Prentice Hall International, Inc,: London Commite of Sponsoring Organizations of the Tradway Commission. (1994). Internal Control- Inegrated Framwork. Gallegos, Frederick (2002). IT Evaluasi Report and Follow-up:methods and Techniques for Communicatin Evaluasi Findings and Recommendations. Information System Kontrol Journal (online), Vol.4. ISACA, CISA Review Manual, USA, 2006 Weber, Ron. (2000). Information System Controls and Evaluasi. Prentice Hall, Inc.: New Jersey. ISACA, (2007). The IT Governance Institute, Cobit 4.1, USA. Hardyansyah, Wilis. (2011). Perancangan Model Tata Kelola Teknologi I nformasi berdasarkan ISO/IEC 17799: 2000 pada Proses Pengamanan Sistem Informasi Studi Kasus: Dinas Komunikasi dan Informatika Jawa Timur . Surabaya: Tugas Akhir Sistem Informasi ITS.