PT. Petrokimia Gresik ( 1 JULI 2010 S.

D 31 AGUSTUS 2010 )

KERJA PRAKTEK EVALUASI TATA KELOLA TEKNOLOGI INFORMASI Pengukuran Maturity Level dari Control Objective ke-5 dari Domain Delivery & Support (DS): Ensuring System Security DISUSUN OLEH: Aulia Febriyanti Nur Fatih

5207100022 5207100109

DOSEN PEMBIMBING Ahmad Mukhlason, S.Kom, M.Sc

JURUSAN SISTEM INFORMASI Fakultas Teknologi Informasi Institut Teknologi Sepuluh Nopember Surabaya 2010

Lembar Pengesahan

Laporan Kerja Praktek ini disusun guna memenuhi sebagian persyaratan akademik pada Jurusan Sistem Informasi Fakultas Teknologi Informasi, Institut Teknologi Sepuluh Nopember Surabaya Menyetujui/ Mengetahui : Dosen Pembimbing Ahmad Mukhlason, S.Kom, M.Sc NIP. 198203022009121009

Jurusan Sistem Informasi FTIF - ITS Ketua Jurusan

Ir. A. HOLIL NOOR ALI, M.KOM. NIP.131 918 688 SURABAYA 11 OKTOBER, 2010

ii

Laporan Kerja Praktek ini disusun guna memenuhi sebagian persyaratan akademik pada Jurusan Sistem Informasi Fakultas Teknologi Informasi Institut Teknologi Sepuluh Nopember Surabaya

Menyetujui/ Mengetahui, Pembimbing

Tendra Dwi Saputra

Kepala Bagian Pengembangan Aplikasi

Bambang Soemartono

SURABAYA 11 OKTOBER, 2010

iii

Kata Pengantar Segala puji syukur kehadirat Allah SWT atas segala rahmat dan hidayah-Nya sehingga kami dapat menyelesaikan laporan kerja praktek dengan judul EVALUASI TATA KELOLA TEKNOLOGI INFORMASI di PT. PETROKIMIA GRESIK. Laporan kerja praktek ini kami susun berdasarkan referensi yang ada di PT. PETROKIMIA GRESIK, dari pemanfaatan teknologi internet serta hasil-hasil pengamatan dan wawancara yang telah kami lakukan secara langsung selama kerja praktek. Adapun pelaksanaan serta penyusunan laporan kerja praktek ini tidak lepas dari bantuan berbagai pihak, baik berupa bimbingan, pengarahan, saran maupun fasilitas yang disediakan. Untuk itu kami mengucapkan terima kasih kepada Bapak dan Ibu selaku orang tua kami yang telah memberikan dukungan moril maupun materil. Bapak Mukhlason selaku Dosen Pembimbing Kerja Praktek, Bapak Tendra selaku Pembimbing Kerja Praktek di PT. PETROKIMIA GRESIK. Bapak Bambang Soemartono selaku Kabag. Pengembangan Aplikasi di Biro Teknologi Informasi PT. PETROKIMIA GRESIK. Dan kami juga mengucapkan terima kasih kepada semua pihak dan teman- teman kantor PT. PETROKIMA GRESIK, yang secara langsung maupun tidak langsung terlibat pada pelaksanaan dan penyusunan Laporan Kerja Praktek ini.

iv

Akhirnya, kami berharap dari hasil laporan kerja praktek ini dapat bermanfaat bagi kita semua. Dan tentunya dari laporan kerja praktek ini masih banyak kekurangan dan ketidak sempurnaan, untuk itu kami mengharapkan saran atas laporan kerja praktek ini yang bersifat membangun dan kami harapkan guna perbaikan di masa mendatang.

Surabaya, 4 Oktober 2010 Tim penyusun

Daftar Isi

Lembar Pengesahan.............................................................. ii Kata Pengantar .................................................................... iv Daftar Isi ............................................................................. vi Daftar Gambar................................................................... viii Daftar Tabel ........................................................................ ix BAB I PENDAHULUAN................................................... 10 1.1 1.2 1.3 1.4 1.5 Latar Belakang .................................................... 10 Permasalahan ...................................................... 12 Tujuan ................................................................ 12 Pelaksanaan ........................................................ 12 Metodologi Penulisan Laporan ............................ 13

BAB II PROFIL PERUSAHAAN ...................................... 14 2.1 Sejarah PT Petrokimia Gresik.............................. 14 Pemilihan Kawasan Industri di Gresik ......... 15 Perluasan Perusahaan .................................. 15 Hasil-Hasil Produksi .................................... 16 Anak Perusahaan ......................................... 17

2.2.1. 2.2.2. 2.2.3. 2.2.4. 2.2

Visi dan Misi PT Petrokimia Gresik .................... 19 Visi ............................................................. 19 Misi............................................................. 20

2.2.5. 2.2.6. 2.3

Struktur Organisasi PT Petrokimia Gresik ........... 20 vi

2.4

Penjelasan Arti Logo PT. Petrokimia Gresik ........ 21

BAB III DASAR TEORI .................................................... 24 3.1. 3.2. 3.3. Keamanan Informasi ........................................... 24 Tata Kelola Teknologi Informasi ......................... 25 Model CobIT ...................................................... 26

BAB IV PEMBAHASAN .................................................. 30 4.1 4.1.1 4.1.2 4.1.3 4.1.4 4.2 4.2.1 4.2.2 Metodologi ......................................................... 30 Identifikasi Resiko Keamanan ......................... 30 Penentuan Ruang Lingkup dan Tujuan ............ 32 Pengumpulan Bukti ......................................... 32 Penentuan Maturity Level................................ 34 Hasil ................................................................... 35 Hasil Observasi Lapangan dan Wawancara...... 35 Hasil Perhitungan Maturity Level .................... 37

BAB V KESIMPULAN dan SARAN ................................. 40 5.1 5.2 Kesimpulan ......................................................... 40 Saran................................................................... 40

BAB VII DAFTAR PUSTAKA .......................................... 42 LAMPIRAN 1 Check List dan Hasil Pengukuran Maturity Level Control Objective DS5: Ensuring System Security .... 46

vii

Daftar Gambar Gambar 1 Bagan Struktur Organisasi PT Petrokimia Gresik 20 Gambar 2 Logo PT. Petrokimia Gresik .............................. 21 Gambar 3 Ilustrasi Konsep CobIT framework .................... 28 Gambar 4 Checklist yang digunakan dalam wawancara ...... 33 Gambar 5 Hasil Perhitungan Maturity Level ....................... 38

viii

Daftar Tabel Tabel 1. Identifikasi Resiko Keamanan TI .......................... 30

ix

BAB I PENDAHULUAN 1.1 Latar Belakang Bagi sebagian besar perusahaan, keberadaan informasi dan teknologi yang mendukungnya merupakan aset yang paling berharga. Oleh karena itu, pengelolaan yang kurang tepat akan mengakibatkan dukungan terhadap proses bisnis yang kritis menjadi kurang maksimal. Pihak manajemen perlu memastikan bahwa tatakelola dan khususnya pengendalian internal dilaksanakan sesuai dukungan terhadap proses bisnis, sekaligus memberikan definisi yang jelas bagaimana tiap individu mengontrol aktivitas yang berlangsung. Pengendalian internal tersebut dikembangkan untuk menyediakan jaminan bahwa tujuan bisnis akan dicapai dan kejadian resiko yang tidak diinginkan akan dapat dicegah, dideteksi dan dikoreksi. Isu utama dalam pengelolaan Teknologi Informasi (TI) masa kini adalah bagaimana menyelaraskan strategi bisnis dengan TI. Isu tersebut merupakan bagian dari fokus pembahasan Tata Kelola TI, berbagai kerangka kerja Tata Kelola TI tersedia dan sudah dibakukan serta diakui di seluruh dunia, antara lain Information Techology Infrastructure Library (ITIL), ISO 17799, Committee of Sponsoring Organization (COSO), Control Objectives for Information & Related Technology 4.1 (CobIT 4.1) [5]. Masing-masing kerangka kerja tersebut memiliki peran dan fungsi masing-masing dalam tata kelola TI. ITIL adalah kerangka kerja dalam melakukan audit tata kelola TI 10

yang secara utama membahas bagaimana kontrol yang didefinisikan agar dapat dilaksanakan dengan mendefinisikan mengenai rencana taktis dan eksekusi. ISO 1779 adalah kerangka kerja tata kelola audit TI yang lebih menekankan pada penyediaan kontrol dan rencana taktis yang mendukung kontrol tersebut. CobIT (Control Objectives For Information & Related Technology) merupakan seperangkat praktik terbaik (best practice) bagi pengelolaan teknologi informasi. CobIT merupakan standar yang sekarang banyak digunakan dan merupakan panduan yang lengkap dari praktek-praktek terbaik untuk manajemen pengendalian internal TI yang mencakup 4 domain yaitu : planning & organization, acquisition & implementation, delivery & support and monitoring, yang dirinci menjadi 34 high level control objectives. [5] PT. Petrokimia Gresik (PG) termasuk perusahaan yang besar dengan proses bisnis yang sangat kompleks dengan menggunakan teknologi informasi yang mendukungnya. Hal ini adalah salah satu alasan untuk melakukan evaluasi penerapan tata kelola TI pada PG. Hal lainnya adalah PG merupakan produsen pupuk terlengkap di Indonesia yang produknya mengalir ke seluruh wilayah Indonesia. Pengelolaan yang kurang baik pada teknologi informasi akan mengakibatkan dukungan terhadap proses bisnis yang kritis pada perusahaan menjadi kurang optimal. Oleh karena itu, teknologi informasi harus dikelola dengan baik dengan mengacu pada standar tata kelola yang sudah diakui secara internasional. 11

CobIT dianggap sebagai kerangka kerja yang tepat untuk dipakai dalam melakukan proses audit tata kelola TI yang ada di PG karena CobIT menyediakan standar dalam kerangka kerja domain yang terdiri dari sekumpulan proses TI yang merepresentasikan aktivitas yang dapat dikendalikan dan terstruktur. Sehingga cocok diterapkan di PG yang fokus tata kelola IT-nya saat ini masih sebagai kontrol dari proses bisnis. 1.2 Permasalahan Rumusan masalah yang merupakan acuan dalam penelitian ini adalah: 1. Bagaimana penerapan tata kelola teknologi informasi di PT. Petrokimia Gresik. 2. Bagaimana implementasi framework CobIT pada Control Objective ke-5 dari Domain Delivery and Support (DS), Ensuring System Security (Memastikan Keamanan Sistem) untuk menjamin integritas informasi di Petrokimia Gresik.

1.3

Tujuan Penulisan laporan ini bertujuan untuk mengevaluasi tata kelola teknologi informasi yang ada di PT. Petrokimia Gresik, khususnya di lingkungan Biro Teknologi Informasi dan Komunikasi. 1.4 Pelaksanaan Kerja praktek dalam pelaksanaan evaluasi tata kelola IT ini, membutuhkan waktu kurang lebih sekitar 2 bulan, mulai tanggal 1 Juli- 31 Agustus 2010. Dan tempat pelaksaan kerja praktek ini adalah di PT. Petrokimia Gresik yang berlokasi di jalan A. Yani Gresik.

12

1.5

Metodologi Penulisan Laporan Dalam penyelesaian kerja praktik ini, menggunakan beberapa metode sebagai berikut :

penulis

1. Wawancara dan diskusi Wawancara dilakukan dengan jalan mengadakan Tanya jawab secara langsung dengan pihak yang berwenang yaitu Bapak Drs. Bambang Sumartono, Ek selaku Kabag. Pengembangan Aplikasi di Biro Teknologi Informasi PT. Petrokimia Gresik. 2. Observasi Observasi dilakukan dengan mengamati keseharian para pegawai di lingkungan Biro Teknologi Informasi dan Komunikasi PT. Petrokimia Gresik. 3. Dokumentasi Dokumentasi merupakan pengumpulan data dan pencarian data yang mendukung permasalahan dengan jalan menyalin laporan-laporan, dan catatancatatan yang berkaitan dengan masalah yang dibahas termasuk mengisi checklist berdasarkan hasil wawancara.

13

BAB II PROFIL PERUSAHAAN

2.1

Sejarah PT Petrokimia Gresik PT Petrokimia Gresik adalah salah satu Badan Usaha Milik Negara (BUMN) yang bergerak dalam bidang produksi pupuk dan bahan-bahan kimia serta bidang jasa engineering dan jasa-jasa lainnya. Berdasarkan ketetapan MPRS No. II/MPRS/1960 dan Keputusan Presiden No. 260 tahun 1960 rencana ini dimasukkan dalam Pola Pembangunan Semesta Berencana Tahap I dan merupakan proyek prioritas yang harus segera dibangun, kemudian proyek ini didirikan dengan nama Proyek Petrokimia Surabaya.[3] Pembangunannya berdasarkan Instruksi Presiden No.I tahun 1963 ditunjuk Cosindit Spa dari Italia sebagai kontraktor utama dan tahun 1964 baru bisa dilaksanakan kegiatan fisiknya. Pada tahun 1968 pembangunan proyek ini terhenti karena Indonesia mengalami krisis ekonomi. Melalui Surat keputusan Presidium kabinet Ampera No.B/891/Preskab/4/1967 diputuskan untuk melanjutkan kembali pembangunan Proyek Petrokimia Surabaya dan pada Februari 1968 pekerjaan lapangan kembali dilanjutkan.[3] Percobaan pertama pembangunan pabrik dilakukan pada Maret 1970 dan peresmian penggunaan dilakukan pada 10 Juli 1972 yang kemudian diabadikan sebagai hari jadi PT petrokimia Gresik dengan kapasitas terpasang sebesar

14

150.000 ton/tahun untuk ZA dan 61.700 ton/tahun untuk produksi urea.[3] 2.2.1. Pemilihan Kawasan Industri di Daerah Gresik Ada beberapa alasan pemilihan kawasan industri PT Petrokimia Gresik untuk mendapatkan keuntungankeuntungan baik teknis maupun ekonomis yang optimal, yaitu [3]: 1. Memilih daerah tandus, PT Petrokimia Gresik menempati daerah yang tidak subur untuk pertanian sehingga tidak mengurangi lahan pertanian yang subur. 2. Memilih daerah dekat dengan konsumen, dimaksudkan daerah pemasaran hasil industri mudah dijangkau. 3. Memilih daerah dekat dengan pelabuhan, dimaksudkan supaya penyaluran hasil produksi mudah. 4. Memilih daerah dekat dengan sumber daya listrik, memilih daerah dekat dengan bahan-bahan konstruksi dan bengkel-bengkel besar untuk keperluan pemeliharaan peralatan. 5. Memilih daerah dekat dengan kota sehingga tenaga kerja terampil dan terlatih mudah didapat. 2.2.2. Perluasan Perusahaan PT Petrokimia Gresik mengalami enam perluasan, yaitu [3] : 1. Perluasan pertama, pembangunan pabrik pupuk TSP I dengan kontraktor utama Spie Batignolles dari 15

2.

3.

4.

5.

6.

Perancis. Pembangunan dimulai tahun 1976 dan diresmikan pada tanggal 29 Agustus 1979. Perluasan kedua, penambahan satu pabrik TSP lagi dengan kontraktor yang sama. Diresmikan pada tanggal 30 Juni 1983. Perluasan ketiga, pembangunan asam fosfat keterkaitannya antara industri hulu dan hilir. Proyek ini mencakup enam pabrik sekaligus, yaitu : pabrik asam pospat, asam sulfat, cement retarder, alumunium florida, amonium sulfat, dan unit utilitas. Perluasan keempat, pembangunan pabrik pupuk ZA III yang pembangunannya dilaksanakan sendiri oleh tenaga-tenaga PT Petrokimia Gresik. Mulai dari studi kelayakan sampai pengoperasiannya yang membuktikan bahwa bangsa Indonesia telah mampu mandiri dalam bidang rancang bangun perekayasaan industri. Diresmikan pada tanggal 2 mei 1984. Perluasan kelima, pembangunan pabrik amoniak dan pabrik urea baru dengan lisensi dari dari Kellog Amerika, pembangunannya ditangani oleh PT IKPT Indonesia dimulai pada awal 1991 dan baru beroperasi pada tanggal 29 April 1994. Perluasan keenam, pembangunan pabrik pupuk NPK dengan nama Phonska dengan teknologi dari Spanyol dengan nama INCRO yang mulai beroperasi pada tanggal 25 Agustus 2000.

2.2.3. Hasil-Hasil Produksi Produk-produk yang Petrokimia Gresik [3]:

dihasilkan

oleh

PT

16

1. Produk Pupuk Meliputi Urea, ZA, TSP, SP-36, DAP, Phonska, NPK Kebomas, ZK, KCl, Rock Phospate, Ammonium Phospate, Petroganik. 2. Produk Bahan Kimia Meliputi Amoniak, Asam Sulfat, Asam Fosfat, Aluminium Fluorida, Gypsum, Cement Retarder, Nitrogen, Oksigen, CO2 Cair, Dry Ice, Asam Klorida. 3. Jasa Meliputi rancang bangun dan perekayasaan, fabrikasi dan konstruksi, machining spare part & equipment, pengoperasian pabrik, pemeliharaan pabrik, analisa uji kimia dan elektronik, komputerisasi, pendidikan dan latihan 2.2.4. Anak Perusahaan PT Petrokimia Gresik memiliki anak perusahaan, yaitu [3] : 1. PT Petrokimia Kayaku Merupakan anak perusahaan pertama yang diresmikan pada tanggal 30 Juli 1977 berstatus PMA yang memproduksi pestisida cair (3.600 Klz/tahun), pestisida butiran (12.600 ton/tahun), dan pestisida tepung (1.800 ton/tahun). Komposisi saham : PT Petrokimia Gresik (60%) Nippon Kayaku (20%) Mitsubishi Corporation (20%) 2. PT Petrosida Gresik Menghasilkan bahan aktif pestisida pertama di Indonesia yang seluruh sahamnya dimiliki oleh PT 17

Petrokimia Gresik. Dimaksudkan untuk memasok bahan baku PT Petrokimia Kayaku. Produk yang dihasilkan : BPMC (2.500 ton/tahun), MIPC (700 ton/tahun), Diazinon (2.500 ton/tahun), Carbofuran (900 ton/tahun), Carbarly (200 ton/tahun). 3. PT Petronika Pabrik ini menghasilkan bahan pelentur plastik pertama di Indonesia. Jenis produk yang dihasilkan Diocthil Pthalate (DOP) dengan kapasitas 30.000 ton/tahun. Diresmikan oleh Menteri Perindustrian tanggal 7 Agustus 1985. Komposisi saham : Petrokimia Gresik (20%) Globe Chem International Co.Ltd (80%) 4. PT Petrowidada Pabrik ini menghasilkan bahan baku DOP yang diresmikan tanggal 19 November 1988 yang menghasilkan Phtalic Anhydride (30.000 ton/tahun) dan Maleic Anhydride (1.200 ton/tahun). Komposisi saham : PT Petrokimia Gresik (4,82%) PT Eterindo Wahanatama (75,72%) PT Witulan (2,93%) PT Yustus Witulan (2,93%) Daewoo Corporation (13,60%) 5. PT Petrocentral Pabrik ini menghasilkan produk STTP (40.000 ton/tahun) dan bahan baku deterjen, mulai beroperasi pada tahun 1990. Komposisi saham : PT Petrokimia Gresik (9,8%) PT Kodel (10,83%) 18

 PT Supra Veritas (6,37%) PT Salim Chemical Corp (6,37%) PT Fosfindo (12,74%) PT Unggul Indah Corp (53,93%) 6. PT Kawasan Industri Gresik Patungan antara PT Petrokimia Gresik (35%) dan PT Semen Gresik (65%) menyediakan kavling siap pakai seluas 135 Ha termasuk export procesing zone (EPZ). 7. PT Puspetindo Produk yang dihasilkan adalah pressure vessels, Heat Exchanger, tower, dan konstruksi berat. Komposisi saham : PT Petrokimia Gresik (33,18%) PT Pupuk Sriwijaya (33,18%) PT Rekayasa Industri (5,56%) PT Mapindo Parama (12,76%) Balcke Durr (15,32%) 8. Yayasan Petrokimia Gresik Yayasan yang dibentuk pada 3 Agustus 1972 misi utamanya adalah untuk memajukan kesejahteraan para karyawan. 2.2 Visi dan Misi PT Petrokimia Gresik 2.2.5. Visi PT Petrokimia Gresik (PG) memiliki visi dan misi yang menjadi pedoman dalam menjalankan usahanya. Visi perusahaan adalah :Menjadi produsen pupuk dan produk kimia lainnya yang berdaya saing tinggi, dan produknya paling diminati konsumen.[3]

19

2.2.6.

Misi PT. Petrokimia Gresik memiliki misi sebagai berikut [3]: 1. Mendukung penyediaan pupuk nasional untuk tercapainya Program Swasembada Pangan. 2. Meningkatkan hasil usaha untuk menunjang kelancaran kegiatan operasional dan pengembangan usaha perusahaan. 3. Mengembangkan potensi usaha untuk mendukung industri kimia nasional dan berperan aktif dalam community development. 2.3 Struktur Organisasi PT Petrokimia Gresik

Gambar 1 Bagan Struktur Organisasi PT. Petrokimia Gresik [3]

20

2.4

Penjelasan Arti Logo PT. Petrokimia Gresik

Gambar 2 Logo PT. Petrokimia Gresik [3] Petrokimia Gresik mempunyai logo kerbau kuning emas dengan daun hijau berujung lima dan bertuliskan huruf PG. Ada empat alasan menggunakan lambang kerbau, yaitu [3] : 1. Untuk menghormati daerah yang di tempati perusahaan, yaitu kecamatan kebomas. 2. Kerbau adalah sahabat petani yang kotorannya dapat digunakan sebagai pupuk kandang. 3. Produk utama dari dari PT Petrokimia Gresik adalah pupuk. 4. Kerbau mempunyai sifat loyal, suka bekerja keras, dan pemberani. 5. Warna-warna simbol dan bentuk daun logo tersebut mempunyai arti sebagai berikut : 6. Warna kerbau kuning emas melambangkan keagungan. 7. Warna daun hijau melambangkan kesuburan dan kedamaian.

21

8. Daun berujung lima melambangkan sila-sila dari pancasila. 9. Warna huruf PG putih melambangkan kebersihan dan kemurnian. Secara keseluruhan logo tersebut mempunyai arti : Dengan hati yang bersih dan murni serta berlandaskan pancasila, karyawan PT Petrokimia Gresik berusaha mencapai masyarakat yang adil dan makmur menuju keagungan dan kebesaran bangsa.[3]

22

23

BAB III DASAR TEORI

3.1.

Keamanan Informasi Keamanan Informasi yang diartikan secara harfiah Keamanan (Bahasa Indonesia) dan Security (Bahasa Inggris), berasal dari bahasa yunani Secure yang berarti adalah aman. Sedangkan Informasi dan Information berasal dari ToInform yang berarti adalah memberitahu. Berikut ini adalah pendapat mengenai keamanan informasi: 1. Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki [4]. 2. Keamanan Informasi adalah melindungi informasi dan sistem informasi dari akses yang tidak diotorisasi, pengguna, penyingkapan, gangguan, modifikasi, atau kerusakan [6]. Berdasarkan dari definisi diatas dapat disimpulkan bahwa keamanan informasi merupakan suatu upaya untuk mengamankan aset milik perusahaan dari akses yang dapat menyebabkan penyingkapan, gangguan, modifikasi atau kerusakan. Dasar untuk keamanan terhadap ancaman oleh orangorang tak berwewenang adalah pengendalian akses. Alasannya sederhana [4] : jika orang-orang tak berwewenang ditolak aksesnya ke sumber daya informasi, perusakan tidak dapat dilakukan. Pengendalian akses terdiri dari tiga cara, yaitu:

24

1. Identifikasi pemakai Merupakan pengidentifikasian pertama yaitu dengan penggunaan password. 2. Pembuktian keaslian pemakai (otentifikasi) Merupakan identifikasi dengan memverikasi sesuatu yang dimiliki pengguna untuk akses seperti smart card , tanda tangan. 3. Otorisasi pemakai Setelah identifikasi dan pembuktian keaslian, seseorang dapat diberi wewenang hanya untuk membaca dari suatu file, sementara yang lain mungkin diberi wewenang untuk membuat perubahan 3.2. Tata Kelola Teknologi Informasi Tidak hanya bisnis, Teknologi Informasi (TI) juga perlu dikelola dengan baik mengacu pada kerangka kerja pengelolaan proses TI. Pengelolaan TI tersebut dilakukan untuk memastikan bahwa informasi dalam perusahaan dan TI yang terkait telah mendukung tujuan bisnis, sumber daya yang digunakan secara bertanggungjawab dan resiko TI dikelola dengan tepat. Tata kelola tekonologi informasi adalah menjadi tanggung jawab dewan direksi dan manajemen eksekutif organisasi. Hal ini, merupakan upaya menjamin pengelolaan teknologi informasi agar mendukung bahkan selaras dengan strategi bisnis suatu perusahaan. Tata kelola teknologi informasi mencakup sejumlah aktivitas dewan direksi dan manajemen eksekutif, seperti pemberitahuan akan peran dan dampak teknologi informasi di perusahaan, menentukan kewajiban, pendefinisian hambatan-hambatan dalam suatu operasi, pengukuran kinerja, penanganan risiko dan

25

mendapatkan jaminan akan keamanan sumber daya informasi perusahaan. Penerapan teknologi informasi pada suatu perusahaan memerlukan biaya yang cukup besar, dengan resiko kegagalan yang tidak kecil. Namun secara bersamaan, penerapan teknologi informasi juga memberikan peluang atau kesempatan terjadinya transformasi dan produktivitas bisnis yang telah berjalan. Penerapan teknologi tidak selalu indentik dengan pertumbuhan perusahaan, namun dapat juga mendukung perusahaan untuk tetap dapat hidup ditengah persaingan. Penelitian yang dilakukan oleh kelompok Information Technology Governance Institute (ITGI) menunjukan bahwa teknologi informasi harus dikelola selayaknya aset perusahaan lainnya.[2] 3.3. Model CobIT COBIT 4.1 merupakan versi terakhir dari seperangkat tujuan pengendalian (control objectives) untuk TI. Versi pertama diluncurkan oleh yayasan ISACF pada tahun 1996 yang menekankan pada bidang audit. COBIT edisi kedua, merefleksikan suatu peningkatan sejumlah dokumen sumber, CobIT, Control Objectives For Information & Related Technology adalah seperangkat pedoman praktik terbaik pengelolaan teknologi informasi (IT Management). CobIT berguna bagi pengguna TI karena memperoleh keyakinan atas sistem aplikasi dan teknologi yang dipergunakan. Sedangkan bagi manajer memperoleh manfaat dalam keputusan investasi di bidang TI serta infrastrukturnya dan keputusan atas procurement (pengadaan/ pembelian) sumber daya TI. Disamping itu dengan kehandalan sistem informasi yang 26

dimiliki perusahaan diharapkan berbagai keputusan bisnis dapat didasarkan atas informasi yang ada. CobIT menyediakan standar dalam kerangka kerja domain yang terdiri dari sekumpulan Proses TI yang merepresentasikan aktivitas yang dapat dikendalikan dan terstruktur. Kerangka kerja tersebut memfokuskan pada lebih banyak kontrol dan sedikit eksekusi sehingga kepentinganya lebih ditujukan kepada pendefinisian strategi dan kontrol yang biasanya dilakukan oleh manajemen tingkat atas, namun tidak detil menjelaskan bagaimana memenuhi keduanya yang dapat dipakai sebagai acuan pengguna yang langsung terkait dengan pengelolaan TI. CobIT merupakan seperangkat alat pengelolaan TI terbaik yang membantu auditor, manajemen, pengguna atau perusahaan jika terjadi kesimpangsiuran dalam penerapan TI. CobIT memberikan arahan (guidelines) yang berorientasi pada bisnis dan karena itu pemilik proses bisnis, manajer termasuk auditor dan pengguna TI dapat memanfaatkan guidelines tersebut. CobIT mendukung manajemen dalam mengoptimumkan investasi-TI nya melalui ukuran-ukuran dan pengukuran yang akan memberikan sinyal bahaya bila suatu kesalahan atau resiko akan atau sedang terjadi. Manajemen perusahaan harus memastikan bahwa sistem kendali internal perusahaan bekerja dengan baik, artinya dapat mendukung proses bisnis perusahaan yang secara jelas menggambarkan bagaimana setiap aktivitas kontrol individual memenuhi tuntutan dan kebutuhan informasi serta efeknya terhadap sumber daya TI perusahaan. 27

Aktivitas teknologi informasi dalam CobIT didefinisikan kedalam model proses yang generik dan dikelompokkan dalam 4 Domain dan 34 High Level Control Objectives. Framework CobIT secara keseluruhan dapat dilihat pada gambar berikut. Melalui gambar tersebut dapat dilihat model proses CobIT yang terdiri dari 4 Domain dan 34 macam proses.

Gambar 3 Ilustrasi Konsep CobIT framework [2]

28

29

BAB IV PEMBAHASAN

4.1 4.1.1

Metodologi Identifikasi Resiko Keamanan

Identifikasi resiko sangat diperlukan bagi perusahaan. Pada dasarnya, identifikasi resiko dilakukan untuk pencarian resiko dan kerentanan dari pelaksanaan proses yang berdampak pada bisnis, sehingga dapat diketahui pengendalian untuk mengurangi kemungkinan terjadinya resiko. Tabel 1. Identifikasi Resiko Keamanan TI Ancaman/Sumber Password login diketahui oleh orang yang tidak berhak. Tidak ada pembatasan role pada setiap user Resiko Terjadi perubahan, dan bahkan penghapusan data perusahaan Pengendalian Perusahaan membuat kebijakan pembatasan umur password. Pengguna dalam menggunakan hak aksesnya dibatasi dengan security matrix dimana semua user menerima otorisasinya berdasarkan role. Role yang

User dapat mengakses data dan aplikasi lainnya yang bukan tanggungjawabnya

30

Tidak adanya perlindungan untuk akses lewat internet. Anti virus pada perusahaan tidak dapat mencegah masuknya virus ke komputer. Listrik mati mendadak

Hacker dapat masuk dan mengutak-atik data perusahaan Virus akan masuk dan dapat merusak datadata perusahaan

Proses bisnis perusahaan dapat terhenti

Terjadi kebakaran Mengakibatkan datadata perusahaan hilang

Kerusakan perangkat keras

Proses bisnis perusahaan dapat terhenti apa bila tidak dilakukan tindakan yang lebih lanjut.

diberikan disesuaikan dengan kebutuhan user sesuai dengan job description. Membuat firewall berlapis untuk akses lewat internet. Perusahaan membeli virus lokal dan virus internasional secara berlangganan. Penggunaan Uninterupable Power Supply (UPS). Pemasangan pemadam kebakaran ditempat yang mudah dijangkau. Perusahaan melakukan perjanjian pemeliharaan perangkat keras dengan pihak ketiga.

31

4.1.2

Penentuan Ruang Lingkup dan Tujuan Audit SI/TI

Penentuann Ruang lingkup dan tujuan (scope dan objective) dari Audit SI/TI dilakukan dengan mengacu pada hasil analisis resiko yang dilakukan. Ruang lingkup (scope) merupakan area yang akan diaudit yang mencakup system secara spesifik, fungsi atau unit organisasi yang dimasukkan dalam tinjauan nantinya [4]. Ruang lingkup penelitian ini adalah area keamanan TI yang telah diimplementasikan di PT. Petrokimia Gresik (PG) yang difokuskan pada Biro. Teknologi Informasi (Tekinfo) sebagai basis IT di PG. 4.1.3 Pengumpulan Bukti

Bukti (evidence) merupakan informasi apapun yang digunakan oleh pengaudit SI/TI untuk menentukan apakah data yang diaudit sesuai dengan kriteria dan tujuan audit [4]. Dalam hal ini teknik yang dilakukan penulis dalam menemukan bukti adalah dengan cara: 1. Peninjauan terhadap struktur organisasi Struktur organisasi menyediakan pembagian kerja, sehingga bias dilihat bagaimana ketersediaan pembagian kerja beserta tugas dan wewenang karyawan. 2. Wawancara kepada personel yang tepat Wawancara dilakukan terhadap Kabag. Pengembangan Aplikasi sebagai pihak yang bertanggung jawab 32

terhadap kesuksesan aktivitas (responsible). Wawancara dilakukan secara terorganisir dan didokumentasikan ke dalam checklist seperti yang terdapat pada Gambar 4.

3
5

6
Gambar 4 Checklist yang digunakan dalam wawancara Pada gambar 4 terlihat ada beberapa komponen dalam checklist. Komponen yang ditunjukkan oleh nomer 1 adalah nama dan nomer proses TI yang diobservasi. Komponen yang ditunjukkan oleh nomer 2 adalah level kedewasaan yang nantinya akan digunakan untuk membedakan kontribusi tiap level. Komponen 3 berisi uraian pernyataan yang digunakan untuk memandu pertanyaan-pertanyaan saat wawancara. Komponen 4 adalah panduan penilaian dalam bentuk angka dari hasil observasi dan wawancara dari tiap pernyataan yang diutarakan. Komponen 5 diisi dengan hasil-hasil temuan yang 33

diperolah saat melakukan observasi dan wawancara. Dan komponen 6 adalah penjumlahan dari nilai setiap pernyataan, yang nantinya akan digunakan sebagai nilai kontribusi tiap level. Untuk selanjutnya bukti dan temuan yang didapatkan akan dijadikan sebagai bahan pertimbangan dalam penentuan tingkat kedewasaan (maturity level). 4.1.4 Penentuan Maturity Level (Tingkat Kedewasaan) Penentuan tingkat kedewasaan bukan hanya menggambarkan pengukuran sejauh mana perusahaan telah memenuhi standar proses pengelolaan TI yang baik. Lebih jauh lagi, tingkat kedewasaan tersebut seharusnya dapat digunakan untuk peningkatan kesadaran akan kepentingan pengelolaan proses TI sekaligus pengidentifikasian prioritas dalam peningkatan yang dilakukan. Penentuan tingkat kedewasaan pada dasarnya merupakan bagian dari pengujian kepatutan terhadap aktivitas yang seharusnya ada/ dilakukan di tiap proses TI berdasarkan kerangka kerja COBIT sesuai dengan tingkatan levelnya. Selanjutnya untuk mendapatkan tingkat kedewasaan proses TI, maka perlu ditentukan tingkat kontribusi dari tiap level dalam proses tersebut. Kontribusi tiap level memberikan gambaran seberapa besar pengaruh kepatutan pada tiap level terhadap kedewasaan proses TI tersebut secara keseluruhan.

34

4.2 4.2.1

Hasil Hasil Observasi Lapangan dan Wawancara

Hasil observasi lapangan dan wawancara yang dilakukan oleh peneliti adalah pengelolaan teknologi informasi pada aspek DS 5 terkait dengan memastikan sistem keamanan TI yaitu: 1. Penerapan sistem keamanan pada sistem aplikasi Biro Tekinfo dilakukan dengan cara pengguna dalam menggunakan hak aksesnya dibatasi dengan security matrix dimana semua pengguna komputer menerima otorisasinya berdasarkan role. Role yang diberikan disesuaikan dengan kebutuhan pengguna sesuai dengan job description tiap-tiap pengguna komputer. Role ini dimaksudkan untuk membatasi apa saja yang dapat dilakukan oleh program-program tersebut. Pengaksesan Sistem Aplikasi hanya dapat dilakukan oleh orang-orang yang terotorisasi dan diberi wewenang untuk mengakses. Misalnya, data apa yang dapat diakses, data mana yang hanya dapat dilihat (read only), ditambah, diubah atau dihapus, apabila pengaturan role ini tidak tepat, maka akan banyak pihak-pihak yang tidak berwenang dapat mengakses data tertentu, sehingga jika itu terjadi maka keyakinan akan integritas data akan menjadi berkurang dan juga akan terjadi banyak perubahan-perubahan data yang tidak diinginkan. 2. Setiap user login menggunakan password, dengan kombinasi angka dan huruf, password yang dimasukan tidak terlihat dan secara otomatis akan lock user apabila 35

3.

4.

5.

6.

terjadi 3 kali kesalahan login yang dilakukan oleh user, sistem aplikasi menampilkan pesan jika verifikasi login tidak valid dan yang dapat membuka kembali lock user adalah Biro TI bagian Pengembangan Aplikasi sehingga dengan adanya pembatasan sistem kesalahan dalam penginputan login akses ini akan mempersulit bagi orangorang yang tidak memiliki otoritas untuk mengakses ke sistem aplikasi. Penggunaan password bertujuan untuk mencegah kepada pihak-pihak yang tidak mempunyai hak akses atas aplikasi dan data-data dalam Biro Teknologi Informasi. Untuk melindungi akses dari luar, digunakan VPN (virtual private network), dimana untuk login lewat internet, maka user akan memasukkan password untuk melakukan akses. Untuk mengantisipasi perkembangan virus telah dipasang anti virus Trend Micro pada setiap komputer yang update signature nya setiap ada virus baru sedangkan virus internasional dipergunakan antivirus Symantec yang update secara periodik (berlangganan) dan virus lokal dipergunakan antivirus Norman yang update secara periodik (berlangganan). Untuk keamanan aset-aset fisik, dalam Biro TI disediakan 2 buah pemadam kebakaran yang diletakkan masingmasing pada bagian Pengembangan Aplikasi dan bagian Teknik dan Operasi, hal ini dilakukan jika sewaktu-waktu ada kebakaran yang mungkin disebabkan oleh hubungan arus listrik pendek atau akibat yang lain. Biro TI beroperasi 24 jam dengan pembagian 3 shift, sehingga komputer di dalam Biro TI selalu ada pengawasan yaitu : 36

 Jam 07.00-15.00 Jam 15.00-23.00 Jam 23.00-07.00 7. Biro TI menggunakan Uninterupable Power Supply (UPS) yang digunakan untuk menstabilkan tegangan listrik, UPS ini juga berfungsi sebagai pengamanan data apabila listrik mati mendadak, UPS dapat bertahan kurang lebih 3 jam, sehingga dalam jangka waktu tersebut karyawan Biro TI dapat melakukan back up data-data perusahaan untuk disimpan di tempat yang lebih aman dan melakukan shut down sesuai dengan prosedur. 8. Untuk pencegahan kerusakan perangkat keras, Biro TI melakukan kontrak pemeliharaan dengan pihak ketiga dimana pekerjaan pemeliharaan dilakukan oleh pihak ketiga 2 kali setahun yaitu bulan November dan bulan April yang pelaksanaannya ditetapkan oleh perusahaan, apabila hardware ada masalah pihak ketiga menyediakan pelayanan 24 jam dan pihak ketiga menjamin dapat menyelesaikan perbaikan masing-masing hardware dalam jangka waktu paling lama 3x 24 jam, sedangkan untuk software, perusahaan membeli software yang berlisensi sehingga jelas pertanggungjawabnya. Hasil dokumentasi dari observasi dan wawancara yang telah dirangkum bisa dilihat di checklist yang terdapat di lampiran 1. 4.2.2 Hasil Perhitungan Maturity Level Cara menghitung maturity level ini adalah dengan cara mengisi tabel seperti yang terlihat di gambar 5. Kolom tingkat kepatutan dangan hasil yang diperoleh dari checklist 37

yang sudah terisi seperti yang terlampir di lampiran 1. Adapun kontribusi tiap level akan sama besarnya di seluruhproses TI sesuai dengan level kedewasaan yang relevan [5]. Sedangkan kolom nilai diisi dengan nilai perkalian antara ringkat kepatutan dengan kontribusi tiap level. Dan Tingkat kedewasaan Proses TI merupakan hasil penjumlahan dari kolom nilai.

Gambar 5 Hasil Perhitungan Maturity Level Dari hasil perhitungan checklist seperti yang terlihat dari Gambar 5. PT. Petrokimia Gresik termasuk dalam kategori Maturity Level 2 yaitu Repeatable but Intuitive. Level 2 (Repeatable but Intuitive) adalah ketika tanggung jawab dan penanggung jawab keamanan TI ditentukan dalam koordinator keamanan TI, walaupun manajemen otoritasnya terbatas. Kesadaran akan kebutuhan keamanan terpecah dan terbatas. Walaupun informasi terkait dengan keamanan diproduksi oleh sistem, namun tidak dianalisis. Layanan dari pihak ketiga mungkin tidak memenuhi kebutuhan keamanan perusahaan secara spesifik. Kebijakan keamanan sedang dikembangkan tetapi keahlian dan perakatan tidak mencukupi. Pelaporan keamanan TI 38

tidak lengkap, cenderung membingungkan atau tidak berhubungan. Pelatihan keamanan tersedia namun dilakukan umumnya karena inisiatif individu. Keamanan TI terutama terlihat sebagai tanggung jawab dan area TI sementara bisnis tidak melihat keamanan TI dalam areanya.

39

BAB V KESIMPULAN dan SARAN

5.1

Kesimpulan Pengelolaan teknologi informasi di Biro Teknologi Informasi Petrokimia Gresik berdasarkan domain Delivery and Support (DS) Control Objective Ensuring System Security telah mencapai maturity level 2 (Repeatable but Intuitive). Untuk level BUMN level ini sudah cukup termasuk kategori cukup optimal, hal ini dapat dilihat dari adanya pembatasan hak akses karyawan yang didasarkan pada job description masing-masing karyawan, setiap user login menggunakan password dengan kombinasi angka dan huruf, password yang dimasukan tidak terlihat dan secara otomatis akan lock user apabila terjadi 3 kali kesalahan login yang dilakukan oleh user. Saran Dalam kaitannya dalam menjamin integritas informasi yang ad di PT. Petrokimia Gresik (PG), sebaiknya pihak menajeman mempunyai target tingkat maturity level yang ingin dicapai. Misalkan saat ini perusahaan masih berada di maturity level 2, dalam jangka 5 tahun ke depan PG mentargetkan untuk mencapai maturity level 3.

5.2

40

41

BAB VII DAFTAR PUSTAKA

[1] Findiana, Rachmawati. 2009. Pembuatan Kebijakan Keamanan informasi Berdasarkan Analisis Risiko Menggunakan Metode Octave. Skripsi. Surabaya: Program Sarjana Institut Teknologi Sepuluh Nopember. [2] IT Governance Institute. 2007. COBIT 4.1. USA: IT Governance Institute. [3] Biro Diklat. 2010. Internal Document. Petrokimia Gresik [4] Mcleod, R dan Schell, G.P.2007. Information System. Prentice Hall. Management

[5] Sarno, Riyanarto. 2009. Audit Sistem & Teknologi Informasi. Edisi Pertama. Surabaya: ITS Press. [6] Wikipedia. Keamanan <http://id.wikipedia.org/wiki/Keamanan Agustus 2010] Informasi informasi> [8

42

43

LAMPIRAN 1 Check List dan Hasil Pengukuran Maturity Level Control Objective DS5: Ensuring System Security

44

45

46

Nama Proses TI:

47

48

49

Hasil Perhitungan:

50