BAB 1 PENDAHULUAN

1.1 Latar Belakang

Dalam sebuah lingkungan bisnis yang sangat begitu semakin kompetitif dan tentu saja cepat
berubah, membuat perusahaan segara menyadari akan manfaat serta potensial apa saja yang
dapat dihasilkan dari sebuah teknologi informasi. Seiring dengan kemajuan teknologi yang pesat,
membuat institusi tergerak untkuk selalu melakukan peningkatan dalam mengembangkan
teknologi informasinya. Upaya pemanfaatan segala teknologi informasi dilakukan sebagai
pendukung kegiatan operasional dalam institusi tersebut sehingga hal tersebut dirasa mampu
atau dapat meningkatkan efisiensi dan efektifitas kinerjanya. (Sarno, 2009).
Penerapan teknologi informasi dapat digunakan sebagai penentu utama menuju sebuah
keberhasilan dan kesuksesan suatu instansi yang memberikan sebuah kesempatan untuk
mendapat sebuah keunggulan yang kompetitif dan tentunya meningkatkan kinerja perusahaan,
produktifitas, dan juga dalam memberikan manfaat lebih di masa-masa mendatang. Maka oleh
sebab itu tata kelola TI tentunya akan menjadi sebuah bagian yang sangat penting karena untuk
mengkaji dan juga memastikan apakah informasi seluruh perusahaan dan seluruh teknologi yang
tersedia di perusahaan itu dapat mendukung dan menunjang perusahaan untuk mencapai
sebuah tujuan bisnis yang dibangunnya (Gultom, 2012). Selain itu evaluasi terhadap manajemen
pengelolaan teknologi informasi digunakan untuk mempertahankan bahkan meningkatkan
performa fungsional teknologi informasi pada sebuah instansi sehingga mendukung keselarasan
sistem yang telah digunakan saat ini. Maka tujuan utama evaluasi tata kelola teknologi informasi
ialah mengontrol penggunaanya dengan tujuan untuk memastikan dan meyakini bahwa seluruh
kinerja TI di perusahaan tersebut telah memenuhi dan telah sesuai semua dengan tujuan
perusahaan (ITGI, 2007).
Dalam melakukan tata kelola TI terdapat beberapa perangkat yang dapat digunakan sebagi
referensi dalam melakukan audit dan telah diakui secara internasional, salah satu standar yang
paling sering digunakan adalah COBIT (Control Objective for Information and Related Technology)
dari IT Governance Institute yaitu merupakan salah satu bagian dari Information System Audit
and Control Assosiation (ISACA). COBIT memberikan standar umum dalam bentuk kerangka kerja
berupa domain yaitu sekumpulan proses teknologi informasi yang mempresentasikan aktivitas
terstruktur dan dapat juga dikendalikan (Sarno, 2009). Salah satu kegunaan penerapan audit TI
menggunakan COBIT ialah memberikan masukan dan juga rekomendasi bagi instansi untuk
perbaikan, pengembangan, dan pengelolaan TI di masa yang akan datang. COBIT versi terbaru
dari framework ISACA adalah COBIT 5 yang dirilis tahun 2012. COBIT 5 tersebut dibangun dan
diperluas dari COBIT 4.1 yaitu dengan mengintegrasikan kerangka kerja lainnya, dan juga sumber
daya, serta standar (ISACA, 2012).
Salah satu contoh instansi pendidikan yang telah memanfaatkan teknologi informasi sebagai
upaya pendukung kegiatan operasional dan peningkatan kinerjanya ialah Universitas
Muhammadiyah Malang (UMM). UMM ini merupakan salah satu universitas swasta yang ada di
Malang yang menggunakan berbagai sistem informasi dan juga teknologi informasi dalam
membantu menjalankan operasional kerjanya yang dibawahi oleh sub bidang Lembaga Informasi
dan Komunikasi. Lembaga ini memiliki seluruh tanggung jawab atas semua penyediaan dan
pengembangan fasilitas TI untuk seluruh kegiatan, baik pengembangan SDM, akademik,
administrasi, hingga sampai pada penjaminan mutu seluruh proses akademiknya (Suyatno,
2009). Beberapa contoh penerapan teknologi informasi di UMM adalah penggunaan Sistem
Informasi Manajemen (SIM) yang terdiri dari aplikasi Manajemen Administrasi Akademik (MAA),
Sistem Registrasi KRS Online, Sistem Informasi Kemahasiswaan (SIMAWA), Sistem Alumni UMM,
Sistem Informasi Pegawai (SIMPEG), dan sebagainya.
Berdasarkan pada ICT mapping UMM menyebutkan bahwa penerapan sistem informasi
manajemen tersebut masih memiliki beberapa permasalahan yang sedang dihadapi oleh UMM
dan belum berjalan sesuai tujuan organisasi. Antara lain masalah yang ada di dalam manajemen
teknologi informasi UMM adalah seperti belum terjaminnya seluruh keamanan data dan juga
informasinya. Beberapa daerah unit pernah mengalami kerusakan dan juga mengalami
kehilangan data secara tiba-tiba akibat malware dan hacker yang sempat terjadi beberapa waktu
lalu yang mengakibatkan terganggunya beberapa proses bisnis yang sedang berjalan.
Penanganan terhadap gangguan dari sistem dan juga jaringan masih relatif lambat, baik
gangguan sistem maupun gangguan pada fisik TI yang hal tersebut dapat menyebabkan
kerusakan hardware dan sistem. Kerusakan pada data, hardware, dan sistem secara langsung
akan memberikan akibat yaitu terhentinya segala layanan dalam administrasi, terhentinya akses
informasi dan juga data terhadap sumber informasi dan juga menggangu pada sistem informasi
manajemen secara menyeluruh.
Sibuknya proses bisnis di UMM mengakibatkan gangguan teknis, dan masalah keamanan yang
muncul tersebut akan menjadi suatu permasalahan yang sangat kritis bila hal tersebut terjadi.
Apabila salah satu sistem pada sebuah unit perusahaan mengalami masalah dan tidak berjalan
semestinya, maka hal tersebut akan mengganggu proses bisnis lainnya. Perlu adanya evaluasi
tata kelola keamanan untuk mengantisipasi dan menanggulangi permasalahan karena dengan
adanya evaluasi dapat memberikan masukkan atau rekomendasi kepada instansi dalam bentuk
tindakan preventif yang dapat diimplementasikan supaya dapat mengurangi ataupun mencegah
permasalahan-permasalahan yang tidak diinginkan tersebut supaya tidak terjadi lagi di kemudian
hari.
Oleh karena itu berdasarkan uraian permasalahaan yang telah dijabarkan di atas, diperlukan
adanya evaluasi manajemen pengelolaan keamanan pada Sistem Informasi Manajemen yang
diterapkan oleh Lembaga Informasi dan Komunikasi UMM. Untuk mengevaluasi pengelolaan
keamanan tersebut maka saya sebagai penulis akan melakukan penelitian skripsi ini dengan
memberikan judul “Evaluasi Tata Kelola Keamanan Sistem dan Teknologi Informasi pada
Universitas Muhammadiyah Malang Menggunakan Kerangka Kerja COBIT 5”. Penelitian ini
berpacu pada penelitian yang telah dilakukan oleh Dewi Ciptaningrum, yaitu mengaudit
keamanan sistem informasi di kantor pemerintahan Kota Yogyakarta dengan menggunakan
aturan kerja COBIT 5 yang mampu menghasilkan sebuah rekomendasi yang tepat untuk
perbaikan keamanan sistem.
Dalam kerangka kerja COBIT 5 ada beberapa tujuan yang membahas terkait tentang
keamanan untuk TI dan juga sistem informasi, ada ssebuah produk dari COBIT 5 yang
mengkhususkan fokusnya pada manajemen keamanan Ti dan sistem informasi, yaitu pada COBIT
5 for Information Security. Menjadikan COBIT 5 sebagai metode yang tepat untuk melakukan
evaluasi keamanan Sistem Informasi Manajemen bagi UMM. Mencermati kondisi permasalahaan
yang telah dipaparkan di atas, penelitian ini akan menggunakan standar kerangka kerja COBIT 5
pada domain proses APO 13 (mengelola keamanan) dan DSS 05 (mengelola pelayanan
keamanan).
Berdasarkan temuan-temuan dari pelaksanaan penelitian ini diharapkan dapat menghasilkan
dan memberikan rekomendasi yang dapat digunakan oleh Lembaga Informasi dan Komunikasi
Universitas Muhammadiyah Malang sebagai referensi dalam pengembangan dan perbaikan
pengelolaan serta tindakan-tindakan preventif yang dapatdilakukan dalam menangangi resiko
keamanan sistem informasi dan teknologi informasi Universitas Muhammadiyah Malang di masa
yang akan datang.

1.2 Rumusan Masalah

Berdasarkan paparan latar belakang yang telah dijelaskan di atas, maka beberapa rumusan
masalah pada penelitian ini adalah:
1. Bagaimana penerapan kerangka kerja COBIT 5 dalam evaluasi tata kelola keamanan Sistem
Informasi Manajemen pada Universitas Muhammadiyah Malang?
2. Bagaimana hasil evaluasi tata kelola keamanan pada Sistem Informasi Manajemen di
Universitas Muhammadiyah Malang berdasarkan implementasi kerangka kerja COBIT 5.
3. Bagaimana rekomendasi yang dapat diberikan untuk perbaikan pada Universitas
Muhammadiyah Malang sesuai dengan hasil evaluasi menggunakan kerangka kerja COBIT 5.

1.3 Tujuan
Berdasarkan dari latar belakang dan juga rumusan masalah yang telah dikemukakan di atas,
maka adapun tujuan yang ingin dicapai dari penelitian ini adalah sebagai berikut:
1. Menerapkan kerangka kerja COBIT 5 dalam evaluasi tata kelola keamanan Sistem Informasi
Manajemen pada Universitas Muhammadiyah Malang
2. Mengetahui hasil evaluasi manajemen keamanan pada SIstem Informasi Manajemen di
Universitas Muhammadiyah Malang berdasarkan implementasi kerangka kerja COBIT 5.
3. Mengetahui rekomendasi perbaikan berdasarkan hasil evaluasi terkait tata kelola keamanan
sistem informasi pada Universitas Muhammadiyah Malang supaya mencapai tingkat
kapabilitas yang diharapkan.

1.4 Manfaat
Adapun manfaat yang dapat dihasilkan dari adanya penelitian yang dilakukan di Universitas
Muhammadiyah Malang ini adalah sebagai berikut:
1. Memberikan evaluasi terkait tata kelola keamanan sistem informasi pada Lembaga Informasi
dan Komunikasi Universitas Muhammadiyah Malang dengan menggunakan kerangka kerja
COBIT 5. Dan dari hasil penelitian ini diharapkan instansi dapat mengetahui sejauh mana
tingkat kapabilitas tata kelola manajemen keamanan yang telah diterapkan.
2. Dengan adanya penelitian ini diharapkan dapat memberikan rekomendasi yang baik dan
tepat bagi instansi dalam melakukan pengembangan ataupun perbaikan terhadap tata kelola
keamanan sistem informasi yang telah diterapkannya supaya dapat mencapai tujuan yang
diharapkan.

1.5 Batasan Masalah

Berdasarkan rumusan masalah diatas, maka terdapat batasan terhadap permasalahan pada
penelitian ini, antara lain adalah:
1. Evaluasi tata kelola teknologi informasi dilakukan pada Lembaga Informasi dan Komunikasi
(Infokom) Universitas Muhammadiyah Malang.
2. Penelitian terkait tata kelola keamanan serta proses evaluasi tingkat kapabilitas
menggunakan kerangka kerja COBIT 5.
3. Menggunakan kerangka kerja COBIT 5 hanya pada domain APO dan DSS yaitu fokus pada
proses APO 13 (mengelola keamanan) dan DSS 05 (mengelola pelayanan keamanan).

1.6 Sistematika Pembahasan

Sistematika penulisan skripsi ditujukan untuk memberikan gambaran dan uraian dari
keseluruhan skripsi secara sistematis dan terstruktur yang meliputi beberapa bab sebagai
berikut:
BAB 1 PENDAHULUAN pada bab ini menguraikan mengenai latar belakang penelitian, rumusan
masalah penelitian, tujuan penelitian, manfaat penelitian, batasan masalah dan juga
sistematika pembahasan secara ringkas atas keseluruhan isi dokumen.
BAB 2 LANDASAN KEPUSTAKAAN pada bab ini menguraikan pembahasan tentang teori-teori
yang diterapkan sebagai pendukung penelitian, kajian pustaka, konsep, sistem dari
literatur ilmiah yang berkaitan dengan tema penelitian, serta penjelasan terkait profil
instansi Lembaga Infokom UMM Universitas Muhammadiyah Malang.
BAB 3 METODOLOGI bab ini menguraikan tentang metode-metode yang diterapkan dalam
proses perolehan data. Diantaranya mencakup metode penelitian yang digunakan, tahap
penelitian yang dilakukan untuk mencapai tujuan penelitian dan juga metode-metode
dalam pengumpulan data yang akan digunakan penulis dalam memperoleh dan
mengumpulkan data yang dibutuhkan dalam penelitian ini.
BAB 4 HASIL bab ini menguraikan proses pengumpulan data yang dibutuhkan penelitian dan
analisa – analisa keamanan, identifikasi proses bisnis, pengolahan data yang didapat dari
penelitian menggunakan metode penyebaran kuesioner dan metode lain yang terkait
dalam penelitian serta pembahasan validasi data gtersebut dan temuan hasil evaluasi.
BAB 5 PEMBAHASAN pada bab ini menguraikan terkait analisis yang dilakukan dari
pengumpulan serta pengolahan data. Dari uraian analisis menjelaskan tentang hasil
analisis yang dapat digunakan sebagai dasar pembuatan rekomendasi yang bisa
digunakan oleh Universitas Muhammadiyah Malang.
BAB 6 KESIMPULAN DAN SARAN, bab ini akan berisi tentang uraian kesimpulan dan juga saran
atas penelitian yang telah dilakukan untu penelitian selanjutnya.
 BAB 2 LANDASAN KEPUSTAKAAN

Pada bab landasan kepustakaan ini akan dibahas terkait pembahasan dan juga uraian tentang
kajian pustaka dan juga dasar teori yang digunakan dalam penelitian. Kajian pustaka akan
membahas beberapa penelitian yang telah dilakukan sebelumnya dimana kajian pustakan
tersebut memiliki topik dan metode kerangka kerja yang sama dengan penelitian yang akan
dilakukan. Kajian pustaka tersebut bertujuan sebagai acuan penelitian dan sebagai pembanding
dengan penelitian sebelumnya, sehingga kajian pustaka dapat digunakan sebagai referensi dalam
melakukan proses evaluasi tingkat kapabilitas tata kelola teknologi informasi pada sebuah
instansi. Sedangkan dasar teori membahas mengenai dasar-dasar teori yang digunakan peneliti
untuk menunjang penulisan skripsi yang berjudul Evaluasi Tingkat Kapabilitas Tata Kelola
Teknologi Informasi pada Universitas Muhammadiyah Malang Menggunakan Kerangka Kerja
COBIT 5 ini. Berdasarkan latar belakang dan rumusan masalah yang diangkat, dasar teori yang
dibutuhkan dan digunakan adalah mengenai profil instansi yang dijadikan objek penelitian, tata
kelola teknologi informasi, kerangka kerja COBIT 5 serta capability level.

2.1 Kajian Pustaka

Penulisan dari skripsi ini mengambil serta mengkaji dari beberapa penelitian dan jurnal-jurnal
yang telah dilakukan oleh beberapa orang terdahulu yang memiliki topik dan menggunakan
kerangka kerja yang sama dan relefan dengan penelitian skripsi ini. Kajian pustaka bertujuan
untuk membandingkan penelitian saat ini dengan penelitian sebelumnya yang dijadikan penulis
sebagai referensi dalam melakukan evaluasi tata kelola teknologi informasi dan sistem informasi
yang telah ada pada sebuah instansi.
Salah satu referensi yang digunakan sebagai kajian pustaka adalah dari jurnal ilmiah yang
berjudul “Audit Tata Kelola Teknologi Informasi Berbasis COBIT 5 (DSS05) Untuk Evaluasi
Keamanan Sistem Informasi pada Dinas Komunikasi dan Informatika Kabupaten Kendal” yang
ditulis oleh Tri Rachmawati Sari. Penelitian yang berfokus pada IT Diskominfo kabupaten Kendal
disebabkan keamanan sistem yang masih kurang, tidak rutinnya melakukan monitoring back up
data dan jaringan yang tidak stabil. Dari masalah tersebut dilakukan lah evaluasi dengan
menggunakan COBIT 5 berdasarkan domain deliver, service, and support (DSS 05). Penelitian
tersebut dilakukan dengan cara observasi, wawancara, dan implementasi langkah kerja sesuai
kerangka kerja COBIT 5 agar dapat mendifinisikan rekomendasi yang bisa dilakukan selanjutnya
oleh Diskominfo kabupaten Kendal di masa yang akan datang (Tri, 2015).
Referensi lainnya diambil dari sebuah penelitian yang berjudul “Audit Keamanan Sistem
Informasi pada Kantor Pemerintah Kota Yogyakarta Menggunakan COBIT 5” yang ditulis oleh
Dewi Ciptaningrum, Eko Nugroho, dan Dani Adhipta. Pemerintah kota Yogyakarta sudah
memanfaatkan teknologi informasi dan komunikasi melalui pembangunan aplikasi-aplikasi yang
mendukung pelayanan masyarakat sepeti situs resmi pemerintah, Penerimaan Peserta Didik Baru
(PPDB) online, Unit pelayanan Informasi dan Keluhan (UPIK), Layanan Pengadaan Secara
Elektronik (LPSE) dan masih banyak lagi. Sebagai institusi pemerintah yang telah memanfaatkan
teknologi informasi, Pemerintah Kota Yogyakarta menyadari perlunya standar operasional dan
prosedur manajemen pengamanan sistem informasi dan telekomunikasi (Ciptaningrum, 2015).
Dari permasalahan yang didapat, penelitian tersebut melakukan audit terkait tata kelola
teknologi informasi instansi tersebut yang mengacu pada standar kerangka kerja COBIT 5 yang
berfokus pada pengelolaan keamanan yaitu dengan menggunakan domain EDM 03, APO 12, APO
13, BAI 06, dan DSS 05. Dari hasil analisa tersebut didapat tingkat kapabilitas keamanan SI pada
instansi tersebut masih pada tingkat 1 yaitu Performed Process sehingga penelitian tersebut
menghasilkan sebuah rekomendasi untuk mengembangkan dan meningkatkan keamanan sistem
yang dimiliki instansi tesebut (Ciptaningrum, 2015).
Referensi lainnya diambil dari penelitian yang berjudul “Analisis Tata Kelola Proses Layanan
Keamanan Informasi Penyedia Barang/Jasa (DSS05) dalam Kegiatan E-procurement pada LPSE
Provinsi Jawa Tengah Berdasarkan Kerangka Kerja COBIT 5” oleh Ana Ranitania dan Amiq Fahmi.
Adanya masalah terkait atribut jaringan keamanan membuat diperlukannya kegiatan analisis tata
kelola TI tentang pengelolaan layanan keamanan. Dengan adanya evaluasi atau pengukuran
kinerja ini diharapkan nantinya dapat menghasilkan temuan dan juga rekomendasi yang dapat
digunakan oleh LPSE provinsi Jawa Tengah sebagai referensi dalam meningkatkan pengelolaan
teknologi informasinya yang terkait layanan keamanan informasi. Berdasarkan COBIT 5
dihasilkanlah level kapabilitas dari evaluasi layanan keamanan informasi pada penyedia barang
atau jasa di LPSE provinsi Jawa Tengah pada saat ini adalah 2 yaitu managed dengan
menunjukkan status Largely Achieved yaitu sebesar 74,95% atau setara dengan nilai 2,75, hal
tersebut menunjukkan bahwa dimana pengkomunikasian mengenai seluruh perencanaan dari
kinerja proses layanan keamanan informasi masih belum sepenuhnya dikelola dengan baik.
Tingkat kesenjangan antara keadaan sekarang dan level yang diharapkan adalah sebesar 1. Untuk
mencapai level 3, LPSE dapat melakukan beberapa strategi dalam perbaikan yang dapat
dilakukan secara bertahap dari proses atribut pada level 1 hingga sampai pada level 3. (Ranitania,
2015)
Ketiga pembahasan penelitian diatas memiliki keterkaitan dengan penelitian ini yaitu
membahas mengenai evaluasi tata kelola teknologi informasi dan sistem informasi yang
dilakukan dengan mengacu pada kerangka kerja COBIT 5. Dilakukan dengan menganalisa sejauh
mana tingkat kapabilitas tata kelola TI pada sebuah instansi dan mengetahui tingkat kapabilitas
yang di harapkan sehingga apabila ada kesenjangan dapat menghasilkan rekomendasi dalam
pengembangan dan pengelolaan IT yang lebih baik kedepannya. Sehingga dapat disimpulkan
bahwa melakukan proses evaluasi terhadap tata kelola TI pada sebuah instansi itu sangat penting
untuk melihat sejauh mana keadaan nyata saat ini dan yang diharapkan sehingga dapat
menghasilkan sebuah rekomendasi yang kemudian dilaporkan kepada pengguna yang
berkepentingan sebagai keputusan dalam perbaikan dan pengembangan tata kelola teknologi
informasi yang dimilikinya.

2.2 Profil Universitas Muhammadiyah Malang

Universitas Muhammadiyah Malang merupakan salah satu perguruan tinggi swasta di
Malang, Jawa Timur milik persyarikatan muhammadiyah yang telah terakreditasi A oleh BAN-PT
tahun 2013. Universitas Muhammadiyah Malang yang berdiri pada tahun 1964 ini memiliki 3
kampus yang tersebar di Kota Malang. Kampus I UMM terletak di Jalan Bandung nomor 1,
Kampus II terletak di Jalan Bendungan Sutami nomor 188A dan kampus III yang terletak di Jalan
Raya Tlogomas nomor 246 Malang, Jawa Timur.
 Universitas Muhammadiyah Malang yang memiliki sebutan kampus putih ini memiliki
sebanyak 52 program studi. 52 program studi tersebut terdiri dari 3 program Diploma III, 34
program studi Strata 1, 10 program Strata 2, 2 program Strata 3 atau Doktor dan 3 prodi Program
Profesi.
Universitas Muhammadiyah Malang memiliki visi yaitu, menjadikan Universitas terkemuka
dalam pengembangan ilmu pengetahuan, teknologi, dan seni (IPTEKS) berdasarkan nilai-nilai
islam. Sedangkan misi UMM antara lain adalah, menyelenggarakan pendidikan yang bermutu,
menyelenggarakan penelitian dan pengabdian kepada masyarakat yang dapat meningkatkan
kesejahteraan manusia, menyelenggarakan pengelolaan universitas yang amanah,
menyelenggarakan civitas akademika dalam kehidupan yang islam sehingga mampu beruswah
khasanah, dan juga menyelenggarakan kerjasama dengan pihak lain yang saling menguntungkan
dalam pengembangan IPTEKS.

2.2.1 Lembaga Informasi dan Komunikasi

Lembaga Informasi dan Komunikasi (Infokom) Universitas Muhammadiyah Malang
mempunyai seluruh tanggung jawab terhadap penyediaan dan pengembangan fasilitas ICT untuk
seluruh kegiatan, baik administrasi, pengembangan SDM, akademik, hingga sampai pada
penjaminan mutu akademik. Beberapa fasilitas yang disediakan oleh lembaga Infokom antara
lain seperti internet, internet dan hotspot. Selain itu beberapa Sistem Informasi Manajemen
(SIM) juga telah dikembangkan dengan tujuan untuk memfasilitasi proses administrasi di segala
bidang.
Lembaga infokom melaksanakan tugasnya sesuai dengan Tugas Pokok dan Fungsi (Tupoksi)
yang diberikan oleh pimpinan. Untuk memberikan arah yang jelas bagi pengembangan ICT di
UMM, Lembaga Infokom telah menyusun Rencana Strategis (Renstra). Renstra tersebut sudah
disesuaikan dengan Kebijakan Rektor tentang Peraturan Pemanfaatan ICT di UMM.
Lembaga Infokom terletak di kampus III Universitas Muhammadiyah Malang yaitu di Jalan
Raya Tlogomas Nomor 246 Malang, Jawa Timur. Dalam mempelancar tugas-tugasnya, Lembaga
Infokom diperkuat oleh lima Divisi yaitu: Divisi Networking, Divisi Hardware, Divisi
Pengembangan Sistem Informasi, Divisi Pendidikan, dan Divisi Usaha (Suyatno, 2009).

2.2.2 Visi, Misi dan Tujuan Lembaga Infokom UMM

Lembaga Informasi dan Komunikasi (Infokom) Universitas Muhammadiyah Malang
mempunyai Visi, Misi dan Tujuan sebagai berikut:
Visi:
Menjadi lembaga handal yang mampu menjadikan Universitas Muhammadiyah Malang
sebagai Kampus Digitasl (UMM Digital Campus) guna meningkatkan citra di dunia internasional.
Misi:
1. Mengembangkan teknologi informasi dan komunikasi untuk menunjang sistem tata kelola
universitas yang baik, sehat, mandiri dan bercitra.
2. Menyediakan layanan teknologi informasi dan komunikasi yang berkualitas bagi seluruh
civitas akademika dan stakeholder eksternal.
3. Mengenalkan Universitas Muhammadiyah Malang secara intensif pada masyarakat
internasional melalui internet.
4. Mengembangkan profit center bidang teknologi informasi dan komunikasi untuk mendukung
finansial universitas.
Tujuan:
1. Meningkatkan kontribusi lembaga untuk kemajuan universitas yang bertata kelola baik, sehat
dan bercitra.
2. Meningkatkan kualitas layanan teknologi informasi dan komunikasi bagi stakeholder internal
dan eksternal.
3. Meningkatkan kualitas media penyebaran informasi universitas pada masyarakat
internasional melalui internet. Meningkatkan pendapatan hasil usaha bidang TIK.

2.2.3 Struktur Organisasi Lembaga Infokom

Struktur organisasi Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang
digambarkan pada Gambar 2.1. Secara umum Lembaga Infokom UMM membagi bidang kerjanya
menjadi lima divisi, divisi tersebut antara lain adalah:
1. Divisi networking, terdiri dari sub divisi maintenance.
2. Divisi perawatan dan pengadaan, terdiri dari dua sub divisi yaitu sub divisi perawatan dan sub
divisi pengadaan.
3. Divisi pengembangan sistem informasi, terdiri dari delapan sub divisi yaitu antara lain adalah
sub divisi Sistem Informasi Akademik, sub divisi Sistem Informasi Kepegawaian, sub divisi
Sistem Informasi Keuangan, sub divisi Sistem Informasi Kemahasiswaan, sub divisi Sistem
Informasi Penelitian dan Pengabdian, sub divisi Sistem Informasi Penerimaan Maba, sub divisi
web development, dan sub divisi database administratur.
4. Divisi pendidikan, terdiri dari dua sub divisi yaitu sub divisi E-Learning dan sub divisi pelatihan
dan praktikum.
5. Divisi Usaha, terdiri dari dua sub divisi yaitu sub divisi warnet dan hotspot dan sub divisi
penjualan software.
 Gambar 2.1 Struktur Organisasi Lembaga Informasi dan Komunikasi UMM
Sumber: UMM (2012)

2.3 Sistem Informasi Manajemen (SIM) UMM

Untuk mendukung sistem tata kelola yang modern, UMM sudah mengembangkan tata kelola
berbasis teknologi informasi dan komunikasi (TIK). Penerapan TIK yang dilakukan melalui
pengembangan sistem informasi manajemen (SIM) dalam sistem tata kelola di UMM diharapkan
mampu atau dapat mendukung dalam sistem pengambilan keputusan yang akurat, cepat dan
efektif.
Beberapa SIM yang sudah dikembangkan beberapa unit dengan pola kerja secara parsial yaitu
antara lain: Sistem Informasi Manajemen Kepegawaian (SIMPEG) di BAU, Manajemen
Administrasi Akademik (MAA) di BAA, Sistem Informasi Manajemen Pengabdian Masyarakat
(SIMABDIMAS) di LPM, Sistem Informasi Manajemen Penerimaan Mahasiswa Baru (SIMABA) di
UPT PMB, Sistem Informasi Manajemen Kemahasiswaan (SIMAWA) dan SIM Alumni di Biro
Mawa, Sistem Informasi Manajemen ATK (SIMATK) di Bag. Perlengkapan, Research Interactive
Review System (RIReS) di Lemlit, Digital Library dan Sistem Otomasi Perpustakaan di UPT
Perpustakaan, Sistem Informasi Manajemen Aset (SIMAST) di BAU, Sistem Informasi Manajemen
Keuangan (SIMKEU) di Biro Keuangan, dan Sisten Jurnal Online “Sejoli”. (Suyatno, 2009)

2.4 Pengertian Evaluasi

Evaluasi merupakan suatu bentuk kegiatan yang terencana untuk mengetahui keadaan
sebuah objek dengan menggunakan sebuah instrumen dan yang hasilnya akan dibandingkan
dengan tolak ukur sehingga memperoleh kesimpulan (Yunanada, 2009). Evaluasi merupakan
sebuah proses dalam penggambaran, pemberian, dan juga pencarian informasi yang dapat
sangat bermanfaat bagiseluruh individua tau kelompok pengambil keputusan dalam
menentukan berbagai alternatif keputusan (Arikunto, 2010).
Dari paparan penjelasan tersebut, evaluasi dapat diartikan sebagai suatu proses penilaian
melalui pengukuran dengan menggunakan instrument untuk menyediakan informasi terkait
sejauh mana suatu kegiatan tertentu telah dicapai yang hasilnya akan dibandingkan dengan
suatu standar atau tolak ukur tertentu yang bertujuan untuk mengetahui selisih antara keduanya
yang bermanfaat bagi pengambil keputusan dalam menentukan suatu alternatif keputusan.

2.5 Tata Kelola Teknologi Informasi

2.5.1 Pengertian Tata Kelola
Tata kelola (governance) merupakan sebuah proses kinerja yang akan dilakukan oleh suatu
organisasi atau masyarakat untuk mengatasi berbagai permasalahan yang mungkin sudah atau
akan terjadi (Jogiyanto, 2011).
Menurut penjelasasn tersebut dapat dijabarkan bahwa tata kelola merupakan serangkaian
poses, aturan, kebijakan, kebisaasan dan institusi yang dilakukan oleh organisasi atau yang
berkepentingan yang bertujuan untuk mempengaruhi terhadap segala aspek pengelolaan,
pengontrolan, serta pengarahan suatu organisasi atau masyarakat

2.5.2 Pengertian Teknologi Informasi

Teknologi informasi tersusun dari dua kata yaitu teknologi dan informasi. Kata teknologi
sendiri bermakna segala sesuatu penerapan berbagai sistem atau peralatan yang dibuat oleh
manusia lalu digunakan dan bisa memberikan nilai yang bermanfaat bagi sesama manusia.
Sedangkan makna informasi adalah sekumpulan data atau fakta yang diproses, diorganisaikan
dan atau diolah kedalam bentuk yang lebih berarti sehingga bermanfaat bagi penerima dan
berguna dalam mengambil keputusan, sekarang atau untuk masa yang akan datang.
Maka teknologi informasi adalah penerapan teknologi komputer (peralatan teknik berupa
perangkat keras dan perangkat lunak) untuk menciptakan, menyampaikan, mempertukarkan,
dan menggunakan informasi dalam berbagai bentuk (Fauziah, 2010). Teknologi informasi
berhubungan dengan segala sesuatu yang berbasis pada computer yang mebantu manusia dalam
menghasilkan, menyimpan, memanipulasi, dan menyampaikan informasi.

2.5.3 Pengertian Tata Kelola Teknologi Informasi

Terdapat beberapa pengertian dari para ahli mengenai pengertian atau arti dari tata kelola
teknologi informasi, seperti menurut Surendro yang mendefinisikan tata kelola teknologi
informasi sebagai suatu bagian yang terintegrasi dari sebuah pengelolaan perusahaan yang
mencakup struktur, kepemimpinan, dan juga proses organisasi yang memastikan bahwa seluruh
teknologi informasi perusahaan dapat digunakan untuk mempertahankan dan memperluas
strategi dan tujaun organisai (Surendro, 2009)
Menurut Jogiyanto dan Abdillah yang mendefinisikan tata kelola teknologi informasi sebagai
suatu struktur dan proses pengambilan keputusan teknologi informasi dan memastikan
keberhasilan teknologi dalam rangka penciptaan nilai bagi pada pemangku kepentingan
(stakeholder) (Jogiyanto, 2011). The IT Governance Institute (ITGI) mendefinisikan tata kelola
teknologi informasi sebagai suatu bagian internal dari tata kelola suatu perusahaan yang terdiri
atas proses organisasional, struktur, dan juga kepemimpinan yang bertujuan untuk memastikan
bahwa seluruh teknologi informasi pada suatu organisasi tersebut berlanjut serta dapat
meningkatkan strategi dan tujuan organisasi.
Berdasarkan definisi diatas, dapat disimpulkan bahwa tata kelola teknologi informasi adalah
bagian proses yang mengatur atau mengelola dan mengarahkan suatu organisasi yang mencakup
penggunaan atau pemanfaatan teknologi informasi yang digunakan perusahaan dalam rangka
mencapai tujuannya dan memberikan nilai tambah bagi organisasi tersebut.
Adapun tujuan tata kelola teknologi informasi adalah mengontrol penggunaannya dalam
memastikan bahwa kinerja TI memenui dan sesuai dangan tujuan sebagai berikut (Surendro,
2009):
1. Menyelaraskan teknologi informasi dengan strategi organisasi serta realisasi dari keuntungan
keuntungan yang telah dijanjikan dari penerapan teknologi informasi.
2. Penggunaan teknologi informasi memungkinkan organisasi mengambil peluang-peluang yang
ada, serta memaksimalkan pemanfaatan teknologi informasi dalam
memaksimalkankeuntungan dari penerapan IT tersebut.
3. Bertanggung jawab terhadap penggunaan sumber daya teknologi informasi.
4. Manajeman resiko-resiko yang ada terkait teknologi informasi secara tepat.

2.6 Manajemen Keamanan informasi

Manajemen Keamanan sistem informasi rata-rata dapat digunakan para manajer untuk
mengukur, memonitor dan mengendalikan keamanan informasi mereka. Adapun Tujuan dari
memanajemen keamanan adalah sebagai integritas, akurasi, serta keselamatan pada seluruh
pengelolaan dan juga sumber daya sisem informasi. Manajemen keamanan ini diharapkan dapat
memberikan perlindungan informasi, penghitungan aset yang ada pada sebuah perusahaan,
meminimalkan kesalahan, dan juga kerugian dalam pengadaan sistem informasi dan
infrastruktur TI.
Keamanan sistem dan teknologi Informasi mengacu pada berbagai usaha-usaha dalam
mengamankan semua bentuk atau bagian dari sebuah sistem
dan infrastruktur teknologi informasi dari bermacam gangguan-gangguan yang mungkin terjadi
seperti akses terlarang serta utilisasi jaringan yang tidak diiginkan. Sedangkan dalam keamanan
informasi dan data berfokus pada data dan informasi milik perusahaan. Pada konsep ini, usaha-
usaha yang dilakukan antara lain adalah
merencanakan, mengembangkan, dan mengawasi semua kegiatan yang memang terkait dengan
sebagaimana informasi dan data bisnis dapat digunakan sesuai dengan fungsinya masing-masing,
serta tidak disalahgunakan ataupun bahkan dibocorkan kepada pihak-pihak yang tidak
berkepentingan
Manajemen keamanan Informasi ini mempunyai tiga komponen kunci dalam menyediakan
jaminan layanan keamanan informasi diantaranya:
1. Kerahasiaan, yaitu aspek yang menjamik kerahasiaan dari data dan juga informasi,
memastikan bahwa informasi hanya akan dapat diakses untuk mereka yang berwenang dan
mempunyai akses, serta menjamin kerahasiaan data yang diterima, dikirim ataupun yang
disimpan.
2. Integritas, yaitu melindungi kelengkapan dan ketelitian informasi dan inilah yang
menjamin bahwa data tidak akan dirubah tanpa ada izin atau perintah dari pihak yang
berwenang, menjaga keutuhan dan keakuratan informasi serta metode prosesnya sebagai
bentuk penjaminan aspek integritas ini.
3. Ketersediaan, yaitu memastikan bahwa para pemakai yang berkepentingan mempunyai
akses ke informasi dan berhubungan dengan aset ketika diperlukan.

2.7 COBIT
COBIT (Control Objective for Information and related Technology) merupakan sekumpulan
dokumentasi dalam bentuk best practices dan panduan untuk mengimplementasikan IT
Governance, kerangka kerja COBIT dapat membantu manajemen, auditor, dan juga pengguna
(user) dalam menjembatani pemisah atau kesenjangan (gap) antara kebutuhan control, resiko
bisnis, dan permasalahan-permasalahan teknis (ISACA, 2012). COBIT dikeluarkan dan
dikembangkan oleh IT Governance Institute (ITGI) dimana telah diterima dan diimplementasikan
secara lingkup internasional sebagai sebuah praktek dalam pengendalian atas seluruh hal
tentang teknologi informasi dan resiko yang terkait. Selain itu, COBIT juga merupakan bagian dari
Information System Audit and Control Association (ISACA).
IT Governance Institute (ITGI) menjelaskan dalam situsnya bahwa kerangka kerja COBIT akan
memudahkan Chief Information Officer (CIO) dan membantu stakeholder dalam memahami
peoses dan layanan teknologi informasi serta secara mudah berintegrasi dengan standar lain
seperti ISO 27002, ITIL dan COSO. COBIT memberi manajer, auditor, dan pengguna teknologi
informasi serangkaian langkah yang diterima secara umum, indicator, proses, dan praktek terbaik
untuk membantu dalam memaksimalkan seluruh manfaat yang didapatkan melalui penggunaan
teknologi informasi dan juga melalui pengembangan IT Governance yang sesuai dan
pengendalian dan pengendalian dalam perusahaan (Jogiyanto, 2011).

Gambar 2.2 Evaluasi COBIT

Sumber: ISACA (2012)
Control Objectives for Information and related Technology (COBIT) dalam perkembangannya
telah mengalami beberapa perubahan versi dan titik point, dimulai dari COBIT 1 sampai COBIT 5
untuk versi terbari saat ini. Dapat dilihat pada gambar 2.2, ISACA merilis COBIT pertamanya pada
tahun 1996 yang saat itu hanya berfokus sebagai suatu pekerjaan audit. Selang dua tahun,
berkembanglah menjadi COBIT 2 yang merefleksikan control peningkatan sejumlah dokumen
sumber dan tambahan seperangkat alat implementasi yang dipublikasi pada 1998. Pada COBIT 3
dintandai adanya ITGI yang dibentuk ISACA pada 1998 yang memperluas fokusnya pada
manajemen TI. Lalu pada versi COBIT 4 ditingkatkan lagi pada IT Governance. Pada tahun 2007
rilis COBIT versi 4.1 yang kemudian dilakukan penambahan dengan value IT 2.0 yaitu merupakan
nilai investasi dengan TI dan resiko IT. Dan saat ini versipaling akhir adalah COBIT 5 yang telah
melengkapi seluruh cakupan pda versi COBIT pada versi sebelumnya.
COBIT sudah mengalami evolusi yang cukup panjang untuk semakin baik menjadi kerangka
kerja yang bisa digunkan dalam menerapkan IT Governance Enterprise Goal (Jogiyanto, 2011).

2.8 COBIT 5
COBIT 5 merupakan sebuah kerangka kerja generasi terbaru dalam panduan ISACA yang
didalamnya membahas mengenai berbagai tata kelola dan juga membahas terkait manajemen
teknologi informasi. COBIT 5 adalah sebuah kerangka kerja yang digunakan untuk manajemen
teknologi informasi, tata kelola, dan semua yang berhubungan dengannya, yang akan dimulai
dari proses memenuhi kebutuhan stakeholder akan informasi dan teknologi (ISACA, 2012). COBIT
5 menjelaskan juga mendefenisikan dengan rinci sejumlah tata kelola dan manajemen proses
serta menyediakan prinsip-prinsip, praktek, alat-alat analisis dan model yang diterima secara
global untuk meningkatkan nilai-nilai dari implementasi teknologi informasi. COBIT 5 juga
menyediakan model proses dimana mewakili semua proses yang bisaa dapat ditemukan dalam
suatu perusahaan terkait dengan kegiatan dan atau pengelolaan teknologi informasi.
 COBIT 5 dapat membantu sebuah perusahaan atau instansi untuk menciptakan sebuah nilai
yang optimal dari seluruh pemanfaatan teknologi informasi yaitu dengan cara menjaga
keseimbangan antara mengoptimalkan tingkat resiko yang dihasilkan, kesadaran akan
manfaatnya, dan penggunaan sumber daya. COBIT 5 membahas bisnis dan area fungsional
teknologi informasi di suatu instansi perusahaan dan mempertimbangkan kepentingan yang
berkaitan dengan teknologi informasi secara internal maupun eksternal bagi para pemangku
kepentingan.
COBIT 5 memiliki 2 area utama yaitu area tata kelola (governance) dan area manajemen.
Pengaturan (governance) membahas terkait hal-hal apa yang mendasari tata kelola tersebut yang
ditentukan melalui pendefinisian strategi dan kontrol. Sedangkan pengelolaan (manage) yang
terkait bagaimana seluruh tata kelola yang diimplementasikan atau dilaksanakan merupakan
cakupan dari pengelolaan yang ditentukan melalui rencana taktis (ISACA, 2012).

2.8.1 Komponen COBIT 5

Kerangka kerja COBIT 5 memiliki komponen yaitu 5 prinsip (principles) dan 7 enabler yang
bermanfaat dan bersifat umum yang dapat digunakan untuk semua ukuran perusahaan. Dapat
dilihat pada bagan gambar 2.3, gambar yang diambil dari buku ISACA tersebut menjelaskan 5
prinsip dari COBIT 5 tersebut antara lain adalah Meeting stakeholder needs, covering enterprise
end-to-end, applying a single intergrated framework, enabling a holistic approach dan separating
governance from management. Berikut penjelasasn dari kelima prinsip tersebut:

Gambar 2.3 COBIT 5 Principles

Sumber: ISACA (2012)

1. Meeting stakeholder needs, prinsip ini mendefinisikan bahwa suatu organisasi berusaha
dalam menciptakan nilai bagi para pemangku keprntingan. Prinsip ini berguna untuk
mendefinisikan prioritas untuk jaminan, perbaikan dan implementasi. Segala kebutuhan
stakeholder diubah kedalam sebuah strategi bagi organisasi. Selain itu sistem tata kelola
 harus selalu mempertimbangkan keseluruhan stakeholder ketika membuat suatu keputusan
mengenai penilaian sumber daya, manfaat dan keputusan penilaian resiko.
2. Covering enterprise end-to-end, prinsip ini menjelaskan bahwa COBIT 5 mengintegrasikan
tata kelola teknologi informasi perusahaan dengan tata kelola organisasi atau perusahaan
meliputi semua proses dan fungsi yang dibutuhkan untuk mengelola dan mengatur teknologi
informasi perusahan dimana pun informasi diproses internal maupun eksternal.
3. Applying a single intergrated framework, COBIT 5 menyatukan atau menyelaraskan dengan
standar dan kerangka kerja relevan lain yang sebelumnya tersebar dalam berbagai keranga
kerja ISACA (COBIT, Risk IT, BMIS, VAL TI, dll), sehingga perusahan dapat menggunakan COBIT
5 sebagai kerangka kerja tata kelola umum atau menyeluruh dan integrator.
4. Enabling a holistic approach, COBIT 5 mendefinisikan sekumpulan enabler yang saling
mempengaruhi satu sama lain dalam mendukung penerapan tata kelola secara komprehensif
dan sistem manajemen teknologi informasi pada suatu organisasi.
5. Separating governance from management, pada prinsip ini menjelaskan bahwa COBIT 5
membuat perbedaan yang cukup jelas antara tata kelola dengan manajemen. Kedua hal
tersebut memiliki cakupan dari berbagai struktur organisasi yang berbeda, kegiatan yang
berbeda, dan melayani untuk tujuan yang berbeda pula. Tata kelola melibatkan pengambilan
keputusan pada high level dan merupakan tanggung jawab direksi di bawah kepemimpinan
ketua. Sedangkan manajemen merupakan tanggung jawab manajemen eksekutif dibawah
kepemimpinan CEO.
COBIT 5 memiliki 7 kategori enablers. Enablers adalah sekumpulan faktor yang
mempengaruhi sesuatu yang akan dikerjakan oleh organisasi (ISACA, 2012). 7 kategori enablers
tersebut antara lain adalah:
1. Principles, policies and framework, merupakan pendorong untuk menerjemahkan perilaku
menjadi panduan praktis untuk manajeman sehari-hari
2. Processes, menjelaskan tentang sekumpulan kegiatan yang terorganisir untuk mencapai
tujuan tertentu dan menghasilkan output dalam mendukung pencapaian tujuan teknologi
informasi.
3. Organizational Structures, merupakan entitas dalam organisasi sebagi kunci dalam
pembuatan keputusan.
4. Culture, ethics and behavior, faktor ini merupakan faktor keberhasilan dalam kegiatan tata
kelola dan manajemen.
5. Information, dibutuhkan supaya organisasi dapat berjalan dengan baik, yang terdiri dari
informasi yang dibutuhan maupun yang dihasilkan.
6. Service, infrastructure and applications, melibatkan infrastruktur teknologi dan aplikasi yang
menyediakan proses dan layanan teknologi informasi bagi organisasi
7. People, skills and competencies, berkaitan dengan individu dan kebutuhan untuk memenuhi
semua aktifitas untuk mencapai kesuksesan dan membuat keputusan yang tepat dengan
langkah yang tepat.
2.8.2 Implementasi COBIT 5

Gambar 2.4 Tahap Implementasi COBIT 5

Sumber: ISACA (2012)
Menurut ISACA, dijelaskan pada gambar 2.4, COBIT 5 memiliki tujuh tahap yang terdapat
dalam siklus implemantasi COBIT 5 antara lain adalah Initiate Programme, Define Problems and
Opportunities, Define Road Map, Plan Programme, Execute Plan, Release Benefit, dan Review
Effectiveness. Berikut penjelasannya:
1. Tahap 1 adalah Initiate Programme, mengidentifikasi penggerak pada organisasi dan
identifikasi pendorong perubahan pada saat ini, seperti contoh masalah kinerja,
implementasi software, tren, dan lainya. Tujuan tahap ini untuk memperoleh pemahaman
tentang organisasi terkait wewenang, tugas, tujuan, dan pendekatan pengelolaan organisasi
saat ini.
2. Tahap 2 adalah Define Problems and Opportunities, menjelaskan posisi organisasi saat ini,
juga mensejajarkan tujuan TI dengan strategi dan resiko perusahaan dan memprioritaskan
tujuan dan proses TI yang paling penting.
3. Tahap 3 adalah Define Road Map, menjelaskan target perbaikan yang akan dilakukan
organisasi dan analisi gap untuk mengidentifikasi solusi potensial supaya dapat menetapkan
target kemampuan untuk prosesyang di pilih.
4. Tahap 4 adalah Plan Programme, mernjelaskan tentang apa yang harus dilakukan organisasi
berupa solusi perbaikan dan rekomendasi. Tujuan tahap ini untuk menerjemahkan
kesempatan untuk memperbaiki proses yang dipilih.
5. Tahap 5 adalah Execute Plan, pelaksanan solusi dan rekomendasi yang diusulkan kedalam
praktek sehari-hari pada organisasi dan melakukan pemantauan terhadap keselarasan yang
dicapai dengan pengukuran kinerja.
6. Tahap 6 adalah Release Benefit, tahap ini berfokus pada transisi yang berkelanjutan dari
perbaikan tata kelola teknologi informasi pada organisasi.
7. Tahap 7 adalah Review Effectiveness, mengevaluasi dari setiap pencapaian kesuksesan dari
inisiatif secara umum pada organisasi dan meningkatkan kebutuhan untuk perbaikan terus-
menerus.
2.8.3 Process Reference Model (PRM)
Model proses referensi COBIT 5 membagi proses IT perusahaan dalam dua jenis area aktivitas
yaitu governance dan management yang terbagi menjadi 5 domain yang terdiri dari 37 proses:
1. Governance, area ini berisi 5 proses tata kelola yang terdapat pada domain Evaluate, Direct
and Monitor (EDM). Domain EDM mencakup proses tata kelola yang berhubungan dengan
tata pemangku kepentingan dalam melakukan penilaian, optimasi resiko dan sumber daya,
termasuk praktekdan aktivitas yang bertujuan unuk mengevaluasi pilihan strategis,
memberikan arahan TI dan pemantauan hasil. Dapat dilihat pada tabel 2.1, domain EDM
terdiri dari 5 proses:
Tabel 2.1 Proses pada Domain EDM
Kode Proses
EDM01 Ensure governance framework setting and maintenance
(Memastikan kerangka kerja tata kelola pengaturan dan
pemeliharaan)
EDM02 Ensure benefits delivery (Memastikan penyampaian yang
bermanfaat)
EDM03 Ensure risk optimisation (Memastikan optimisasi resiko)
EDM04 Ensure resource optimisation (Memastikan optimisasi sumber
daya)
EDM05 Ensure stakeholder transparency (Memastikan transparansi
stakeholder)
Sumber: Diadaptasi dari ISACA (2012)

2. Management, area ini berisi 4 domain yang sejajar dengan area tanggung jawab dari
perencanaan, pembangunan, dan pemonitoran (PERM). 4 domain tersebut antara lain adalah
Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Deliver, Service and
Support (DSS), dan Monitor, Evaluate and Assess (MEA) yang totalnya terdiri dari 32 proses:
a. Align, Plan and Organise (APO), Domain ini juga mencakup strategi dan taktik serta
berfokus pada pengidentifikasian cara terbaik TI dalam kontribusi pada pencapaian tujuan
bisnis atau organisasi. Realisasi visi strategis perlu direncanakan, dikomunikasikan dan
dikelola untuk perspektif yang berbeda. Dapat dilihat pada tabel 2.2, domain APO memiliki
13 proses antaralain yaitu:
Tabel 2.2 Proses pada Domain APO
Kode Proses
APO01 Manage the IT management framework (Mengelola
manajemen kerangka kerja IT)
APO02 Manage strategy (Mengelola strategi)
 APO03 Manage enterprise architecture (Mengelola arsitektur
perusahaan).
APO04 Manage innovation (Mengelola inovasi)
APO05 Manage portfolio (Mengelola portofolio)
APO06 Manage budget and costs (Mengelola anggaran dan biaya)
APO07 Manage human resources (Mengelola sumberdaya manusia)
APO08 Manage relationships (Mengelola hubungan)
APO09 Manage service agreements (Mengelola persetujuan
service/layanan)
APO10 Manage suppliers (Mengelola suppliers)
APO11 Manage quality (Mengelola kualitas)
APO12 Manage risk (Mengelola resiko)
APO13 Manage security (Mengelola keamanan)
Sumber: Diadaptasi dari ISACA (2012)

b. Build, Acquire and Implement (BAI), domain ini memberikan solusi dan menjadikannya
layanan. Untuk merealisasikan strategi TI, solusi TI perlu diidentifikasi, dikembangkan atau
diperoleh, juga diimplementasikan dan diintegrasikan ke dalam proses bisnis. Domain ini
juga mencakup pemeliharaan dan perubahan sistem untuk memastikan bahwa solusi
sesuai dengan tujuan bisnis. Dapat dilihat dari tabel 2.3 dibawah ini, domain BAI memiliki
10 proses:
Tabel 2.3 Proses pada Domain BAI
Kode Proses
BAI01 Manage programmes and projects (Mengelola program dan
proyek)
BAI02 Manage requirements definition (Mengelola definisi
persyaratan)
BAI03 Manage solutions identification and build (Mengelola
identifikasi solusi dan pembangunan)
BAI04 Manage availability and capacity (Mengelola ketersediaan
dan kapasitas)
BAI05 Manage organisational change enablement (Mengelola
pemberdayaan perubahan organisasi)
BAI06 Manage changes (Mengelola perubahan)
 BAI07 Manage change acceptance and transitioning (Mengelola
penerimaan terhadap perubahan dan transisi)
BAI08 Manage knowledge (Mengelola pengetahuan)
BAI09 Manage asets (Mengelola aset/modal)
BAI10 Manage configuration (Mengelola konfigurasi)
Sumber: Diadaptasi dari ISACA (2012)

c. Deliver, Service and Support (DSS), domain ini berfokus pada actual delivery dan support
of required services. Yang termasuk service delivery seperti pengelolaan atas keamanan
dan kontinuitas, layanan bantuan untuk pengguna, menajemen data, dan fasilitas
operasional. Domain DSS memiliki 6 proses yang dapat dilihat pada tabel 2.4
Tabel 2.4 Proses pada Domain DSS
Kode Proses
DSS01 Manage operations (Mengelola operasi)
DSS02 Manage service requests and incidents (Mengelola
permintaan service/layan dan insiden)
DSS03 Manage problems (Mengelola masalah)
DSS04 Manage continuity (Mengelola kontinuitas)
DSS05 Manage security services (Mengelola pelayanan keamanan)
DSS06 Manage business process controls (Mengelola pengendalian
proses bisnis)
Sumber: Diadaptasi dari ISACA (2012)

d. Monitor, Evaluate and Assess (MEA), domainini berkaitan dengan memonitor semua
proses untuk memastikan solusiatau pengarahan yang diberikan telah berjalan dengan
benar. Semuaproses TI harus diperiksa secara regular tiap waktu untuk memastikan
kebutuhan kualitas dan ketaatan dengan kebutuhan pengendalian. Dapat dilihat pada
tabel 2.5, Domain MEA memiliki 3 proses:
Tabel 2.5 Proses pada Domain MEA
Kode Proses
MEA01 Monitor, evaluate and assess performance and conformance
(Memonitor, mengevaluasi dan mengukur kinerja dan
kesesuaian)
 MEA02 Monitor, evaluate and assess the system of internal control
(Memonitor, mengevaluasi dan mengukur sistem dari
pengendalian internal)
MEA03 Monitor, evaluate and assess compliance with external
requirements (Memonitor, mengevaluasi dan mengukur
kecocokan dengan kebutuhan eksternal/luar)

Sumber: Diadaptasi dari ISACA (2012)

2.8.4 Indikator Kapabilitas Proses dalam COBIT 5

Indikator kapabilitas proses adalah sebuah kemampuan proses dalam peraihan tingkat
kapabilitas yang telah ditentukan oleh atribut proses. Bukti atas semua indikator kapabilitas
proses akan mendukung dalam penilaian atas pencapaian dari atribut proses (ISACA, 2012).
Dimensi kapabilitas dalam model penilaian proses mencakup enam tingkat kapabilitas. Di
dalam enam tingkat tersebut terdapat Sembilan atribut proses. Tingkat 0 tidak memiliki indikator
apapun, karena tingkat 0 menyatakan proses yang belum diimplementasikan atau proses yang
gagal, meskipun sebagian untuk mencapai hasil akhirnya. Berikut skala rating yang melibatkan
enal mevel kapabilitas:
1. Level 0 Incomplete process, proses belum diimplementasikan atau gagal mencapai tujuannya.
Dalam level ini hanya ada sedikit atau tidak ada bukti dari pencapaian sistematis dari tujuan
proses.
2. Level 1 Performed process, proses yang diimplementasikannya telah mencapai tujuannya
3. Level 2 Managed process, proses yang telah dijalankan sekarang diimplementasikan dengan
terkelola (terencana, termonitor, dan teratur) dan hasil kerjanya telah diterapkan dengan
baik, terkontrol, dan terpelihara.
4. Level 3 Established process, proses yang sudah terkelola sekarang diimplementasikan
menggunakan proses terdefinisi yang mampu mencapai hasil prosesnya.
5. Level 4 Predictabel process, proses yang telah mapan sekarang beroperasi dengan batasn
yang terdefinisi untuk mencapai hasil prosesnya.
6. Level 5 Optimizing process, proses yang terprediksi telah diimprovisasi dengan berkelanjutan
untuk mencapai tujuan bisnis perusahaan saat ini.
Kegiatan penilaian membedakan antara penilaian untuk level 1dengan level yang lebih tinggi.
Hal ini dilakukan karena level 1 menentukan apakah suatu proses mencapai tujuannya, dan oleh
karena itu sangat penting untuk dicapai, dan juga menjadi pondasi dalam meraih level yang lebih
tinggi.
Dalam penilaian di tiap levelnya, hasil akan diklasifikasikan dalam 4 kategori sebagai yang
dapat dilihat pada tabel 2.6 (ISACA, 2012):
Tabel 2.6 Kategori Pencapaian
N 0 sampai 15 % pencapaian
 P > 15 % sampai 50 % pencapaian
L > 50 % sampai 85 % pencapaian
F > 85 % sampai 100 % pencapaian

7. N (Not achieved/tidak tercapai), dalam kategori ini tidak ada atau hanya sedikit bukti atas
pencapaian atribut proses tersebut. Range nilai yang diraih pada kategori ini berkisar 0-15%.
8. P (Partially achieved/tercapai sebagian), dalam ketegoriini terdapat beberapa bukti
mengenai pendekatan, dan beberapa pencapaian atribut atas proses tersebut. Range
nilaiyang diraih pada ketegori ini berkisar 15-50%.
9. L (Largely achirved/secara garis besar tercapai), dalam kategori ini terdapat buktiatas
pendekatan sistematis, dan pencapaian signifikan atas proses tersebut, meski mungkin masih
ada kelemahan yang tidak signifikan. Range nilai yang diraih pada kategori ini berkisar 50-
85%.
10. F (Fully arhieved/tercaai penuh), dalam kategori ini terdapat bukti atas pendekatan sistematis
dan lengkap, dan pencapaian penuh atas atribut proses tersebut. Tidak ada kelemahan terkait
atribut proses tersebut. Tidak ada kelemahan terkait atribut proses tersebut. Range nilai yang
diraih pada kategori ini berkisar 85-100%.

2.8.5 Kuesioner dan Penilaian Capability Level

Pembuatan kuesioner dilakukan untuk mengumpulkan fakta tiap proses pada domain yang
akan digunakan yaitu proses APO 13 dan DSS 05. Jenis kuesioner yang digunakan adalah
kuesioner untuk mengetahui tingkat kapabilitas (capability level) dimana aktivitas proses masing-
masing control process sesuai management guidelines dari COBIT yang dikembangkan sesuai
dengan obyek penelitian. Penilaian yang digunakan dalam kuesioner tersebut adalah skala
tingkat kapabilitas teknologi informasi mulai dari 0 yang berarti belum diterapkan, sampai 5 yaitu
sudah optimal.

Tabel 2.7 Contoh Kuesioner

Level Nilai Kriteria Y/N Komentar N P L F
Capai (0- (15- (50- (85-
15%) 50%) 85%) 100%
Level 0 Sedikit atau
0 tidak ada
bukti dari
pencapaian
Level PA
1 1.1
…..
 Level PA
2 2.1
…..
Level PA
3 3.1
…..
Level PA
4 4.1
…..
Level PA
5 5.1
…..
Perhitungan capability level dari tata kelola manajemen keamanan yang telah diterapkan
pada penggunaan Sistem Informasi Manajemen oleh Lembaga Informasi dan Komunikasi pada
Universitas Muhammadiyah Malang akan dihitung berdasarkan hasil kuesioner yang dibagikan
kepada responden yang telah dipilih sebelumnya. Kuesioner akan dibagikan kepada kepala-
kepala divisi dan staf-staf Lembaga Informasi dan Komunikasi UMM.
Perhitungan capability level berdasarkan masing-masing proses yang terdapat pada 5 domain
antara lain EDM, APO, DSS, BAI, dan MEA. Pada penelitian ini, kuesioner difokuskan pada 2
domain yaitu APO dan DSS yang menggunakan domain proses APO 13 dan DSS 05 dimana jumlah
jawaban masing-masing proses yang akan dihitung berdasarkan jawaban masing masing
parameter. Untuk total didapat dari jumlah parameter dimana n adalah jumlah jawaban pada
masing-masing parameter. Setelah selesai mendapatkan total total bobot kemudian menghitung
tingkat kematangan atau capability level dengan perhitungan pada persamaan 2.5.
𝑇𝑜𝑡𝑎𝑙 𝐵𝑜𝑏𝑜𝑡
Capability Level = (2.5)
𝐽𝑢𝑚𝑙𝑎ℎ 𝑅𝑒𝑠𝑝𝑜𝑛𝑑𝑒𝑛

2.8.6 Dasar Proses Keamanan

Terdapat dua proses untuk manajemen keamanan dari COBIT 5 yaitu DSS 05 Deliver, Service
and Support dan APO 13. Berikut penjelasanmasing masing proses menurut ISACA:
1. APO 13 Manage Security
Merupakan domain proses yang mengawasi, mengoperasikan, dan mendefinisikan sistem
untuk manajemen keamanan informasi. Tujuan dari domain ini yaitu adalah: Menjaga agar
kejadian, dampak dan resiko dari seluruh insiden keamanan informasi masih berada dalam
lingkup level risiko yang dapat diterima perusahaan.
Terdapat 5 subdomain dari APO 13 ini yaitu sebagai berikut:
 1. APO13.01 Establish and maintain an information security management system:
Membangun dan memelihara sistem manajemen keamanan informasi yang menyediakan
standar, pendekatan formal dan berkelanjutan untuk keamanan teknologi dan bisnis
manajemen informasi, memungkinkan proses aman yang selaras dengan kebutuhan
bisnis dan manajemen keamanan perusahaan.
2. APO13.02 Define and manage an information security risk treatment plan: Menjaga
rencana keamanan informasi yang menggambarkan bagaimana risiko keamanan
informasi harus dikelola dan selaras dengan strategi perusahaan dan arsitektur
enterprise. Memastikan bahwa rekomendasi untuk melaksanakan perbaikan keamanan
didasarkan pada kasus bisnis disetujui dan dilaksanakan sebagai bagian integral dari
layanan dan solusi pengembangan, kemudian dioperasikan sebagai bagian integral dari
operasi bisnis.
3. APO13.03 Monitor and review information security management system : Menjaga dan
secara teratur berkomunikasi kebutuhan, dan manfaat, keamanan informasi terus
menerus perbaikan. Mengumpulkan dan menganalisis data, dan meningkatkan
efektivitas sistem manajemen keamanan informasi. Benar ketidaksesuaian untuk
mencegah terulangnya. Mempromosikan budaya keamanan dan terus-menerus
perbaikan.
2. DSS 05 Manage Security Services
Merupakan proses yang berfokus pada upaya perlindungan aset informasi pada organisasi
untuk mempertahankan tingkat resiko keamanan informasi yang dapat diterima organisasi sesuai
kebijakan keamanan. Melakukan pemantauan keamanan dan pengujian berkala serta
menerapkan tindakan korektif untuk mengidentifikasi kelemahan keamanan dan insiden
keamanan. Tujuan dari domain ini yaitu sebagai berikut:
a. Mengklasifikasi masalah proses bisnis dan mencari akar penyebab permasalahan untuk
mencegah kerentanan informasi dan insiden.
b. Meningkatkan tingkat layanan kenyamanan pelanggan dan kepuasan pelanggan dengan
mengurangi jumlah masalah operasional yang ada
Terdapat 5 subdomain dari DSS 05 ini yaitu sebagai berikut:
1. DSS05.01 Protect against malware: Merupakan praktek untuk memberikan perlindungan
terhadap malware. Praktek tata kelola yang dilakukan adalah menerapkan dan
memelihara pencegahan, dan langkah-langkah perbaikan di tempat seluruh organisasi
untuk melindungi informasi dan teknologi dari malware seperti virus, worm spyware dan
spam.
2. DSS05.02 Manage network and connectivity security: Merupakan praktek pengelolaan
jaringan dan keamanan konektivitas. Praktek tata kelola yang dilakukan adalah
menggunakan keamanan dan prosedur yang terkait untuk melindungi informasi atas
keamanan konektivitas.
3. DSS05.03 Manage enpoint security: Merupakan praktek mengelola keamanan endpoint.
Praktek tata kelola yang dilakukan adalah memastikan perangkat endpoint. Seperti
 laptop, dekstop, server terjamin pada tingkatan yang sama dengan atau lebih besar dari
prosedur keamanan yang telah didefinisikan.
4. DSS05.04 Manage user identity and logical access: Merupakan praktek pengelolaan
identitas pengguna dan hak akses. Praktek tata kelola yang dilakukan adalah memastikan
bahwa semua pengguna memiliki akses informasi hak sesuai dengan kebutuhan mereka.
5. DSS05.05 Manage physical security: Merupakan praktek mendefinisikan dan menerapkan
prosedur, membatasi dan mencabut akses sesuai dengan kebutuhan bisnis serta keadaan
darurat. Mengelola keamanan akses ke tempat yang berwenang atas akses tersebut.
Memantau orang yang memasuki tempat akses termasuk staf, staf sementara, klien,
vendor dan pengunjung atau pihak ketiga.
6. DSS05.06 Manage sensitif documents and outputs devices: Merupakan prektek mengelola
keamanan dokumen. Praktek tata kelola yang dilakukan adalah membangun
pengamanan fisik yang sesuai, inventarisasi dokumen penting dan persediaan
manajemen atas aset TI seperti surat berharga, token keamanan.
7. DSS05.07 Monitor the infrastructure for security-related event: Merupakan praktek
pendefinisian menggunakan alat deteksi intrusi, memonitor infrastruktur untuk akses
yang tidak sah dan memastikan bahwa setiap peristiwa yang terintegrasi dengan acara
monitoring umum dan manajemen insiden.

2.9 RACI Chart

Memahami seluruh aturan dan bertanggung jawab pada setiap proses kinerja adalah sebuah
kunci dari efektifitas sebuah pengendalian. COBIT 5 menyediakan sebuah RACI chart, yaitu
sebuah matrik dari seluruh wewenang atau aktivitas dalam pengambilan keputusan yang
dilakukan dalam sebuah organisasi terhadap semua orang atau peran untuk setiap proses.
1. Responsible (pelaksana), meupakan orang yang secara langsung bertanggung jawab
melakukan suatu kegiatan atau melakukan pekerjaan.
2. Accountabel (penanggung jawab), merupakan orang yang bertanggung jawab dan memiliki
otoritas untuk memutuskan suatu perkara.
3. Consulted (penasehat), merupakan orang yang diperlukan untuk memberikan umpan balik
atau sarannya dan berkontribusi akan kegiatan tersebut.
4. Informed (terinformasi), merupakan orang yang perlu tahu akan hasil dari suatu keputusan
atau tindakan.
Pada contoh diagram RACI yang tertera pada tabel 2.8 tersebut menggambarkan terkait
aktivitas atau proses apa saja yang dilakukan dan individu yang terlibat. Key Management
Practice (KMP) adalah praktik manajemen yang berisi aktivitas-aktivitas pada setiap domain pada
COBIT 5. Contoh tabel dibawah adalah aktivitas-aktivitas pada domain APO 13 dengan proses
yang terdiri dari APO 13.01 hingga APO 13.03 Berikut merupakan penjelasan mengenai pihak-
pihakyang terlibat dalam struktur COBIT 5, yaitu:
1. Board, adalah individua tau kelompok eksekutif paling senior atau direktur non-eksekutif dari
organisasi yang bertanggung jawab untuk tata kelola organisasi dan memiliki kontrol
keseluruhan sumber daya.
2. Chief Excutive Officer (CEO), adalah orang yang memiliki kedudukan tinggi yang bertanggung
jawab dari manajemen keseluruhan organisasi.
3. Chief Financial Officer (CFO), adalah yang memiliki jabatan senior pada organisasi yang
bertanggung jawab untuk semua aspek manajemen keuangan, mengelola resiko keuangan
perusahaan, serta bertanggung jawab untuk perencanaan keuangan dan pencatatan, serta
pelaporan keuangan.
4. Chief Operating Officer (COO), adalah seseorang yang memiliki jabatan senior pada organisasi
yang bertanggung jawab untuk operasioanal internal perusahaan, seperti operasionel kantor,
karyawan, hingga bisnis.

Tabel 2.8 RACI Chart Domain APO 13

Sumber: ISACA (2012)

5. Business Executive, adalah individu yang bertanggung jawab untuk operasi unit bisnis
tertentu atau anak organisasi yang melakukan transaksi di perusahaan dan membina
hubungan baik dengan pihak ketiga.
6. Business Process Owner, adalah seseorang yang bertanggung jawab pada proses kinerja
untuk mewujudkan tujuannya, mendorong perbaikan proses dan menyetujui perubahan
proses.
7. Strategy Executive Committee, adalah individu eksekutif senior yang ditujukan oleh dewan
untuk memastikan bahwa dewan terlibat dalam pengambilan keputusan yang berkaitan
dengan TI.
8. Steering (Programme/Projects) Committee, adalah pemangku kepentingan dan ahli yang
bertanggung jawab untuk bimbingan program dan proyek.
9. Project Management Office, merupakan sebuah divisi atau departemen dalam organisasi
yang menentukan dan menjaga standar dalam manajemen proyek dalam organisasi tersebut.
10. Value Management Office (VMO), adalah orang yang bertindak sebagai sekretariat untuk
mengelola portofolio investasi dan layanan.
11. Chief Risk Officer, adalah sesorang yang memiliki jabatan senior pada organisasi yang
bertanggung jawab untuk semua aspek manajemen resiko di seluruh organisasi yaitu
mengawasi resiko yang berhubungan dengan TI.
12. Chief Information Security Officer, adalah individu yang bertanggung jawab untuk keamanan
informasi organisasi dan bertanggung jawab untuk mempertahankan visi perusahaan,
strategi, dan program untuk memastikan aset informasi dan teknologi yang memadai telah
dilindungi.
13. Architecture Board, adalah pemangku kepentingan dan ahli yang bertanggung jawab pada
organisasi terkait arsitektur dan keputusan untuk menetapkan kebijakan dan standar
arsitektur.
14. Enterprise Risk Committee, adalah individu yang bertanggung jawab untuk kolaborasi tingkat
organisasi dan memantau kebijakan serta pengelolaan risiko serta tindakan mitigasi yang
diambil oleh perusahaan.
15. Head Human Resources, adalah senior yang bertanggung jawab untuk perencanaan dan
kebijakan terhadap semua sumber daya manusia.
16. Compliance, adalah seseorang yang bertanggung jawab untuk bimbingan pada hukum,
peraturan dan kepatuhan terhadap kontrak. Selain itu juga memastikan bahwa seluruh
kegiatan yang berkaitan dengan produksi atau transaksi berjalan dan sesuai.
17. Auditor, adalah individu yang bertanggung jawab atas penyediaan audit internal, dan laporan
keuangan.
18. Chief Information Officer, merupakan orang yang bertanggung jawab untuk teknologi
informasi dan sistem komputer yang mendukung tujuan perusahaan.
19. Head of Architecture, adalah senior untuk proses arsitektur enterprise dan bertanggung
jawab memimpin perancangan arsitektur teknologi informasi yang diterapkan di perusahaan.
20. Head of Development, adalah seseorang individu senior yang bertanggung jawab terkait
proses TI, pembangunan sistem atau aplikasi, dan pembangunan solusi untuk
keberlangsungan bisnis di suatu perusahaan.
21. Head IT Operation, adalah individu senior yang bertanggung jawab atas lingkungan dan
infrastruktur operasional TI.
22. Head of IT Adminstration, adalah seorang individu yang bertanggung jawab terkait
implementasi dan perawatan administrasi TI dan bertanggung jawab terhadap semua
kegiatan yang berhubungan dengan administrasi TI.
23. Service Manager, adalah yang bertanggung jawab mengatur tim kepuasan pelanggan yang
efektif serta memastikan bahwa tim memiliki sumber daya yang memedai dan terlatih.
24. Information Security Manager, adalah seorang indvidu yang mengelola, mengawasi dan
menilai keamanan informasi suatu organisasi guna mencapai perlidungan informasi
perusahaan.
25. Business Countinuity Manager, adalah individu yang mengelola, merancang, mengawasi dan
menilai kemampuan kelangsungan usaha suatu organisasi.
26. Privacy Officer, adalah yang bertanggung jawab untuk memantau resiko dan dampak bisnis
undang-undang privasi dan untuk membimbing dan koordinasi pelaksanaan kebijakan serta
mengelola dan menjaga semua bentuk privasi perusahaan termasuk data customer.

2.10 Analisis SWOT

Analisis SWOT merupakan sebuah bentuk identifikasi dari berbagai faktor sistematis yang
dapat digunakan dalam perumusan sebuah strategi diperusahaan berdasarkan pada logika yang
bertujuan untuk memaksimalkan seluruh kekuatan (strengths) dan semua peluang
(opportunities), dan juga secara bersamaan dapatdigunakan dalam meminimalkan kelamahan
(weaknesses) yang dimiliki dan juga ancaman (threats) yang ada disekitar baik internal maupun
eksternal.
Semua organisasi pastilah memiliki berbagai kekuatan dan juga berbagai kelemahan dalam
setiap area fungsional bisnis. Kekuatan atau kelemahan internal digabungkan dengan semua
peluang atau ancaman dari eksternal dan pernyataan sebuah misi yang jelas, serta menjadi
sebuah dasar dalam menetapkan tujuan dan juga strategi. Tujuan dan segala strategi akan
ditetapkan dengan maksud yaitu untuk memanfaatkan seluruh kekuatan internal dan juga
mengatasi kelemahannya (David, 2008). Berikut ini merupakan penjelasan dari SWOT:
1. Strengths (kekuatan), merupakan sember daya, keterampilan, kelebihan, keahlian,
keuntungan dan atau keuntungan lain dibandingkan dengan pesaing perusahaan dan
kebutuhan pasar terhadap pelayanan yang dapat diberikan maupun diharapkan. Kekuatan
merupakan suatu kompetisi khusus yang memberikan keunggulan kompetitif bagi
perusahaan.
2. Weakness (kelemahan), merupakan kekurangan atau keterbatasan dalam sumber daya,
kapabilitas dan keterampilan yang menghambat kinerja perusahaan.
3. Opportunities (peluang), merupakan situasi yang mengguntungkan dalam lingkungan
perusahaan yang didapatkan dari luar perusahaan.
4. Threats (ancaman), merupakan situasi penting yang hal tersebut tidak menguntungkan
lingkungan perusahaan. Ancaman merupakan kesulitan atau pengganggu bagi posisi
perusahaan saat ini ataupun posisi yang diinginkan perusahaan.
Analisis SWOT merupakan sebuah metode dasar untuk melihat suatu keadaan melalui empat
sisi berbeda. Dari analisis tersebut dapat menghasilkan analisa berupa arahan, saran dan atau
rekomendasi untuk mempertahankan dan meningkatkan kekuatan, menambah keuntungan dari
peluang yang ada, mengurangi segala kekurangan dan serta menghindari ancama yang mungkin
terjadi. Analisis SWOT merupakan instrument yang bermanfaat untuk melakukan analisis
strategi. Analisis ini dapat berguna sebagai alat untuk meminimalisasi kelemahan serta menekan
atau menghindari dampak ancaman yang timbul dan harus dihadapi dalam suatu perusahaan
atau organisasi.
 BAB 3 METODOLOGI

3.1 Metode Penelitian

Tahapan yang digunakan dalam penelitian yang sedang dilakukan ini adalah dengan
menggunakan kerangka kerja COBIT 5 pada Lembaga Informasi dan Komunikasi Universitas
Muhammadiyah Malang. Tahapan langkah kerja tersebut dapat dilihat pada gambar 3.1 berikut:

Gambar 3.1 Alur Kerja Penelitian

1. Melakuakn studi literatur terkait COBIT 5.
2. Mendefinisikan masalah, menentukan subjek serta objek yang akan diteliti pada Lembaga
Informasi dan Komunikasi Universitas Muhammadiyah Malang.
3. Melakukan metode pengumpulan data dengan cara observasi, studi kepustakaan,
menentukan populasi dan sampel, lalu membuat kuesioner berdasarkan kerangka kerja
COBIT 5 dan membagikan kuesioner, kemudian melakukan wawancara.
4. Melakukan analisis capability level, analisis gap dengan menerapkan kerangka kerja COBIT
5 supaya data yang telah diperoleh dapat diinterpretasikan. Melakukan perhitungan hasil
 pengumpulan data dari kuesioner yang telah diisi oleh bagian-bagian terkait pada bidang
teknologi informasi atau sistem informasi objek penelitian, serta analisis SWOT.
5. Membuat rekomendasi berdasarkan analisis hasil audit teknologi informasi pada
kuesioner yang nantinya akan diserahkan pada Lembaga Informasi dan Komunikasi
Universitas Muhammadiyah Malang.
6. Membuat Kesimpulan dari seluruh hasil penelitian dan saran untuk penelitian
selanjutnya.
Tahapan yang dilakuakan dalam penelitian ini digambarkan dalam bentuk diagram alur kerja
seperti berikut:

3.2 Studi Literatur

Studi literatur dilakukan untuk mendapatkan pemahaman mengenai subjek dan objek yang
diteliti yaitu mengenai kerangka kerja COBIT 5 dan juga studi literatur terkait Lembaga Informasi
dan Komunikasi Universitas Muhammadiyah Malang. Studi literatur dilakukan dengan
mempelajari buku teks, jurnal, dokumen resmi, artikel ilmiah dan sumber-sumber informasi yang
berkaitan atau relevan dengan topik penelitian.

3.3 Mendefinisikan Masalah

Subjek penelitian yang digunakan adalah tata kelola teknologi informasi dan sistem informasi
pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang melingkupi
seluruh bidang-bidang yang menggunakan teknologi informasi. Fokus yang digunakan melingkupi
aspek pengelolaan manajemen keamanan. Sedangkan objek penelitian yang digunakan adalah
kinerja tata kelola teknologi informasi yang pada Lembaga Informasi dan Komunikasi Universitas
Muhammadiyah Malang. Subjek dan objek penelitian digunakan untuk mengetahui seberapa
jauh tata kelola manajemen keamanan yang digunakan pada sistem aplikasi, informasi,
infrastruktur yang digunakan pada Universitas Muhammadiyah Malang. Domain proses yang
digunakan dalam penelitian adalah APO 13 (mengelola keamanan) dan DSS 05 (mengelola
pelayanan keamanan), dengan responden yang akan di tentukan menggunakan Analisa RACI
chart.

3.4 Pembuatan Kuesioner

Pembuatan kuesioner dilakukan untuk mengumpulkan fakta tiap proses pada domain yang
akan digunakan yaitu proses APO 13 dan DSS 05. Jenis kuesioner yang digunakan adalah
kuesioner untuk mengetahui tingkat kapabilitas (capability level) dimana aktivitas proses masing-
masing control process sesuai management guidelines dari COBIT yang dikembangkan sesuai
dengan obyek penelitian. Penilaian yang digunakan dalam kuesioner tersebut adalah skala
tingkat kapabilitas teknologi informasi mulai dari 0 yang berarti belum diterapkan, sampai 5 yaitu
sudah optimal.
 Tabel 3.1 Contoh Kuesioner
Level Nilai Kriteria Y/N Komentar N P L F
Capai (0- (15- (50- (85-
15%) 50%) 85%) 100%
Level 0 Sedikit atau
0 tidak ada
bukti dari
pencapaian
Level PA
1 1.1
…..
Level PA
2 2.1
…..
Level PA
3 3.1
…..
Level PA
4 4.1
…..
Level PA
5 5.1
…..

3.5 Metode Pengumpulan Data

Telah terdapat panduan kegiatan dalam kerangka kerja COBIT 5 yang harus dilakuakan
berkaitan dengan proses evaluasi kinerjan penggunaan atau penerapan teknologi informasi
dalam sebuat instansi ataupun organisasi. Metode pengumpulan data dilakukan dengan
menggunakan indikator yang telah terdapat pada control objective pada domain yang digunakan
di penelitian ini dan akan dikembangkan sesuai dengan kebutuhan penelitian. Teknik
pengumpulan data yang dilakukan adalah dengan melakukan studi lapang atau observasi terlebih
dahulu lalu penyebaran kuesioner dan melakukan wawancara kepada Lembaga Informasi dan
Komunkasi Universitas Muhammadiyah Malang. Maka data utama penelitian ini di peroleh dari
kuesioner yang dilengkapi dari data hasil wawancara, observasi dan juga dokumen tertulis.
3.5.1 Populasi dan Sampel
Pada penelitian tingkat kapabilitas ini, populasi dan sampel yang digunakan sebagai
responden dari penelitian ini adalah meliputi kepala pimpinan Lembaga Informasi dan
Komunikasi, staf divisi jaringan sub staf divisi maintenance, dan staff IT bagian administrasi umum
Lembaga Infokom Universitas Muhammadiyah Malang. Untuk mendapatkan data-data yang
diperlukan secara tepat sasaran, peneliti memerlukan sampel dimana penentuannya dengan cara
melihat responden yang memiliki jabatan dan wewenang pada bagian Lembaga Informasi dan
Komunikasi serta memiliki pengetahuan luas seputar kinerja dan tata kelola keamanan sistem
dan teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah
Malang. Dalam hal ini peneliti memilih beberapa sampel dan melakukan pemetaan responden
dengan berdasarkan analisa RACI Chart dari COBIT 5.

3.5.2 Kuesioner
Pada penelitian ini kuesioner dibuat untuk mendapatkan data kondisi terakhir tata kelola
teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah
Malang. Kuesioner yang digunakan dalam penelitian ini merupakan kuesioner yang digunakan
untuk mengukur tingkat kapabilitas (Capability level) dari subjek yang diteliti. Kuesioner tingkat
kapabilitas ini akan menggunakan control objective yang terdapat pada kerangka kerja COBIT 5.
Indikator pada setiap domain yang digunakan dalam kuesioner memiliki jumlah tujuan control
yang berbeda-beda, indikator yang digunakan dalam kuesioner terkait tingkat kapabilitas
penerapan teknologi informasi pada sebuah instansi dengan menggunakan skala mulai dari level
0 yang artinya belum diterapkan (incomplete process) sampai level 5 yang artinya sudah optimal
(optimizing process). Kuesioner tingkat kapabilitas yang digunakan pada penelitian ini diberikan
pada divisi Pengembangan Sistem Informasi dan divisi Jaringan pada Lembaga Informasi dan
Komunikasi Universitas Muhammadiyah Malang.

3.5.3 Wawancara
Wawancara ini dilakukan dengan metode interview tanya jawab dengan cara bertatap muka
langsung dengan responden. Wawancara yang dilakukan pada penelitian ini adalah wawancara
yang bertujuan untuk menggali informasi yang lebih lengkap dan spesifik mengenai masalah yang
sedang diteliti selain data yang didapat dari kuesioner. Untuk pedoman wawancara, peneliti
berpedoman pada control objective dan capability level yang terdapat pada kerangka kerja COBIT
5.
Selain itu, wawancara juga dilakukan setelah pengisian kuesioner selesai dilaksanakan sebagai
tujuan untuk menanyakan dan memastikan mengenai bukti-bukti yang dapat diberikan oleh divisi
yang telah mengisi kuesioner mengenai jawaban yang mereka isikan pada kuesioner yang
bertujuan untuk memvalidasi jawaban tersebut. Hasil dari wawancara ini nantinya akan peneliti
gunakan sebagai data pendukung dari hasil survey kuesioner yang telah diisi oleh responden.
Wawancara yang dilakukan adalah wawancara yang sistematik karena dilakukan dengan
mempersiapkan pedoman pertanyaan secara tertulis tentang apa saja yang akan ditanyakan
kepada responden.
3.5.4 Observasi
Observasi merupakan salah satu teknik pengumpulan data yang digunakan dalam metode
penelitian kualitatif. Pada umumnya observasi merupakan suatu kegiatan mencari data dengan
menggunakan pancaindera untuk memperoleh informasi yang dibutuhkan untuk menjawab
masalah yang di angkat pada suatu penelitian. Observasi ini dilakukan guna untuk memperoleh
gambaran nyata suatu kejadian ataupun peristiwa yang digunakan untuk menjawab pertanyaan
penelitian. Obervasi dalam penelitian ini dilakukan dengan melakukan pengamatan secara
langsung melihat dokumen perencanaan dan pengembangan teknologi informasi dan kegiatan
dari pegawai yang berhubungan dengan kondisi tata kelola teknologi informasi di instansi
tersebut.
Dalam observasi penelitian ini juga dilakukan pengamatan dengan melihat data dukung atau
dokumen pendukung, apakah data yang telah diisikan dalam kuesioner sesuai dengan keadaan
yang sebenarnya. Nantinya, data dukung dapat digunakan sebagai bukti validasi bahwa nilai yang
telah diisikan. Dalam pengamatan langsung ini bertujuan melihat kegiatan tata kelola keamanan
sistem dan teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas
Muhammadiyah Malang yang berhubungan dengan kerangka kerja COBIT 5.

3.5.5 Kajian Kepustakaan

Untuk lebih memahami mengenai subjek dan objek penelitian, peneliti melakukan kajian
kepustakaan dengan mempelajari dokumen tertulis seperti buku teks, website resmi, dan
sumber informasi lainnya yang relevan dengan permasalahan penelitian. Selain itu, dilakukan
pengumpulan informasi melalui kepustakaan terkait dokumen-dokumen yang berkaitan dengan
Universitas Muhammadiyah Malang khususnya pada Lembaga Informasi dan Komunikasi
terhadap penerapan pengelolaan keamanan sistem dan teknologi informasi nya.

3.6 Analisis Data

Setelah data dari kuesioner dan wawancara terkait tingkat kapabilitas (capability level)
terkumpul, maka tahap selanjutnya dari penelitian ini adalah tahap melakukan analisis data agar
data tersebut dapat diinterpretasikan dan agar data yang diperoleh dapat dideskripsikan dalam
bentuk sebuah temuan yang nantinya dapat digunakan sebagai acuan dalam memberikan
rekomendasi. Analisis data yang dilakuakan pada penelitian ini dibagi menjadi 3 bagian, yaitu
analisis tingkat kapabilitas (capability level), analisis kesenjangan (gap analysis) dan analisis
SWOT.

3.6.1 Proses Perhitungan Capability Level

Perhitungan capability level dari tata kelola manajemen keamanan yang telah diterapkan
pada penggunaan Sistem Informasi Manajemen oleh Lembaga Informasi dan Komunikasi pada
Universitas Muhammadiyah Malang akan dihitung berdasarkan hasil kuesioner yang dibagikan
kepada responden yang telah dipilih sebelumnya. Kuesioner akan dibagikan kepada kepala-
kepala divisi dan staf-staf Lembaga Informasi dan Komunikasi UMM.
Perhitungan capability level berdasarkan masing-masing proses yang terdapat pada 5 domain
antara lain EDM, APO, DSS, BAI, dan MEA. Pada penelitian ini, kuesioner difokuskan pada 2
domain yaitu APO dan DSS, yaitu menggunakan domain proses APO 13 dan DSS 05 dimana jumlah
jawaban masing-masing proses yang akan dihitung berdasarkan jawaban masing masing
parameter. Untuk total didapat dari jumlah parameter dimana n adalah jumlah jawaban pada
masing-masing parameter. Setelah selesai mendapatkan total total bobot kemudian menghitung
tingkat kematangan atau capability level dengan cara yang tertera pada gambar persamaan 2.5.

3.6.2 Analisis Tingkat Kapabilitas (Capability Level)

Analisis tingkat kapabilitas berdasarkan hasil kuesioner yang dibagikan kepada responden
Lembaga Informasi dan Komunkasi. Analisa yang dilakukan pada tahap ini adalah analisa hasil
kuesioner yang bertujuan untuk menilai tingkat kapabilitas tata kelola teknologi informasi pada
instansi menggunkana kerangka kerja COBIT 5. Dalam kuesioner tingkat kapabilitas terdapat 6
pilihan atau skala jawaban dalam masing-masing domain, dimana nilai indicator tersebut dari 0
sampai 5. Setelah setiap domain mendapatkan nilai, maka akan diambil rata-rata dari bobot
jawaban disetiap kegiatan dari responden untuk mengetahui tingkat kapabilitas (capability level)
dari tata kelola teknologi informasi pada Lembaga Informasi dan Komunikasi Universitas
Muhammadiyah Malang secara keseluruhan.

3.6.3 Analisis Kesenjangan (Gap Analysis)

Setelah hasil dari analisis dan perhitungan tingkat kapabilitas dan tingkat harapan mengenai
pengelolaan teknologi informasi telah diketahui, maka selanjutnya akan dilakukan analisis
kesenjangan (gap analysis). Hasil analisis kesenjangan (gap analysis) dapat dilihat dari hasil
pengisian kuesioner yang telah diisi responden tentang tingkat kapabilitas tata kelola teknologi
informasi yang sedang diterapkan atau di jalankan saat ini dan harapan yang diinginkan oleh
Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang terhadap tingkat
kapabilitas dari tata kelola sistem dan juga teknologi informasi di masa mendatang.
Analisis ini dimungkinkan akan membantu pihak instansi dalam mengambil langkah
selanjutnya dalam pengembangan teknologi informasinya. Analisis kesenjangan ini dilakukan
oleh pihak-pihak yang berperan dalam tata kelola teknologi informasi instansi tersebut, dilakukan
untuk mengidentifikasi kegiatan apa saja yang yang perlu di lakukan pihak Lembaga Informasi
dan Komunikasi Universitas Muhammadiyah Malang supaya tingkat kematangan yang ada saat
ini dapat mencapai tingkat kematangan yang di harapkan.

3.6.4 Analisis SWOT Lembaga Informasi dan Komunikasi

Analisis SWOT (Strengths, Weaknesses, Opportunities, Threats) pada penelitian ini akan
dibahas mengenai bagaimana analisis dari faktor internal maupun eksternal yang dimiliki oleh
Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang. Faktor internal meliputi
kekuatan dan kelemahan yang berasal dari dalam Lembaga tersebut. Sedangkan factor eksternal
meliputi peluang dan ancaman yang sifatnya didapat dari luar Lembaga. Tujuan dari diadakannya
analisis SWOT pada Lembaga Informasi dan Komunikasi ini antara lain adalah sebagai acuan dan
pertimbangan yang dilakukan sebelum memberikan rekomendasi supaya dapat menghindari
rekomendasi yang dirasa berlebihan dan melampaui kemampuan instansi, sehingga rekomendasi
tersebut tidak mampu dijalankan akibat dari tidak seimbangnya pengelolaan dan sumberdaya
yang dimiliki instansi saat ini.
3.7 Pengambilan Keputusan dan Pembuatan Laporan Rekomendasi
Pengambilan keputusan untuk tingkat kapabilitas didapatkan dari hasil analisis kuesioner
yang telah dijawab oleh responden. Setelah perhitungan analisis tingkat kapabilitas dan gap
analysis dilakukan, maka dari analisis tersebut akan didapatkan sebuah gagasan perbaikan atau
sebuah rekomendasi. Rekomendasi yang diperoleh diharapkan dapat membantu pihak Lembaga
Informasi dan Komunikasi Universitas Muhammadiyah Malang dalam melakukan pengembangan
tata kelola teknologi informasi lebih lenjut sesuai dengan keadaan instansi supaya berjalan lebih
maksimal dan sesuai harapan. Rekomendasi ini akan dirangkum dan ditulis dalam sebuah
dokumen laporan yang berisikan keseluruhan dari proses penelitian evaluasi tata kelola teknologi
informasi yang telah dilakukan.

3.8 Kesimpulan
Kesimpulan berisi penelitian yang telah dilakukan, mencakup kondisi tata kelola teknologi
informasi pada Lembaga Informasi dan Komunikasi Universitas Muhammadiyah Malang saat ini
dan kondisi tata kelola teknologi informasi yang diharapkan akan digunakan sebagai acuan
perbaikan dimasa mendatang untuk mencapai tujuan dari instansi tersebut. Dalam kesimpulan
juga akan dijelaskan hasil dari penelitian dan juga saran-saran yang dapat diberikan untuk
penelitian selanjutnya.
 BAB 4 HASIL

4.1 Perhitungan RACI Chart

Dalam menentukan responden digunakan perhitungan RACI, RACI merupakan singkatan dari
Responsible (pelaksana), Accountabel (penanggung jawab), Consulted (penasehat) dan Informed
(terinformasi). Dengan menggunakan RACI chart dapat ditemukan siapa saja responden yang
tepat untuk mengisi kuesioner sesuai peranan individu tersebut masing-masing. Berikut akan
dipaparkan tabel perhitungan diagram RACI berdasarkan kerangka kerja COBIT 5 yang terdapat
pada enabling processes dari proses APO 13 dan DDS 05.
Tabel 4.1 Perhitungan RACI Chart pada APO 13
RACI Chart
No Management Practice
R A C I
1 Board
2 Chief Executive Officer 2
3 Chief Financial Officer
4 Chief Operating Officer 2
5 Business Executive 3
6 Business Process Owners 1 1 1
7 Strategy Executive Committee 3
8 Steering (Programmes/Projects) Committee 2
9 Project Menegement Office 1 2
10 Value Management Office
11 Chief Risk Office 2
12 Chief Information Security Office 3
13 Architecture Board 2
14 Enterprise Risk Committee 2
15 Head Human Resource
16 Compliance 3
17 Audit 3
18 Chief Information Officer 3
19 Head Architect 1 1 1
20 Head Development 1 1 1
21 Head IT Operation 1 1 1
22 Head IT Administration 3
23 Service Manager 1 1 1
24 Information Security Manager 3
25 Business Continuity Manager 1 2
26 Privacy Officer 1 2
 Dapat dilihat pada tabel 4.1, Chief Information Officer, Head IT Administration, dan
Information Security Manager memiliki nilai responsible yang tertinggi yaitu dengan jumlah 3 dan
Chief Information Security Office memiliki nilai accountabel sebesar 3. Dalam function RACI chart
Kepala Lembaga Infokom memenuhi peranan sebagai Chief Information Officer. Sedangkan Staf
Administrasi TI berperan sebagai Head IT Administration, dan Staf Sub Divisi Maintenance
Infokom berperan sebagai Information Security Manager dan Chief Information Security Office.
Sehingga dapat disimpulkan bahwa Kepala Lembaga Infokom, Staf Administrasi TI, dan Staf Sub
Divisi Maintenance Lembaga Infokom berkompeten dalam menjadi responden dalam pengisian
kuesioner pada domain proses APO 13.
Tabel 4.2 Perhitungan RACI Chart pada DSS 05
RACI Chart
No Management Practice
R A C I
1 Board
2 Chief Executive Officer
3 Chief Financial Officer
4 Chief Operating Officer 1
5 Business Executive
6 Business Process Owners 2 1 3
7 Strategy Executive Committee 1
8 Steering (Programmes/Projects) Committee
9 Project Menegement Office
10 Value Management Office
11 Chief Risk Office 5 2
12 Chief Information Security Office 6
13 Architecture Board
14 Enterprise Risk Committee
15 Head Human Resource 1 1
16 Compliance 7
17 Audit 7
18 Chief Information Officer 1 6
19 Head Architect 6
20 Head Development 3 3
21 Head IT Operation 7
22 Head IT Administration
23 Service Manager 6
24 Information Security Manager 6
25 Business Continuity Manager 2
26 Privacy Officer 1 1
 Dapat dilihat pada tabel 4.2, Head IT Operation memiliki nilai responsible tertinggi yaitu
dengan jumlah 7, Information Security Manager memiliki nilai responsible dengan jumlah 6 dan
Chief Information Security Office memiliki nilai accountabel sejumlah 6. Dalam function RACI
chart Kepala Lembaga Infokom berperan sebagai Head IT Operation, sedangkan Staf Sub Divisi
Maintenance Infokom memenuhi peranan sebagai Information Security Manager dan Chief
Information Security Office Sehingga dapat disimpulkan bahwa Kepala Lembaga Infokom dan Staf
Sub Divisi Maintenance Infokom berkompeten dalam menjadi responden dalam pengisian
kuesioner pada domain proses DSS 05.
Berdasarkan perhitungan di atas, dapat disimpulkan bahwa responden untuk pengisian
kuesioner berjumlah 3 orang yang terdiri dari Kepala Lembaga Infokom, Staf Administrasi IT
Infokom, dan Staf Sub Divisi Maintenance Lembaga Infokom. Dapat dilihat pada tabel 4.3
responden yang akan mengisi kuesioner pada masing masing domain proses.
Tabel 4.3 Daftar Responden
Nomor APO DSS
Jabatan
Responden 13 05
1 Kepala Lembaga Infokom  
2 Staf Administrasi TI 
3 Staf Sub Divisi Maintenance  

4.2 Pengumpulan Data

4.2.1 Kuesioner
Pada tahap pengumpulan data melalui kuesioner dilakukan beberapa tahapan sebagi berikut:
a. Membuat Kuesioner
Pembuatan kuesioner tentunya berlandaskan pengukuran proses-proses dan level yang telah
terdapat pada kerangka kerja COBIT 5 yaitu terdapat pada COBIT 5 Self-Assesment Guide: Using
COBIT 5 dan buku COBIT 5: Enabling Process. Tabel 2.7 merupakan contoh bentuk kuesioner yang
nantinya akan digunakan dalam pengumpulan data yang diberikan kepada responden yang telah
ditentukan.
b. Menyebar Kuesioner
Kuesioner yang telah dibuat berdasarkan keranga kerja COBIT 5 dibagikan kepada staf yang
bertanggung jawab pada implementasi Sistem Informasi Manajemen (SIM) pada UMM sesuai
dengan RACI chart yang berperan sebagai responsible yang berjumlah 3 orang.

c. Penilaian Kuesioner
 Dari hasil kuesioner yang telah diisi oleh 3 responden berdasarkan RACI Chart terhadap sub
domain APO 13 (mengelola keamanan) dan DSS 05 (mengelola pelayanan keamanan) dari level
1 hingga level 5 dibuatlah sebuah ringkasan hasil dari penilaian yang dapat dilihat pada tabel 4.4
dampai 4.6 berikut ini. Adapun hasil dari kuesioner ini merupakan hasil dari keseluruhan dari
Lampiran A Wawancara danjuga Lambiran B Kuesioner.
Tabel 4.4 Hasil Penilaian Proses Responden 1
Responden 1
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L L P N N N N - -
Rating
Pencapaian
1
Capability
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
DSS 05 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
F L L P P N N - -
Rating
Pencapaian
2
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)

Dapat dilihat pada tabel 4.4 dari hasil responden 1 didapatkan nilai pencapaian capability
level dari subdomain APO 13 adalah level 1, pada subdomain APO 13 dari level 1 hingga level 2
sudah mencapai largerly achieved dan sebagian level 2 partialy achieved yaitu sebesar >15% -
50%, namun pada level 3 hingga level 4 pencapaian capability level baru mencapai not achieved
yaitu sebesar 0-15%. Sedangkan pencapaian capability level dari subdomain DSS 05 adalah level
2, yaitu level 1 sudah mencapai tingkat fully achieved, tetapi pada level 2 hanya mencapai largerly
achieved, dan level 3 hanya mencapai partialy achieved dan level 4 mencapai not achieved, dan
level 5 tidak memenuhi kriteria.
Tabel 4.5 Hasil Penilaian Proses Responden 2
Responden 2
 Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L L P N N N N - -
Rating
Pencapaian
1
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)
Dari hasil responden 2 pada tabel 4.5 didapatkan nilai capability level dari subdomain APO 13
adalah pada level 1. Pencapaian pada level 2 yaitu sebagian telah mencapai largerly achieved
tetapi pada 2.2 hanya mencapai partially achieved yaitu sebesar >15%-50%, dan pada level 3
hingga level 4 hanya mencapai not achieved yaitu sekitar 0-15% saja, dan pada level 5 tidak
memenuhi kriteria.
Tabel 4.6 Hasil Penilaian Proses Responden 3
Responden 3
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
APO 13 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
L P P P N N N N -
Rating
Pencapaian
1
Capability
Nama Proses Level
Level 1 Level 2 Level 3 Level 4 Level 5
0
DSS 05 PA 1.1 PA PA PA PA PA PA PA PA
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Kriteria
F L P P P N N N N
Rating
Pencapaian
2
Capability
N (Not Achieved, 0-15%), P (Partially Achieved, >15%-50%), L (Largerly
Achieved, >50%-85%), F (Fully Achieved, >85%-100%)
 Dapat dilihat pada tabel 4.6 dari hasil responden 1 didapatkan nilai pencapaian capability
level dari subdomain APO 13 adalah level 1, pada subdomain APO 13 dari level 1 sudah mencapai
largerly achieved, namun pada level 2 hingga level 4 pencapaian capability level baru mencapai
partialy achieved yaitu sebesar >15% - 50% dan not achieved yaitu sebesar 0-15%. Sedangkan
pencapaian capability level dari subdomain DSS 05 adalah level 2, yaitu level 1 sudah mencapai
fully achieved, namum level 2 hanya mencapai largerly achieved, dan level 3 hanya mencapai
partialy achieved. Sedangkan level 4 hingga level 5 hanya mencapai kriteria not achieved yaitu
tercapai 0-15%.

4.2.2 Wawancara
Wawancara yang dilakukan bertujuan untuk menggali berbagai informasi yang lebih spesifik
selain data yang didapat dari kuesioner dan juga bertujuan untuk memverifikasi hasil dari
pengisian kuesioner apakah sudah sesuai dengan keadaan instansi yang sebenarnya pada saat
ini. Wawancara juga dilakukan untuk mengetahui target pencapaian selanjutnya yang
diharapkan.
Hasil wawancara keseluruhan dapat dilihat pada lampiran B. Hasil wawancara yang dilakukan
kepada kepala Lembaga Infokom itu bertujuan untuk mengetahui keadaan sebenarnya di
Infokom UMM. Dari hasil wawancara didapati bahwa Lembaga Infokom sudah menerapkan
berbagai layangan keamanan informasi, namun belum ada manajemen khusus atau divisi khusus
yang menangani manajemen keamanan sistem informasi. Lembaga Infokom telah menggunakan
firewall sebagai sistem keamanan jaringan komputer untuk melindungi aplikasi dari malware,
Infokom juga telah memiliki sistem keamanan konektivitas dan jaringan yang bernama simidav,
selain itu pengelolaan dalam melindungi endpoint telah dilakukan dan direncanakan dengan
baik. Segala bentuk surat-surat sensitif dan surat berharga terkait TI juga telah dikelola dan
dilindungi. Infokom juga telah memberikan batasan akses menuju perangkat TI, tidak
sembarangan orang bisa mengaksesnya, selain itu Infokom juga telah memberi perlindungan
untuk memonitor infrastruktur IT dengan memasang CCTV. Infokom juga telah mengelola
berbagai hak akses informasi yang disesuaikan dengan kebutuhan bisnis masing masing
fungsional area dan pengguna.
Selain itu, hasil wawancara menunjukkan bahwa dalam mengelola layanan keamanan seperti,
melindungi perangkat dari hardware, mengamankan jaringan, pembagian hak akses,
perlindungan terhadap surat berharga dan monitoring infrastruktur semua telah dikelola dan
direncanakan dalam sebuah dokumen bernama Blue Print Pengembangan Sistem Informasi
Universitas Muhammadiyah Malang dan ICT Mapping Infokom UMM. Meski demikian, belum ada
dokumen khusus yang hanya membahas terkait manajemen keamanan sistem informasi dan
memantau manfaat meningkatkan manajemen keamanan informasi.
Namun dalam wawancara kepala Lembaga Infokom Universitas Muhammadiyah Malang
mengatakan bahwa hasil dari pengelolaan keamanan belum sepenuhnya terdokumentasi dengan
baik, hasil kerjanya pun hanya disampaikan secara lisan jika ditemukan suatu masalah. Selain itu,
dalam menjalankan dan mengelola keamanan sistem informasi, Lembaga Infokom belum
memiliki Standard Operating Procedure (SOP) yang mengatur langkah langkah prosedur
pelaksanaan manajemen layanan keamanan sistem informasi.
4.2.3 Observasi dan Studi Kepustakaan
Observasi untuk memahami subjek dan objek penelitian dilakukan berdasarkan kebutuhan
data yang diperlukan yaitu mengenai Sistem Informasi Manajemen (SIM) dengan mengamati dan
membaca referensi terkait informasi yang relevan dengan penelitian. Selain itu juga dokumen
terkait dengan Infokom UMM khususnya yang berhubungan dengan penggunaan teknologi
informasi di Universitas Muhammadiyah Malang. Selain itu, observasi dilakukan berdasarkan
kebutuhan data yang diperlukan menurut domain proses APO 13 dan DSS 05.
Lembaga Infokom UMM telah menyediakan standar dalam memelihara keamanan informasi,
langkah-langkah keamanan, dan prosedur manajemen terkait untuk melindungi keamanan
sistem informasi dan infrastruktur TI yang diselaraskan dengan kebutuhan bisnis perusahaan.
Semua hal tersebut disusun dalam dokumen Blue Print Pengembangan Sistem Informasi
Universitas Muhammadiyah Malang, dapat dilihat pada gambar 4.1.

Gambar 4.1 Dokumen Blue Print Pengembangan Sistem Informasi UMM

Lembaga infokom telah memelihara dan memastikan bahwa endpoint berada pada tingkat
yang aman. Dalam mengelola proses pemeliharaan endpoint lembaga infokom juga telah
merencanakannnya dan memiliki tujuan yang jelas. dapat dilihat pada gambar 4.2, pengelolaan
keamanan endpoint dari adanya resiko tersebut dapat ditemui pada dokumen Blue Print
Pengembangan Sistem Informasi Universitas Muhammmadiyah Malang.
 Gambar 4.2 Dokumen Terkait Pemeliharaan Endpoint (Server)
Rencana menjaga keamanan endpoint teknologi informasi telah direalisasikan oleh lembaga
infokom UMM, dapat dilihat pada gambar 4.3, ruangan NOC (Network Operation Center) dijaga
oleh individu yang telah diberi pertanggung jawaban, foto tersebut diambil saat terjadi mati
lampu dan petugas yang telah di beri pertanggung jawaban tersebut sedang memastikan bahwa
server tetap ada pada kondisi yang aman.

Gambar 4.3 Penjagaan Terhadap Endpoint

Selain itu, semua pengelolaan pengamanan endpoint sudah direalisasikan dengan baik,
gambar 4.4 menunjukkan bahwa infokom telah memastikan dan menjamin endpoint berada
pada tingkat yang aman dengan memberi AC dan menambahkan UPS pada ruang NOC sebagai
bentuk langkah-langkah kemamanan terhadap berbagai resiko dan juga supaya perangklat yang
digunakan bisa berjalan dengan baik dan semestinya.
 Gambar 4.4 UPS dan AC pada Ruang NOC
Dapat dilihat pada gambar 4.5, dalam memonitor infrastruktur lembaga infokom telah
memeasang beberapa CCTV di sudut akses jalan untuk melindungi dan memonitor infrastruktur
dari akses yang tidak sah.

Gambar 4.5 CCTV untuk Memonitor Keamanan Infrastruktur

Dalam mengelola keamanan jaringan dan konektivitas, lembaga infokom telah mempunyai
sistem bernama simidav, dapat dilihat pada gambar 4.6, yaitu sebuah sistem informasi
pengelolaan jaringan, sistem ini juga mampu menerima semua komplain terkait masalah jaringan
seperi matinya koneksi internet area tertentu yang ada dikampus sehingga ketika complain
terjadi, staf yang bertanggung jawab langsung memastikan jaringan pada area tersebut hingga
kembali berjalan normal.
 Gambar 4.6 Sistem Simidav
Lembaga Infokom UMM juga telah memastikan bahwa semua pengguna memiliki hak akses
informasi yang sesuai dengan kebutuhan masing-masing proses bisnis, hal tersebut dapat dilihat
dari adanya pengelolaan dalam pembagian hak akses yang dijabarkan dalam dokumen ICT
Mapping Infokom UMM dan Blue Print Pengembangan Sistem Informasi Universitas
Muhammmadiyah Malang. Pada gambar 4.7 Menunjukan bahwa Infokom UMM telah
memastikan semua pengguna telah memiliki hak akses informasi sesuai kebutuhan masing-
masing proses bisnis.

Gambar 4.7 Dokumen Terkait Pembagian Hak Akses Informasi

4.2.4 Pembahasan Validasi

Berdasarkan metode pengumpulan data dengan melakukan wawancara dan observasi, dapat
disimpulkan bahwa pengisian kuesioner yang dilakukan oleh 3 responden dari pihak Infokom
UMM menurut RACI chart sepenuhnya telah sesuai keadaan sebenarnya. Berikut penjelasan
masing masing sub domainnya.
 Pada sub domain APO 13, ke 3 responden memberikan hasil bahwa pada proses APO 13
berada pada level 1 dan hanya baru mencapai kriteria largerly achieved yaitu berkisar >50%
hingga 80% dapat dilihat pada hasil wawancara pada Lampiran B, bahwa memang Lembaga
Infokom sendiri belum memiliki manajemen khusus yang memegang peranan langsung terhadap
manajemen keamanan sistem informasi, tetapi lembaga infokom telah mengelola rencana
penganan beberapa resiko keamanan informasi dan selaras dengan strategi perusahaan yang
dapat dilihat dari hasil observasi dan wawancara. Selain itu, dari hasil wawancara dapat
disimpulkan bahwa lembaga infokom juga telah menjaga kebutuhan peningkatan manajemen
keamanan informasi dengan adanya kesadaran dalam terus meningkatkan sistem keamanan
informasi. Sebagian besar proses kerja itu telah diimplementasikan namun belum semua
terkelola (terencana, termonitor, dan teratur) dan terdokumentasikan dengan baik. Sehingga
hasil kuesioner dari 3 responden tersebut benar adanya bahwa Lembaga Infokom dalam
manajemen keamanan informasi yang ada pada domain proses APO 13 masih berada pada level
1 yaitu performed process, proses yang diimplementasikannya telah mencapai tujuannya.
Pada sub domain DSS 05, ke 2 responden memberikan jawaban yang sama yaitu pada proses
DSS 05 Lembaga Infokom berada pada level 2. Pada level 1 hasil kuesiner memberikah kriteria
pada tingkat Fully Achieved yaitu pencapaian >85%-100%. Hal ini dikuatkan dengan adanya hasil
dari wawancara dan observasi bahwa Lembaga Infokom telah memelihara langkah pencegahan
untuk melindungi teknologi dari malware yaitu dengan berlangganan firewall dan adanya
pengecekan rutin yang dikatakan langsung oleh Kepala Lembaga Infokom pada wawancara.
Lembaga Infokom juga telah memiliki sistem untuk menjaga keamanan konektivitas dan jaringan
dapat dilihat pada gambar 4.6. selain itu Infokom juga telah memastikan bahwa endpoint berada
pada tingkat yang aman yaitu dengan penjagaan ruang NOC 24 jam dan adanya CCTV untuk
memonitor keamanan infrastruktur, dapat dilihat pada gambar 4.3 dan 4.5, langkah-langkah
keamanan itu juga dapat dilihat dari pemberian AC dan UTP pada ruang NOC untuk menjamin
server berada pada tingkat yang aman, dapat dilihat pada gambar 4.4. Selain itu, darii hasil
wawancara dapat disimpulkan bahwa Lembaga Infokom juga telah memastikan bahwa pengguna
memiliki hak akses informasi sesuai dengan kebutuhan bisnis mereka masing masing, dapat
dilihat pada gambar 4.7. Hasil wawancara juga menyebutkan bahwa pengaksesan menuju aset TI
tidak bisa sembarangan orang, hanya orang yang diberi wewenang yang dapat menjangkaunya.
Dalam hasil wawancara juga menunjukkan bahwa Lembaga Infokom telah mengelola dengan
baik seluruh dokumen dan surat berharga aset TI serta telah melakukan pengelolaan terhadap
persediaan aset TI.
Sedangkan pada level 2, hasil kuesioner menunjukkan bahwa domain proses DSS 05 telah
mencapai kriteria largerly achieved yaitu berkisar >50% hingga 80%. Hal ini dapat dilihat dari hasil
wawancara dan observasi yang menunjukkan bahwa Lembaga Infokom telah
mengimplementasikan, mengelola, dan merencanakan berbagai layanan keamanan sistem
informasi dengan baik dapat dilihat dari adanya dokumen mengenai pengelolaan tersebut yang
dapat dilihat pada gambar 4.1 yaitu dokumen Blue Print Pengembangan Sistem Informasi UMM.
Namun dari hasil wawancara disimpulkan bahwa proses kinerja tersebut tidak semua termonitor
dengan baik dan hasil kerjanya pun tidak didokumentasikan. Dalam melakukan proses kinerja
layanan keamanan sistem informasipun, Ketua Lembaga Infokom mengatakan bahwa belum ada
Standard Operation Procedure (SOP) yang mengatur langkah-langkat prosedur pelaksanaan
proses kerja tersebut. Dengan demikian hasil kuesioner yang menunjukkan hasil bahwa Lembaga
Infokom UMM pada domain proses DSS 05 berada pada level 2 telah sesuai dengan keadaan
sebenarnya yang ada di Universitas Muhammadiyah Malang.

4.3 Perhitungan Capability Level

4.3.1 Penilaian Proses Capability Level
Setelah divalidasi dan meyakini bahwa pengisian kuesioner oleh 3 responden tersebut telah
sesuai dengan keadaan yang sebenarnya, maka dapat disimpulkan dari keseluruhan hasil
jawaban responden pada setiap proses atribut sebagian besar pencapaian capability level untuk
subdomain APO 13 (Manage Security) berada pada level 1 dan untuk subdomain DSS 05 (Manage
Security Service) berada pada level 2. Dapat dilihat pada tabel 4.8, merupakan keseluruhan
jawaban dari keseluruhan responden.
Tabel 4.7 Rangkuman Hasil Pencapaian Capability Level
Nama Proses Responden Capability Level
1 1
APO 13 2 1
3 1
1 2
DSS 05
3 2

Ketiga responden yang mengisi kuesioner pada domain proses APO 13 sama-sama
menghasilkan nilai pencapaian kapabilitas terhadap manajemen keamanan berada pada level 1,
sedangkan dari dua responden yang mengisi pada domain proses DSS 5 memberikan hasil yang
sama yaitu nilai pencapaian kapabilitas terhadap manajemen layanan keamanan berada pada
level 2.

4.3.2 Perhitungan Capability Level

Dari keseluruhan hasil ringkasan penilaian proses, telah didapatkan nilai capability level dari
hasil keseluruhan dan dengan menggunakan persamaan pada gambar 2.5, akan dijabarkan pada
tabel 4.8 di bawah ini

Tabel 4.8 Ringkasan Hasil Penilaian Proses Capability Level

Process Assesment Results

Nama Level Process Capability Level Total Total Capability

Proses Target 0 1 2 3 4 5 Responden Bobot Level
 Align, Plan, and Organise
APO 13
Manage 2 3 3 3 1
Security
Delivery, Service and Support
DSS 05
Manage
2 2 2 4 2
Security
Service

Tabel 4.8 menunjukkan ringkasan hasil dari penilaian proses capability level yang didapatkan
dari pengumpulan data melalui penyebaran kuesioner yang diberikan kepada 3 responden sesuai
peran masing-masing berdasar RACI chart dan juga hasil wawancara kebenaran kuesioner.
Didapatkan hasil capability level untuk subdomain APO 13 berada pada level 1 yaitu performed
process bahwa proses yang telah diimplementasikan tersebut telah mencapai tujuannya,
sedangkan untuk subdomain DSS 05 sudah berada pada level 2 yaitu managed process bahwa
proses yang telah dijalankan sekarang diimplementasikan dengan terkelola (terencana,
termonitor, dan teratur) dan hasil kerjanya telah diterapkan dengan baik, terkontrol, dan
terpelihara.

4.4 Hasil Domain Proses

1. Proses APO 13
Hasil capability level dari subdomain APO 13 berada pada level 1 yaitu performed process
yang diartinya proses yang diimplementasikannya telah mencapai tujuannya, telah dilakukan
akan tetapi belum ada manajemennya. Kondisi yang ada pada saat ini dari subdomain APO 13
pada Universitas Muhammadiyah Malang adalah sebagai berikut:
1. APO 13.01 (Establish and maintain an Information System Management Security): Dalam
kinerjanya, Infokom telah memelihara kemanan sistem informasi dan memastikan
teknologi aman dengan adanya pengecekan rutin terhadap sistem dan penjagaan
infrastuktur. Namun memang belum ada manajemen khusus atau divisi khusus yang
memang mengelola manajemen keamanan sistem informasi.
2. APO 13.02 (Define and manage an information security risk treatment plan): Infokom
telah mengimplementasikan dan memiliki rencana kerja penanganan resiko keamanan,
sepeti keamanan terhadap endpoint dan keamanan jaringan namun belum ada
pengukuran terkait sejauh mana produk kerja secara tepat berhasil.
3. APO 13.03 (Monitor and review an Information System Management Security): Terdapat
pemantauan dan peninjauan terhadap kesadaran akan kebutuhan dan manfaat dari
peningkatan keefektivitasan keamanan informasi.
2. Proses DSS 05
 Hasil capability level dari subdomain DSS 05 berada pada level 2 yaitu managed process yang
diartinya proses yang diimplementasikannya telah mencapai tujuannya, telah dilakukan akan
tetapi belum ada manajemennya. Kondisi yang ada pada saat ini dari subdomain DSS 05 pada
Universitas Muhammadiyah Malang adalah sebagai berikut:
1. DSS 05.01 (Protect against malware): Infokom telah memelihara dan mengelola
penerapan langkah pencegahan untuk melindungi teknologi dari malware dengan
menggunakan firewall, dan proses kerja tersebut telah direncanakan dalam rencana
kerjanya, selain itu juga dilakukan pengecekan rutin terhadap Sistem Informasi
Manajemen.
2. DSS 05.02 (Manage network and security connectivity): Dalam mengelola jaringan dan
konektivitas keamanan, Infokom telah mengontrol, merencanakan, dan memonitrnya
dengan memiliki sebuah sistem yang dapat digunakan untuk memantau jaringan di dalam
perusahaan. Selain itu, sistem ini juga mampu menerima semua komplain terkait masalah
jaringan seperi matinya koneksi internet area tertentu yang ada dikampus sehingga ketika
komplain terjadi, staf yang bertanggung jawab langsung memastikan jaringan pada area
tersebut hingga kembali berjalan normal. Semua perencanaan proses kerja ini terdapat
dalam sebuah dokumen bernama Blue Print Pengembangan Sistem Informasi UMM.
3. DSS 05.03 (Manage endpoint security): Lembaga Infokom telah merencanakan keamanan
terhadap endpoint yang terdapat dalam dokumen Blue Print Pengembangan Sistem
Informasi UMM, rencana itupun telah dikelola dan diimplementasikan dengan baik
dengan adanya tindakan antisipasi untuk perlindungan endpoint seperti memasang CCTV,
penjagaan 24 jam di ruang NOC dan pemberian pendingin di daerah server dengan tujuan
untuk memastikan endpoint berada pada tingkat yang aman.
4. DSS 05.04 (Manage user identity and logical access): Terdapat aturan dalam pembagian
hak akses informasi sesuai dengan kebutuhan bisnis masing masing fungsional area, hal
ini dapat ditemui pada dokumen ICT Mapping dan Blue Print Pengembangan Sistem
Informasi Universitas Muhammadiyah Malang
5. DSS 05.05 (Manage physical access to IT asets): Terdapat pengelolaan terhadap
pemantauan pada akses infrastruktur Sistem Informasi Manajemen yang dilakakan oleh
staf yang telah diberi wewenang dan pertanggung jawaban, tidak semua individu
memilihi hak untuk mengakses bangunan tersebut.
6. DSS 05.06 (Manage sensitif documents and output devices): Terdapat perlindungan yang
baik terhadap aset TI yang sensitif seperti formulir khusus, surat berharga, atau token
keamanan.
7. DSS 05.06 (Monitor the infrastructure for security-related events): Pengelolaan terhadap
pemantauan data center, keamanan infrastruktur dan antisipasi terhadap insiden telah
direncanakan, termonitor, dan terkontrol. Dilakukan dengan cara pemasangan CCTV pada
akses menuju ruangan infrastruktur, pengecekan rutin terhadap sistem serta jaringan.
4.5 Temuan Hasil Evaluasi
Berdasarkan hasil analisa dari perhitungan kuesioner dan wawancara kepada pihak Infokom
Universitas Muhammadiyah, didapatkan temuan sebagai berikut:
1. Belum adanya manajemen atau divisi khusus yang fokus bertugas mengelola manajemen
keamanan sistem informasi di Lembaga Infokom. Hal tersebut menyebabkan belum
tersedianya pengelolaan dan perencanaan khusus terkait manajemen keamanan
informasi dan hasil dokumentasinya, belum adanya pengelolaan serta perencanaan
dalam menjaga kebutuhan peningkatan keamanan informasi dan memantau
keefektivitasan manajemen keamanan sistem informasi.
2. Hasil dari berbagai proses layanan keamanan seperti melindungi teknologi dari malware,
keamanan jaringan, pemeliharaan endpoint, pembatasan akses terhadap operasional
aset TI, pengelolaan hak akses informasi sesuai kebutuhan bisnis, perlindungan terhadap
dokumen aset TI yang sensitif, dan juga pemonitoran infrastruktur TI belum sepenuhnya
didokumentasikan, dan diukur sejauh mana hasil kerja tersebut berjalan sesuai dengan
rencana yang telah dibuat.
3. Belum adanya SOP (Standar Operational Procedure) yang digunakan untuk mengatur
semua jalannya proses kinerja yang digunakan sebagai panduan atau prosedur dalam
mengoperasikan kegiatan bisnis, seperti prosedur manajemen keamanan sistem
informasi, prosedur perlindungan teknologi dari malware, prosedur terkait keamanan
jaringan, prosedur pemeliharaan endpoint, prosedur terkait pembatasan akses terhadap
operasional aset TI, prosedur tekait hak akses informasi sesuai kebutuhan bisnis, prosedur
terkait perlindungan terhadap dokumen aset TI yang sensitif, dan juga prosedur terkait
pemonitoran infrastruktur TI.
 BAB 5 PEMBAHASAN

5.1 Analisis Gap

Berdasarkan hasil yang telah didapat dari pengisian kuesioner yang diisi oleh 3 responden
yaitu Kepala Lembaga Infokom UMM, staf IT bagian administrasi umum, dan staf pengembangan
sistem informasi didapatkan nilai capability level di setiap masing-masing proses domainnya.
Validasi hasil kuesioner juga telah dilakukan dengan cara wawancara dan juga observasi untuk
mengumpulkan informasi-informasi pendukung terkait proses yang ada pada sub domain APO
13 dan DSS 05.
Dari hasil wawancara didapati bahwa level target yang ingin dicapai oleh Lembaga Infokom
UMM adalah untuk naik satu tingkat atau level pada setiap domain prosesnya. Maka dari itu
dapat dilihat pada tabel 5.1, pada domain proses APO 13 level yang dicapai saat ini adalah pada
level 1, dan level yang diharapkan adalah level 2, sehingga gap antara hal tersebut adalah sebesar
1. Sedangkan pada domain proses DSS 05 level yang dicapai saat ini adalah pada level 2, dan level
yang diharapkan adalah level 3, sehingga gap antara hal tersebut adalah juga sebesar 1.
Tabel 5.1 Analisa Gap Keseluruahan Proses Domain
Nama Proses Level Existing Level Target Gap
APO 13 – Manage
1 2 1
Security
DSS 05 – Manage
2 3 1
Security Service

5.2 Analisis Capability Level

Pada sub bab ini akan dilakukan analisis rekomendasi yang dibentuk berdasarkan hasil
pengumpulan data melalui hasil kuesioner yang telah divalidasi dari bab sebelumnya. Hal ini
diharapkan dapat membantu Universitas Muhammadiyah Malang khususnya pada Lembaga
Infokom dalam memperbaiki tata kelola teknologi informasi khususnya pada keamanan sistem
informasi Universitas Muhammadiyah Malang. Level target capability level ditentukan melalui
wawancara dengan pihak Lembaga Infokom UMM. Analisa data dan pembuatan rekomendasi
yang diberikan ini berpacu pada hasil kuesioner oleh 3 responden serta menggunakan referensi
dari beberapa penelitian dengan topik yang sama yang pernah ada sebelumnya.

5.2.1 Analisis Capability Level Proses APO 13

Proses APO 13 berfokus pada menjaga dampak dan terjadinya insiden keamanan informasi
supaya tetap dalam tingkat risk appetite perusahaan itu. Hasil nilai capability level pada proses
APO 13 berada pada level 1 yaitu performed process yang artinya proses tersebut telah
diimplementasikan dan telah menacapai tujuannya, proses tersebut telah dilakukan tetapi belum
ada manajemannya untuk mengelola prosestersebut. Level target yang ingin dicapai Lembaga
Infokom Universitas Muhammadiyah terhadap proses domain APO 13 adalah level 2 yaitu
managed process.
Tabel 5.2 Analisa Gap APO 13
Nama Proses Level Existing Level Target Gap
APO 13 – Manage
1 2 1
Security

Berdasarkan tabel 5.2 yang menunjukkan bahwa gap atau kesenjangan pada domain proses
APO 13 antara level yang terjadi sekarang dan level target yang diharapkan yaitu level 2 adalah
sebesar 1, maka beberapa hal yang perlu dilakukan Lembaga Infokom UMM adalah:
1. Membentuk sebuah manajemen keamanan sistem informasi yang terkelola (terencana,
termonitor, dan teratur) dan hasil kerjanya diterapkan dengan baik, dan terkontrol.
2. Mengadakan pengelolaan dan pemantauan terhadap rencana penanganan resiko keamanan
sistem informasi yang menggambarkan bagaimana pengelolaan tersebut selaras dengan
strategi perusahaan.
3. Mengadakan pengelolaan dan pemantauan dalam meningkatan efektivitas manajemen
keamanan sistem informasi.
4. Membuat aturan atau dokumen tertulis yang membahas mengenai manajemen keamanan
sistem informasi, pengelolaan rencana penanganan resiko, dan mengenai pemantauan
terhadap peningkatan efektivitas manajemen keamanan sistem informasi.
5. Mendokumentasikan dan mengendalikan setiap hasil kerja dari manajemen keamanan
sistem informasi, pengelolaan rencana penanganan resiko, dan mendokumentasikan hasil
dari pemantauan terhadap peningkatan efektivitas manajemen keamanan sistem informasi.

5.2.2 Analisis Capability Level Proses DSS 05

Domain proses DSS 05 berfokus kepada perlindungan informasi perusahaan untuk
mempertahankan risiko keamanan informasi tetep berada pada tingkat yang dapat diterima oleh
perusahaan sesuai kebijakan keamanan. Hasil nilai capability level pada proses DSS 05 ini berada
pada level 2 yaitu managed process yang artinya proses pada domain DSS 05 telah dijalankan dan
diimplementasikan dengan terkelola (terencana, termonitor, dan teratur) dan hasil kerjanya
telah diterapkan dengan baik, terkontrol, dan terpelihara. Level target yang ingin dicapai
Lembaga Infokom Universitas Muhammadiyah Malang pada domain proses DSS 05 adalah level
3 yaitu established process.
Tabel 5.3 Analisa Gap DSS 05
Nama Proses Level Existing Level Target Gap
DSS 05 – Manage
2 3 1
Security Service
 Berdasarkan tabel 5.3 yang menunjukkan bahwa gap atau kesenjangan pada domain proses
DSS 05 antara level yang terjadi sekarang dan level target yang diharapkan yaitu level 3 adalah
sebesar 1, maka beberapa hal yang perlu dilakukan Lembaga Infokom UMM adalah:
1. Membuat dokumen yang membahas terkait perlindungan terhadap akutansi dan manajemen
persediaan aset TI yang sensitif, seperti formulir khusus, surat berharga atau token
keamanan.
2. Membuat dokumen yang membahas terkait pembatasan individu dan wewenang individu
dalam mengakses bangunan infrastruktur TI.
3. Mendokumentasikan setiap hasil kerja atau hasil temuan terhadap layanan keamanan sistem
informasi.
4. Membuat SOP (Standar Operational Procedure) untuk mengatur jalannya proses kinerja yang
digunakan sebagai panduan atau prosedur dalam mengoperasikan kegiatan layanan
keamanan indormasi, contohnya seperti prosedur melindungi teknologi dari malware, dan
prosedur menjaga keamanan jaringan.

5.3 Analisis SWOT

Pada sub bab ini akan dibahas mengenai analisis SWOT yang dilakukan untuk mengetahui
kekuatan, kelemahan, peluang dan ancaman terhadap Lembaga Infokom UMM, yang selanjutnya
Analisa ini akan digunkan untuk menyusun rekomendasi dalam melakukan perbaikan. Analisa
SWOT pada Lembaga Infokom ini disusun berdasarkan hasil pengamatan dari observasi, anailisis
gap, hasil kuesioner, hasil wawancara.

5.3.1 Analisa SWOT pada Proses APO 13

Pada domain proses APO 13 fokus pada menjaga dampak dan terjadinya insiden keamanan
informasi supaya tetap dalam tingkat risk appetite perusahaan. Berikut pada table 5.4 akan
dijelaskan Analisa SWOT nya.

Tabel 5.4 Analisa SWOT Proses APO 13

Strengths Weakness
  Terdapat pemantauan rutin  Tidak ada manajemen khusus
terhadap sistem informasi dan yang mengelola manajemen
infrastruktur TI keamanan sistem informasi
 Memiliki rencana kerja umum  Tidak ada dokumen khusus yang
terhadap penanganan resiko fokus membahas pengelolaan
keamanan informasi dan keamanan sistem informasi
pemeliharaan infrastruktur TI
 Tidak ada aturan tertulis
 Memiliki kesadaran dan tindakan mengenai pemantauan dan
antisipasi akan keamanan sistem peningkatan efektivitas
informasi di dalam instansi keamanan sistem informasi
 Memiliki infrastruktur TI yang  Job description yang jelas untuk
lengkap keamanan sistem informasi
belum ada
 Terbatasnya SDM dalam
pembentukan divisi atau
manajemen khusus yang
mengelola keamanan sistem
informasi

Opportunities Threats

 UMM mencanangkan untuk  Kegagalan dalam menjalankan

menjadi Kampus Digital (UMM layanan yang tidak sesuai
Digital Campus) yang implikasinya prosedur sebab tidak ada standar
adalah menjadi Pusat Data dan prosedur yang digunakan
Informasi Ilmiah yang dapat
 Kegagalan menjalankan
dimanfaatkan oleh masysrakat luas
manajemen pengelolaan
 Adanya hibah yang dikhususkan
keamanan karena tidak ada SDM
untuk peningkatan kapasitas fungsi yang cukup dan berkompeten di
beberapa SIM yaitu hibah bidangnya
Pengembangan PTS yang
dikeluarkan Dirjen DIKTI

5.3.2 Analisa SWOT pada Proses DSS 05

Pada domain proses DSS 05 fokus kepada perlindungan informasi perusahaan untuk
mempertahankan risiko keamanan informasi tetep berada pada tingkat yang dapat diterima oleh
perusahaan sesuai kebijakan keamanan. Berikut pada table 5.4 akan dijelaskan Analisa SWOT
nya.
 Tabel 5.5 Analisa SWOT Proses DSS 05

Strengths Weakness

 Terdapat perlindungan dari  Belum ada dokumen yang

malware dan pengecekan rutin membahas terkait pembatasan
terhadap sistem akses menuju perangkat TI
 Terdapat sistem yang mengelola  Belum ada dokumen terkait
perlindungan konektivitas dan pengelolan keamanan aset TI
jaringan sesitif atau surat surat berharga
 Terdapat aturan yang membagi hak  Hasil kerja dari semua layanan
akses pengguna sesuai kebutuhan keamanan sistem informasi,
bisnis pada setiap fungsional area jaringan, dan infrastruktur TI
belum didokumentasikan dengan
 Terdapat perlindungan yang baik
baik
terhadap aset TI yang sensitif
seperti formulir khusus atau surat  Tidak ada standar prosedur
berharga operasional dalam melakukan
pengecekan rutin dan melindungi
 Terdapat perlindungan dan
sistem dari malware dan standar
pengawasan terhadap endpoint
prosedur operasional dalam
atau infrastruktur TI supaya berada
melindungi jaringan dan terhadap
pada tingkat yang aman
aset TI sensitif

Opportunities Threats

 Mulai banyaknya alat anti malware  Adanya serangan dari pihak luar
yang tersedia dan dapat di yang ingin membobol sistem atau
download secara gratis hak akses terhadap sistem dengan
tujuan mendapatkan informasi
 Perbaikan dalam hal
instansi
pendokumentasian setiap hasil
kerja  Perkembangan malware yang
semakin canggih
 Perbaikan dalam hal
pendokumentasian setiap standar  Kegagalan dalam menjalankan
operasional prosedur kerja layanan yang tidak sesuai
prosedur sebab tidak ada standar
prosedur yang digunakan

5.4 Rekomendasi
Dari hasil evaluasi tata kelola keamanan sistem informasi manajemen Universitas
Muhammadiyah Malang menggunakan capability level, analisis gap, dan analisis SWOT, dapat
diberikan beberapa rekomendasi yang dapat digunakan dalam mengelola manajemen keamanan
informasi di Lembaga Infokom UMM sebagai tindakan preventif supaya kejadian terkait resiko
keamanan tidak terjadi lagi, dan sebagai langkah yang tepat dalam mengembangkan dan
memperbaiki manajemen keamanan sistem informasi di Universitas Muhammadiyah Malang.
Berikut akan dibahas dan dipaparkan rekomendasi dari hasil evaluasi yang dibagi berdasarkan
domain proses yang digunakan yaitu APO 13 dan DSS 05.

5.4.1 Rekomendasi Berdasarkan APO 13

1. Membentuk tim khusus atau divisi khusus yang membahas dan mengelola terkait manajemen
keamanan sistem informasi dan keamanan seluruh perangkat infrastruktur TI untuk
mengkoordinasikan dan mengendalikan implementasi seluruh pelayanan keamanan sistem
2. Membuat otoritas yang bertanggung jawab yang jelas terhadap pengelolaan keamanan
sistem informasi yang di definisikan, dan dikomunikasikan
3. Mengalokasikan seluruh sumber daya dan informasi yang diperlukan untuk melaksanakan
proses pengelolaan keamanan sistem informasi
4. Membangun rencana kerja khusus dalam mengantisipasi berbagai resiko terhadap keamanan
sistem serta mengidentifikasi manfaat meningkatkan kefektivitasan manajemen keamanan
tersebut.
5. Membuat dokumen baku (lebih tersistematik) atau dokumen khusus yang membahas terkait
keseluruhan pengelolaan, perencanaan, dan pemantauan terhadap manajemen keamanan
sistem informasi.
6. Mendokumentasikan setiap kegiatan dan perubahan yang terjadi serta mendokumentasikan
seluruh hasil kerja dari memanajemen keamanan sistem informasi.

5.4.2 Rekomendasi Berdasarkan DSS 05

1. Membuat aturan tertulis yang menyatakan pembatasan akses terhadap seluruh aset
teknologi informasi dan sistem informasi.
2. Membuat aturan tertulis mengenai perlindungan yang sesuai terhadap praktik akuntansi dan
manajemen asset TI yang sensitif.
3. Mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil proses kinerja
dalam melindungi teknologi dari malware, serta membuat standar operasional prosedur
untuk mengatur jalannya proses dalam melindungi teknologi dari malware.
4. Mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil proses kinerja
dalam mengelola keamanan konektivitas dan jaringan, serta membuat standar operasional
prosedur untuk mengatur jalannya proses kinerja pengelolaan keamanan konektivitas dan
jaringan.
5. Mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil proses kinerja
dalam pemonitoran infrastruktur TI, serta membuat standar operasional prosedur untuk
mengatur jalannya proses kinerja pemonitoran infrastruktur TI.
6. Mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil proses kinerja
dalam mengelola keamanan endpoint, serta membuat standar operasional prosedur untuk
mengatur jalannya proses kinerja pengelolaan keamanan endpoint.
7. Melakukan evaluasi dan pengukuran sejauh mana hasil kerja terhadap pengelolaan layanan
keamanan sistem informasi berjalan sesuai dengan rencana yang telah dibuat.
 BAB 6 KESIMPULAN DAN SARAN

6.1 Kesimpulan
Berdasarkan hasil penelitian dan analisis yang dilakukan pada sistem informasi manajemen
Lembaga Infokom Universitas Muhammadiyah Malang, maka dapat diambil kesimpulan sebagai
berikut:
1. Evaluasi dilakukan menggunakan kerangka kerja COBIT 5 dan menggunakan domain APO
(Align, Plan and Organise) dan DSS (Deliver, Service and Support) pada sub domain APO 13
yaitu manage security dan DSS 05 manage security service. Evaluasi dilakukan dengan cara
penyebaran kuesioner kepada 3 orang responden yang dipilih berdasarkan RACI chart yang
kemudian divalidasi dengan hasil observasi dan wawancara.
2. Hasil dari evaluasi tata kelola keamanan sistem di Universitas Muhammadiyah Malang
tersebut menunjukkan bahwa:
a. Tingkat kemampuan atau capability level dalam mengelola keamanan berada pada level
1 yaitu performed process yang artinya proses yang diimplementasikan telah mencapai
tujuannya, telah dilakukan akan tetapi belum ada manajemennya.
b. Tingkat kemampuan atau capability level dalam mengelola layanan keamanan berada
pada level 2 yaitu managed process yang artinya proses yang diimplementasikan telah
dijalankan dengan terkelola (terencana, termonitor, dan teratur) dan hasil kerjanya telah
diterapkan dengan baik, terkontrol, dan terpelihara.
3. Setelah mengetahui hasil dari evaluasi yang menyatakan bahwa capability level Lembaga
Infokom berada pada level 1 untuk proses APO 13 dan di level 2 untuk proses DSS 05, harapan
instansi ingin meningkatkan nilai capability level pada setiap prosesnya yaitu menjadi naik
satu level dari hasil yang ada saat ini. Untuk mencapai capability level yang diinginkan, maka
diberikan rekomendasi sebagai berikut:
a. Capability Level pada proses APO 13 yang ingin dicapai adalah level 1 dengan analisis gap
bernilai 1. Untuk mencapai level yang diinginkan mana instansi perlu membentuk tim
khusus yang membahas manajemen keamanan informasi, membuat dokumen baku
(lebih tersistematik) atau dokumen khusus yang membahas terkait keseluruhan
pengelolaan, perencanaan, dan pemantauan terhadap manajemen keamanan sistem
informasi, serta mendokumentasikan setiap kegiatan dan perubahan yang terjadi serta
mendokumentasikan seluruh hasil kerja dari memanajemen keamanan sistem informasi.
b. Capability Level pada proses DSS 05 yang ingin dicapai adalah level 2 dengan analisis gap
bernilai 1. Membuat aturan tertulis yang menyatakan pembatasan akses terhadap
seluruh aset teknologi informasi, sistem informasi, membuat aturan tertulis mengenai
perlindungan yang sesuai terhadap praktik akuntansi dan manajemen asset TI yang
sensitif, mendokumentasikan setiap kegiatan, perubahan yang terjadi dan seluruh hasil
proses kinerja serta membuat standar operasional prosedur dalam seluruh kinerja setiap
layanan keamanan.
6.2 Saran
Pada sub bab ini berisi saran yang diberikan penulis untuk penelitian berikutnya, khususnya
bagi mahasiswa yang akan melaksanakan penelitian terkait tata kelola teknologi informasi pada
instansi ini:
1. Penelitian selanjutnya dapat melanjutkan tahap COBIT ke 5 yaitu execute plan dan dilanjutkan
hingga sampai dengan tahap 7 yaitu review effectiveness.
2. Untuk penelitian selanjutnya terkait pengukuran tingkat keamanan sistem informasi
menggunkan metode atau kerangka kerja tata kelola TI yang lainnya seperti indeks KAMI, ITIL,
COSO, PRINCE 2, ISO, dll. Proses tersebut bertujuan untuk menilai tata kelola yang berkaitan
dengan pemanfaatan teknologi dalam aktivitas organisasi.