21 April 2014

IF5135 Tata
Kelola
Enterprise
Studi Kasus Assessment ITB

Oleh :
Muhammad Rifqi R - 23513032
Rahardian D J 23513087
Fajar Agung P - 23513122
Noor Alamsyah - 23513124
Riki Afriansyah 23513125
Puti Harifia A - 18210020

MAGISTER INFORMATIKA - SISTEM INFORMASI

SEKOLAH TEKNIK ELEKTRO DAN INFORMATIKA
INSTITUT TEKNOLOGI BANDUNG

Revision History
Version
1.0

Modification
-

Date
21-04-2014

Author
Kelompok 2

1. Executive Summary
Sebagai organisasi yang memanfaatkan fungsi TI untuk mendukung kegiatan
operasional, ITB harus memastikan bahwa segala hal yang berhubungan dengan TI
medukung tujuan organisasi. Untuk itu diperlukan sebuah penilaian terhadap
pengelolaan TI. Dengan melakukan kegiatan tersebut diharapkan ITB mengetahui
kodisi proses yang berhubungan dengan TI saat ini dan proses mana yang perlu
ditingkatkan. Domain yang akan dinilai mengenai infrastruktur dan keamanan
teknologi informasi yang mana menjadi tanggung jawab Unit Sumber Daya
Informasi (USDI). Pendekatan dalam penilaian ini adalah pengamatan pada
pelaksanaan proses pada USDI.

2. Introduction
2.1. Purpose of Assessment
Tujuan dari penilaian ini adalah untuk mengetahui kapabilitas ITB dalam melakukan
proses pengelolaan teknologi informasi dan untuk mengidentifikasi praktek yang
baik yang mungkin diimplementasikan untuk menghasilkan peningkatan
keseluruhan dari proses enterprise.

2.2. Assessment Scope

Cakupan dari penilaian ini mengenai infrastruktur dan keamanan teknologi
informasi untuk memastikan bahwa infrastruktur dan keamanan teknologi informasi
mendukung tujuan ITB.
2.2.1.Enterprise Unit(s)
Enterprise unit yang dinilai adalah USDI. USDI berada di bawah Wakil Rektor Bidang
Komunikasi, Kemitraan dan Alumni ITB. USDI merupakan unsur penunjang akademik
di tingkat institut yang berfungsi memfasilitasi pengembangan ITB sebagai suatu
pusat pengetahuan dan komunitas pengetahuan yang berbasis pada teknologi
informasi. Gambar berikut ini menunjukkan struktur organisasi ITB.

2.2.2.Processes and Capability Levels Assessed

Proses yang akan dinilai ialah APO12 Manage Risk, APO13 Manage Security dan
DSS5 Manage Security Service yang terdapat dalam COBIT 5. Ketiga proses ini
dinilai berdasarkan acuan pada Process Assessment COBIT 5.
2.2.3.Processes Reviewed and Basis for Selection
Dalam penilaian ini dipilih tiga proses yang berkaitan dengan pengelolaan
infrastruktur dan keamanan teknologi informasi di ITB. Ketiga proses tersebut
adalah :
1. APO 12 Manage Risk
Deskripsi
Melakukan identifikasi, penilaian dan mengurangi resiko yang
berkaitan dengan IT secara berkelanjutan dalam tingkatan toleransi
yang diatur oleh pimpinan manajemen enterprise.
Dasar pemilihan proses
Investasi IT memiliki banyak keuntungan, namun memungkinkan
timbulnya resiko yang perlu dikelola agar dapat menyeimbangkan
biaya dan manfaat.
2. APO 13 Manage Security
Deskripsi
Mendefinisikan pengoperasian dan pemantauan sistem bagi
manajemen keamanan informasi.
Dasar pemilihan proses

Dalam implementasi IT perlu adannya jaminan keamanan informasi

dengan cara melakukan perencanaan keamanan agar ancaman yang
mungkin timbul tidak terjadi atau dapat diminimalisir.
3. DSS 05 - Manage Security Services
Deskripsi
Melindungi informasi enterprise untuk mejaga tingkat resiko keamanan
informasi yang dapat diterima oleh enterprise yang sesuai dengan
kebijakan keamanan. Membuat dan menjaga peran dan hak akses
keamanan informasi dan melakukan pengawasan keamanan.
Dasar pemilihan proses
Sebuah enterprise perlu melakukan pengawasan untuk menjamin
bahwa pelaksanaan kegiatan sesuai dengan program keamanan yang
dibuat.
2.2.4.Class of Assessment
Class of Assessment yang dipilih adalah kelas 3 yang hasilnya digunakan sebagai
panduan dalam peningkatan proses. Selain itu kelas ini juga cocok untuk
pemantauan kemajuan dari program peningkatan atau untuk mengidentifikasi isu
utama yang akan mendukung penilaian kelas satu atau dua dalam proses penilaian.

2.3. Assessment Constraints

Berikut ini merupakan batasan dalam penilaian kapabilitas yang dilakukan:
Standar dan metode pengukuran kapabilitas tata kelola dan manajemen
teknologi informasi menggunakan kerangka kerja COBIT 5.
Proses yang dinilai hanya APO12 Manage Risk, APO13 Manage Security dan
DSS5 Manage Security Service yang terdapat dalam COBIT 5.
Pengumpulan bukti-bukti hanya dilakukan melalui pengamatan langsung dan
studi literatur mengenai ITB sehingga laporan hasil penilaian hanya berupa
penjelasan mengenai fakta yang didapat dan tidak termasuk penilaian
kapabilitas dengan menggunakan skala rating.

2.4. Summary of the Approach

Penilaian dilakukan untuk mengetahui kapabilitas ITB dalam mengelola dan
mengimplementasikan teknologi informasi (TI), khususnya proses pengelolaan
risiko, keamanan dan layanan keamanan TI. Ketiga proses ini dipilih karena cukup
berpengaruh bagi kegiatan bisnis ITB. Investasi TI pada ITB di satu sisi memberikan
berbagai keuntungan, namun di sisi lain memungkinkan timbulnya risiko sehingga
diperlukan suatu tata kelola dan manajemen risiko agar dapat menyeimbangkan
biaya dan manfaat dari investasi tersebut. Selain pengelolaan risiko, pengelolaan
keamanan dan layanan keamanan juga cukup penting bagi ITB. Infrastruktur TI
yang ada harus dijaga keamanannya demi terjaganya kerahasiaan data dan
keberlangsungan bisnis ITB. Penilaian kapabilitas ini dapat dilakukan dengan
menggunakan standar COBIT 5. COBIT 5 dipilih sebagai standar karena memberikan
panduan yang cukup jelas, mudah disesuaikan dengan kondisi perusahaan serta
memiliki metode pengukuran yang cukup akurat.

2.5. Assessment Team Members

Tabel berikut ini menunjukkan stakeholder yang terlibat dalam proses penilaian
kapabilitas.
Peran

Nama

Sponsor
Koordinator
Ketua tim penilai
Anggota tim penilai

Enterprise

Prof. Akhmaloka, Ph.D.

Ir. Kridanto Surendro,
M.Sc.,Ph.D
Rahardian D.J.
Riki Afriansyah
Fajar Agung P.
Noor Alamsyah
M. Rifqi Rosyid
Puti Harifia Amanah

ITB
ITB

Posisi dalam
enterprise
Rektor
Dosen

ITB
ITB
ITB
ITB
ITB
ITB

Mahasiswa
Mahasiswa
Mahasiswa
Mahasiswa
Mahasiswa
Mahasiswa

2.6. Critical Dates

Tanggal-tanggal penting dalam proses penilaian kapabilitas infrastruktur dan
keamanan TI ITB ialah sebagai berikut:
16 April 2014
: Proses penilaian kapabilitas dimulai (pertemuan 1
tim penilai)
17-18 April 2014 : Observasi proses
19 April 2014
: Pertemuan 2 tim penilai
20 Apri 2014
: Proses penilaian selesai (pertemuan 3 tim penilai)
21 April 2014
: Pelaporan hasil penilaian

2.7. Assessment Schedule

Tabel berikut ini menujukkan jadwal proses penilaian yang akan dilakukan.
Tanggal
16 April
2014

Stakeholder yang
terlibat
Ketua tim penilai
Anggota tim penilai

Durasi

17 18
April 2014

Ketua tim penilai

Anggota tim penilai

2 hari

19 April
2014

Ketua tim penilai

Anggota tim penilai

1 hari

20 April
2014
21 April
2014

Ketua tim penilai

Anggota tim penilai
Ketua tim penilai
Anggota tim penilai
Koordinator

1 hari

1 hari
1 hari

Kegiatan
Membahas rencana penilaian
kapabilitas yang akan
dilakukan
Melakukan observasi terhadap
proses pengelolaan risiko dan
keamanan ITB
Mengumpulkan hasil observasi
dan melakukan evaluasi
terhadap hasil tersebut
Membuat laporan hasil
penilaian
Pelaporan hasil penilaian
kepada ITB

3. Summary of Results and Detailed Findings

Berikut ini merupakan temuan yang didapat selama proses penilaian kapabilitas.

3.1. APO12 Manage Risk

Secara umum, belum ada kesadaran dalam melakukan kegiatan manajemen risiko
di ITB. Selama ini, dalam mengimplementasikan teknologi, pengelolaannya masih
diserahkan kepada masing-masing internal fakultas. USDI ITB belum melakukan
pengawasan dan pengelolaan risiko terhadap keseluruhan teknologi informasi yang
diimplementasikan di ITB.
Sementara itu, di internal USDI ITB sendiri, sudah ada pengelolaan risiko.
Pengelolaan ini dilakukan terhadap software dan infrastruktur teknologi informasi.
Risiko software dinilai berdasarkan standar kualitas yang sudah ditetapkan oleh
USDI ITB. Standar ini dievaluasi setiap minggu oleh pihak internal USDI. Sedangkan
untuk risiko infrastruktur merupakan tanggung jawab dari vendor. Tanggung jawab
tersebut dilaksanakan sesuai dengan kesepakatan tertulis antara USDI ITB dan
vendor. Dalam kesepakatan ini dijelaskan bahwa vendor bersedia melakukan ganti
rugi atas kegagalan yang disebabkan oleh pemasangan infrastruktur (tidak
termasuk kegagalan karena kesalahan operasional USDI sendiri seperti listrik yang
tidak stabil).
Untuk memaksimalkan implementasi teknologi informasi dan menghindari hal-hal
yang tidak diinginkan atas kerugian yang ditimbulkan teknologi informasi di ITB,
USDI ITB akan mulai mencanangkan rencana pengelolaan risiko teknologi informasi
dengan lingkup se-ITB pada tahun 2014 mendatang. Rencana ini didasari oleh
besarnya investasi ITB terhadap teknologi informasi pada tahun mendatang, yaitu
sebesar 20 miliar. Sebagai permulaan proses pengelolaan risiko, USDI ITB akan
meminta setiap unit kerja di ITB untuk mendata kebutuhannya terhadap teknologi
informasi dan permasalahan apa yang biasa dihadapi dalam pengimplementasian
teknologi informasi selama ini. Hasil pendataan ini nantinya akan diformulasikan
menjadi profil risiko.

3.2. APO13 Manage Security

Proses pengelolaan keamanan informasi sudah dilaksanakan di ITB. Hak akses dari
setiap stakeholder sudah didefinisikan dan diatur sesuai dengan kebutuhan masingmasing. Sudah ada kebijakan, standar dan dokumentasi dalam penentuan hak
akses ini. Namun, sistem informasi yang terdapat pada ITB memiliki sistem
keamanan yang berbeda-beda dan belum terintegrasi. Akibatnya dalam
menggunakan sistem tersebut, pengguna harus menggunakan username dan
password yang berbeda-beda pula. Selain itu, SDM perusahaan dalam melakukan
pengelolaaan keamanan masih terbatas. Akibatnya, masing-masing SDM
diharuskan memiliki kapabilitas yang sama untuk menangani berbagai
permasalahan keamanan informasi perusahaan. Selain itu, setiap stakeholder masih

belum menyadari peran dan tanggung jawabnya dalam pengelolaan keamanan

informasi.
Pelaksanaan pengelolaan keamanan di ITB masih bersifat insidental dan belum
terencana dengan baik. Belum ada pengklasifikasian dan prioritas penanganan
keamanan serta solusi keamanan yang tepat untuk insiden keamanan. Setiap
tindakan masih dilakukan berdasarkan intuisi dari SDM. Belum ada pengukuran
efektivitas dan kesesuaian proses dengan strategi perusahaan. Belum ada tindakan
evaluasi terhadap kegiatan pengelolaan keamanan. Tindakan evaluasi ini baru akan
direncanakan pelaksanaannya pada tahun 2014 mendatang.
Meskipun pengelolaan keamanan masih belum terencana dengan baik, setiap
insiden keamanan yang terjadi pada ITB masih bisa ditangani dengan baik. Belum
ada permasalahan dan kerugian yang ditimbulkan dari insiden keamanan yang
terjadi di ITB. Mayoritas insiden keamanan terjadi karena serangan dari luar ITB.
Insiden keamanan yang terjadi karena kesalahan lingkungan internal sangat sedikit
dan biasanya disebabkan karena masih adanya personal computer yang
menggunakan operating system windows xp yang merupakan sumber dari worm.
Insiden keamanan ini selalu ditangani dengan tepat waktu sehingga pengguna
sistem seringkali tidak menyadari adanya permasalahan keamanan pada sistem.
Selama ini, masing-masing stakeholder sudah cukup puas dengan kapabilitas
keamanan sistem di ITB.

3.3. DSS05 Manage Security and Service

Proses pengelolaan keamanan dilakukan dengan cara membatasi hak akses.
Informasi mengenai akademik hanya dapat diakses melalui jaringan internal.
Jaringan internet diijinkan untuk mengakses halaman pendaftaran mahasiswa baru.
Pada proses pendaftaran mahasiswa baru diperlukan auntentikasi keamanan yang
dikirim via email. Autentikasi beserta username dan capstcha digunakan untuk
mengakses halaman pendaftaran mahasiswa baru.
Layanan yang disediakan pada aplikasi pendaftaran mahasiswa baru tidak ada.
Layanan pengisian informasi mahasiswa baru dilakukan dengan pendampingan dari
staf ITB. Layanan pembayaran uang pendaftaran dan biaya kuliah terintegrasi
dengan bank. Namun, untuk verifikasi belum terintegrasi dengan pihak bank.

4. Risk Analysis
Berikut ini merupakan analisis risiko yang mungkin terjadi akibat kelemahan
perusahaan dalam melakukan proses seperti yang telah dijabarkan pada bagian 3.

4.1. APO12 Manage Risk

Belum adanya kesadaran atas pengelolaan risiko yang menyeluruh pada ITB tentu
saja menimbulkan berbagai potensi risiko, di antaranya ialah:

Teknologi informasi yang digunakan tidak memberikan manfaat yang

maksimal bagi perusahaan.
Biaya implementasi TI yang dikeluarkan perusahaan tidak dihitung sehingga
kemungkinan besar tidak sebanding dengan manfaat teknologi yang didapat.
Implementasi TI pada perusahaan belum tentu sesuai dengan kebutuhan
perusahaan.
Pelaksanaan kegiatan operasional perusahaan bisa terhambat karena adanya
insiden risiko yang tidak terduga dan penanganannya tidak maksimal.

4.2. APO13 Manage Security

Berikut ini merupakan risiko yang mungkin terjadi akibat kelemahan perusahaan
dalam melakukan pengelolaan keamanan:
Insiden keamanan infromasi yang tidak terduga dan belum pernah ditangani
perusahaan bisa terjadi dan menimbulkan kerugian seperti terhambatnya
kegiatan operasional perusahaan.
Sistem keamanan yang belum terintegrasi mengakibatkan pengguna harus
mengingat berbagai macam password sehinga kesulitan dalam mengelola
keamanan system.
Tidak adanya rencana, pengklasifikasian dan prioritas solusi keamanan serta
minimnya jumlah SDM bisa menimbulkan tidak tertanganinya insiden keamanan
apabila perusahaan mengalami insiden yang bertubi-tubi dalam waktu yang
bersamaan.

4.3. DSS05 Manage Security and Service

Berikut ini merupakan risiko yang mungkin terjadi pada pengelolaan keamanan dan
layanan:

Layanan perbankan untuk pembayaran mata kuliah tidak dapat diakses

ketika pendaftaran
Sistem keamanan yang belum terintegrasi mengakibatkan pengguna harus
mengingat berbagai macam password sehinga kesulitan dalam mengelola
keamanan system

5. Recommendations
Untuk mengatasi potensi risiko yang telah dijabarkan pada bagian 4, ITB dapat
melakukan perbaikan pelaksanaan proses seperti rekomendasi berikut ini.

5.1. APO12 Manage Risk

Berdasarkan potensi risiko di atas, maka sebaiknya perusahaan melakukan tindakan
sebagai berikut:
Mendata dan melakukan analisis risiko TI berdasarkan lingkungan operasi,
data historis risiko, strategi perusahaan, cost-benefit , manajemen risiko
perusahaan secara keseluruhan serta kebutuhan perusahaan.

Membuat profil risiko yang terdiri atas risiko, potensi terjadinya, proses dan
layanan yang terlibat, dampak risiko serta tindakan penanganan risiko
tersebut.
Membuat kebijakan dan prosedur terkait manajemen risiko serta
mendokumentasikannya, menentukan standar dan mengkomunikasikannya
kepada seluruh stakeholder.
Mendefinisikan dokumen yang terlibat dalam kegiatan manajemen risiko
serta kriteria dan kebutuhan informasi dari setiap dokumen tersebut.
Mengatur peran dan tanggung jawab stakeholder dalam kegiatan manajemen
risiko dan mengkomunikasikannya agar masing-masing stakeholder sadar
dan dapat berperan sesuai tanggung jawabnya.
Melaksanakan kegiatan manajemen risiko mulai dari kegiatan perencanaan,
pengawasan serta pelaporan dan evaluasi kegiatan.

5.2. APO13 Manage Security

Berikut ini merupakan rekomendasi perbaikan yang bisa dilakukan perusahaan
dalam melakukan pengelolaan keamanan:
Membuat rencana keamanan dengan menganalisis insiden keamanan yang
biasa terjadi beserta solusi, klasifikasi dan prioritas pengananan
keamanannya.
Membuat kebijakan dan prosedur yang jelas dan tegas terkait pengelolaan
kemanan agar proses ini dilakukan secara teratur bukan hanya insidental dan
didasarkan oleh intuisi saja.
Menerapkan sistem keamanan yang terintegrasi satu ITB tidak terpisah-pisah.
Membagi peran dan tanggung jawab stakeholder dalam melakukan
pengelolaan
keamanan
sesuai
dengan
kompetensinya
serta
mengkomunikasikannya.
Melakukan evaluasi proses pengelolaan keamanan secara berkala agar pengelolaan
proses dapat terus ditingkatkan dan diperbaiki

5.3. DSS05 Manage Security and Service

Berikut ini merupakan rekomendasi perbaikan yang bisa dilakukan ITB:

Menambah bandwidth ketika periode pendaftaran mahasiswa baru

Meningkatkan kerjasama di bidang sharing layanan antara perbankan dan
ITB.