1.3 Tujuan
Berdasarkan dari latar belakang dan juga rumusan masalah yang telah dikemukakan di atas,
maka adapun tujuan yang ingin dicapai dari penelitian ini adalah sebagai berikut:
1. Menerapkan kerangka kerja COBIT 5 dalam evaluasi tata kelola keamanan Sistem Informasi
Manajemen pada Universitas Muhammadiyah Malang
2. Mengetahui hasil evaluasi manajemen keamanan pada SIstem Informasi Manajemen di
Universitas Muhammadiyah Malang berdasarkan implementasi kerangka kerja COBIT 5.
3. Mengetahui rekomendasi perbaikan berdasarkan hasil evaluasi terkait tata kelola keamanan
sistem informasi pada Universitas Muhammadiyah Malang supaya mencapai tingkat
kapabilitas yang diharapkan.
1.4 Manfaat
Adapun manfaat yang dapat dihasilkan dari adanya penelitian yang dilakukan di Universitas
Muhammadiyah Malang ini adalah sebagai berikut:
1. Memberikan evaluasi terkait tata kelola keamanan sistem informasi pada Lembaga Informasi
dan Komunikasi Universitas Muhammadiyah Malang dengan menggunakan kerangka kerja
COBIT 5. Dan dari hasil penelitian ini diharapkan instansi dapat mengetahui sejauh mana
tingkat kapabilitas tata kelola manajemen keamanan yang telah diterapkan.
2. Dengan adanya penelitian ini diharapkan dapat memberikan rekomendasi yang baik dan
tepat bagi instansi dalam melakukan pengembangan ataupun perbaikan terhadap tata kelola
keamanan sistem informasi yang telah diterapkannya supaya dapat mencapai tujuan yang
diharapkan.
Pada bab landasan kepustakaan ini akan dibahas terkait pembahasan dan juga uraian tentang
kajian pustaka dan juga dasar teori yang digunakan dalam penelitian. Kajian pustaka akan
membahas beberapa penelitian yang telah dilakukan sebelumnya dimana kajian pustakan
tersebut memiliki topik dan metode kerangka kerja yang sama dengan penelitian yang akan
dilakukan. Kajian pustaka tersebut bertujuan sebagai acuan penelitian dan sebagai pembanding
dengan penelitian sebelumnya, sehingga kajian pustaka dapat digunakan sebagai referensi dalam
melakukan proses evaluasi tingkat kapabilitas tata kelola teknologi informasi pada sebuah
instansi. Sedangkan dasar teori membahas mengenai dasar-dasar teori yang digunakan peneliti
untuk menunjang penulisan skripsi yang berjudul Evaluasi Tingkat Kapabilitas Tata Kelola
Teknologi Informasi pada Universitas Muhammadiyah Malang Menggunakan Kerangka Kerja
COBIT 5 ini. Berdasarkan latar belakang dan rumusan masalah yang diangkat, dasar teori yang
dibutuhkan dan digunakan adalah mengenai profil instansi yang dijadikan objek penelitian, tata
kelola teknologi informasi, kerangka kerja COBIT 5 serta capability level.
2.7 COBIT
COBIT (Control Objective for Information and related Technology) merupakan sekumpulan
dokumentasi dalam bentuk best practices dan panduan untuk mengimplementasikan IT
Governance, kerangka kerja COBIT dapat membantu manajemen, auditor, dan juga pengguna
(user) dalam menjembatani pemisah atau kesenjangan (gap) antara kebutuhan control, resiko
bisnis, dan permasalahan-permasalahan teknis (ISACA, 2012). COBIT dikeluarkan dan
dikembangkan oleh IT Governance Institute (ITGI) dimana telah diterima dan diimplementasikan
secara lingkup internasional sebagai sebuah praktek dalam pengendalian atas seluruh hal
tentang teknologi informasi dan resiko yang terkait. Selain itu, COBIT juga merupakan bagian dari
Information System Audit and Control Association (ISACA).
IT Governance Institute (ITGI) menjelaskan dalam situsnya bahwa kerangka kerja COBIT akan
memudahkan Chief Information Officer (CIO) dan membantu stakeholder dalam memahami
peoses dan layanan teknologi informasi serta secara mudah berintegrasi dengan standar lain
seperti ISO 27002, ITIL dan COSO. COBIT memberi manajer, auditor, dan pengguna teknologi
informasi serangkaian langkah yang diterima secara umum, indicator, proses, dan praktek terbaik
untuk membantu dalam memaksimalkan seluruh manfaat yang didapatkan melalui penggunaan
teknologi informasi dan juga melalui pengembangan IT Governance yang sesuai dan
pengendalian dan pengendalian dalam perusahaan (Jogiyanto, 2011).
2.8 COBIT 5
COBIT 5 merupakan sebuah kerangka kerja generasi terbaru dalam panduan ISACA yang
didalamnya membahas mengenai berbagai tata kelola dan juga membahas terkait manajemen
teknologi informasi. COBIT 5 adalah sebuah kerangka kerja yang digunakan untuk manajemen
teknologi informasi, tata kelola, dan semua yang berhubungan dengannya, yang akan dimulai
dari proses memenuhi kebutuhan stakeholder akan informasi dan teknologi (ISACA, 2012). COBIT
5 menjelaskan juga mendefenisikan dengan rinci sejumlah tata kelola dan manajemen proses
serta menyediakan prinsip-prinsip, praktek, alat-alat analisis dan model yang diterima secara
global untuk meningkatkan nilai-nilai dari implementasi teknologi informasi. COBIT 5 juga
menyediakan model proses dimana mewakili semua proses yang bisaa dapat ditemukan dalam
suatu perusahaan terkait dengan kegiatan dan atau pengelolaan teknologi informasi.
COBIT 5 dapat membantu sebuah perusahaan atau instansi untuk menciptakan sebuah nilai
yang optimal dari seluruh pemanfaatan teknologi informasi yaitu dengan cara menjaga
keseimbangan antara mengoptimalkan tingkat resiko yang dihasilkan, kesadaran akan
manfaatnya, dan penggunaan sumber daya. COBIT 5 membahas bisnis dan area fungsional
teknologi informasi di suatu instansi perusahaan dan mempertimbangkan kepentingan yang
berkaitan dengan teknologi informasi secara internal maupun eksternal bagi para pemangku
kepentingan.
COBIT 5 memiliki 2 area utama yaitu area tata kelola (governance) dan area manajemen.
Pengaturan (governance) membahas terkait hal-hal apa yang mendasari tata kelola tersebut yang
ditentukan melalui pendefinisian strategi dan kontrol. Sedangkan pengelolaan (manage) yang
terkait bagaimana seluruh tata kelola yang diimplementasikan atau dilaksanakan merupakan
cakupan dari pengelolaan yang ditentukan melalui rencana taktis (ISACA, 2012).
1. Meeting stakeholder needs, prinsip ini mendefinisikan bahwa suatu organisasi berusaha
dalam menciptakan nilai bagi para pemangku keprntingan. Prinsip ini berguna untuk
mendefinisikan prioritas untuk jaminan, perbaikan dan implementasi. Segala kebutuhan
stakeholder diubah kedalam sebuah strategi bagi organisasi. Selain itu sistem tata kelola
harus selalu mempertimbangkan keseluruhan stakeholder ketika membuat suatu keputusan
mengenai penilaian sumber daya, manfaat dan keputusan penilaian resiko.
2. Covering enterprise end-to-end, prinsip ini menjelaskan bahwa COBIT 5 mengintegrasikan
tata kelola teknologi informasi perusahaan dengan tata kelola organisasi atau perusahaan
meliputi semua proses dan fungsi yang dibutuhkan untuk mengelola dan mengatur teknologi
informasi perusahan dimana pun informasi diproses internal maupun eksternal.
3. Applying a single intergrated framework, COBIT 5 menyatukan atau menyelaraskan dengan
standar dan kerangka kerja relevan lain yang sebelumnya tersebar dalam berbagai keranga
kerja ISACA (COBIT, Risk IT, BMIS, VAL TI, dll), sehingga perusahan dapat menggunakan COBIT
5 sebagai kerangka kerja tata kelola umum atau menyeluruh dan integrator.
4. Enabling a holistic approach, COBIT 5 mendefinisikan sekumpulan enabler yang saling
mempengaruhi satu sama lain dalam mendukung penerapan tata kelola secara komprehensif
dan sistem manajemen teknologi informasi pada suatu organisasi.
5. Separating governance from management, pada prinsip ini menjelaskan bahwa COBIT 5
membuat perbedaan yang cukup jelas antara tata kelola dengan manajemen. Kedua hal
tersebut memiliki cakupan dari berbagai struktur organisasi yang berbeda, kegiatan yang
berbeda, dan melayani untuk tujuan yang berbeda pula. Tata kelola melibatkan pengambilan
keputusan pada high level dan merupakan tanggung jawab direksi di bawah kepemimpinan
ketua. Sedangkan manajemen merupakan tanggung jawab manajemen eksekutif dibawah
kepemimpinan CEO.
COBIT 5 memiliki 7 kategori enablers. Enablers adalah sekumpulan faktor yang
mempengaruhi sesuatu yang akan dikerjakan oleh organisasi (ISACA, 2012). 7 kategori enablers
tersebut antara lain adalah:
1. Principles, policies and framework, merupakan pendorong untuk menerjemahkan perilaku
menjadi panduan praktis untuk manajeman sehari-hari
2. Processes, menjelaskan tentang sekumpulan kegiatan yang terorganisir untuk mencapai
tujuan tertentu dan menghasilkan output dalam mendukung pencapaian tujuan teknologi
informasi.
3. Organizational Structures, merupakan entitas dalam organisasi sebagi kunci dalam
pembuatan keputusan.
4. Culture, ethics and behavior, faktor ini merupakan faktor keberhasilan dalam kegiatan tata
kelola dan manajemen.
5. Information, dibutuhkan supaya organisasi dapat berjalan dengan baik, yang terdiri dari
informasi yang dibutuhan maupun yang dihasilkan.
6. Service, infrastructure and applications, melibatkan infrastruktur teknologi dan aplikasi yang
menyediakan proses dan layanan teknologi informasi bagi organisasi
7. People, skills and competencies, berkaitan dengan individu dan kebutuhan untuk memenuhi
semua aktifitas untuk mencapai kesuksesan dan membuat keputusan yang tepat dengan
langkah yang tepat.
2.8.2 Implementasi COBIT 5
2. Management, area ini berisi 4 domain yang sejajar dengan area tanggung jawab dari
perencanaan, pembangunan, dan pemonitoran (PERM). 4 domain tersebut antara lain adalah
Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Deliver, Service and
Support (DSS), dan Monitor, Evaluate and Assess (MEA) yang totalnya terdiri dari 32 proses:
a. Align, Plan and Organise (APO), Domain ini juga mencakup strategi dan taktik serta
berfokus pada pengidentifikasian cara terbaik TI dalam kontribusi pada pencapaian tujuan
bisnis atau organisasi. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan
dikelola untuk perspektif yang berbeda. Dapat dilihat pada tabel 2.2, domain APO memiliki
13 proses antaralain yaitu:
Tabel 2.2 Proses pada Domain APO
Kode Proses
APO01 Manage the IT management framework (Mengelola
manajemen kerangka kerja IT)
APO02 Manage strategy (Mengelola strategi)
APO03 Manage enterprise architecture (Mengelola arsitektur
perusahaan).
APO04 Manage innovation (Mengelola inovasi)
APO05 Manage portfolio (Mengelola portofolio)
APO06 Manage budget and costs (Mengelola anggaran dan biaya)
APO07 Manage human resources (Mengelola sumberdaya manusia)
APO08 Manage relationships (Mengelola hubungan)
APO09 Manage service agreements (Mengelola persetujuan
service/layanan)
APO10 Manage suppliers (Mengelola suppliers)
APO11 Manage quality (Mengelola kualitas)
APO12 Manage risk (Mengelola resiko)
APO13 Manage security (Mengelola keamanan)
Sumber: Diadaptasi dari ISACA (2012)
b. Build, Acquire and Implement (BAI), domain ini memberikan solusi dan menjadikannya
layanan. Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, juga diimplementasikan dan diintegrasikan ke dalam proses bisnis. Domain ini
juga mencakup pemeliharaan dan perubahan sistem untuk memastikan bahwa solusi
sesuai dengan tujuan bisnis. Dapat dilihat dari tabel 2.3 dibawah ini, domain BAI memiliki
10 proses:
Tabel 2.3 Proses pada Domain BAI
Kode Proses
BAI01 Manage programmes and projects (Mengelola program dan
proyek)
BAI02 Manage requirements definition (Mengelola definisi
persyaratan)
BAI03 Manage solutions identification and build (Mengelola
identifikasi solusi dan pembangunan)
BAI04 Manage availability and capacity (Mengelola ketersediaan
dan kapasitas)
BAI05 Manage organisational change enablement (Mengelola
pemberdayaan perubahan organisasi)
BAI06 Manage changes (Mengelola perubahan)
BAI07 Manage change acceptance and transitioning (Mengelola
penerimaan terhadap perubahan dan transisi)
BAI08 Manage knowledge (Mengelola pengetahuan)
BAI09 Manage asets (Mengelola aset/modal)
BAI10 Manage configuration (Mengelola konfigurasi)
Sumber: Diadaptasi dari ISACA (2012)
c. Deliver, Service and Support (DSS), domain ini berfokus pada actual delivery dan support
of required services. Yang termasuk service delivery seperti pengelolaan atas keamanan
dan kontinuitas, layanan bantuan untuk pengguna, menajemen data, dan fasilitas
operasional. Domain DSS memiliki 6 proses yang dapat dilihat pada tabel 2.4
Tabel 2.4 Proses pada Domain DSS
Kode Proses
DSS01 Manage operations (Mengelola operasi)
DSS02 Manage service requests and incidents (Mengelola
permintaan service/layan dan insiden)
DSS03 Manage problems (Mengelola masalah)
DSS04 Manage continuity (Mengelola kontinuitas)
DSS05 Manage security services (Mengelola pelayanan keamanan)
DSS06 Manage business process controls (Mengelola pengendalian
proses bisnis)
Sumber: Diadaptasi dari ISACA (2012)
d. Monitor, Evaluate and Assess (MEA), domainini berkaitan dengan memonitor semua
proses untuk memastikan solusiatau pengarahan yang diberikan telah berjalan dengan
benar. Semuaproses TI harus diperiksa secara regular tiap waktu untuk memastikan
kebutuhan kualitas dan ketaatan dengan kebutuhan pengendalian. Dapat dilihat pada
tabel 2.5, Domain MEA memiliki 3 proses:
Tabel 2.5 Proses pada Domain MEA
Kode Proses
MEA01 Monitor, evaluate and assess performance and conformance
(Memonitor, mengevaluasi dan mengukur kinerja dan
kesesuaian)
MEA02 Monitor, evaluate and assess the system of internal control
(Memonitor, mengevaluasi dan mengukur sistem dari
pengendalian internal)
MEA03 Monitor, evaluate and assess compliance with external
requirements (Memonitor, mengevaluasi dan mengukur
kecocokan dengan kebutuhan eksternal/luar)
7. N (Not achieved/tidak tercapai), dalam kategori ini tidak ada atau hanya sedikit bukti atas
pencapaian atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.
8. P (Partially achieved/tercapai sebagian), dalam ketegoriini terdapat beberapa bukti
mengenai pendekatan, dan beberapa pencapaian atribut atas proses tersebut. Range
nilaiyang diraih pada ketegori ini berkisar 15-50%.
9. L (Largely achirved/secara garis besar tercapai), dalam kategori ini terdapat buktiatas
pendekatan sistematis, dan pencapaian signifikan atas proses tersebut, meski mungkin masih
ada kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori ini berkisar 50-
85%.
10. F (Fully arhieved/tercaai penuh), dalam kategori ini terdapat bukti atas pendekatan sistematis
dan lengkap, dan pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait
atribut proses tersebut. Tidak ada kelemahan terkait atribut proses tersebut. Range nilai yang
diraih pada kategori ini berkisar 85-100%.
5. Business Executive, adalah individu yang bertanggung jawab untuk operasi unit bisnis
tertentu atau anak organisasi yang melakukan transaksi di perusahaan dan membina
hubungan baik dengan pihak ketiga.
6. Business Process Owner, adalah seseorang yang bertanggung jawab pada proses kinerja
untuk mewujudkan tujuannya, mendorong perbaikan proses dan menyetujui perubahan
proses.
7. Strategy Executive Committee, adalah individu eksekutif senior yang ditujukan oleh dewan
untuk memastikan bahwa dewan terlibat dalam pengambilan keputusan yang berkaitan
dengan TI.
8. Steering (Programme/Projects) Committee, adalah pemangku kepentingan dan ahli yang
bertanggung jawab untuk bimbingan program dan proyek.
9. Project Management Office, merupakan sebuah divisi atau departemen dalam organisasi
yang menentukan dan menjaga standar dalam manajemen proyek dalam organisasi tersebut.
10. Value Management Office (VMO), adalah orang yang bertindak sebagai sekretariat untuk
mengelola portofolio investasi dan layanan.
11. Chief Risk Officer, adalah sesorang yang memiliki jabatan senior pada organisasi yang
bertanggung jawab untuk semua aspek manajemen resiko di seluruh organisasi yaitu
mengawasi resiko yang berhubungan dengan TI.
12. Chief Information Security Officer, adalah individu yang bertanggung jawab untuk keamanan
informasi organisasi dan bertanggung jawab untuk mempertahankan visi perusahaan,
strategi, dan program untuk memastikan aset informasi dan teknologi yang memadai telah
dilindungi.
13. Architecture Board, adalah pemangku kepentingan dan ahli yang bertanggung jawab pada
organisasi terkait arsitektur dan keputusan untuk menetapkan kebijakan dan standar
arsitektur.
14. Enterprise Risk Committee, adalah individu yang bertanggung jawab untuk kolaborasi tingkat
organisasi dan memantau kebijakan serta pengelolaan risiko serta tindakan mitigasi yang
diambil oleh perusahaan.
15. Head Human Resources, adalah senior yang bertanggung jawab untuk perencanaan dan
kebijakan terhadap semua sumber daya manusia.
16. Compliance, adalah seseorang yang bertanggung jawab untuk bimbingan pada hukum,
peraturan dan kepatuhan terhadap kontrak. Selain itu juga memastikan bahwa seluruh
kegiatan yang berkaitan dengan produksi atau transaksi berjalan dan sesuai.
17. Auditor, adalah individu yang bertanggung jawab atas penyediaan audit internal, dan laporan
keuangan.
18. Chief Information Officer, merupakan orang yang bertanggung jawab untuk teknologi
informasi dan sistem komputer yang mendukung tujuan perusahaan.
19. Head of Architecture, adalah senior untuk proses arsitektur enterprise dan bertanggung
jawab memimpin perancangan arsitektur teknologi informasi yang diterapkan di perusahaan.
20. Head of Development, adalah seseorang individu senior yang bertanggung jawab terkait
proses TI, pembangunan sistem atau aplikasi, dan pembangunan solusi untuk
keberlangsungan bisnis di suatu perusahaan.
21. Head IT Operation, adalah individu senior yang bertanggung jawab atas lingkungan dan
infrastruktur operasional TI.
22. Head of IT Adminstration, adalah seorang individu yang bertanggung jawab terkait
implementasi dan perawatan administrasi TI dan bertanggung jawab terhadap semua
kegiatan yang berhubungan dengan administrasi TI.
23. Service Manager, adalah yang bertanggung jawab mengatur tim kepuasan pelanggan yang
efektif serta memastikan bahwa tim memiliki sumber daya yang memedai dan terlatih.
24. Information Security Manager, adalah seorang indvidu yang mengelola, mengawasi dan
menilai keamanan informasi suatu organisasi guna mencapai perlidungan informasi
perusahaan.
25. Business Countinuity Manager, adalah individu yang mengelola, merancang, mengawasi dan
menilai kemampuan kelangsungan usaha suatu organisasi.
26. Privacy Officer, adalah yang bertanggung jawab untuk memantau resiko dan dampak bisnis
undang-undang privasi dan untuk membimbing dan koordinasi pelaksanaan kebijakan serta
mengelola dan menjaga semua bentuk privasi perusahaan termasuk data customer.
3.5.2 Kuesioner
Pada penelitian ini kuesioner dibuat untuk mendapatkan data kondisi terakhir tata kelola
teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah
Malang. Kuesioner yang digunakan dalam penelitian ini merupakan kuesioner yang digunakan
untuk mengukur tingkat kapabilitas (Capability level) dari subjek yang diteliti. Kuesioner tingkat
kapabilitas ini akan menggunakan control objective yang terdapat pada kerangka kerja COBIT 5.
Indikator pada setiap domain yang digunakan dalam kuesioner memiliki jumlah tujuan control
yang berbeda-beda, indikator yang digunakan dalam kuesioner terkait tingkat kapabilitas
penerapan teknologi informasi pada sebuah instansi dengan menggunakan skala mulai dari level
0 yang artinya belum diterapkan (incomplete process) sampai level 5 yang artinya sudah optimal
(optimizing process). Kuesioner tingkat kapabilitas yang digunakan pada penelitian ini diberikan
pada divisi Pengembangan Sistem Informasi dan divisi Jaringan pada Lembaga Informasi dan
Komunikasi Universitas Muhammadiyah Malang.
3.5.3 Wawancara
Wawancara ini dilakukan dengan metode interview tanya jawab dengan cara bertatap muka
langsung dengan responden. Wawancara yang dilakukan pada penelitian ini adalah wawancara
yang bertujuan untuk menggali informasi yang lebih lengkap dan spesifik mengenai masalah yang
sedang diteliti selain data yang didapat dari kuesioner. Untuk pedoman wawancara, peneliti
berpedoman pada control objective dan capability level yang terdapat pada kerangka kerja COBIT
5.
Selain itu, wawancara juga dilakukan setelah pengisian kuesioner selesai dilaksanakan sebagai
tujuan untuk menanyakan dan memastikan mengenai bukti-bukti yang dapat diberikan oleh divisi
yang telah mengisi kuesioner mengenai jawaban yang mereka isikan pada kuesioner yang
bertujuan untuk memvalidasi jawaban tersebut. Hasil dari wawancara ini nantinya akan peneliti
gunakan sebagai data pendukung dari hasil survey kuesioner yang telah diisi oleh responden.
Wawancara yang dilakukan adalah wawancara yang sistematik karena dilakukan dengan
mempersiapkan pedoman pertanyaan secara tertulis tentang apa saja yang akan ditanyakan
kepada responden.
3.5.4 Observasi
Observasi merupakan salah satu teknik pengumpulan data yang digunakan dalam metode
penelitian kualitatif. Pada umumnya observasi merupakan suatu kegiatan mencari data dengan
menggunakan pancaindera untuk memperoleh informasi yang dibutuhkan untuk menjawab
masalah yang di angkat pada suatu penelitian. Observasi ini dilakukan guna untuk memperoleh
gambaran nyata suatu kejadian ataupun peristiwa yang digunakan untuk menjawab pertanyaan
penelitian. Obervasi dalam penelitian ini dilakukan dengan melakukan pengamatan secara
langsung melihat dokumen perencanaan dan pengembangan teknologi informasi dan kegiatan
dari pegawai yang berhubungan dengan kondisi tata kelola teknologi informasi di instansi
tersebut.
Dalam observasi penelitian ini juga dilakukan pengamatan dengan melihat data dukung atau
dokumen pendukung, apakah data yang telah diisikan dalam kuesioner sesuai dengan keadaan
yang sebenarnya. Nantinya, data dukung dapat digunakan sebagai bukti validasi bahwa nilai yang
telah diisikan. Dalam pengamatan langsung ini bertujuan melihat kegiatan tata kelola keamanan
sistem dan teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas
Muhammadiyah Malang yang berhubungan dengan kerangka kerja COBIT 5.
3.8 Kesimpulan
Kesimpulan berisi penelitian yang telah dilakukan, mencakup kondisi tata kelola teknologi
informasi pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang saat ini
dan kondisi tata kelola teknologi informasi yang diharapkan akan digunakan sebagai acuan
perbaikan dimasa mendatang untuk mencapai tujuan dari instansi tersebut. Dalam kesimpulan
juga akan dijelaskan hasil dari penelitian dan juga saran-saran yang dapat diberikan untuk
penelitian selanjutnya.
BAB 4 HASIL
c. Penilaian Kuesioner
Dari hasil kuesioner yang telah diisi oleh 3 responden berdasarkan RACI Chart terhadap sub
domain APO 13 (mengelola keamanan) dan DSS 05 (mengelola pelayanan keamanan) dari level
1 hingga level 5 dibuatlah sebuah ringkasan hasil dari penilaian yang dapat dilihat pada tabel 4.4
dampai 4.6 berikut ini. Adapun hasil dari kuesioner ini merupakan hasil dari keseluruhan dari
Lampiran A Wawancara danjuga Lambiran B Kuesioner.
Tabel 4.4 Hasil Penilaian Proses Responden 1
Responden 1
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L L P N N N N - -
Rating
Pencapaian
1
Capability
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
DSS 05 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
F L L P P N N - -
Rating
Pencapaian
2
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)
Dapat dilihat pada tabel 4.4 dari hasil responden 1 didapatkan nilai pencapaian capability
level dari subdomain APO 13 adalah level 1, pada subdomain APO 13 dari level 1 hingga level 2
sudah mencapai largerly achieved dan sebagian level 2 partialy achieved yaitu sebesar >15% -
50%, namun pada level 3 hingga level 4 pencapaian capability level baru mencapai not achieved
yaitu sebesar 0-15%. Sedangkan pencapaian capability level dari subdomain DSS 05 adalah level
2, yaitu level 1 sudah mencapai tingkat fully achieved, tetapi pada level 2 hanya mencapai largerly
achieved, dan level 3 hanya mencapai partialy achieved dan level 4 mencapai not achieved, dan
level 5 tidak memenuhi kriteria.
Tabel 4.5 Hasil Penilaian Proses Responden 2
Responden 2
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L L P N N N N - -
Rating
Pencapaian
1
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)
Dari hasil responden 2 pada tabel 4.5 didapatkan nilai capability level dari subdomain APO 13
adalah pada level 1. Pencapaian pada level 2 yaitu sebagian telah mencapai largerly achieved
tetapi pada 2.2 hanya mencapai partially achieved yaitu sebesar >15%-50%, dan pada level 3
hingga level 4 hanya mencapai not achieved yaitu sekitar 0-15% saja, dan pada level 5 tidak
memenuhi kriteria.
Tabel 4.6 Hasil Penilaian Proses Responden 3
Responden 3
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L P P P N N N N -
Rating
Pencapaian
1
Capability
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
DSS 05 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
F L P P P N N N N
Rating
Pencapaian
2
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)
Dapat dilihat pada tabel 4.6 dari hasil responden 1 didapatkan nilai pencapaian capability
level dari subdomain APO 13 adalah level 1, pada subdomain APO 13 dari level 1 sudah mencapai
largerly achieved, namun pada level 2 hingga level 4 pencapaian capability level baru mencapai
partialy achieved yaitu sebesar >15% - 50% dan not achieved yaitu sebesar 0-15%. Sedangkan
pencapaian capability level dari subdomain DSS 05 adalah level 2, yaitu level 1 sudah mencapai
fully achieved, namum level 2 hanya mencapai largerly achieved, dan level 3 hanya mencapai
partialy achieved. Sedangkan level 4 hingga level 5 hanya mencapai kriteria not achieved yaitu
tercapai 0-15%.
4.2.2 Wawancara
Wawancara yang dilakukan bertujuan untuk menggali berbagai informasi yang lebih spesifik
selain data yang didapat dari kuesioner dan juga bertujuan untuk memverifikasi hasil dari
pengisian kuesioner apakah sudah sesuai dengan keadaan instansi yang sebenarnya pada saat
ini. Wawancara juga dilakukan untuk mengetahui target pencapaian selanjutnya yang
diharapkan.
Hasil wawancara keseluruhan dapat dilihat pada lampiran B. Hasil wawancara yang dilakukan
kepada kepala Lembaga Infokom itu bertujuan untuk mengetahui keadaan sebenarnya di
Infokom UMM. Dari hasil wawancara didapati bahwa Lembaga Infokom sudah menerapkan
berbagai layangan keamanan informasi, namun belum ada manajemen khusus atau divisi khusus
yang menangani manajemen keamanan sistem informasi. Lembaga Infokom telah menggunakan
firewall sebagai sistem keamanan jaringan komputer untuk melindungi aplikasi dari malware,
Infokom juga telah memiliki sistem keamanan konektivitas dan jaringan yang bernama simidav,
selain itu pengelolaan dalam melindungi endpoint telah dilakukan dan direncanakan dengan
baik. Segala bentuk surat-surat sensitif dan surat berharga terkait TI juga telah dikelola dan
dilindungi. Infokom juga telah memberikan batasan akses menuju perangkat TI, tidak
sembarangan orang bisa mengaksesnya, selain itu Infokom juga telah memberi perlindungan
untuk memonitor infrastruktur IT dengan memasang CCTV. Infokom juga telah mengelola
berbagai hak akses informasi yang disesuaikan dengan kebutuhan bisnis masing masing
fungsional area dan pengguna.
Selain itu, hasil wawancara menunjukkan bahwa dalam mengelola layanan keamanan seperti,
melindungi perangkat dari hardware, mengamankan jaringan, pembagian hak akses,
perlindungan terhadap surat berharga dan monitoring infrastruktur semua telah dikelola dan
direncanakan dalam sebuah dokumen bernama Blue Print Pengembangan Sistem Informasi
Universitas Muhammadiyah Malang dan ICT Mapping Infokom UMM. Meski demikian, belum ada
dokumen khusus yang hanya membahas terkait manajemen keamanan sistem informasi dan
memantau manfaat meningkatkan manajemen keamanan informasi.
Namun dalam wawancara kepala Lembaga Infokom Universitas Muhammadiyah Malang
mengatakan bahwa hasil dari pengelolaan keamanan belum sepenuhnya terdokumentasi dengan
baik, hasil kerjanya pun hanya disampaikan secara lisan jika ditemukan suatu masalah. Selain itu,
dalam menjalankan dan mengelola keamanan sistem informasi, Lembaga Infokom belum
memiliki Standard Operating Procedure (SOP) yang mengatur langkah langkah prosedur
pelaksanaan manajemen layanan keamanan sistem informasi.
4.2.3 Observasi dan Studi Kepustakaan
Observasi untuk memahami subjek dan objek penelitian dilakukan berdasarkan kebutuhan
data yang diperlukan yaitu mengenai Sistem Informasi Manajemen (SIM) dengan mengamati dan
membaca referensi terkait informasi yang relevan dengan penelitian. Selain itu juga dokumen
terkait dengan Infokom UMM khususnya yang berhubungan dengan penggunaan teknologi
informasi di Universitas Muhammadiyah Malang. Selain itu, observasi dilakukan berdasarkan
kebutuhan data yang diperlukan menurut domain proses APO 13 dan DSS 05.
Lembaga Infokom UMM telah menyediakan standar dalam memelihara keamanan informasi,
langkah-langkah keamanan, dan prosedur manajemen terkait untuk melindungi keamanan
sistem informasi dan infrastruktur TI yang diselaraskan dengan kebutuhan bisnis perusahaan.
Semua hal tersebut disusun dalam dokumen Blue Print Pengembangan Sistem Informasi
Universitas Muhammadiyah Malang, dapat dilihat pada gambar 4.1.
Ketiga responden yang mengisi kuesioner pada domain proses APO 13 sama-sama
menghasilkan nilai pencapaian kapabilitas terhadap manajemen keamanan berada pada level 1,
sedangkan dari dua responden yang mengisi pada domain proses DSS 5 memberikan hasil yang
sama yaitu nilai pencapaian kapabilitas terhadap manajemen layanan keamanan berada pada
level 2.
Tabel 4.8 menunjukkan ringkasan hasil dari penilaian proses capability level yang didapatkan
dari pengumpulan data melalui penyebaran kuesioner yang diberikan kepada 3 responden sesuai
peran masing-masing berdasar RACI chart dan juga hasil wawancara kebenaran kuesioner.
Didapatkan hasil capability level untuk subdomain APO 13 berada pada level 1 yaitu performed
process bahwa proses yang telah diimplementasikan tersebut telah mencapai tujuannya,
sedangkan untuk subdomain DSS 05 sudah berada pada level 2 yaitu managed process bahwa
proses yang telah dijalankan sekarang diimplementasikan dengan terkelola (terencana,
termonitor, dan teratur) dan hasil kerjanya telah diterapkan dengan baik, terkontrol, dan
terpelihara.
Berdasarkan tabel 5.2 yang menunjukkan bahwa gap atau kesenjangan pada domain proses
APO 13 antara level yang terjadi sekarang dan level target yang diharapkan yaitu level 2 adalah
sebesar 1, maka beberapa hal yang perlu dilakukan Lembaga Infokom UMM adalah:
1. Membentuk sebuah manajemen keamanan sistem informasi yang terkelola (terencana,
termonitor, dan teratur) dan hasil kerjanya diterapkan dengan baik, dan terkontrol.
2. Mengadakan pengelolaan dan pemantauan terhadap rencana penanganan resiko keamanan
sistem informasi yang menggambarkan bagaimana pengelolaan tersebut selaras dengan
strategi perusahaan.
3. Mengadakan pengelolaan dan pemantauan dalam meningkatan efektivitas manajemen
keamanan sistem informasi.
4. Membuat aturan atau dokumen tertulis yang membahas mengenai manajemen keamanan
sistem informasi, pengelolaan rencana penanganan resiko, dan mengenai pemantauan
terhadap peningkatan efektivitas manajemen keamanan sistem informasi.
5. Mendokumentasikan dan mengendalikan setiap hasil kerja dari manajemen keamanan
sistem informasi, pengelolaan rencana penanganan resiko, dan mendokumentasikan hasil
dari pemantauan terhadap peningkatan efektivitas manajemen keamanan sistem informasi.
Strengths Weakness
Terdapat pemantauan rutin Tidak ada manajemen khusus
terhadap sistem informasi dan yang mengelola manajemen
infrastruktur TI keamanan sistem informasi
Memiliki rencana kerja umum Tidak ada dokumen khusus yang
terhadap penanganan resiko fokus membahas pengelolaan
keamanan informasi dan keamanan sistem informasi
pemeliharaan infrastruktur TI
Tidak ada aturan tertulis
Memiliki kesadaran dan tindakan mengenai pemantauan dan
antisipasi akan keamanan sistem peningkatan efektivitas
informasi di dalam instansi keamanan sistem informasi
Memiliki infrastruktur TI yang Job description yang jelas untuk
lengkap keamanan sistem informasi
belum ada
Terbatasnya SDM dalam
pembentukan divisi atau
manajemen khusus yang
mengelola keamanan sistem
informasi
Opportunities Threats
Strengths Weakness
Opportunities Threats
Mulai banyaknya alat anti malware Adanya serangan dari pihak luar
yang tersedia dan dapat di yang ingin membobol sistem atau
download secara gratis hak akses terhadap sistem dengan
tujuan mendapatkan informasi
Perbaikan dalam hal
instansi
pendokumentasian setiap hasil
kerja Perkembangan malware yang
semakin canggih
Perbaikan dalam hal
pendokumentasian setiap standar Kegagalan dalam menjalankan
operasional prosedur kerja layanan yang tidak sesuai
prosedur sebab tidak ada standar
prosedur yang digunakan
5.4 Rekomendasi
Dari hasil evaluasi tata kelola keamanan sistem informasi manajemen Universitas
Muhammadiyah Malang menggunakan capability level, analisis gap, dan analisis SWOT, dapat
diberikan beberapa rekomendasi yang dapat digunakan dalam mengelola manajemen keamanan
informasi di Lembaga Infokom UMM sebagai tindakan preventif supaya kejadian terkait resiko
keamanan tidak terjadi lagi, dan sebagai langkah yang tepat dalam mengembangkan dan
memperbaiki manajemen keamanan sistem informasi di Universitas Muhammadiyah Malang.
Berikut akan dibahas dan dipaparkan rekomendasi dari hasil evaluasi yang dibagi berdasarkan
domain proses yang digunakan yaitu APO 13 dan DSS 05.
6.1 Kesimpulan
Berdasarkan hasil penelitian dan analisis yang dilakukan pada sistem informasi manajemen
Lembaga Infokom Universitas Muhammadiyah Malang, maka dapat diambil kesimpulan sebagai
berikut:
1. Evaluasi dilakukan menggunakan kerangka kerja COBIT 5 dan menggunakan domain APO
(Align, Plan and Organise) dan DSS (Deliver, Service and Support) pada sub domain APO 13
yaitu manage security dan DSS 05 manage security service. Evaluasi dilakukan dengan cara
penyebaran kuesioner kepada 3 orang responden yang dipilih berdasarkan RACI chart yang
kemudian divalidasi dengan hasil observasi dan wawancara.
2. Hasil dari evaluasi tata kelola keamanan sistem di Universitas Muhammadiyah Malang
tersebut menunjukkan bahwa:
a. Tingkat kemampuan atau capability level dalam mengelola keamanan berada pada level
1 yaitu performed process yang artinya proses yang diimplementasikan telah mencapai
tujuannya, telah dilakukan akan tetapi belum ada manajemennya.
b. Tingkat kemampuan atau capability level dalam mengelola layanan keamanan berada
pada level 2 yaitu managed process yang artinya proses yang diimplementasikan telah
dijalankan dengan terkelola (terencana, termonitor, dan teratur) dan hasil kerjanya telah
diterapkan dengan baik, terkontrol, dan terpelihara.
3. Setelah mengetahui hasil dari evaluasi yang menyatakan bahwa capability level Lembaga
Infokom berada pada level 1 untuk proses APO 13 dan di level 2 untuk proses DSS 05, harapan
instansi ingin meningkatkan nilai capability level pada setiap prosesnya yaitu menjadi naik
satu level dari hasil yang ada saat ini. Untuk mencapai capability level yang diinginkan, maka
diberikan rekomendasi sebagai berikut:
a. Capability Level pada proses APO 13 yang ingin dicapai adalah level 1 dengan analisis gap
bernilai 1. Untuk mencapai level yang diinginkan mana instansi perlu membentuk tim
khusus yang membahas manajemen keamanan informasi, membuat dokumen baku
(lebih tersistematik) atau dokumen khusus yang membahas terkait keseluruhan
pengelolaan, perencanaan, dan pemantauan terhadap manajemen keamanan sistem
informasi, serta mendokumentasikan setiap kegiatan dan perubahan yang terjadi serta
mendokumentasikan seluruh hasil kerja dari memanajemen keamanan sistem informasi.
b. Capability Level pada proses DSS 05 yang ingin dicapai adalah level 2 dengan analisis gap
bernilai 1. Membuat aturan tertulis yang menyatakan pembatasan akses terhadap
seluruh aset teknologi informasi, sistem informasi, membuat aturan tertulis mengenai
perlindungan yang sesuai terhadap praktik akuntansi dan manajemen asset TI yang
sensitif, mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil
proses kinerja serta membuat standar operasional prosedur dalam seluruh kinerja setiap
layanan keamanan.
6.2 Saran
Pada sub bab ini berisi saran yang diberikan penulis untuk penelitian berikutnya, khususnya
bagi mahasiswa yang akan melaksanakan penelitian terkait tata kelola teknologi informasi pada
instansi ini:
1. Penelitian selanjutnya dapat melanjutkan tahap COBIT ke 5 yaitu execute plan dan dilanjutkan
hingga sampai dengan tahap 7 yaitu review effectiveness.
2. Untuk penelitian selanjutnya terkait pengukuran tingkat keamanan sistem informasi
menggunkan metode atau kerangka kerja tata kelola TI yang lainnya seperti indeks KAMI, ITIL,
COSO, PRINCE 2, ISO, dll. Proses tersebut bertujuan untuk menilai tata kelola yang berkaitan
dengan pemanfaatan teknologi dalam aktivitas organisasi.