Disusun Oleh :
ABSTRAK
Penelitian ini bertujuan untuk mengetahui tingkat keamanan informasi CV Nakula Sadewa
yang mengacu kepada penerapan ISO/SNI 27001, yaitu persyaratan untuk menetapkan,
menerapkan, memelihara dan secara berkelanjutan memperbaiki Sistem Manajemen Kemanan
Informasi (SMKI) dalam konteks organisasi yang bersifat umum, terlepas dari jenis, ukuran atau
sifat organisasi. Analisis yang dilakukan meliputi 5 area yang didefinisikan dalam Indeks
Keamanan Informasi, yaitu, Tata Kelola Keamanan Informasi, Pengelolaan Risiko Keamanan
Informasi, Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, dan
Teknologi dan Keamanan Informasi.
CV Nakula Sadewa adalah produsen mesin antrian, aplikasi sekolah, rumah sakit, dan
perangkat teknologi informasi yang diperuntukkan oleh pelaku bisnis, pendidikan, dan kesehatan.
Sampai saat ini, CV Nakula Sadewa telah memiliki pengalaman selama 3 tahun sejak disahkannya
sebagai badan usaha pada 19 Januari 2015. Dalam melakukan penelitian ini, kami berkesempatan
untuk melakukan wawancara dengan direktur CV Nakula Sadewa. Wawancara dilakukan dengan
tanya jawab dan diskusi yang berlangsung selama 2 ½ jam di dalam ruangan kantor CV Nakula
Sadewa.
i
KATA PENGANTAR
Alhamdulillahirabbil’alamin. Segala puji syukur kami panjatkan kepada Allah SWT atas segala
limpahan rahmat dan karunia-Nya sehingga kami dapat menyelesaikan laporan penelitian berjudul
“Analisis Kematangan Sistem Manajemen Keamanan Informasi CV Nakula Sadewa
Menggunakan Indeks Keamanan Informasi”.
Kami menyadari bahwa laporan penelitian ini jauh dari sempurna dan tanpa
bantuan dari berbagai pihak tidak akan mungkin terselesaikan. Oleh karenanya kami
mengucapkan banyak terimakasih kepada :
1. Ibu Ari Kusyanti, S.T, M.Sc selaku Dosen pengampu Mata Kuliah Keamanan
Informasi yang telah membimbing kami selama satu semester.
2. Mas Yudha Prayogo A selaku Direktur CV Nakula Sadewa yang telah menjadi
narasumber kami dengan memberikan wawasan tentang perusahaan dan dengan
antusias menjawab pertanyaan-pertanyaan kami.
3. CV Nakula Sadewa sebagai objek studi kasus pada penelitian ini.
Dengan selesainya laporan penelitian ini, kami berharap kegiatan yang telah kami lalui
dapat menjadi ilmu yang bermanfaat, dan laporan penelitian ini dapat menambah wawasan bagi
kita semua.
Penulis
ii
DAFTAR ISI
ABSTRAK ....................................................................................................................................... i
KATA PENGANTAR .................................................................................................................... ii
DAFTAR ISI.................................................................................................................................. iii
BAB I .............................................................................................................................................. 1
PENDAHULUAN .......................................................................................................................... 1
A. Latar Belakang ..................................................................................................................... 1
B. Rumusan Masalah ................................................................................................................ 3
C. Tujuan Penelitian ................................................................................................................. 3
D. Ruang Lingkup..................................................................................................................... 4
1. Ruang Lingkup Penelitian ................................................................................................ 4
2. Unit Analisis..................................................................................................................... 4
E. Manfaat Penelitian ............................................................................................................... 4
BAB II............................................................................................................................................. 5
LANDASAN TEORI ...................................................................................................................... 5
A. Pengertian Informasi ............................................................................................................ 5
B. Informasi Sebagai Aset ........................................................................................................ 5
C. Keamanan Informasi ............................................................................................................ 6
D. Ancaman Terhadap Keamanan Informasi ........................................................................... 7
E. Sasaran Pengendalian Keamanan Informasi ...................................................................... 10
F. Indeks Keamanan Informasi .............................................................................................. 13
BAB III ......................................................................................................................................... 16
METODE PENELITIAN.............................................................................................................. 16
A. Jenis Penelitian................................................................................................................... 16
B. Jenis dan Sumber Data ....................................................................................................... 16
C. Waktu dan Tempat Penelitian ............................................................................................ 16
D. Teknik Pengumpulan Data ................................................................................................. 16
E. Kuesioner Pengukuran Area Penelitian ............................................................................. 17
1. Peran TIK dalam Instansi ............................................................................................... 17
2. Area Keamanan Informasi ............................................................................................. 20
F. Metode Analisis Data ......................................................................................................... 22
iii
BAB IV ......................................................................................................................................... 29
ANALISIS HASIL DAN PEMBAHASAN ................................................................................. 29
A. Deskripsi Data Penelitian ................................................................................................... 29
B. Analisis Data ...................................................................................................................... 30
1. Tingkat kelengkapan penerapan SMKI .......................................................................... 30
2. Tingkat kematangan SMKI ............................................................................................ 31
C. Pembahasan........................................................................................................................ 34
1. Tingkat kelengkapan penerapan SMKI .......................................................................... 34
2. Tingkat kematangan SMKI ............................................................................................ 40
BAB V .......................................................................................................................................... 43
PENUTUP..................................................................................................................................... 43
A. Kesimpulan ........................................................................................................................ 43
B. Saran .................................................................................................................................. 43
DAFTAR PUSTAKA ................................................................................................................... 45
LAMPIRAN .................................................................................................................................. 46
iv
BAB I
PENDAHULUAN
A. Latar Belakang
Informasi merupakan salah satu aset terpenting bagi kelangsungan hidup suatu
organisasi sehingga keberadaannya haruslah dijaga. Informasi dapat disajikan dalam
berbagai bentuk seperti teks, gambar, audi, atau video.
Sumber : http://www.apjii.or.id
1
dari luar, namun juga dari dalam. Maka dari itu, organisasi atau perusahaan menjadi objek
penting yang perlu dilakukan pengawasan dalam melakukan pengelolaan informasi.
Meskipun Indonesia hingga kini masih memiliki status sebagai negara berkembang,
namun Indonesia memiliki tingkat pengguna yang tinggi dalam mengakses informasi.
Kondisi ini dicerminkan dengan posisi Indonesia sebagai pengguna internet terbesar ke-5
di dunia. Hal ini ditunjukkan pada gambar 1.2 statistik pengguna internet terbesar di dunia
pada akhir tahun 2017 yang bersumber dari International Telecommunications Union
(ITU) di bawah ini.
Sumber : http://www.internetworldstats.com
Dari gambar 1.2 di atas didapatkan bahwa pada akhir tahun 2017 Indonesia
memiliki sebanyak 143.26 juta pengguna internet. Jumlah ini melebihi ½ dari jumlah
2
penduduk Indonesia yang berjumlah 264 juta yang diantaranya merupakan lansia dan anak-
anak yang tidak mampu mengakses internet. Dengan melihat fakta tersebut, maka dapat
diperkirakan jika pertumbuhan organisasi atau perusahaan maupun ukm juga mengarah
kepada pemanfaatan teknologi informasi.
Namun tingkat pengguna teknologi informasi yang tinggi ini tidak bisa menjamin
adanya wawasan dan kesiapan untuk menjaga informasi tersebut dari ancaman yang bisa
saja datang, yaitu kesiapan dalam mengelola keamanan informasi. Dengan inisiatif dari
Kementrian Komunikasi dan Informatika Republik Indonesia (Kemkominfo),
disediakanlah alat bantu untuk mengevaluasi tingkat kemaanan informasi yang dapat
digunakan organisasi secara umum, sehingga dapat memenuhi standar Sistem Manajemen
Keamanan Informasi (SMKI) yang sudah ditetapkan oleh Badan Standardisasi Nasional
(BSN) yang dituangkan ke dalam ISO/SNI 27001.
B. Rumusan Masalah
C. Tujuan Penelitian
3
D. Ruang Lingkup
2. Unit Analisis
Unit analisis dalam penelitian ini adalah seluruh pegawai CV Nakula Sadewa.
E. Manfaat Penelitian
1. Bagi Pimpinan, hasil penelitian ini dapat digunakan untuk bahan pertimbangan dalam
pengambilan keputusan yang akan diambil untuk memperbaiki atau meningkatkan
Manajemen Sistem Keamanan Informasi (SMKI).
2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan pemahaman
dan kepedulian tentang Manajamen Sistem Keamanan Informasi (SMKI).
3. Bagi Pembaca, hasil penelitian ini dapat menjadi referensi di kemudian hari untuk
melakukan penelitian lain yang berkaitan dengan Indeks Keamanan Informasi.
4. Bagi Peneliti, hasil penelitian ini dapat membantu dalam memperoleh nilai akademik
dan melancarkan proses studi kami.
4
BAB II
LANDASAN TEORI
A. Pengertian Informasi
Secara etimologi, kata informasi berasal dari kata Perancis kuno informacion
(tahun1387) yang diambil dari Bahasa Latin informationem yang berarti “garis besar,
konsep, ide”. Informasi merupakan kata benda dari informare yang berarti aktivitas dalam
“pengetahuan yang dikomunikasikan. Menurut kamus besar bahasa Indonesia sendiri
informasi adalah penerangan atau pemberitahuan tentang sesuatu.
Sedangkan menurut para ahli, Informasi adalah data yang telah diolah menjadi
sebuah bentuk yang berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan
saat ini atau mendatang (Gordon B. Davis). Abdul Kadir mendefinisikan informasi sebagai
data yang telah diproses sedemikian rupa sehingga meningkatkan pengetahuan seseorang
yang menggunakan data tersebut.
Secara umum informasi dapat didefinisikan sebagai hasil dari pengolahan data
dalam suatu bentuk yang lebih berguna dan lebih berarti bagi penerimanya yang
menggambarkan suatu kejadian-kejadian yang nyata yang digunakan untuk pengambilan
keputusan.
5
yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim
melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film,
dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain
yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau
perusahaan.
C. Keamanan Informasi
1. Confidentiality
2. Integrity
Aspek yang menjamin data tidak dapat dirubah tanpa ada ijin pihak yang
berwenang, menjaga kelengkapan informasi dan menjaga dari kerusakan atau
ancaman lain yang bisa menyebabkan perubahan pada informasi atau data asli.
3. Availability
Aspek yang menjamin bahwa data akan tersedia pada saat dibutuhkan dan
menjamin user dapat mengakses informasi tanpa adanya gangguan.
Menurut (Whitman & Mattord, 2011) informasi merupakan salah satu aset yang
penting untuk dilindungi keamanannya. Perusahaan perlu memperhatikan keamanan aset
informasinya, kebocoran informasi dan kegagalan pada sistem dapat mengakibatkan
kerugian baik pada sisi finansial maupunn produktifitas perusahaan. Contoh tinjauan
keamanan informasi sebagai berikut:
6
Physical Security, strategi yang memfokuskan untuk mengamankan anggota
organisasi, aset fisik, akses tanpa otorisasi dan tempat kerja dari berbagai ancaman meliputi
bahaya kebakaran.
Keamanan informasi adalah menjaga informasi dari ancaman yang mungkin terjadi
dalam upaya menjamin kelangsungan bisnis, mengurangi tingkat risiko dan mempercepat
atau memaksimalkan pengambilan keputusan investasi serta peluang bisnis. Tingkat
keamanan pada informasi juga bergantung pada tingkat sensitifitas informasi
dalam database, informasi yang tidak terlalu sensitif sistem keamanannya tidak terlalu
ketat sedangkan untuk informasi yang sangat sensitif perlu pengaturan tingkat keamanan
yang ketat untuk akses ke informasi tersebut.
Dalam hal keamanan data, ancaman berarti orang yang berusaha memperoleh akses-
akses ilegal terhadap jaringan komputer yang dimiliki seolah-seolah ia memiliki otoritas
terhadap akses ke jaringan komputer. Dalam hal ini ada beberapa aspek ancaman terhadap
keamanan data dalam Internet, yaitu:
7
2. Interception, merupakan ancaman terhadap secrey, yaitu: orang yang tidak
berhak berhasil mendapatkan akses informasi dari dalam sistem komputer,
contohnya dengan menyadap data yang melalui jaringan public (wiretapping)
atau menyalin secara tidak sah file atau program.
2. Back Door : suatu serangan (biasanya bersumber dari suatu software yang baru
di instal) yang dengan sengaja membuka suatu “pintu belakang” bagi
pengunjung tertentu, tanpa disadari oleh orang yang meng-instal software,
sehingga mereka dengan mudah masuk kedalam sistem jaringan.
3. Spoofing : suatu usaha dari orang yang tidak berhak misalnya dengan
memalsukan identitas, untuk masuk ke suatu sistem jaringan, seakan-akan dia
adalah user yang berhak.
4. Man in the Middle : seorang penyerang yang menempatkan dirinya diantara dua
orang yang sedang berkomunikasi melalui jaringan, sehingga semua informasi
dari sua arah melewati, disadap, dan bila perlu diubah oleh penyerang tersebut
tanpa diketahui oleh orang yang sedang berkomunikasi.
8
5. Replay : informasi yang sedang didistribusikan dalam jaringan dicegat oleh
penyerang, setelah disadap ataupun diubah maka informasi ini disalurkan
kembali ke dalam jaringan, seakan-akan masih berasal dari sumber asli.
6. Session Hijacking : sessi TCP yang sedang berlangsung antara dua mesin dalam
jaringan diambil alih oleh hacker, untuk dirusak atau diubah.
7. DNS Poisoning : hacker merubah atau merusak isi DNS sehingga semua akses
yang memakai DNS ini akan disalurkan ke alamat yang salah atau alamat yang
dituju tidak bisa diakses.
10. Brute Force : suatu usaha untuk memecahkan kode password melalui software
yang menggunakan berbagai teknik kombinasi.
12. War Dialing : pelacakan nomer telepon yang bisa koneksi ke suatu modem
sehingga memungkinkan penyerang untuk masuk kedalam jaringan.
14. Smurfing : suatu serangan yang dapat menyebabkan suatu mesin menerima
banyak sekali “echo” dengan cara mengirimkan permintaan echo pada alamat
“broadcast” dari jaringan.
9
15. Ping of Death : suatu usaha untuk mematikan suatu host/komputer dengan cara
mengirim paket besar melalui ping.
16. Port Scanning : usaha pelacakan port yang terbuka pada suatu sistem jaringan
sehingga dapat dimanfaatkan oleh hacker untuk melakukan serangan.
17. Unicode : serangan terhadap situs web melalui perintah yang disertakan dalam
url http.
18. SQL Injection : serangan yang memanfaatkan karakter khusus seperti ‘ dan ‘ or
“ yang memiliki arti khusus pada SQL server sehingga login dan password bisa
dilewati.
19. XSS : cross site scripting, serangan melalui port 80 (url http) yang
memanfaatkan kelemahan aplikasi pada situs web sehingga isi-nya bisa diubah
(deface).
1. Arus Listrik : Arus listrik yang melebihi batas, mati secara mendadak, maupun
terputus dapat mengakibatkan terganggunya operasional seperti kerusakan
komponen computer, input data, dll
3. Pencurian : Dapat terjadi melalui orang dalam maupun luar jika pengaman
lemah. Kerugian yang ditimbulkan dapat besar tergantung jenis aset yang
dicuri.
10
1. Pengendalian umum
11
5. Pengendalian keamanan fisik dan lingkungan
Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk mencegah akses
fisik oleh pihak yang tidak berwenang, menghindari terjadinya kerusakan pada perangkat
pengolah informasi serta gangguan pada aktivitas organisasi. Sasaran pengendalian ini
meliputi pengamanan area dan pengamanan perangkat seperti; perimeter keamanan fisik,
perlindungan terhadap ancaman eksternal dan lingkungan, penempatan peralatan, sarana
pendukung, keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor,
pemindahan barang dan penghapusan atau penggunaan kembali peralatan secara aman.
7. Pengendalian akses
12
file sistem (system files), keamanan dalam proses pengembangan dan pendukung
(support proceses) dan pengelolaan kerentanan teknis.
Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan
informasi di instansi pemerintah. Meskipun demikian, Indeks KAMI dapat digunakan
untuk menganalisis tingkat kelengkapan dan kematangan keamanan informasi di instansi
umum, dengan catatan sebagai tujuan pembelajaran seperti yang dilakukan dalam
penelitian ini. Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau
13
efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan
gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan
informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang
menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang
juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/SNI 27001.
Hasil evaluasi indeks KAMI menggambarkan tingkat kematangan, tingkat kelengkapan
penerapan ISO/SNI 27001 dan peta area tata kelola keamanan sistem informasi.
1. Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapan bentuk tata
kelola keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab
pengelola keamanan informasi.
Data hasil evaluasi pada area-area tersebut akan memberikan snapshot indeks kesiapan
dari aspek kelengkapan maupun kematangan kerangka kerja keamanan informasi yang
diterapkan dan dapat digunakan sebagai pembanding dalam rangka menyusun langkah
perbaikan dan penetapan prioritasnya.
14
Definisi tingkat kematangan yang digunakan untuk mengevaluasi kelengkapan dan
mengidentifikasi tingkat kematangan penerapan pengamanan berdasarkan petunjuk
penggunaanIndeks KAMI adalah:
a. Tingkat I
b. Tingkat II
c. Tingkat III
d. Tingkat IV
e. Tingkat V
15
BAB III
METODE PENELITIAN
A. Jenis Penelitian
Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitif, dimana peneliti
melakukan analisis dengan mendeskripsikan tingkat kematangan SMKI dari CV Nakula
Sadewa berdasarkan nilai yang dihasilkan oleh Indeks KAMI. Deskripsi yang dilakukan
berdasarkan pada panduan dalam penggunaan Indeks KAMI.
Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data primer yang
langsung dikumpulkan dari narasumber. Data primer tersebut dikumpulkan dari direktur
CV Nakula Sadewa menggunakan metode survei dan wawancara.
Waktu pengamatan dan pengumpulan data berlangsung selama dua hari, yaitu pada
tanggal 14 November 2018 dan pada tanggal 22 November 2018 yang keduanya bertempat
di kantor CV Nakula Sadewa yang terletak di Jl. Candi Waringin No.1, Mojolangu, Kec.
Lowokwaru, Kota Malang, Jawa Timur.
Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan, focus group
discussion (FGD), survei (kuesioner), dan observasi.
Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait dengan teori
dan konsep aspek-aspek atau area-area yang akan diteliti. Selain itu, studi kepustakaan
juga dilakukan guna mendapatkan data tentang kendala-kendala yang akan diteliti.
16
Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data terkait
kesiapan CV Nakula Sadewa dalam menerapkan SMKI. Kuesioner yang akan digunakan
peneliti adalah Indeks Keamanan Informasi (Indeks KAMI) versi 2.2 dari Kementerian
Komunikasi dan Informatika. Dimana area-area evaluasi/penelitian berdasarkan Indeks
KAMI adalah :
Responden adalah direktur dari CV Nakula Sadewa itu sendiri yang mengetahui
mengenai tiap-tiap aspek yang dievaluasi.
Untuk mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat
pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan responden
(observasi). Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan untuk
mengumpulkan informasi yang diperlukan seperti personel yang terlibat dalam keamanan
informasi dalam perusahaan.
Kuesioner yang digunakan untuk mengukur tingkat kematangan SMKI adalah Indeks
KAMI versi 2.2 yang terdiri dari:
17
Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit mulai
dari “Minim”, “Rendah”, “Sedang”, “Tinggi”, hingga “Kritis”. Adapun definisi dari
Peran TIK tersebut adalah:
d. “TINGGI”, TIK sudah menjadi bagian yang tidak terpisahkan dari proses kerja
yang berjalan.
Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan bahasan:
b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur TIK
18
i. Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan
Publik, 2011
Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam
Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai berikut:
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
19
2. Area Keamanan Informasi
Seluruh pertanyaan yang ada di tiap area keamanan informasi di kelompokkan ke dalam
tiga kategori pengamanan, dengan ketentuan:
Adapun status penerapan (respon) yang dapat dipilih responden untuk menjawab
seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut:
a. Tidak Dilakukan;
b. Dalam Perencanaan;
Berikut adalah matriks hubungan antara status penerapan, kategori pengamanan dan
skoring-nya :
20
Gambar 3.3 Matrik Status Penerapan dan Kategori Pengamanan
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori
pengamanan yang terkait, dengan ketentuan:
b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai yang lebih
tinggi dibandingkan bentuk penerapan yang lebih rendah.
c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari kategori
tahap yang lebih tinggi.
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
21
Keterangan :
1. Tingkat Kematangan
2. Kategori Pengamanan
3. Daftar Pertanyaan
4. Status Penerapan
5. Skor
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran Panduan
Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik (2011).
Hasil penjumlahan skor untuk masing-masing area disajikan dalam dua instrumen, yaitu:
Tabel ini berisikan total skor untuk tiap area yang dievaluasi :
22
Gambar 3.6 Skor Area Evaluasi
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Sementara itu, tingkat kematangan keamanan informasi terdiri atas lima tingkatan,
yaitu:
e. Tingkat V – Optimal
23
Penentuan tingkat kematangan dilakukan dengan menerapkan prinsip:
a. Pencapaian suatu Tingkat Kematangan II dan III hanya dapat dilakukan apabila
sebagian besar di Tingkat Kematangan sebelumnya [x-1] sudah “Diterapkan Secara
Menyeluruh”.
3. Untuk membantu memberikan uraian yang lebih detail, tingkatan ini ditambah dengan
tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan.
Sebagai awal, semua responden akan diberikan kategori kematangan Tingkat I.
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
25
4. Tingkat Kematangan II+: Mencapai minimal
a. Prasyarat Dasar TKII+, yaitu mencapai nilai total bentuk pengamanan Tingkat
Kematangan II > (80% dari nilai seluruh bentuk pengamanan TKII-Tahap 1 & 2
dengan status “Diterapkan Secara Menyeluruh”); dan
26
6. Tingkat Kematangan III+: Mencapai minimal
27
9. Tingkat Kematangan V: Mencapai minimal
Selanjutnya, untuk menentukan tingkat kesiapan unit dalam menerapkan SMKI diukur
menggunakan tabel berikut sebagai acuan :
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011
Berdasarkan tabel di atas, total skor dari kuesioner akan dibandingkan dengan level
peran TIK di unit yang dievaluasi guna menentukan status kesiapan unit tersebut dalam
menerapkan SMKI.
Pada laporan/dashboard, status ini dilaporkan dalam bentuk diagram batang berikut
dengan ketentuan bahwa status “tidak layak” akan menempati area berwarna merah, status
“perlu perbaikan” akan menempati area berwarna kuning, sedangkan area hijau untuk
status “Baik/Cukup”.
Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
28
BAB IV
ANALISIS HASIL DAN PEMBAHASAN
Data penelitian yang dikumpulkan dari responden mencakup 5 area evaluasi keamanan
informasi. Tahap-tahap pengumpulan data menggunakan kuesioner Indeks KAMI adalah :
29
B. Analisis Data
Tingkat kelengkapan penerapan SMKI juga dapat dilihat dari diagram radar berikut :
Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI CV Nakula Sadewa
30
Pada diagram radar di atas, diagram berwarna merah muda merupakan kondisi
SMKI CV Nakula Sadewa berdasarkan hasil pengisian kuesioner oleh peneliti. Dari
diagram tersebut dapat disimpulkan bahwa :
Tabel 4.2 Olah Skor Setiap Area Indeks KAMI CV Nakula Sadewa
31
Skor Responden 80 20 33 52 80
Presentase 70% 29% 23% 34% 74%
Sumber : Hasil Olah Data Peneliti
Berdasarkan gambar diagram batang 4.3 dan tabel olah skor 4.2 di atas,
tingkat kematangan SMKI CV Nakula Sadewa pada masing-masing area adalah :
32
c. Kerangka Kerja Pengelolaan Keamanan Informasi
1) Skor aspek kerangka kerja pengelolaan keamanan informasi adalah
sebesar 33 atau 23%, dengan rincian :
a) Total skor sebesar 15 mewakili tingkat kematangan II; dan
b) Total skor sebesar 18 mewakili tingkat kematangan III.
2) Skor tingkat kematangan II (15) melebihi nilai minimal untuk kategori
kematangan II pada area ini (12), namun skor ini tidak melebihi nilai
minimal untuk pencapaian kategori kematangan II (24). Karena itu,
pengujian atas tingkat II dan seterusnya tidak dapat dilanjutkan.
Sehingga, tingkat kematangan akhir yang didapatkan pada area ini
sesuai pedoman adalah I+.
d. Pengelolaan Aset Informasi
1) Skor pengelolaan aset informasi yaitu sebesar 52 atau 34%, dengan
rincian :
a) Total skor sebesar 48 mewakili tingkat kematangan II; dan
b) Total skor sebesar 4 mewakili tingkat kematangan III.
2) Skor tingkat kematangan II (48) melebihi nilai minimal untuk kategori
kematangan II pada area ini (25), namun skor ini tidak melebihi nilai
minimal untuk pencapaian kategori kematangan II area ini (62).
Karena itu, pengujian atas tingkat II dan seterusnya tidak dapat
dilanjutkan. Sehingga, tingkat kematangan akhir yang didapatkan pada
area ini sesuai pedoman adalah I+.
e. Teknologi dan Keamanan Informasi
1) Skor aspek teknologi keamanan informasi adalah sebesar 80 atau 74%,
dengan rincian sebagai berikut :
a) Total skor sebesar 30 mewakili tingkat kematangan II;
b) Total skor sebesar 44 mewakili tingkat kematangan III;
c) Total skor sebesar 6 mewakili tingkat kematangan IV; dan
d) Ambang batas tingkat kematangan III 31,2.
2) Skor tingkat kematangan II (30) melebihi nilai minimal untuk kategori
kematangan II pada area ini (17), dan juga melebihi nilai minimal
33
untuk pencapaian kematangan II (26). Namun, nilai skor pada tingkat
II (30) tidak melebihi nilai ambang batas untuk dapat melanjutkan ke
tingkat kematangan III (31,2) sehingga pengujian atas tingkat III dan
seterusnya tidak dapat dilanjutkan. Dengan demikian, tingkat
kematangan akhir yang didapatkan pada area ini sesuai pedoman
adalah II.
C. Pembahasan
34
Dari 15 pertanyaan pada area ini, 7 pertanyaan diantaranya (47%) memiliki status
“Tidak Dilakukan”.
Sementara itu, dari tingkat kematangan (Tingkat II s.d V), hasil “Tidak dilakukan”
didapatkan sebanyak 5 dari 9 pertanyaan pada tingkat kematangan II (56%), dan 2 dari
2 pertanyaan pada tingkat kematangan III (100%). Hasil “Dalam Penerapan/Diterapkan
Sebagian” didapatkan sebanyak 4 dari 9 pertanyaan pada tingkat kematangan II (44%),
dan 1 dari 2 pertanyaan pada tingkat kematangan V (50%). Sisa hasil yaitu “Diterapkan
Secara Menyeluruh” pada tingkat kematangan IV dan V.
35
Tabel 4.5 Skor Kelengkapan Area Kerangka Kerja
Kategori Pengamanan
Status Penerapan total %
1 2 3
Tidak Dilakukan 7 4 1 12 46%
Dalam Perencanaan 1 0 3 4 15%
Dalam Penerapan/Diterapkan Sebagian 1 0 0 1 4%
Diterapkan Secara Menyeluruh 2 4 3 9 35%
Total 11 8 7 26 100%
Sumber : Hasil Olah Data Peneliti
Dari 26 pertanyaan pada area ini, 12 pertanyaan diantaranya (46%) memiliki status
“Tidak Dilakukan”.
Pada tingkat kematangan, hasil “Tidak dilakukan” didapatkan sebanyak 5 dari 9
pertanyaan pada tingkat kematangan II (56%), dan 6 dari 11 pertanyaan pada tingkat
kematangan III (55%). Hasil “Dalam Perencanaan” didapatkan sebanyak 1 dari 9
pertanyaan pada tingkat kematangan II (11%), 1 dari 3 pertanyaan pada tingkat
kematangan IV (33%), dan 2 dari 2 pertanyaan pada tingkat kematangan V (100%).
Sisa hasil yaitu “Dalam Penerapan/Diterapkan Sebagian” pada tingkat kematangan I,
dan “Diterapkan Secara Menyeluruh” pada tingkat kematangan III, IV dan V.
Tabel 4.6 Skor Kematangan Area Kerangka Kerja
Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 5 6 1 0 12
Dalam Perencanaan 1 0 1 2 4
Dalam Penerapan/Diterapkan Sebagian 1 0 0 0 1
Diterapkan Secara Menyeluruh 0 3 5 1 9
Total 7 9 7 3 26
Sumber : Hasil Olah Data Peneliti
36
tersebut adalah audit yang dilakukan secara independen dengan cakupan keseluruhan
aset informasi, kebijakan, dan prosedur keamanan.
37
Untuk memperbaiki tingkat kelengkapan penerapan SMKI di area ini, CV Nakula
Sadewa perlu untuk melakukan perbaikan dengan melakukan hal-hal berikut :
38
Dari 24 pertanyaan pada area ini, 12% diantaranya memiliki status “Tidak
Dilakukan”. Sementara dari tingkat kematangan, “Diterapkan Secara Menyeluruh”
menempati tingkat kematangan II dengan 7 dari 13 pertanyaan (53%), tingkat
kematangan III dengan 6 dari 10 pertanyaan (60%), dan sisanya “Dalam
Penerapan/Diterapkan Sebagian” pada tingkat kematangan II, III, dan IV, dan 1 pada
tingkat kematangan II “Dalam Perencanaan”.
Tabel 4.10 Skor Kematangan Area Teknologi dan Keamanan Informasi
Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 1 2 0 0 3
Dalam Perencanaan 1 0 0 0 1
Dalam Penerapan/Diterapkan Sebagian 4 2 1 0 7
Diterapkan Secara Menyeluruh 7 6 0 0 13
Total 13 10 1 0 24
Sumber : Hasil Olah Data Peneliti
Tingkat kelengkapan penerapan SMKI pada area ini sudah cukup bagus, namun
untuk dapat memenuhi kepatuhan ISO 27001/SNI masihlah belum cukup. Untuk
memperbaiki hal tersebut, CV Nakula Sadewa dapat melakukan perbaikan di-
antaranya:
1. Menganalisis semua log secara berkala untuk memastikan akurasi, validitas, dan
kelengkapan isinya untuk kepentingan jejak audit dan forensik;
2. Menerapkan teknologi enkripsi yang terstandarisasi untuk melindungi aset
informasi internal maupun eksternal;
3. Menerapkan pengamanan untuk mengelola kunci enkripsi yang digunakan;
4. Menyediakan laporan penyerangan virus yang gagal/sukses ditindaklanjuti dan
diselesaikan; dan
5. Melibatkan pihak independen untuk mengkaji kehandalan keamanan informasi
secara rutin.
39
2. Tingkat kematangan SMKI
Penyebab rendahnya skor atau kematangan SMKI pada aspek ini adalah
kurangnya sosialisasi atau peningkatan pemahaman tentang keamanan informasi,
40
dan juga pengelolaan risiko keamanan informasi yang ada belum berstandarkan
Standar Manajemen Keamanan Informasi yang ditetapkan pada ISO/SNI 27001.
Skor aspek kerangka kerja pengelolaan keamanan informasi berada pada skor
33 (23%) atau tingkat kematangan I+. Hasil penilaian ini memberikan informasi
tentang kondisi kerangka kerja pengelolaan keamana informasi sebagai berikut :
Penyebab rendahnya skor atau kematangan SMKI pada aspek kerangka kerja
pengelolaan keamanan informasi diantaranya adalah :
Skor area pengelolaan aset informasi berada pada skor 52 (34%) atau tingkat
kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi
pengelolaan aset informasi sebagai berikut :
41
3) Pengelolaan aset informasi yang diterapkan masih bergantung kepada
pengetahuan dan motivasi tiap individu.
Penyebab rendahnya skor atau kematangan SMKI pada aspek ini adalah
kurangnya sosialisasi tentang keamana informasi, dan belum adanya pedoman atau
petunjuk teknis pengelolaan aset informasi.
Skor area pengelolaan aset informasi berada tingkat kematangan II atau pada
skor 80 (74%). Hasil penilaian ini memberikan informasi tentang kondisi teknologi
dan keamanan informasi sebagai berikut :
Penyebab rendahnya skor atau kematangan SMKI pada aspek teknolgi dan
keamanan informasi diantaranya adalah :
42
BAB V
PENUTUP
A. Kesimpulan
B. Saran
Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, CV
Nakula Sadewa dapat melakukan hal-hal berikut :
43
2. Menyempurnakan SOP di lingkungan CV Nakula Sadewa untuk mendukung peralihan
proses bisnis dari private network menjadi online, sekaligus untuk membiasakan
budaya pendokumentasian data dan informasi di CV Nakula Sadewa.
Saat ini, CV Nakula Sadewa memiliki tingkat kematangan keamanan informasi pada
tingkat I. Namun, untuk mendapatkan kesiapan sertifikasi ISO/SNI 27001, tingkat keamanan
yang direkomendasikan adalah berada pada tingkat III (Terdefinisi dan Konsisten). Adapun
hal-hal yang dapat direkomendasikan untuk dilakukan oleh CV Nakula Sadewa guna
meningkatkan tingkat kematangan informasinya adalah sebagai berikut :
1. Bagian I Peran dan Tingkat Kepentingan TIK (Tinggi) : Perlunya perencanaan pada
anggaran untuk keamanan informasi, guna meningkatkan hal-hal yang berkaitan
dengan operasional dan monitoring kegiatan keamanan informasi.
2. Bagian II Tata Kelola Keamanan Informasi (II → III) : Perlunya perencaan dan
pendokumentasian yang jelas kepada fungsi dan tanggungjawab pengelola keamanan
informasi, serta tindakan-tindakan pengembangan berkelanjutna terkait tata kelola
keamanan informasi.
3. Bagian III Pengelolaan Risiko Keamanan Informasi (I → III) : Pendokumentasian
rencana-rencana dan tindakan-tindakan dalam pengelolaan risiko keamanan informasi,
serta membuat kerangka kerja dalam pengelolaan risiko keamanan informasi.
4. Bagian IV Kerangka Kerja Pengelolaan Keamanan Informasi (I+ → III) : Perlunya
pendokumentasian secara jelas terhadap kerangka kerja keamanan informasi serta
melakukan uji coba dan monitoring kerangka kerja keamanan informasi yang
berkelanjutan.
5. Bagian V Pengelolaan Aset Keamanan Informasi (I+ → III) : Pendokumentasian aset
keamanan informasi, prosedur, dan kebijakan yang akan dilakukan untuk
mengamankan aset keamanan informasi, sekaligus memperjelas fungsi dan peran aset
keamanan informasi, yang dilengkapi evaluasi dan monitoring secara berkala.
6. Bagian VI Teknologi dan Keamanan Informasi (II → III) : Perlu adanya dokumentasi
yang jelas terkait kelengkapan, evaluasi dan efektivitas penggunaan teknologi, serta
monitoring yang dilakukan secara berkala guna mendapatkan informasi yang
menyeluruh tentang keamanan informasi pada perusahaan.
44
DAFTAR PUSTAKA
45
LAMPIRAN
46
47
48
49
50
51
52