1.
ISO/IEC 27001:2013
ISO 27001 merupakan
suatu standar Internasional dalam menerapkan sistem manajemen kemanan informasi
atau lebih dikenal dengan Information Security Management Systems (ISMS).
Menerapkan standar ISO 27001 akan membantu organisasi atau perusahaan Anda
dalam membangun dan memelihara sistem manajemen keamanan informasi (ISMS). ISMS
merupakan seperangkat unsur yang saling terkait dengan organisasi atau
perusahaan yang digunakan untuk mengelola dan mengendalikan risiko keamanan
informasi dan untuk melindungi serta menjaga kerahasiaan (confidentiality),
integritas (integrity) dan ketersediaan (availability) informasi.
ISO 27001: 2013 memiliki sepuluh klausa
pendek, ditambah lampiran yang panjang, yang meliputi:
1.
Lingkup
standar
2.
Bagaimana
dokumen direferensikan
3.
Istilah
dan definisi dalam ISO / IEC 27000
4.
Hubungan
organisasi dan stakeholder
5.
Kepemimpinan
keamanan informasi dan dukungan tingkat tinggi untuk kebijakan
6.
Perencanaan
sistem manajemen keamanan informasi; perkiraan risiko; kontrol terhadap resiko
7.
Mendukung
sistem manajemen keamanan informasi
8.
Membuat
operasional sistem manajemen keamanan informasi
9.
Meninjau
kinerja sistem
10. Tindakan korektif
Beberapa manfaat dari standar ISO 27001,
yaitu :
1.
Memberikan
sebuah keyakinan dan jaminan kepada klien ataupun mitra dagang, bahwa
perusahaan Anda telah mempunyai sistem manajemen keamanan informasi yang baik
sesuai standar internasional. Selain itu, ISO 27001 juga dapat digunakan untuk
memasarkan perusahaan.
2.
Memastikan
bahwa organisasi Anda memiliki kontrol terkait keamanan informasi terhadap
lingkungan proses bisnisnya yang mungkin menimbulkan risiko atau gangguan.
3.
ISO
27001 meminta Anda untuk terus meningkatkan keamanan informasi perusahaan Anda.
Hal ini membantu Anda untuk lebih menentukan jumlah keamanan yang tepat yang
dibutuhkan untuk perusahaan. Sumber daya yang dihabiskan tidak terlalu sedikit,
tidak terlalu banyak, tapi dalam jumlah yang tepat.
2.
COBIT
1.
Plan and Organise (PO),
Secara umum domain ini meliputi strategi dan
taktik, serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian
sasaran bisnis. Domain ini dibagi ke dalam 10 fase dalam prosesnya, yaitu:
· PO1: Mendefinisikan rencana strategis TI
· PO2: Mendefinisikan arsitektur informasi
· PO3: Menentukan arahan teknologi
· PO4: Mendefinisikan proses TI, organisasi dan
keterhubungannya
· PO5: Melelola investasi TI
· PO6: Mengkomunikasikan tujuan dan arahan
manajemen
· PO7: Mengelola sumber daya TI
· PO8: Mengelola kualitas
· PO9: Menaksir dan mengelola resiko TI
· PO10: Mengelola proyek
2.
Acquire and Implement (AI),
Domain ini menggambarkan bagaimana perubahan
dan pemeliharaan dari sistem yang ada selaras dengan sasaran bisnis. Domain AI
terbagi menjadi tujuh proses TI yang dapat dilihat pada tabel berikut:
· AI1: Mengidentifikasi Solusi Otomatis
· AI2: Memperoleh dan Memelihara Software
Aplikasi
· AI3: Memperoleh dan Memlihara Infrastruktur
Teknologi
· AI4: Memungkinkan Operasional dan Penggunaan
· AI5: Memenuhi Sumber Daya TI
· AI6: Mengelola Perubahan
· AI7: Instalasi dan Akreditasi Solusi beserta
Perubahannya
3.
Deliver and Support (DS),
Domain ini mencakup penyampaian hasil aktual
dari layanan yang diminta, termasuk pengelolaan kelancaran dan keamanan,
dukungan layanan terhadap pengguna serta pengelolaan data dan operasional
fasilitas, yang meliputi:
·
DS1:
Mengidentifikasi dan Mengelola Tingkat Layanan
·
DS2:
Mengelola Layanan Pihak Ketiga
·
DS3:
Mengelola Kinerja dan Kapasitas
·
DS4:
Memastikan Layanan yang Berkelanjutan
·
DS5:
Memastikan Keamanan Sistem
·
DS6:
Mengidentifikasi dan Mengalokasikan Biaya
·
DS7:
Mendidik dan Melatih Pengguna
·
DS8:
Mengelola service desk
·
DS9:
Mengelola Konfigurasi
·
DS10:
Mengelola Permasalahan
·
DS11:
Mengelola Data
·
DS12:
Mengelola Lingkungan Fisik
·
DS13:
Mengelola Operasi
4.
Monitor and Evaluate (ME),
Domain ini terkait dengan kinerja manajemen,
kontrol internal, pemenuhan terhadap aturan serta menyediakan tata kelola.
Fungsi doman ini sendiri adalah untuk memastikan seluruh proses TI dapat
dikontrol secara periodik yang bermaksud untuk menjaga kualitas dan pemenuhan
kebutuhan pasar. Berbeda dari domain yang lain, ME hanya terdiri dari 4 proses
TI, yait u:
· ME1: Mengawasi dan Mengevaluasi Kinerja TI
· ME2: Mengawasi dan Mengevaluasi Kontrol
Internal
· ME3: Memastikan Pemenuhan terhadap Kebutuhan
Eksternal
· ME4: Menyediakan Tata Kelola TI
Keunggulan
Menggunakan memberikan sejumlah kemampuan
yang berhubungan dengan keamanan informasi untuk perusahaan sehingga dapat
menghasilkan manfaat perusahaan seperti:
1.
Mengurangi
kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih
baik dan lebih mudah.
2.
Meningkatkan
kepuasan pengguna.
3.
Meningkatkan
integrasi keamanan informasi dalam perusahaan.
4.
Menginformasikan
risiko keputusan dan risk awareness.
5.
Meningkatkan
pencegahan, deteksi dan pemulihan.
6.
Mengurangi
insiden (dampak) keamanan informasi.
7.
Meningkatkan
dukungan untuk inovasi dan daya saing.
8.
Meningkatkan
pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi.
9.
Pemahaman
yang lebih baik dari keamanan informasi.
3.
COSO
Kepanjangan dari COSO adalah Committee of
Sponsoring Organizations of the Treadway Commission. COSO ini dibuat oleh
sektor swasta untuk menghindari tindak korupsi yang sering terjadi di Amerika
pada tahun 1970-an. COSO terdiri atas 5 komponen:
1.
Control Environment
Tindakan atau kebijakan manajemen yang mencerminkan sikap manajemen
puncak secara keseluruhan dalam pengendalian manajemen. Yang termasuk dalam
control environment:
1. Integrity and ethical values (integritas dan
nilai etika)
2. Commitment to competence (komitmen terhadap
kompetensi)
3. Board of Directors and audit committee (dewan
komisaris dan komite audit)
4. Management’s philosophy and operating style
(filosofi manajemen dan gaya mengelola operasi)
5. Organizational structure (struktur
organisasi)
6. Human resource policies and procedures
(kebijakan sumber daya manusia dan prosedurnya)
2. Risk Assessment
Tindakan manajemen untuk mengidentifikasi,
menganalisis risiko-risiko yang relevan dalam penyusunan laporan keuangan dan
perusahaan secara umum. Yang termasuk dalam risk assessment:
1. Company-wide objectives (tujuan perusahaan
secara keseluruhan)
2. Process-level objectives (tujuan di setiap
tingkat proses)
3. Risk identification and analysis
(indentifikasi risiko dan analisisnya)
4. Managing change (mengelola perubahan)
3.
Control Activities
Tindakan-tindakan yang diambil manajemen
dalam rangka pengendalian intern. Yang termasuk control activities:
1. Policies
and procedures (kebijakan dan prosedur)
2. Security (application and network) –>
(keamanan dalam hal aplikasi dan jaringan)
3. Application change management (manajemen
perubahan aplikasi)
4. Business continuity or backups (kelangsungan
bisnis)
5. Outsourcing (memakai tenaga outsourcing)
4.
Information And Communication
Tindakan untuk mencatat, memproses dan
melaporkan transaksi yang sesuai untuk menjaga akuntablitas. Yang termasuk
komponen ini adalah sebagai berikut.
1. Quality of information (kualitas informasi)
2. Effectiveness of communication (efektivitas
komunikasi)
5.
Monitoring
Peniilaian terhadap mutu pengendalian
internal secara berkelanjutan maupun periodik untuk memastikan pengendalian
internal telah berjalan dan telah dilakukan penyesuian yang diperlukan sesuai
kondisi yang ada. Yang termasuk di dalam komponen ini, yakni:
1. On-going monitoring (pengawasan yang terus
berlangsung)
2. Separate evaluations (evaluasi yang terpisah)
3. Reporting deficiencies (melaporkan
kekurangan-kekurangan yang terjadi)
Perbandingan
Ke-3 Framework
|
|
ISO/IEC 27001:2013
|
COBIT
|
COSO
|
|
PENERBIT
|
International Organization for
Standardization (ISO)
|
ISACA
|
The Committee of Sponsoring
Organizations of the Treadway Commission (COSO)
|
|
TUJUAN
|
Membangun
dan memelihara sistem manajemen keamanan informasi (ISMS)
|
Menyediakan kerangka kerja yang
membantu perusahaan dalam mencapai tujuan untuk tata kelola dan pengelolaan informasi
perusahaan dan aset teknologi (TI)
|
Sebagai kerangka kerja pengendalian
internal untuk memberikan jaminan mengenai pencapaian tujuan dalam
Efektivitas dan efisiensi operasi.
|
|
RUANG LINGKUP
|
5 Persyaratan Utama
14 Area pengamanan
113 Kontrol Keamanan
|
4 Domain (34 Proses)
|
5 Komponen (20 Proses)
|
|
KELEBIHAN
|
Membantu mengidentifikasi risiko, dan
menerapkan kontrol sistematis untuk membatasi kerusakan pada organisasi
|
Mengurangi kompleksitas dan
meningkatkan efektivitas biaya karena
integrasi yang lebih baik dan lebih mudah.
|
Membantu suatu
entitas mencapai kinerja dan profitabilitas target dan mencegah
hilangnya sumber daya
|
|
KEKURANGAN
|
Standarnya terlalu samar, tidak cukup
detail
|
Kelemahan COBIT adalah benar-benar hanya mendefinisikan
titik kontrol dan mengaudit informasi pada titik-titik kontrol tersebut
|
Membantu entitas mencapai tujuan
bisnis tetapi Control Internal tidak menjamin keberhasilan atau bahkan
bertahan hidup
|
Contoh
Kasus :
IMPLEMENTASI
ISO/IEC 27001:2013 UNTUK SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI) PADA
FAKULTAS TEKNIK UIKA-BOGOR
Jaringan
hotspot Fakultas Teknik merupakan salah satu jaringan komputer yang berada di
lingkungan Fakultas Teknik Universitas Ibn Khaldun Bogor, dimana hotspot Fakultas
Teknik dikelola secara independen oleh Fakultas Teknik. Keberadaan Fakultas
Teknik yang memiliki 4 jurusan/program studi merupakan fakultas dengan jumlah
mahasiswa terbanyak urutan kedua setiap tahunnya. Ancaman itu sendiri dapat
berasal dari ancaman internal, eksternal, tak terstruktur, dan ancaman yang
terstruktur. Pengamanan sistem informasi dapat dimulai dengan pencegahan
serangan dari dalam, karenan serangan yang berasal dari dalam lebih sering
terjadi dan lebih berbahaya. Klausal 11 Kontrol Akses ISO/IEC 27001:2005 adalah
standar information security yang diggunakan
untuk memperoleh tingkat keamanan pada jaringan hotspot Fakultas Teknik
berdasarkan standar ISO/IEC 27001:2005 klausal 11.2 dan 11.3.
METODE
Tempat
penelitian di Fakultas Teknik, Universitas Ibn Khaldun Bogor dengan alamat
Jalan K.H. Sholeh Iskandar. Bahan penelitian yang digunakan dalam penelitian
ini berupa jaringan hotspot berdasarkan ISO 27001 Klausal 11 Kontrol Akses
dilakukan dengan pengumpulan data, pembagian jenis-jenis data, dan analisis
data yang diperlukan dengan tujuan kemudahan dalam pemecahan masalah. Metode
pengumpulan data untuk penelitian ini, yaitu observasi, penyebaran kuesioner,
dan pengolahan data.
Observasi
Observasi
yang dilakukan dalam melaksanakan penelitian ini, bertujuan untuk melihat
kondisi dan keadaan yang berada di lingkungan Fakultas Teknik melalui survey
langsung ke lapangan untuk mendapatkan hasil sesungguhnya dan gambaran
seutuhnya yang digunakan di lingkungan Fakultas Teknik. Gambaran yang didapat
antara lain tentang keamanan jaringan hotspot, software dan hardware yang
digunakan pada jaringan hotspot.
Kuesioner
Kuesioner
merupakan daftar pertanyaan yang akan digunakan oleh periset untuk memperoleh
data dari sumbernya secara langsung melalui proses komunikasi atau dengan
mengajukan pertanyaan. Jenis kuesioner yang digunakan pada penelitian ini
dengan menggunakan kuesioner terstruktur yang terbuka. Pada penelitian ini
kuesioner dibuat untuk 2 jenis responden yaitu Kuesioner untuk Mahasiswa Fakultas
Teknik Informatika dan Kuesioner untuk Unit Komputer Sistem Informasi (UKSI).
Pengolahan Data Kuesioner
Hasil
data kuesioner diperoleh 20 contoh (sample) sejumlah mahasiswa setiap angkatan
pada Fakultas Teknik dari jumlah yang ada. Metode penelitian ini disesuaikan ke
ISO 27001 Klausal 11 Kontrol Akses dengan pendekatan proses Plan, DO, Check,
and Act (PDCA) yang berada pada Standardisasi ISO 27001. Penjelasan metode
pendekatan PDCA, yaitu:
a) Plan.
Tahapan
ini merupakan kegiatan perencanaan dan perancangan SMKI. Tataran
implementasinya adalah pembangunan komitmen, kebijakan, kontrol, prosedur,
instruksi kerja, dan lainnya agar tercipta SMKI sesuai dengan keinginan,
sehingga dilakukan analisis kebutuhan untuk penunjang kelengkapan dalam
penelitian.
b) Do.
Kegiatan dalam tahapan ini, adalah
implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI
yang telah direncanakan pada tahapan Plan. Tahapan do, meliputi tentang
pembuatan kuesioner yang diserahkan kepada Unit Komputer dan Sistem Informasi
(UKSI) dan sejumlah mahasiswa Fakultas Teknik.
c) Check.
Bagian
ini membahas tentang kegiatan pemonitoran pelaksanaan SMKI, termasuk
pelaksanaan evaluasi dan audit terhadap SMKI. Proses dari kuesioner, tahapan
ini dilakukan untuk pengolahan kuesioner yang dibuat sesuai dengan Standar ISO
27001.
d) Act.
Act
adalah kegiatan improvement, yaitu kegiatan perbaikan dan pengembangan SMKI.
Hal inilah yang diistilahkan dengan perbaikan yang terusmenerus, sehingga
kegiatan perbaikan yang terus-menerus seharusnya dilakukan terhadap SMKI yang
dibuat, karena hal itu merupakan bagian dari siklus hidup SMKI. Tahapan ini,
adalah tahapan pemberian saran.
HASIL DAN PEMBAHASAN
Standarisasi
ISO 27001 adalah suatu Standarisasi mengenai Sistem Manajemen Keamanan
Informasi (SMKI), pada penelitian ini bermaksud untuk mengetahui Analisis
Manajemen Keamanan Pada Jaringan Hotspot Berdasarkan ISO 27001 Klausal 11
Kontrol Akses pada Fakultas Teknik, diperoleh hasil berupa suatu kuesioner yang
diisi oleh 2 jenis responden, yaitu pengguna dan pihak manajemen. Responden
sebagai pengguna, digunakan sistem sample, dimana hanya diberikan kepada 20
orang dan 1 responden dari pihak manajemen. Diperoleh hasil 49% dari pengguna
dan 45% dari manajemen. Hal itu berarti, Manajemen Keamanan Informasi pada
jaringan hotspot di Fakultas Teknik kurang aman menurut Standar ISO 27001.
Berdasarkan hasil, maka dilakukan analisis berkenaan metode pendekatan PDCA
sesuai standar ISO 27001(Herrmann, D.S. 2002)
Plan
Tahapan
ini pembahasan tentang analisis kebutuhan yang digunakan yang meliputi:
analisis data dan proses.
Analisis data
Analisis
data dengan standar ISO 27001 Klausal 11 Kontrol Akses. Klausal 11.2 dan 11.3,
seperti ditunjukkan pada Tabel 1.
Analisis proses
Analisis
proses pada pada jaringan hotspot berdasarkan ISO 27001 Klausal 11 Kontrol
Akses, dijelaskan tentang proses suatu sistem dan keluaran yang diharapkan.
Analisis proses ini menggambarkan tentang proses perencanaan pembuatan
kuesioner yang diberikan kepada responden dan diperoleh sejumlah criteria. nya.
Kriteria hasil analisis proses sesuai standar ISO 27001, seperti ditunjukkan
pada Tabel 1.
Do
Tahapan
ini berupa penjelasan tentang bagaimana cara pembuatan kuesioner yang sesuai
dengan standar ISO 27001. Kuesioner ini dibuat menjadi 2 bagian, yaitu
kuesioner untuk mahasiswa sebagai pengguna dan kuesioner untuk pihak manajemen
yang diwakili oleh Unit Komputer dan Sistem Informasi (UKSI).
Check
Tahapan
ini berupa pembahasan tentang evaluasi pada berkas dan bukti pengisian
kuesioner yang dilakukan oleh sejumlah contoh mahasiswa dan salah satu pihak
manajemen atau administrator pada Fakultas Teknik.
Kuesioner dari mahasiswa
Kuesioner
ini sebagai sample yang hanya 20 orang pengisi kuesioner tersebut dengan 66
pertanyaan, Berdasarkan 66 pertanyaan dan 20 responden dengan 1320 butir
pertanyaan yang dijawab, maka yang menjawab “ya” sebanyak 658 butir pertanyaan
dan yang menjawab “tidak” sebanyak 662 butir pertanyaan. Untuk pembuatan
persentase yang menjawab “ya” sebanyak (658/1320) x 100 = 49 %, sedangkan
persetase yang menjawab “tidak” sebanyak 51%.
Kuesioner dari pihak manajemen atau
administrator
Kuesioner
yang diberikan kepada ihak manajemen sebanyak 148 butir pertanyaan, dimana
pertanyaan yang diberikan kepada pengguna dengan pihak manajemen sangat
berbeda. Berdasarkan dari 148 butir pertanyaan yang dijawab, maka yang dijawab
“ya” sebanyak 67 butir pertanyaan dan yang dijawab “tidak” sebanyak 80 butir
pertanyaan. Untuk pembuatan persentase yang dijawab “ya” sebanyak (67/148) x
100% = 45%, sedangkan yang dijawab “tidak” sebanyak 55%.
Act
Tahapan
ini berupa pembahasan tentang perbaikan dan kelemahan yang ada pada jaringan
hotspot di Fakultas Teknik, meliputi ketidakadaan prosedur tentang pengolahan
jaringan hotspot seperti bagaimana cara pengubahan password, keberadaan
seberapa level yang ada pada hotspot tersebut, dan lainnya. Prosedur tersebut
sangat penting untuk pengolahan jaringan hotspot dengan standari ISO 27001.
Disarankan untuk pembuatan prosedur terlebih dahulu dalam pengelolaan jaringan
hotspot, agar lebih teratur dan dimengerti oleh semua pihak. Berdasarkan hasil
pengolahan tersebut berupa pengolahan jaringan hotspot yang ada pada Fakultas
Teknik dibawah 55%, sehingga sesuai standar ISO 27001, maka jaringan hotspot di
Fakultas Teknik tergolong tidak aman sampai dengan kurang aman.
SIMPULAN DAN SARAN
Simpulan
Hasil
analisis keamanan dengan ISO 27001 pada jaringan hotspot di Fakultas Teknik,
adalah kuesioner yang diambil secara sample dari pengguna sebanyak 20 orang
dengan 1320 butir soal yang menjawab “ya” sebesar 49%. Berdasarkan standar ISO
27001 dengan hasil 49% berarti masuk kategori “tidak aman”. Analisis kuesioner
dari pihak manajemen terdapat 147 butir pertanyaan dan yang dijawab “ya”
sebanyak 45%, sehingga dengan nilai 45% yang idasarkan standar ISO 27001, masuk
kategori “tidak aman”. Berdasarkan kedua jenis kuesioner ditunjukkan, bahwa
manajemen keamanan pada jaringan hotspot berdasarkan ISO 27001 Klausal 11
Kontrol Akses, terbukti “tidak aman”. Saran Beberapa hal yang perlu diperbaiki,
yaitu prosedur untuk manajemen keamanan tidak ada dan ketidakadaan sistem
keamanan jaringan Internet. Hal itu berdampak kepada kerusakan terhadap
sejumlah alat-alat jaringan Internet. Saran lebih lanjut, perlu pengembangan
selanjutnya yang dapat dilakukan untuk pengoptimalan peranan sistem keamanan
jaringan hotspot, diantaranya pengembangan selanjutnya sesuai Klausal 12 pada
ISO 27001 dan pengembangan selanjutnya berupa dilakukan audit internal terhadap
sistem keamanan hotspot.
Referensi
:
0 komentar:
Posting Komentar