ANALISIS KEMATANGAN SISTEM MANAJEMEN

KEAMANAN INFORMASI CV NAKULA SADEWA

MENGGUNAKAN INDEKS KEAMANAN INFORMASI

Disusun Oleh :

Muhammad Rasyid Al Faruqi 175150700111007

Azzahra Princessa Shekina Wijaya 175150700111018
Grezyta Novarizka Firlyantari 175150700111024

PROGRAM STUDI TEKNOLOGI INFORMASI

FAKULTAS ILMU KOMPUTER
UNIVERSITAS BRAWIJAYA
2018 / 2019
 Analisis Kematangan Sistem Manajemen Keamanan Informasi CV Nakula Sadewa
Menggunakan Indeks Keamanan Informasi

ABSTRAK
Penelitian ini bertujuan untuk mengetahui tingkat keamanan informasi CV Nakula Sadewa
yang mengacu kepada penerapan ISO/SNI 27001, yaitu persyaratan untuk menetapkan,
menerapkan, memelihara dan secara berkelanjutan memperbaiki Sistem Manajemen Kemanan
Informasi (SMKI) dalam konteks organisasi yang bersifat umum, terlepas dari jenis, ukuran atau
sifat organisasi. Analisis yang dilakukan meliputi 5 area yang didefinisikan dalam Indeks
Keamanan Informasi, yaitu, Tata Kelola Keamanan Informasi, Pengelolaan Risiko Keamanan
Informasi, Kerangka Kerja Pengelolaan Keamanan Informasi, Pengelolaan Aset Informasi, dan
Teknologi dan Keamanan Informasi.

CV Nakula Sadewa adalah produsen mesin antrian, aplikasi sekolah, rumah sakit, dan
perangkat teknologi informasi yang diperuntukkan oleh pelaku bisnis, pendidikan, dan kesehatan.
Sampai saat ini, CV Nakula Sadewa telah memiliki pengalaman selama 3 tahun sejak disahkannya
sebagai badan usaha pada 19 Januari 2015. Dalam melakukan penelitian ini, kami berkesempatan
untuk melakukan wawancara dengan direktur CV Nakula Sadewa. Wawancara dilakukan dengan
tanya jawab dan diskusi yang berlangsung selama 2 ½ jam di dalam ruangan kantor CV Nakula
Sadewa.

Hasil penelitian diperoleh bahwa CV Nakula Sadewa belum sepenuhnya menerapkan

Sistem Manajemen Keamanan Informasi (SMKI). Hal tersebut dikarenakan CV Nakula Sadewa
baru saja memulai untuk mengembangkan metode dalam mesin antrian yang sebelumnya bersifat
offline menjadi online sehingga direktur dari CV Nakula Sadewa berasumsi bahwa Sistem
Manajemen Keamanan Informasi belum sepenuhnya diperlukan. Meskipun demikian, CV Nakula
Sadewa memperoleh nilai yang cukup baik. Hal ini dapat dilihat dari hasil diagram pada Indeks
Keamanan Informasi yang menunjukkan CV Nakula Sadewa telah melampaui kerangka kerja
dasar.

i
 KATA PENGANTAR

Alhamdulillahirabbil’alamin. Segala puji syukur kami panjatkan kepada Allah SWT atas segala
limpahan rahmat dan karunia-Nya sehingga kami dapat menyelesaikan laporan penelitian berjudul
“Analisis Kematangan Sistem Manajemen Keamanan Informasi CV Nakula Sadewa
Menggunakan Indeks Keamanan Informasi”.

Kami menyadari bahwa laporan penelitian ini jauh dari sempurna dan tanpa
bantuan dari berbagai pihak tidak akan mungkin terselesaikan. Oleh karenanya kami
mengucapkan banyak terimakasih kepada :
1. Ibu Ari Kusyanti, S.T, M.Sc selaku Dosen pengampu Mata Kuliah Keamanan
Informasi yang telah membimbing kami selama satu semester.
2. Mas Yudha Prayogo A selaku Direktur CV Nakula Sadewa yang telah menjadi
narasumber kami dengan memberikan wawasan tentang perusahaan dan dengan
antusias menjawab pertanyaan-pertanyaan kami.
3. CV Nakula Sadewa sebagai objek studi kasus pada penelitian ini.

Dengan selesainya laporan penelitian ini, kami berharap kegiatan yang telah kami lalui
dapat menjadi ilmu yang bermanfaat, dan laporan penelitian ini dapat menambah wawasan bagi
kita semua.

Malang, 11 Desember 2018

Penulis

ii
 DAFTAR ISI

ABSTRAK ....................................................................................................................................... i
KATA PENGANTAR .................................................................................................................... ii
DAFTAR ISI.................................................................................................................................. iii
BAB I .............................................................................................................................................. 1
PENDAHULUAN .......................................................................................................................... 1
A. Latar Belakang ..................................................................................................................... 1
B. Rumusan Masalah ................................................................................................................ 3
C. Tujuan Penelitian ................................................................................................................. 3
D. Ruang Lingkup..................................................................................................................... 4
1. Ruang Lingkup Penelitian ................................................................................................ 4
2. Unit Analisis..................................................................................................................... 4
E. Manfaat Penelitian ............................................................................................................... 4
BAB II............................................................................................................................................. 5
LANDASAN TEORI ...................................................................................................................... 5
A. Pengertian Informasi ............................................................................................................ 5
B. Informasi Sebagai Aset ........................................................................................................ 5
C. Keamanan Informasi ............................................................................................................ 6
D. Ancaman Terhadap Keamanan Informasi ........................................................................... 7
E. Sasaran Pengendalian Keamanan Informasi ...................................................................... 10
F. Indeks Keamanan Informasi .............................................................................................. 13
BAB III ......................................................................................................................................... 16
METODE PENELITIAN.............................................................................................................. 16
A. Jenis Penelitian................................................................................................................... 16
B. Jenis dan Sumber Data ....................................................................................................... 16
C. Waktu dan Tempat Penelitian ............................................................................................ 16
D. Teknik Pengumpulan Data ................................................................................................. 16
E. Kuesioner Pengukuran Area Penelitian ............................................................................. 17
1. Peran TIK dalam Instansi ............................................................................................... 17
2. Area Keamanan Informasi ............................................................................................. 20
F. Metode Analisis Data ......................................................................................................... 22

iii
BAB IV ......................................................................................................................................... 29
ANALISIS HASIL DAN PEMBAHASAN ................................................................................. 29
A. Deskripsi Data Penelitian ................................................................................................... 29
B. Analisis Data ...................................................................................................................... 30
1. Tingkat kelengkapan penerapan SMKI .......................................................................... 30
2. Tingkat kematangan SMKI ............................................................................................ 31
C. Pembahasan........................................................................................................................ 34
1. Tingkat kelengkapan penerapan SMKI .......................................................................... 34
2. Tingkat kematangan SMKI ............................................................................................ 40
BAB V .......................................................................................................................................... 43
PENUTUP..................................................................................................................................... 43
A. Kesimpulan ........................................................................................................................ 43
B. Saran .................................................................................................................................. 43
DAFTAR PUSTAKA ................................................................................................................... 45
LAMPIRAN .................................................................................................................................. 46

iv
 BAB I
PENDAHULUAN

A. Latar Belakang

Informasi merupakan salah satu aset terpenting bagi kelangsungan hidup suatu
organisasi sehingga keberadaannya haruslah dijaga. Informasi dapat disajikan dalam
berbagai bentuk seperti teks, gambar, audi, atau video.

Manajemen keamanan informasi menjadi sangat penting di era Internet of Things

(IoT) ini, dimana teknologi memudahkan jalannya pertukaran informasi. Kemudahan ini
terlihat dengan pertumbuhan pengguna internet dari tahun ke tahun. Hal ini ditunjukkan
pada gambar 1.1 infografis pertumbuhan pengguna internet dari tahun 1998 hingga 2017
yang bersumber dari Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) di bawah ini.

Gambar 1.1 Infografis Pertumbuhan Pengguna Internet Indonesia 1998-2017

Sumber : http://www.apjii.or.id

Dengan semakin banyaknya pengguna teknologi informasi dan moda dalam

melakukan pertukaran informasi, ancaman terhadap pengelolaan informasi juga
meningkat. Dalam konteks organisasi atau perusahaan, ancaman tidak hanya dapat berasal

1
dari luar, namun juga dari dalam. Maka dari itu, organisasi atau perusahaan menjadi objek
penting yang perlu dilakukan pengawasan dalam melakukan pengelolaan informasi.

Meskipun Indonesia hingga kini masih memiliki status sebagai negara berkembang,
namun Indonesia memiliki tingkat pengguna yang tinggi dalam mengakses informasi.
Kondisi ini dicerminkan dengan posisi Indonesia sebagai pengguna internet terbesar ke-5
di dunia. Hal ini ditunjukkan pada gambar 1.2 statistik pengguna internet terbesar di dunia
pada akhir tahun 2017 yang bersumber dari International Telecommunications Union
(ITU) di bawah ini.

Gambar 1.2 Statistik Pengguna Internet Terbesar Di Dunia Desember 2017

Sumber : http://www.internetworldstats.com

Dari gambar 1.2 di atas didapatkan bahwa pada akhir tahun 2017 Indonesia
memiliki sebanyak 143.26 juta pengguna internet. Jumlah ini melebihi ½ dari jumlah

2
 penduduk Indonesia yang berjumlah 264 juta yang diantaranya merupakan lansia dan anak-
anak yang tidak mampu mengakses internet. Dengan melihat fakta tersebut, maka dapat
diperkirakan jika pertumbuhan organisasi atau perusahaan maupun ukm juga mengarah
kepada pemanfaatan teknologi informasi.

Namun tingkat pengguna teknologi informasi yang tinggi ini tidak bisa menjamin
adanya wawasan dan kesiapan untuk menjaga informasi tersebut dari ancaman yang bisa
saja datang, yaitu kesiapan dalam mengelola keamanan informasi. Dengan inisiatif dari
Kementrian Komunikasi dan Informatika Republik Indonesia (Kemkominfo),
disediakanlah alat bantu untuk mengevaluasi tingkat kemaanan informasi yang dapat
digunakan organisasi secara umum, sehingga dapat memenuhi standar Sistem Manajemen
Keamanan Informasi (SMKI) yang sudah ditetapkan oleh Badan Standardisasi Nasional
(BSN) yang dituangkan ke dalam ISO/SNI 27001.

Berdasarkan uraian di atas, kami tertarik untuk meneliti seberapa pentingnya

peranan keamanan informasi dalam organisasi atau perusahaan maupun ukm di Indonesia
yang memiliki infrastruktur teknologi informasi di dalamnya, dan tingkat kematangan
Sistem Manajemen Keamanan Informasi (SMKI) yang dimilikinya. Judul penelitian yang
kami ambil adalah “Analisis Kematangan Sistem Manajemen Keamanan Informasi CV
Nakula Sadewa Menggunakan Indeks Keamanan Informasi”.

B. Rumusan Masalah

Berdasarkan uraian pada latar belakang sebelumnya, kami membuat rumusan

masalah yang termuat dalam pertanyaan berikut :

Bagaimana tingkat kematangan Sistem Manajemen Keamanan Informasi (SMKI)

CV Nakula Sadewa diukur menggunakan Indeks Keamanan Informasi?

C. Tujuan Penelitian

Sesuai dengan rumusan masalah sebelumnya, penelitian ini bertujuan untuk

mengetahui tingkat kematangan Sistem Manajemen Keamanan Informasi (SMKI) CV
Nakula Sadewa yang diukur menggunakan Indeks Keamanan Informasi

3
D. Ruang Lingkup

1. Ruang Lingkup Penelitian

Ruang lingkup yang diteliti adalah berkaitan dengan pengelolaan Sistem

Informasi Manajamen (SIM) pada server-server dan Infrastruktur Teknologi Informasi
dan Komunikasi (TIK) CV Nakula Sadewa. Area-area yang diteliti untuk masing-masing
ruang lingkup adalah :

a. Tata Kelola Keamanan Informasi

b. Pengelolaan Risiko Keamanan Informasi

c. Kerangka Kerja Pengelolaan Keamanan Informasi

d. Pengelolaan Aset Informasi

e. Teknologi dan Keamanan Informasi

2. Unit Analisis

Unit analisis dalam penelitian ini adalah seluruh pegawai CV Nakula Sadewa.

E. Manfaat Penelitian

Penelitian ini akan memberikan manfaat yang diantaranya adalah :

1. Bagi Pimpinan, hasil penelitian ini dapat digunakan untuk bahan pertimbangan dalam
pengambilan keputusan yang akan diambil untuk memperbaiki atau meningkatkan
Manajemen Sistem Keamanan Informasi (SMKI).

2. Bagi Pegawai, hasil penelitian ini dapat digunakan untuk meningkatkan pemahaman
dan kepedulian tentang Manajamen Sistem Keamanan Informasi (SMKI).

3. Bagi Pembaca, hasil penelitian ini dapat menjadi referensi di kemudian hari untuk
melakukan penelitian lain yang berkaitan dengan Indeks Keamanan Informasi.

4. Bagi Peneliti, hasil penelitian ini dapat membantu dalam memperoleh nilai akademik
dan melancarkan proses studi kami.

4
 BAB II
LANDASAN TEORI

A. Pengertian Informasi

Secara etimologi, kata informasi berasal dari kata Perancis kuno informacion
(tahun1387) yang diambil dari Bahasa Latin informationem yang berarti “garis besar,
konsep, ide”. Informasi merupakan kata benda dari informare yang berarti aktivitas dalam
“pengetahuan yang dikomunikasikan. Menurut kamus besar bahasa Indonesia sendiri
informasi adalah penerangan atau pemberitahuan tentang sesuatu.

Sedangkan menurut para ahli, Informasi adalah data yang telah diolah menjadi
sebuah bentuk yang berarti bagi penerimanya dan bermanfaat bagi pengambilan keputusan
saat ini atau mendatang (Gordon B. Davis). Abdul Kadir mendefinisikan informasi sebagai
data yang telah diproses sedemikian rupa sehingga meningkatkan pengetahuan seseorang
yang menggunakan data tersebut.

Secara umum informasi dapat didefinisikan sebagai hasil dari pengolahan data
dalam suatu bentuk yang lebih berguna dan lebih berarti bagi penerimanya yang
menggambarkan suatu kejadian-kejadian yang nyata yang digunakan untuk pengambilan
keputusan.

B. Informasi Sebagai Aset

Informasi sebagai aset strategis adalah tahapan penerapan teknologi selanjutnya.

Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana
aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus
dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir
kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya
investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin
dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya: informasi yang
tersimpan dalam komputer (baik desktop komputer maupun mobile komputer), informasi
yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui
fax, tersimpan dalam disket, CD, DVD, flashdisk, atau media penyimpanan lain, informasi

5
 yang dilakukan dalam pembicaraan (termasuk percakapan melalui telepon), dikirim
melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film,
dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain
yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau
perusahaan.

C. Keamanan Informasi

Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman

agar menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan meningkatkan
return of investment (ROI) serta peluang bisnis (Chaeikar, etc., 2012). Dalam merancang
sistem keamanan sistem informasi terdapat aspek-aspek keamanan informasi yang perlu
di perhatikan. Aspek-aspek tersebut antara lain:

1. Confidentiality

Aspek yang menjamin kerahasiaan informasi atau data dan memastikan

informasi hanya dapat diakses oleh pihak yang berwenang.

2. Integrity

Aspek yang menjamin data tidak dapat dirubah tanpa ada ijin pihak yang
berwenang, menjaga kelengkapan informasi dan menjaga dari kerusakan atau
ancaman lain yang bisa menyebabkan perubahan pada informasi atau data asli.

3. Availability

Aspek yang menjamin bahwa data akan tersedia pada saat dibutuhkan dan
menjamin user dapat mengakses informasi tanpa adanya gangguan.

Menurut (Whitman & Mattord, 2011) informasi merupakan salah satu aset yang
penting untuk dilindungi keamanannya. Perusahaan perlu memperhatikan keamanan aset
informasinya, kebocoran informasi dan kegagalan pada sistem dapat mengakibatkan
kerugian baik pada sisi finansial maupunn produktifitas perusahaan. Contoh tinjauan
keamanan informasi sebagai berikut:

6
 Physical Security, strategi yang memfokuskan untuk mengamankan anggota
organisasi, aset fisik, akses tanpa otorisasi dan tempat kerja dari berbagai ancaman meliputi
bahaya kebakaran.

Personal Security, strategi yang lebih memfokuskan untuk melindungi orang-orang

dalam organisasi.

Operation Security, strategi untuk mengamankan kemampuan organisasi atau

perusahaan untuk bekerja tanpa gangguan ancaman.

Communications Security, strategi yang bertujuan untuk mengamankan media

informasi dan teknologi informasi.

Network Security, strategi yang memfokuskan pengamanan peralatan jaringan pada

data organisasi.

Keamanan informasi adalah menjaga informasi dari ancaman yang mungkin terjadi
dalam upaya menjamin kelangsungan bisnis, mengurangi tingkat risiko dan mempercepat
atau memaksimalkan pengambilan keputusan investasi serta peluang bisnis. Tingkat
keamanan pada informasi juga bergantung pada tingkat sensitifitas informasi
dalam database, informasi yang tidak terlalu sensitif sistem keamanannya tidak terlalu
ketat sedangkan untuk informasi yang sangat sensitif perlu pengaturan tingkat keamanan
yang ketat untuk akses ke informasi tersebut.

D. Ancaman Terhadap Keamanan Informasi

Dalam hal keamanan data, ancaman berarti orang yang berusaha memperoleh akses-
akses ilegal terhadap jaringan komputer yang dimiliki seolah-seolah ia memiliki otoritas
terhadap akses ke jaringan komputer. Dalam hal ini ada beberapa aspek ancaman terhadap
keamanan data dalam Internet, yaitu:

1. Interruption, merupakan ancaman terhadap availability, yaitu: data

dan informasi yang berada dalam sistem komputer dirusak atau dibuang,
sehingga menjadi tidak ada dan tidak berguna.

7
 2. Interception, merupakan ancaman terhadap secrey, yaitu: orang yang tidak
berhak berhasil mendapatkan akses informasi dari dalam sistem komputer,
contohnya dengan menyadap data yang melalui jaringan public (wiretapping)
atau menyalin secara tidak sah file atau program.

3. Modification, merupakan ancaman terhadap integritas, yaitu: orang yang tidak

berhak tidak hanya berhasil mendapatkan akses informasi dari dalam sistem
komputer, melainkan juga dapat melakukan perubahan terhadap informasi.

4. Fabrication, merupakan ancaman terhadap integritas, yaitu orang yang tidak

berhak meniru atau memalsukan suatu objek ke dalam system.

Berikut ini beberapa contoh ancaman keamanan informasi non-fisik, yakni:

1. Denial of Service (DoS) : serangan yang bertujuan untuk menggagalkan

pelayanan sistem jaringan kepada pengguna-nya yang sah, misalnya pada
sebuah situs e-commerce layanan pemesanan barang selalu gagal, atau user
sama sekali tidak bisa login, daftar barang tidak muncul atau sudah diacak, dsb.
Bentuk serangan yang lebih parah disebut DDoS (Distributed Denial of
Service) dimana berbagai bentuk serangan secara simultan bekerja
menggagalkan fungsi jaringan.

2. Back Door : suatu serangan (biasanya bersumber dari suatu software yang baru
di instal) yang dengan sengaja membuka suatu “pintu belakang” bagi
pengunjung tertentu, tanpa disadari oleh orang yang meng-instal software,
sehingga mereka dengan mudah masuk kedalam sistem jaringan.

3. Spoofing : suatu usaha dari orang yang tidak berhak misalnya dengan
memalsukan identitas, untuk masuk ke suatu sistem jaringan, seakan-akan dia
adalah user yang berhak.

4. Man in the Middle : seorang penyerang yang menempatkan dirinya diantara dua
orang yang sedang berkomunikasi melalui jaringan, sehingga semua informasi
dari sua arah melewati, disadap, dan bila perlu diubah oleh penyerang tersebut
tanpa diketahui oleh orang yang sedang berkomunikasi.

8
5. Replay : informasi yang sedang didistribusikan dalam jaringan dicegat oleh
penyerang, setelah disadap ataupun diubah maka informasi ini disalurkan
kembali ke dalam jaringan, seakan-akan masih berasal dari sumber asli.

6. Session Hijacking : sessi TCP yang sedang berlangsung antara dua mesin dalam
jaringan diambil alih oleh hacker, untuk dirusak atau diubah.

7. DNS Poisoning : hacker merubah atau merusak isi DNS sehingga semua akses
yang memakai DNS ini akan disalurkan ke alamat yang salah atau alamat yang
dituju tidak bisa diakses.

8. Social Engineering : serangan hacker terhadap user yang memanfaatkan sisi

kelemahan dari manusia misalnya dengan cara merekayasa perasaan user
sehingga pada akhirnya user bersedia mengirim informasi kepada hacker untuk
selanjutnya digunakan dalam merusak sistem jaringan.

9. Password Guessing : suatu usaha untuk menebak password sehingga pada

akhirnya hacker ini bisa menggunakan password tersebut.

10. Brute Force : suatu usaha untuk memecahkan kode password melalui software
yang menggunakan berbagai teknik kombinasi.

11. Software Exploitation : suatu usaha penyerangan yang memanfaatkan

kelemahan atau “bug” dari suatu software, biasanya setelah kebobolan barulah
pembuat software menyediakan “hot fix” atau “Service pack” untuk mengatasi
bug tersebut.

12. War Dialing : pelacakan nomer telepon yang bisa koneksi ke suatu modem
sehingga memungkinkan penyerang untuk masuk kedalam jaringan.

13. SYN flood : serangan yang memanfaatkan proses “hand-shaking” dalam

komunikasi melalui protokol TCP/IP, sehingga ada kemungkinan dua mesin
yang berkomunikasi akan putus hubungan.

14. Smurfing : suatu serangan yang dapat menyebabkan suatu mesin menerima
banyak sekali “echo” dengan cara mengirimkan permintaan echo pada alamat
“broadcast” dari jaringan.

9
 15. Ping of Death : suatu usaha untuk mematikan suatu host/komputer dengan cara
mengirim paket besar melalui ping.

16. Port Scanning : usaha pelacakan port yang terbuka pada suatu sistem jaringan
sehingga dapat dimanfaatkan oleh hacker untuk melakukan serangan.

17. Unicode : serangan terhadap situs web melalui perintah yang disertakan dalam
url http.

18. SQL Injection : serangan yang memanfaatkan karakter khusus seperti ‘ dan ‘ or
“ yang memiliki arti khusus pada SQL server sehingga login dan password bisa
dilewati.

19. XSS : cross site scripting, serangan melalui port 80 (url http) yang
memanfaatkan kelemahan aplikasi pada situs web sehingga isi-nya bisa diubah
(deface).

20. E-mail Trojans : serangan virus melalui attachment pada e-mail.

Selain itu, terdapat juga ancaman secara fisik, yaitu:

1. Arus Listrik : Arus listrik yang melebihi batas, mati secara mendadak, maupun
terputus dapat mengakibatkan terganggunya operasional seperti kerusakan
komponen computer, input data, dll

2. Bencana : Bencana seperti banjir, gempa, atau kebakaran yang melanda

bangunan tempat system berada dapat merusak asset informasi dan berpotensi
menyebabkan kerugian yang besar.

3. Pencurian : Dapat terjadi melalui orang dalam maupun luar jika pengaman
lemah. Kerugian yang ditimbulkan dapat besar tergantung jenis aset yang
dicuri.

E. Sasaran Pengendalian Keamanan Informasi

Sasaran pengendalian keamanan informasi berdasarkan standar ISO/SNI 27001

meliputi 11 (sebelas) sasaran pengendalian yaitu :

10
1. Pengendalian umum

Sasaran pengedalian umum keamanan informasi digunakan sebagai pedoman dalam

rangka melindungi aset informasi dari berbagai bentuk ancaman baik dari dalam maupun
dari luar. Pengamanan dan perlindungan ini diberikan untuk menjamin kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan (availability) aset informasi agar
selalu terjaga dan terpelihara dengan baik. Sasaran pengendalian ini meliputi pengelolaan
pengamanan seluruh aset informasi CV Nakula Sadewa serta pihak ketiga yang
melakukan kerja sama.

2. Pengendalian organisasi keamanan informasi

Sasaran pengedalian organisasi keamanan informasi bertujuan untuk memberikan

pedoman dalam membentuk organisasi fungsional keamanan informasi yang
bertanggung jawab mengelola keamanan informasi dan perangkatnya termasuk
hubungan dengan pihak luar. Sasaran pengendalian ini meliputi manajer yang
bertanggungjawab atas pengelolaan data dan informasi yang dimiliki CV Nakula
Sadewa.

3. Pengendalian pengelolaan aset

Sasaran pengedalian pengelolaan aset bertujuan memberikan pedoman dalam

mengelola aset informasi untuk melindungi dan menjamin keamanan aset informasi.
Sasaran pengendalian ini meliputi tanggung jawab setiap pegawai CV Nakula Sadewa
terhadap aset informasi perusahaan.

4. Pengendalian keamanan sumber daya manusia

Sasaran pengedalian keamanan sumber daya manusia bertujuan memastikan bahwa

seluruh pegawai dan pihak ketiga memahami tanggung jawabnya masing-masing, sadar
atas ancaman keamanan informasi, serta mengetahui proses terkait keamanan informasi
sebelum, selama, dan setelah bertugas. Sasaran pengendalian ini meliputi peran dan
tanggung jawab seluruh pegawai dan pihak ketiga. Peran dan tanggung jawab pegawai
juga mengacu pada peraturan perundang-undangan lainnya yang berlaku.

11
5. Pengendalian keamanan fisik dan lingkungan

Sasaran pengedalian keamanan fisik dan lingkungan bertujuan untuk mencegah akses
fisik oleh pihak yang tidak berwenang, menghindari terjadinya kerusakan pada perangkat
pengolah informasi serta gangguan pada aktivitas organisasi. Sasaran pengendalian ini
meliputi pengamanan area dan pengamanan perangkat seperti; perimeter keamanan fisik,
perlindungan terhadap ancaman eksternal dan lingkungan, penempatan peralatan, sarana
pendukung, keamanan kabel, pemeliharaan, keamanan peralatan di luar kantor,
pemindahan barang dan penghapusan atau penggunaan kembali peralatan secara aman.

6. Pengendalian pengelolaan komunikasi dan operasi

Sasaran pengendalian manajemen komunikasi dan operasi bertujuan untuk

memastikan operasional yang aman dan benar pada perangkat pengolah informasi,
mengimplementasikan dan memelihara keamanan informasi, mengelola layanan yang
diberikan pihak ketiga, meminimalkan risiko kegagalan, melindungi keutuhan dan
ketersediaan informasi dan perangkat lunak, memastikan keamanan pertukaran informasi
dan pemantauan terhadap proses operasional.

7. Pengendalian akses

Sasaran pengedalian akses kontrol bertujuan memastikan otorisasi akses pengguna

dan mencegah akses pihak yang tidak berwenang terhadap aset informasi khususnya
perangkat pengolah informasi. Sasaran pengendalian ini meliputi persyaratan untuk
pengendalian akses, pengelolaan akses pengguna, tanggung jawab pengguna,
pengendalian akses jaringan, pengendalian akses ke sistem operasi, pengendalian akses
ke aplikasi dan sistem informasi, mobile computing dan teleworking.

8. Pengendalian pengadaan, pengembangan dan pemeliharaan sistem informasi

Sasaran pengedalian pengadaan/akuisisi, pengembangan dan pemeliharaan sistem

informasi bertujuan untuk memastikan bahwa keamanan informasi merupakan bagian
yang terintegrasi dengan sistem informasi, mencegah terjadinya kesalahan, kehilangan,
serta modifikasi oleh pihak yang tidak berwenang. Sasaran pengendalian ini meliputi
pengolahan informasi pada aplikasi, pengendalian penggunaan kriptografi, keamanan

12
 file sistem (system files), keamanan dalam proses pengembangan dan pendukung
(support proceses) dan pengelolaan kerentanan teknis.

9. Pengendalian pengelolaan gangguan keamanan informasi

Sasaran pengedalian insiden keamanan informasi bertujuan untuk memastikan

kejadian dan kelemahan keamanan informasi yang terhubung dengan sistem informasi
dikomunikasikan untuk dilakukan perbaikan, serta dilakukan pendekatan yang konsisten
dan efektif agar dapat dihindari atau tidak terulang kembali. Sasaran pengendalian ini
meliputi pelaporan kejadian dan kelemahan keamanan informasi dan pengelolaan
gangguan keamanan informasi dan perbaikannya.

10. Pengendalian pengelolaan kelangsungan kegiatan

Sasaran pengedalian manajemen kelangsungan usaha bertujuan untuk melindungi

sistem informasi, memastikan berlangsungnya kegiatan dan layanan pada saat keadaan
darurat, serta memastikan pemulihan yang tepat. Sasaran pengendalian ini meliputi
proses pengelolaan kelangsungan kegiatan, penilaian risiko dan analisis dampak bisnis
(business impact analysis/BIA), penyusunan dan penerapan rencana kelangsungan
kegiatan (business continuity) dan pengujian, pemeliharaan, dan pengkajian ulang
rencana kelangsungan kegiatan.

11. Pengendalian kepatuhan

Sasaran pengedalian kepatuhan bertujuan untuk menghindari pelanggaran terhadap

peraturan perundangan terkait keamanan informasi. Sasaran pengendalian ini meliputi
kepatuhan terhadap peraturan perundangan keamanan informasi, kepatuhan teknis dan
audit sistem informasi.

F. Indeks Keamanan Informasi

Indeks KAMI adalah alat evaluasi untuk menganalisis tingkat kesiapan pengamanan
informasi di instansi pemerintah. Meskipun demikian, Indeks KAMI dapat digunakan
untuk menganalisis tingkat kelengkapan dan kematangan keamanan informasi di instansi
umum, dengan catatan sebagai tujuan pembelajaran seperti yang dilakukan dalam
penelitian ini. Alat evaluasi ini tidak ditujukan untuk menganalisis kelayakan atau

13
efektivitas bentuk pengamanan yang ada, melainkan sebagai perangkat untuk memberikan
gambaran kondisi kesiapan (kelengkapan dan kematangan) kerangka kerja keamanan
informasi kepada pimpinan Instansi. Evaluasi dilakukan terhadap berbagai area yang
menjadi target penerapan keamanan informasi dengan ruang lingkup pembahasan yang
juga memenuhi semua aspek keamanan yang didefinisikan oleh standar ISO/SNI 27001.
Hasil evaluasi indeks KAMI menggambarkan tingkat kematangan, tingkat kelengkapan
penerapan ISO/SNI 27001 dan peta area tata kelola keamanan sistem informasi.

Penilaian dalam Indeks KAMI dilakukan dengan cakupan keseluruhan persyaratan

pengamanan yang tercantum dalam standar ISO/SNI 27001, yang disusun kembali menjadi
5 (lima) area di bawah ini:

1. Tata Kelola Keamanan Informasi – Bagian ini mengevaluasi kesiapan bentuk tata
kelola keamanan informasi beserta Instansi/fungsi, tugas dan tanggung jawab
pengelola keamanan informasi.

2. Pengelolaan Risiko Keamanan Informasi – Bagian ini mengevaluasi kesiapan

penerapan pengelolaan risiko keamanan informasi sebagai dasar penerapan strategi
keamanan informasi.

3. Kerangka Kerja Keamanan Informasi – Bagian ini mengevaluasi kelengkapan dan

kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasi
dan strategi penerapannya.

4. Pengelolaan Aset Informasi – Bagian ini mengevaluasi kelengkapan pengamanan

terhadap aset informasi, termasuk keseluruhan siklus penggunaan aset tersebut; dan

5. Teknologi dan Keamanan Informasi – Bagian ini mengevaluasi kelengkapan,

konsistensi dan efektivitas penggunaan teknologi dalam pengamanan aset informasi.

Data hasil evaluasi pada area-area tersebut akan memberikan snapshot indeks kesiapan
dari aspek kelengkapan maupun kematangan kerangka kerja keamanan informasi yang
diterapkan dan dapat digunakan sebagai pembanding dalam rangka menyusun langkah
perbaikan dan penetapan prioritasnya.

14
 Definisi tingkat kematangan yang digunakan untuk mengevaluasi kelengkapan dan
mengidentifikasi tingkat kematangan penerapan pengamanan berdasarkan petunjuk
penggunaanIndeks KAMI adalah:

a. Tingkat I

Pada tingkat I mengidentifikasikan bahwa kesiapan atau kematangan sistem

manajemen keamanan informasi pada kondisi awal, seperti mulai adanya pemahaman
mengenai perlunya pengelolaan keamanan informasi.

b. Tingkat II

Pada tingkat II mengidentifikasikan bahwa kesiapan atau kematangan sistem

manajemen keamanan informasi pada kondisi penerapan kerangka kerja dasar (aktif).
Pengamanan sudah diterapkan walaupun sebagian besar masih di area teknis dan belum
adanya keterkaitan langkah pengamanan untuk mendapatkan strategi yang efektif.

c. Tingkat III

Pada tingkat III mengidentifikasikan bahwa kesiapan atau kematangan sistem

manajemen keamanan informasi pada kondisi terdefinisi dan konsisten (proaktif).
Bentuk pengamanan yang baku sudah diterapkan secara konsisten dan terdokumentasi
secara resmi.

d. Tingkat IV

Pada tingkat IV mengidentifikasikan bahwa kesiapan atau kematangan sistem

manajemen keamanan informasi pada kondisiterkelola dan terukur (terkendali).
Pengamanan diterapkan secara efektif sesuai dengan strategi manajemen risiko.

e. Tingkat V

Pada tingkat V mengidentifikasikan bahwa kesiapan atau kematangan sistem

manajemen keamanan informasi pada kondisi optimal. Pengamanan menyeluruh
diterapkan secara berkelanjutan dan efektif melalui program pengelolaan risiko yang
terstruktur.

15
 BAB III
METODE PENELITIAN

A. Jenis Penelitian

Penelitian ini merupakan jenis penelitian analisis deskriptif kuantitif, dimana peneliti
melakukan analisis dengan mendeskripsikan tingkat kematangan SMKI dari CV Nakula
Sadewa berdasarkan nilai yang dihasilkan oleh Indeks KAMI. Deskripsi yang dilakukan
berdasarkan pada panduan dalam penggunaan Indeks KAMI.

B. Jenis dan Sumber Data

Jenis data yang digunakan adalah data kuantitatif yang diperoleh dari data primer yang
langsung dikumpulkan dari narasumber. Data primer tersebut dikumpulkan dari direktur
CV Nakula Sadewa menggunakan metode survei dan wawancara.

C. Waktu dan Tempat Penelitian

Waktu pengamatan dan pengumpulan data berlangsung selama dua hari, yaitu pada
tanggal 14 November 2018 dan pada tanggal 22 November 2018 yang keduanya bertempat
di kantor CV Nakula Sadewa yang terletak di Jl. Candi Waringin No.1, Mojolangu, Kec.
Lowokwaru, Kota Malang, Jawa Timur.

D. Teknik Pengumpulan Data

Pengumpulan data dilakukan dengan cara melakukan studi kepustakaan, focus group
discussion (FGD), survei (kuesioner), dan observasi.

Studi kepustakaan digunakan untuk mengumpulkan data terutama terkait dengan teori
dan konsep aspek-aspek atau area-area yang akan diteliti. Selain itu, studi kepustakaan
juga dilakukan guna mendapatkan data tentang kendala-kendala yang akan diteliti.

Peneliti juga menggunakan metode focus group discussion (FGD) bersama

narasumber. Focus group discussion adalah diskusi kelompok yang terarah pada masalah
yang diangkat peneliti (Hermansyah, 2009). FGD ini bertujuan untuk memperoleh
pemahaman lebih mendalam terkait SMKI yang diterapkan pada CV Nakula Sadewa.

16
 Selain itu, peneliti menggunakan kuesioner untuk mengumpulkan data-data terkait
kesiapan CV Nakula Sadewa dalam menerapkan SMKI. Kuesioner yang akan digunakan
peneliti adalah Indeks Keamanan Informasi (Indeks KAMI) versi 2.2 dari Kementerian
Komunikasi dan Informatika. Dimana area-area evaluasi/penelitian berdasarkan Indeks
KAMI adalah :

1. Peran TIK di dalam Instansi

2. Tata Kelola Keamanan Informasi

3. Pengelolaan Risiko Keamanan Informasi

4. Kerangka Kerja Keamanan Informasi

5. Pengelolaan Aset Informasi, dan

6. Teknologi dan Keamanan Informasi

Responden adalah direktur dari CV Nakula Sadewa itu sendiri yang mengetahui
mengenai tiap-tiap aspek yang dievaluasi.

Untuk mengkonfirmasi seluruh respon yang diberikan oleh responden pada saat
pengisian kuesioner, peneliti juga melakukan wawancara langsung dengan responden
(observasi). Selain untuk tujuan konfirmasi dan klarifikasi, observasi juga dilakukan untuk
mengumpulkan informasi yang diperlukan seperti personel yang terlibat dalam keamanan
informasi dalam perusahaan.

E. Kuesioner Pengukuran Area Penelitian

Kuesioner yang digunakan untuk mengukur tingkat kematangan SMKI adalah Indeks
KAMI versi 2.2 yang terdiri dari:

1. Peran TIK dalam Instansi

Pada Bagian I kuesioner, responden diminta untuk mendefinisikan Peran TIK

(Tingkat Kepentingan TIK) di unit masing-masing. Selain itu, responden juga diminta
untuk mendeskripsikan infrastruktur TIK yang ada dalam satuan kerjanya secara
singkat.

17
 Tujuan dari proses ini adalah untuk mengelompokkan Peran TIK di tiap unit mulai
dari “Minim”, “Rendah”, “Sedang”, “Tinggi”, hingga “Kritis”. Adapun definisi dari
Peran TIK tersebut adalah:

a. “MINIM”, apabila penggunaan TIK tidak signifikan dan tidak berpengaruh

proses kerja yang berjalan. Untuk tujuan analisis, peran ini tidak digunakan.

b. “RENDAH”, apabila TIK sudah digunakan untuk mendukung proses kerja,

namun belum pada tingkat yang signifikan.

c. “SEDANG”, apabila TIK sudah digunakan dalam mendukung proses kerja

yang berjalan, namun tingkat ketergantungannya masih terbatas.

d. “TINGGI”, TIK sudah menjadi bagian yang tidak terpisahkan dari proses kerja
yang berjalan.

e. “KRITIS”, TIK merupakan satu-satunya cara untuk menjalankan proses kerja

yang bersifat strategis atau berskala nasional.

Peran TIK dievaluasi melalui 12 pertanyaan dalam Kuesioner Bagian I, dengan bahasan:

a. Total anggaran tahunan yang dialokasikan untuk TIK

b. Jumlah staf atau pengguna dalam instansi yang menggunakan infrastruktur TIK

c. Tingkat ketergantungan terhadap layanan TIK untuk menjalankan tugas pokok

dan fungsi

d. Nilai kekayaan intelektual yang dimiliki dan dihasilkan

e. Dampak dari kegagalan sistem TIK utama

f. Tingkat ketergantungan ketersediaan sistem TIK untuk menghubungkan lokasi

kerja

g. Dampak dari kegagalan sistem TIK terhadap kinerja instansi pemerintah

lainnya atau terhadap ketersediaan sistem pemerintah berskala nasional

h. Tingkat sensitifitas pengguna sistem TIK

18
 i. Tingkat kepatuhan terhadap UU dan perangkat hukum lainnya

j. Potensi kerugian atau dampak negatif dari insiden ditembusnya keamanan

informasi sistem TIK

k. Tingkat ketergantungan terhadap pihak ketiga dalam

menjalankan/mengoperasikan sistem TIK

l. Tingkat klasifikasi/kekritisan sistem TIK relatif terhadap ancaman upaya

penyerangan atau penerobosan keamanan informasi.

Berikut adalah ilustrasi Kuesioner bagian 1 :

Gambar 3.1 Ilustrasi Kuesioner Bagian I

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan
Publik, 2011

Berdasarkan total skor yang diberikan responden atas seluruh pertanyaan dalam
Kuesioner Bagian I ini, Peran TIK dalam suatu unit dapat didefinisikan sebagai berikut:

Gambar 3.2 Definisi Skor Peran TIK

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011

19
2. Area Keamanan Informasi

Kuesioner Bagian II s.d. Bagian VI berisikan sejumlah pertanyaaan terkait area

keamanan informasi, yaitu:

a. Bagian II : Tata Kelola Keamanan Informasi;

b. Bagian III : Pengelolaan Risiko Keamanan Informasi;

c. Bagian IV : Kerangka Kerja Pengelolaan Keamanan Informasi;

d. Bagian V : Pengelolaan Aset Informasi; dan

e. Bagian VI : Teknologi dan Keamanan Informasi

Seluruh pertanyaan yang ada di tiap area keamanan informasi di kelompokkan ke dalam
tiga kategori pengamanan, dengan ketentuan:

a. Kategori 1 : Pertanyaan yang terkait dengan kerangka kerja dasar keamanan

informasi

b. Kategori 2 : Pertanyaan yang terkait dengan efektivitas dan konsistensi penerapan

keamanan informasi

c. Kategori 3 : Pertanyaan yang merujuk pada kemampuan untuk selalu meningkatkan

kinerja keamanan informasi

Adapun status penerapan (respon) yang dapat dipilih responden untuk menjawab
seluruh pertanyaan di setiap bagian didefinisikan sebagai berikut:

a. Tidak Dilakukan;

b. Dalam Perencanaan;

c. Dalam Penerapan atau Diterapkan Sebagian; atau

d. Diterapkan secara Menyeluruh

Berikut adalah matriks hubungan antara status penerapan, kategori pengamanan dan
skoring-nya :

20
 Gambar 3.3 Matrik Status Penerapan dan Kategori Pengamanan

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

Setiap jawaban akan diberikan skor yang nilainya disesuaikan dengan kategori
pengamanan yang terkait, dengan ketentuan:

a. Tahapan awal nilainya akan lebih rendah dibandingkan tahapan berikutnya

b. Status penerapan yang sudah berjalan secara menyeluruh memiliki nilai yang lebih
tinggi dibandingkan bentuk penerapan yang lebih rendah.

c. Skor untuk kategori pengamanan pada tahap awal akan lebih rendah dari kategori
tahap yang lebih tinggi.

d. Untuk keseluruhan area pengamanan, pengisian pertanyaan dengan kategori "3"

akan diproses lebih lanjut, apabila semua pertanyaan terkait dengan kategori "1"
dan "2" sudah diisi dengan status minimal "Diterapkan Sebagian".

Berikut adalah ilustrasi Kuesioner Bagian II – Bagian VI dengan penjelasan atas

unsur-unsur di dalamnya :

Gambar 3.4 Ilustrasi Kuesioner Bagian II – Bagian IV

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

21
 Keterangan :

1. Tingkat Kematangan

2. Kategori Pengamanan

3. Daftar Pertanyaan

4. Status Penerapan

5. Skor

Berikut adalah jumlah pertanyaan terkait Tingkat Kematangan Keamanan Informasi :

Gambar 3.5 Jumlah Pertanyaan Terkait Tingkat Kematangan Keamanan Informasi

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

F. Metode Analisis Data

Metode analisis data merujuk pada penggunaan Indeks KAMI lampiran Panduan
Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik (2011).
Hasil penjumlahan skor untuk masing-masing area disajikan dalam dua instrumen, yaitu:

1. Tabel nilai masing-masing area

Tabel ini berisikan total skor untuk tiap area yang dievaluasi :

22
 Gambar 3.6 Skor Area Evaluasi

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011

2. Diagram Radar dengan lima sumbu sesuai area pengamanan

Diagram ini dimaksudkan untuk menggambarkan hubungan antara kepatuhan terhadap

standar ISO 27001/SNI, Proses Penerapan, Kerangka Kerja Dasar, dan skor dari masing-
masing area.

Gambar 3.7 Diagram Radar Hasil Penilaian SMKI

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011
Sementara itu, tingkat kematangan keamanan informasi terdiri atas lima tingkatan,
yaitu:

a. Tingkat I – Kondisi Awal

b. Tingkat II – Penerapan Kerangka Kerja Dasar

c. Tingkat III – Terdefinisi dan Konsisten

d. Tingkat IV – Terkelola dan Terukur

e. Tingkat V – Optimal

23
Penentuan tingkat kematangan dilakukan dengan menerapkan prinsip:

1. Pencapaian Tingkat Kematangan (TK) dilakukan sesuai dengan kelengkapan dan

(konsistensi + efektivitas) penerapannya.

2. Tingkat Kematangan yang lebih tinggi mensyaratkan kelengkapan, konsistensi dan

efektivitas pengamanan di level bawahnya

a. Pencapaian suatu Tingkat Kematangan II dan III hanya dapat dilakukan apabila
sebagian besar di Tingkat Kematangan sebelumnya [x-1] sudah “Diterapkan Secara
Menyeluruh”.

b. Khusus untuk pencapaian Tingkat Kematangan IV dan Tingkat Kematangan V

mengharuskan seluruh bentuk pengamanan di tingkat-tingkat sebelumnya sudah
“Diterapkan Secara Menyeluruh.” Hal ini memberikan efek kesulitan yang lebih
tinggi untuk mencapai 2 (dua) tingkatan terakhir tingkat kematangan. Detail
perhitungan ambang batas pencapaian Tingkat Kematangan I-V diuraikan di bagian
lain dalam dokumen ini.

3. Untuk membantu memberikan uraian yang lebih detail, tingkatan ini ditambah dengan
tingkatan antara - I+, II+, III+, dan IV+, sehingga total terdapat 9 tingkatan kematangan.
Sebagai awal, semua responden akan diberikan kategori kematangan Tingkat I.

Tabel 3.8 Tabel Tingkat Kematangan

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

4. Sebagai padanan terhadap standar ISO/SNI 2700:2005, Tingkat Kematangan yang

diharapkan untuk ambang batas minimum kesiapan sertifikasi adalah Tingkat III+.
24
 Ambang batas pencapaian TK tertentu dapat didefinisikan sebagaimana ditunjukkan
pada gambar berikut :

Gambar 3.9 Ambang Batas Pencapaian Tingkat Kematangan

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

Penentuan ambang batas pencapaian suatu tingkat kematangan ditentukan berdasarkan

perumusan di bawah ini (TKx = Tingkat Kematangan x):

1. Tingkat Kematangan I : Tidak ada ambang batas minimum – diasumsikan semua

responden diberikan status ini pada saat dimulainya evaluasi.

2. Tingkat Kematangan I+: Mencapai minimal

a. Empat bentuk pengamanan TKII-Tahap 1 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

b. Sisa jumlah pengamanan TKII-Tahap 1 yang ada dengan status “Sedang

Direncanakan”.

3. Tingkat Kematangan II: Mencapai minimal

a. Seluruh bentuk pengamanan TKII-Tahap 1 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

b. Seluruh bentuk pengamanan TKII-Tahap 2 dengan status “Dalam

Penerapan/Diterapkan Sebagian”.

25
4. Tingkat Kematangan II+: Mencapai minimal

a. Prasyarat Dasar TKII+, yaitu mencapai nilai total bentuk pengamanan Tingkat
Kematangan II > (80% dari nilai seluruh bentuk pengamanan TKII-Tahap 1 & 2
dengan status “Diterapkan Secara Menyeluruh”); dan

b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara

Menyeluruh”; dan

c. Dua bentuk pengamanan TKIII-Tahap 2 dengan status “Sedang Direncanakan”;

dan

d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status “Sedang Direncanakan.”

f. Sisa jumlah pengamanan TKIII-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian.”

5. Tingkat Kematangan III: Mencapai minimal

a. Prasyarat Dasar TKII+; dan

b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara

Menyeluruh”; dan

c. Dua bentuk pengamanan TKIII-Tahap 2 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Diterapkan

Secara Menyeluruh”; dan

e. Dua bentuk pengamanan TKIII-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian.”

26
6. Tingkat Kematangan III+: Mencapai minimal

a. Prasyarat Dasar TKIII+ yaitu mencapai nilai total lebih dari:

b. Seluruh bentuk pengamanan TKIII-Tahap 1 dengan status “Diterapkan Secara

Menyeluruh”; dan

c. Satu bentuk pengamanan TKIII-Tahap 2 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

d. Sisa jumlah pengamanan TKIII-Tahap 2 yang ada dengan status “Diterapkan

Secara Menyeluruh”; dan

e. Satu bentuk pengamanan TKIII-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

f. Sisa jumlah pengamanan TKIII-Tahap 3 dengan status “Diterapkan Secara

Menyeluruh.”

g. Dua bentuk pengamanan TKIV-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian”; dan

h. Sisa jumlah pengamanan TKIV-Tahap 3 yang ada dengan status “Dalam

Perencanaan.”

7. Tingkat Kematangan IV: Mencapai minimal

a. Prasyarat Dasar TKIII+; dan

b. Seluruh bentuk pengamanan TKIV-Tahap 3 dengan status “Diterapkan Secara

Menyeluruh”.

8. Tingkat Kematangan IV+: Mencapai minimal

a. Mencapai Tingkat Kematangan IV; dan

b. Satu bentuk pengamanan TKV-Tahap 3 dengan status “Dalam

Penerapan/Diterapkan Sebagian”.

27
9. Tingkat Kematangan V: Mencapai minimal

a. Mencapai Tingkat Kematangan IV; dan

b. Seluruh bentuk pengamanan TKV-Tahap 3 dengan status “Diterapkan Secara

Menyeluruh.”

Selanjutnya, untuk menentukan tingkat kesiapan unit dalam menerapkan SMKI diukur
menggunakan tabel berikut sebagai acuan :

Gambar 3.10 Matriks Peran TIK dan Status Kesiapan

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik,
2011

Berdasarkan tabel di atas, total skor dari kuesioner akan dibandingkan dengan level
peran TIK di unit yang dievaluasi guna menentukan status kesiapan unit tersebut dalam
menerapkan SMKI.

Pada laporan/dashboard, status ini dilaporkan dalam bentuk diagram batang berikut
dengan ketentuan bahwa status “tidak layak” akan menempati area berwarna merah, status
“perlu perbaikan” akan menempati area berwarna kuning, sedangkan area hijau untuk
status “Baik/Cukup”.

Gambar 3.11 Dashboard Kelengkapan Penerapan SMKI

Sumber : Panduan Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik, 2011

28
 BAB IV
ANALISIS HASIL DAN PEMBAHASAN

A. Deskripsi Data Penelitian

Data penelitian yang dikumpulkan dari responden mencakup 5 area evaluasi keamanan
informasi. Tahap-tahap pengumpulan data menggunakan kuesioner Indeks KAMI adalah :

1. Pemberitahuan pelaksanaan wawancara dan pengajuan izin kepada CV Nakula

Sadewa

Pemberitahuan pelaksanaan wawancara dan pengajuan izin kepada calon

responden melalui surat resmi untuk izin observasi Fakultas Ilmu Komputer
Universitas Brawijaya tertanggal 14 November 2018. Dalam pengajuan izin juga
dilakukan penyampaian pertanyaan-pertanyaan apa saja yang akan ditanyakan pada
saat wawancara dan memberikan contoh print-out dari tabel indeks KAMI.

2. Pengisian kuesioner Indeks KAMI dengan metode wawancara

Pengisian kuesioner dilakukan oleh peneliti dengan mempertimbangkan jawaban

pertanyaan yang diberikan oleh responden. Pertanyaan yang diberikan adalah
pertanyaan-pertanyaan yang dapat merepresentasikan poin pertanyaan yang ada dalam
kuesioner Indeks KAMI. Wawancara berlangsung selama kurang lebih 2 ½ jam hingga
seluruh poin pertanyaan dalam kuesioner selesai terjawab. Rekapitulasi hasil pengisian
kuesioner Indeks KAMI tampak pada tabel 4.1 berikut :
Tabel 4.1 Rekapitulasi Hasil Kuesioner Indeks KAMI
Area Total Nilai
Peran dan Tingkat Kepentingan TIK dalam Instansi 18
Tata Kelola Keamanan Informasi 80
Pengelolaan Risiko Keamanan Informasi 20
Kerangka Kerja Pengelolaan Keamanan Informasi 33
Pengelolaan Aset Informasi 52
Teknologi dan Keamanan Informasi 80
Sumber : Hasil Olah Data Peneliti

29
B. Analisis Data

1. Tingkat kelengkapan penerapan SMKI

Berdasarkan hasil pengumpulan data penelitian, dapat dilakukan analisis tingkat

kelengkapan penerapan SMKI CV Nakula Sadewa dalam bentuk diagram batang
sebagai berikut :

Gambar 4.1 Tingkat Kelengkapan Penerapan SMKI CV Nakula Sadewa

Sumber : Hasil Olah Data Peneliti

Berdasarkan informasi pada Gambar 4.1 dapat disimpulkan bahwa :

a. Peran/Tingkat Kepentingan TIK di CV Nakula Sadewa berada pada tingkat

Sedang (Skor : 18).
b. Tingkat kelengkapan penerapan SMKI CV Nakula Sadewa berada pada tingkat
“Perlu Perbaikan”, yaitu area berwarna kuning dengan total skor 265 dimana
Peran TIK adalah bernilai 18, yang merupakan jumlah dari seluruh skor di setiap
area Keamanan Informasi yang dievaluasi.

Tingkat kelengkapan penerapan SMKI juga dapat dilihat dari diagram radar berikut :

Gambar 4.2 Diagram Radar Tingkat Kelengkapan Penerapan SMKI CV Nakula Sadewa

Sumber : Hasil Olah Data Peneliti

30
 Pada diagram radar di atas, diagram berwarna merah muda merupakan kondisi
SMKI CV Nakula Sadewa berdasarkan hasil pengisian kuesioner oleh peneliti. Dari
diagram tersebut dapat disimpulkan bahwa :

a. CV Nakula Sadewa memiliki Tata Kelola Keamanan Informasi yang jauh

lebih baik dibandingkan area keamanan lainnya (paling mendekati standar yang
ditetapkan dalam ISO 27001/SNI).
b. Area Teknologi Keamanan Informasi telah berhasil memenuhi Proses
Penerapan.

c. Area Pengelolaan Risiko Keamanan Informasi, Kerangka Kerja

Pengelolaan Keamanan Informasi, serta area Pengelolaan Aset Informasi
telah memenuhi setidaknya Kerangka Kerja Dasar.

2. Tingkat kematangan SMKI

Analisis tingkat kematangan CV Nakula Sadewa tinjukkan pada diagram batang

berikut :

Gambar 4.3 Tingkat Kematangan SMKI CV Nakula Sadewa

Sumber : Hasil Olah Data Peneliti

Tabel 4.2 Olah Skor Setiap Area Indeks KAMI CV Nakula Sadewa

Tata Manajemen Kerangka Pengelolaan Teknologi

Keterangan
Kelola Risiko Kerja Aset
Skor Maksimal 114 69 144 153 108

31
 Skor Responden 80 20 33 52 80
Presentase 70% 29% 23% 34% 74%
Sumber : Hasil Olah Data Peneliti

Berdasarkan gambar diagram batang 4.3 dan tabel olah skor 4.2 di atas,
tingkat kematangan SMKI CV Nakula Sadewa pada masing-masing area adalah :

a. Tata Kelola Keamanan Informasi

1) Tata kelola keamanan informasi memiliki skor 80 atau 70%, dengan
rincian :
a) Total skor sebesar 32 mewakili tingkat kematangan II;
b) Total skor sebesar 12 mewakili tingkat kematangan III;
c) Total skor sebesar 36 mewakili tingkat kematangan IV; dan
d) Ambang batas tingkat kematangan III 33,6.
2) Skor tingkat kematangan II (32) melebihi nilai minimal untuk kategori
kematangan II pada area ini (12), dan juga melebihi nilai minimal
untuk pencapaian kematangan II (28). Namun, nilai skor pada tingkat
II (32) tidak melebihi nilai ambang batas untuk dapat melanjutkan ke
tingkat kematangan III (33,6) sehingga pengujian atas tingkat III dan
seterusnya tidak dapat dilanjutkan. Dengan demikian, tingkat
kematangan akhir yang didapatkan pada area ini sesuai pedoman
adalah II.
b. Pengelolaan Risiko Keamanan Informasi
1) Skor aspek pengolaan risiko keamanan informasi adalah 20 atau 70%,
dengan rincian :
a) Total skor sebesar 8 mewakili tingkat kematangan II; dan
b) Total skor sebesar 12 mewakili tingkat kematangan IV.
2) Karena skor tingkat kematangan II (8) tidak melebihi skor minimal
untuk kategori kematangan II (13), maka pengujian atas tingkat II dan
seterusnya tidak dapat dilanjutkan. Dengan demikian, sesuai pedoman
tingkat kematangan pada area ini digolongkan pada tingkat
kematangan I.

32
c. Kerangka Kerja Pengelolaan Keamanan Informasi
1) Skor aspek kerangka kerja pengelolaan keamanan informasi adalah
sebesar 33 atau 23%, dengan rincian :
a) Total skor sebesar 15 mewakili tingkat kematangan II; dan
b) Total skor sebesar 18 mewakili tingkat kematangan III.
2) Skor tingkat kematangan II (15) melebihi nilai minimal untuk kategori
kematangan II pada area ini (12), namun skor ini tidak melebihi nilai
minimal untuk pencapaian kategori kematangan II (24). Karena itu,
pengujian atas tingkat II dan seterusnya tidak dapat dilanjutkan.
Sehingga, tingkat kematangan akhir yang didapatkan pada area ini
sesuai pedoman adalah I+.
d. Pengelolaan Aset Informasi
1) Skor pengelolaan aset informasi yaitu sebesar 52 atau 34%, dengan
rincian :
a) Total skor sebesar 48 mewakili tingkat kematangan II; dan
b) Total skor sebesar 4 mewakili tingkat kematangan III.
2) Skor tingkat kematangan II (48) melebihi nilai minimal untuk kategori
kematangan II pada area ini (25), namun skor ini tidak melebihi nilai
minimal untuk pencapaian kategori kematangan II area ini (62).
Karena itu, pengujian atas tingkat II dan seterusnya tidak dapat
dilanjutkan. Sehingga, tingkat kematangan akhir yang didapatkan pada
area ini sesuai pedoman adalah I+.
e. Teknologi dan Keamanan Informasi
1) Skor aspek teknologi keamanan informasi adalah sebesar 80 atau 74%,
dengan rincian sebagai berikut :
a) Total skor sebesar 30 mewakili tingkat kematangan II;
b) Total skor sebesar 44 mewakili tingkat kematangan III;
c) Total skor sebesar 6 mewakili tingkat kematangan IV; dan
d) Ambang batas tingkat kematangan III 31,2.
2) Skor tingkat kematangan II (30) melebihi nilai minimal untuk kategori
kematangan II pada area ini (17), dan juga melebihi nilai minimal

33
 untuk pencapaian kematangan II (26). Namun, nilai skor pada tingkat
II (30) tidak melebihi nilai ambang batas untuk dapat melanjutkan ke
tingkat kematangan III (31,2) sehingga pengujian atas tingkat III dan
seterusnya tidak dapat dilanjutkan. Dengan demikian, tingkat
kematangan akhir yang didapatkan pada area ini sesuai pedoman
adalah II.

C. Pembahasan

1. Tingkat kelengkapan penerapan SMKI

Tingkat kelengkapan SMKI CV Nakula Sadewa berdasarkan hasil pengumpulan data

kuesioner Indeks KAMI menunjukkan pada area kuning pada diagram batang gambar
4.1. Pencapaian ini memberikan petunjuk bahwa SMKI yang ada memerlukan perbaikan
pada sejumlah aspek.

Prioritas perbaikan aspek-aspek tersebut berdasarkan gambar diagram radar 4.2

adalah Pengelolaan Risiko Keamanan Informasi, Kerangka Kerja Pengelolaan Keamanan
Informasi, Pengelolaan Aset Informasi, dan Teknologi Keamanan Informasi.

a. Pengelolaan Risiko Keamanan Informasi

Skor Pengelolaan Risiko dengan nilai 20 dari nilai maksimal area ini sebesar
69 (29%). Penyebab rendahnya skor Pengelolaan Risiko ini dapat dicermati pada
tabel berikut :
Tabel 4.3 Skor Kelengkapan Area Pengelolaan Risiko Keamanan Informasi
Kategori Pengamanan
Status Penerapan total %
1 2 3
Tidak Dilakukan 5 2 0 7 47%
Dalam Perencanaan 0 0 0 0 0%
Dalam Penerapan/Diterapkan Sebagian 4 0 1 5 33%
Diterapkan Secara Menyeluruh 0 2 1 3 20%
Total 9 4 2 15 100%
Sumber : Hasil Olah Data Peneliti

34
 Dari 15 pertanyaan pada area ini, 7 pertanyaan diantaranya (47%) memiliki status
“Tidak Dilakukan”.
Sementara itu, dari tingkat kematangan (Tingkat II s.d V), hasil “Tidak dilakukan”
didapatkan sebanyak 5 dari 9 pertanyaan pada tingkat kematangan II (56%), dan 2 dari
2 pertanyaan pada tingkat kematangan III (100%). Hasil “Dalam Penerapan/Diterapkan
Sebagian” didapatkan sebanyak 4 dari 9 pertanyaan pada tingkat kematangan II (44%),
dan 1 dari 2 pertanyaan pada tingkat kematangan V (50%). Sisa hasil yaitu “Diterapkan
Secara Menyeluruh” pada tingkat kematangan IV dan V.

Tabel 4.4 Skor Kematangan Area Pengelolaan Risiko Keamanan Informasi

Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 5 2 0 0 7
Dalam Perencanaan 0 0 0 0 0
Dalam Penerapan/Diterapkan Sebagian 4 0 0 1 5
Diterapkan Secara Menyeluruh 0 0 2 1 3
Total 9 2 2 2 15
Sumber : Hasil Olah Data Peneliti

Untuk memperbaiki tingkat kelengkapan penerapan SMKI di area ini, CV Nakula

Sadewa perlu melakukan perbaikan dengan mengkaji secara berkala untuk
mengidentifikasi berbagai macam risiko yang dapat selalu berubah-ubah, serta
membuat kerangka kerja pengelolaan risiko untuk memastikan adanya pengelolaan
risiko keamanan informasi dalam perusahaan.

b. Kerangka Kerja Pengelolaan Keamanan Informasi

Skor Kerangka Kerja Pengelolaan Keamanan Informasi didapatkan dengan

hasil nilai 33 dari nilai maksimal area ini sebesar 144 (23%). Hal ini disebabkan
oleh beberapa hal diantaranya :

35
 Tabel 4.5 Skor Kelengkapan Area Kerangka Kerja
Kategori Pengamanan
Status Penerapan total %
1 2 3
Tidak Dilakukan 7 4 1 12 46%
Dalam Perencanaan 1 0 3 4 15%
Dalam Penerapan/Diterapkan Sebagian 1 0 0 1 4%
Diterapkan Secara Menyeluruh 2 4 3 9 35%
Total 11 8 7 26 100%
Sumber : Hasil Olah Data Peneliti

Dari 26 pertanyaan pada area ini, 12 pertanyaan diantaranya (46%) memiliki status
“Tidak Dilakukan”.
Pada tingkat kematangan, hasil “Tidak dilakukan” didapatkan sebanyak 5 dari 9
pertanyaan pada tingkat kematangan II (56%), dan 6 dari 11 pertanyaan pada tingkat
kematangan III (55%). Hasil “Dalam Perencanaan” didapatkan sebanyak 1 dari 9
pertanyaan pada tingkat kematangan II (11%), 1 dari 3 pertanyaan pada tingkat
kematangan IV (33%), dan 2 dari 2 pertanyaan pada tingkat kematangan V (100%).
Sisa hasil yaitu “Dalam Penerapan/Diterapkan Sebagian” pada tingkat kematangan I,
dan “Diterapkan Secara Menyeluruh” pada tingkat kematangan III, IV dan V.
Tabel 4.6 Skor Kematangan Area Kerangka Kerja
Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 5 6 1 0 12
Dalam Perencanaan 1 0 1 2 4
Dalam Penerapan/Diterapkan Sebagian 1 0 0 0 1
Diterapkan Secara Menyeluruh 0 3 5 1 9
Total 7 9 7 3 26
Sumber : Hasil Olah Data Peneliti

Untuk memperbaiki tingkat kelengkapan penerapan SMKI di area kerangka kerja

pengelolaan keamanan informasi, CV Nakula Sadewa perlu sekiranya untuk
melaksanakan program audit internal yang belum ada dilakukan. Program audit

36
tersebut adalah audit yang dilakukan secara independen dengan cakupan keseluruhan
aset informasi, kebijakan, dan prosedur keamanan.

c. Pengelolaan Aset Informasi

Skor pada area ini didapatkan dengan hasil nilai 52 dari nilai maksimal
sebesar 153 (34%). Hal ini disebabkan oleh beberapa hal diantaranya :
Tabel 4.7 Skor Kelengkapan Area Pengelolaan Aset Informasi
Kategori Pengamanan
Status Penerapan total %
1 2 3
Tidak Dilakukan 2 8 2 12 35%
Dalam Perencanaan 1 0 0 1 3%
Dalam Penerapan/Diterapkan Sebagian 7 1 0 8 24%
Diterapkan Secara Menyeluruh 11 2 0 13 38%
Total 21 11 2 34 100%
Sumber : Hasil Olah Data Peneliti
Dari 34 pertanyaan pada area ini, 12 pertanyaan diantaranya (35%) memiliki status
“Tidak Dilakukan”.
Sementara pada tingkat kematangan, hasil “Tidak dilakukan” didapatkan sebanyak
7 dari 28 pertanyaan pada tingkat kematangan II (25%), dan 5 dari 8 pertanyaan pada
tingkat kematangan III (62%). Sisa hasil yaitu “Dalam Perencanaan” pada tingkat
kematangan II, “Dalam Penerapana/Diterapkan Sebagian” pada tingkat kematangan II
dan III, dan “Diterapkan Secara Menyeluruh” pada tingkat kematangan II dan III.
Tabel 4.8 Skor Kematangan Area Pengelolaan Aset Informasi
Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 7 5 0 0 12
Dalam Perencanaan 1 0 0 0 1
Dalam Penerapan/Diterapkan Sebagian 7 1 0 0 8
Diterapkan Secara Menyeluruh 11 2 0 0 13
Total 26 8 0 0 34
Sumber : Hasil Olah Data Peneliti

37
 Untuk memperbaiki tingkat kelengkapan penerapan SMKI di area ini, CV Nakula
Sadewa perlu untuk melakukan perbaikan dengan melakukan hal-hal berikut :

1. Menetapkan kebijakan terhadap pelanggaran terkait Security Clearance;

2. Menetapkan waktu penyimpanan untuk klasifikasi data yang ada dan syarat
penghancuran data;
3. Menetapkan prosedur penyidikan/investigasi untuk menyelesaikan insiden
terkait kegagalan keamanan informasi dan pelaporannya;
4. Menetapkan prosedur kajian penggunaan akses (user access review) dan
langkah pembenahan apabila terjadi ketidak sesuaian (non-conformity)
terhadap kebijakan yang berlaku;
5. Menyusun daftar data/informasi yang harus di-backup dan laporan analisa
kepatuhan terhadap prosedur backup-nya;
6. Menyusun daftar rekaman pelaksanaan keamanan informasi dan bentuk
pengamanan yang sesuai dengan klasifikasinya;
7. Menyediakan prosedur penggunaan perangkat pengolah informasi milik
pihak ketiga (termasuk perangkat milik pribadi dan mitra kerja/vendor); tus Pe
8. Menetapkan peraturan untuk mengamankan lokasi kerja penting (ruang
server, ruang arsip) dari risiko perangkat atau bahan yang dapat
membahayakan aset informasi.
d. Teknologi dan Keamanan Informasi
Skor Teknologi dan Keamanan Informasi memiliki nilai 80 dari nilai
maksimal area ini sebesar 108 (74%). Rincian skor yaitu sebagai berikut :
Tabel 4.9 Skor Kelengkapan Area Teknologi dan Keamanan Informasi
Kategori Pengamanan
Status Penerapan total %
1 2 3
Tidak Dilakukan 1 2 0 3 12%
Dalam Perencanaan 1 0 0 1 4%
Dalam Penerapan/Diterapkan Sebagian 4 2 1 7 30%
Diterapkan Secara Menyeluruh 7 6 0 13 54%
Total 13 10 1 24 100%
Sumber : Hasil Olah Data Peneliti

38
 Dari 24 pertanyaan pada area ini, 12% diantaranya memiliki status “Tidak
Dilakukan”. Sementara dari tingkat kematangan, “Diterapkan Secara Menyeluruh”
menempati tingkat kematangan II dengan 7 dari 13 pertanyaan (53%), tingkat
kematangan III dengan 6 dari 10 pertanyaan (60%), dan sisanya “Dalam
Penerapan/Diterapkan Sebagian” pada tingkat kematangan II, III, dan IV, dan 1 pada
tingkat kematangan II “Dalam Perencanaan”.
Tabel 4.10 Skor Kematangan Area Teknologi dan Keamanan Informasi
Kategori Pengamanan
Status Penerapan total
II III IV V
Tidak Dilakukan 1 2 0 0 3
Dalam Perencanaan 1 0 0 0 1
Dalam Penerapan/Diterapkan Sebagian 4 2 1 0 7
Diterapkan Secara Menyeluruh 7 6 0 0 13
Total 13 10 1 0 24
Sumber : Hasil Olah Data Peneliti

Tingkat kelengkapan penerapan SMKI pada area ini sudah cukup bagus, namun
untuk dapat memenuhi kepatuhan ISO 27001/SNI masihlah belum cukup. Untuk
memperbaiki hal tersebut, CV Nakula Sadewa dapat melakukan perbaikan di-
antaranya:

1. Menganalisis semua log secara berkala untuk memastikan akurasi, validitas, dan
kelengkapan isinya untuk kepentingan jejak audit dan forensik;
2. Menerapkan teknologi enkripsi yang terstandarisasi untuk melindungi aset
informasi internal maupun eksternal;
3. Menerapkan pengamanan untuk mengelola kunci enkripsi yang digunakan;
4. Menyediakan laporan penyerangan virus yang gagal/sukses ditindaklanjuti dan
diselesaikan; dan
5. Melibatkan pihak independen untuk mengkaji kehandalan keamanan informasi
secara rutin.

39
2. Tingkat kematangan SMKI

Tingkat kematangan SMKI CV Nakula Sadewa berdasarkan hasil pengumpulan data

menggunakan kuesioner Indeks KAMI adalah I, dengan tingkat kematangan tiap-tiap
area keamanan informasi sebagai berikut :
a. Tata Kelola Keamanan Informasi
Skor pada aspek Tata Kelola Keamanan Informasi adalah sebesar 80 (70%) atau
pada tingkat kematangan II. Hasil penilaian ini memberikan informasi tentang
kondisi tata kelola keamanan informasi sebagai berikut :
1) Tata kelola yang ada belum mencakup seluruh bagian dalam perusahaan.
2) Masih banyak kelemahan dalam tata kelola keamanan.
3) Terdapat pemahaman mengenai perlunya pengelolaan keamanan informasi.
4) Penerapan langkah pengamanan bersifat cukup sistematis dan teratur.
5) Kelemahan teknis dan non-teknis belum teridentifikasi dengan baik.
6) Terdapat bagian yang bertanggung jawab dalam mengendalikan keamanan
informasi.
b. Pengelolaan Risiko Keamanan Informasi
Tingkat kematangan pada area ini adalah I atau skor 20 (29%). Hasil tersebut
memberikan informasi tentang kondisi pengelolaan risiko keamanan informasi
sebagai berikut :

1) Pengelolaan risiko yang ada belum mencakup keseluruhan risiko

keamanan informasi.
2) Kelemahan dalam manajemen pengamanan masih banyak ditemukan
dan tidak dapat diselesaikan dengan tuntas oleh pelaksana maupun
pimpinan sehingga menyebabkan dampak yang dapat saja signifikan.
3) Manajemen pengamanan belum mendapatkan prioritas dan tidak
berjalan secara konsisten.
4) Pihak yang terlibat kemungkinan besar masih belum memahami
tanggung jawabnya.

Penyebab rendahnya skor atau kematangan SMKI pada aspek ini adalah
kurangnya sosialisasi atau peningkatan pemahaman tentang keamanan informasi,

40
 dan juga pengelolaan risiko keamanan informasi yang ada belum berstandarkan
Standar Manajemen Keamanan Informasi yang ditetapkan pada ISO/SNI 27001.

c. Kerangka Kerja Pengelolaan Keamanan Informasi

Skor aspek kerangka kerja pengelolaan keamanan informasi berada pada skor
33 (23%) atau tingkat kematangan I+. Hasil penilaian ini memberikan informasi
tentang kondisi kerangka kerja pengelolaan keamana informasi sebagai berikut :

1) Kesadaran dan pemahaman pegawai/pejabat perusahaan tentang

pengelolaan keamanan informasi yang masih rendah.
2) Penerapan langkah pengamanan yang masih bersifat reaktif, tidak
teratur, dan tanpa alur komunikasi serta kewenangan yang jelas.
3) Kelemahan teknis dan non-teknis tidak teridentifikasi dengan baik.

Penyebab rendahnya skor atau kematangan SMKI pada aspek kerangka kerja
pengelolaan keamanan informasi diantaranya adalah :

1) Kurangnya sosialisasi dan publikasi tentang keamanan informasi.

2) Belum adanya prosedur atau petunjuk teknis terkait keamanan informasi
yang diterapkan dalam lingkungan CV Nakula Sadewa.
3) Belum adanya dokumen resmi terkait strategi dan program pengelolaan
keamanan informasi.

4) Belum dilakukannya audit internal terkait keamanan informasi.

d. Pengelolaan Aset Informasi

Skor area pengelolaan aset informasi berada pada skor 52 (34%) atau tingkat
kematangan I+. Hasil penilaian ini memberikan informasi tentang kondisi
pengelolaan aset informasi sebagai berikut :

1) Rendahnya kesadaran atau pemahaman tentang pentingnya pengelolaan

aset informasi.
2) Pengelolaan aset informasi hanya masih diterapkan dalam area teknis.

41
 3) Pengelolaan aset informasi yang diterapkan masih bergantung kepada
pengetahuan dan motivasi tiap individu.

Penyebab rendahnya skor atau kematangan SMKI pada aspek ini adalah
kurangnya sosialisasi tentang keamana informasi, dan belum adanya pedoman atau
petunjuk teknis pengelolaan aset informasi.

e. Teknologi dan Keamanan Informasi

Skor area pengelolaan aset informasi berada tingkat kematangan II atau pada
skor 80 (74%). Hasil penilaian ini memberikan informasi tentang kondisi teknologi
dan keamanan informasi sebagai berikut :

1) Kesadaran atau pemahaman pentingnya teknologi dan keamanan

informasi masih cukup rendah.
2) Teknologi dan keamanan informasi sudah diterapkan walaupun
sebagian besar hanya mencakup area teknis dan belum adanya langkah
pengamanan untuk menghasilkan strategi pengamanan yang efektif.
3) Dokumentasi pengelolaan aset informasi belum menyeluruh.
4) Kelemahan teknis dan non-teknis belum teridentifikasi dengan baik.
5) Pengelolaan teknologi dan keamanan informasi yang diterapkan
bergantung kepada pengetahuan setiap individu.

Penyebab rendahnya skor atau kematangan SMKI pada aspek teknolgi dan
keamanan informasi diantaranya adalah :

1) Kurangnya sosialisasi atau publikasi untuk meningkatkan pemahaman

tentang keamanan informasi.
2) Belum terdapat standar baku untuk pengamanan sistem bagi semua aset.
3) Belum terdapat pedoman atau petunjuk teknis pengelolaan teknologi
dan keamanan informasi.

42
 BAB V
PENUTUP

A. Kesimpulan

Berdasarkan hasil penelitian yang dilakukan, CV Nakula Sadewa memiliki tingkat

kematangan keamanan informasi pada tingkat I (Kondisi Awal). Hal ini belum memenuhi
standar sertifikasi ISO/SNI 27001 yang berada pada tingkat III (Terdefinisi dan Konsisten).
Dengan demikian, dapat disimpulkan bahwa tingkat kelengkapan dan kematangan SMKI CV
Nakula Sadewa masih cukup rendah. Meskipun tingkat kelengkapan dan tingkat kematangan
pada area Tata Kelola sudah cukup bagus, namun keempat area evaluasi lainnya masih
memerlukan perhatian yang cukup banyak. Namun hal ini dapat dimaklumi, karena konsep
SMKI adalah konsep yang relatif baru dikenal di Indonesia, khususnya di lingkungan
perusahaan kecil menengah. Kondisi ini menyebabkan rendahnya tingkat pengetahuan dari
pimpinan dan pegawai CV Nakula Sadewa tentang pentingnya SMKI. Pendapat tersebut
disimpulkan dari belum tersedianya kebijakan/peraturan yang mendukung penerapan SMKI di
setiap area pengamanan yang dievaluasi. Hingga saat ini, proses bisnis CV Nakula Sadewa
masih menggunakan private network, sehingga keamanan informasi secara eksternal belum
dipandang sebagai prioritas yang harus didahulukan. Penjagaan keamanan data dan informasi
masih belum dapat diterapkan secara optimal dan menyeluruh karena CV Nakula Sadewa baru
saja memulai transisi untuk menggunakan sistem online.

B. Saran

Untuk menjawab sejumlah tantangan yang harus dihadapi terkait penerapan SMKI ini, CV
Nakula Sadewa dapat melakukan hal-hal berikut :

1. Mengadakan program untuk meningkatkan tingkat kesadaran pejabat dan pegawai

tentang arti penting SMKI, baik dari sisi aturan maupun penerapannya. Program
tersebut dapat berbentuk sosialisasi, internalisasi, workshop, ataupun seminar dan
pelatihan yang memberikan pengetahuan tentang keamanan informasi, khususnya
standar kelengkapan dan kematangan yang ada pada ISO 27001/SNI.

43
 2. Menyempurnakan SOP di lingkungan CV Nakula Sadewa untuk mendukung peralihan
proses bisnis dari private network menjadi online, sekaligus untuk membiasakan
budaya pendokumentasian data dan informasi di CV Nakula Sadewa.

Saat ini, CV Nakula Sadewa memiliki tingkat kematangan keamanan informasi pada
tingkat I. Namun, untuk mendapatkan kesiapan sertifikasi ISO/SNI 27001, tingkat keamanan
yang direkomendasikan adalah berada pada tingkat III (Terdefinisi dan Konsisten). Adapun
hal-hal yang dapat direkomendasikan untuk dilakukan oleh CV Nakula Sadewa guna
meningkatkan tingkat kematangan informasinya adalah sebagai berikut :

1. Bagian I Peran dan Tingkat Kepentingan TIK (Tinggi) : Perlunya perencanaan pada
anggaran untuk keamanan informasi, guna meningkatkan hal-hal yang berkaitan
dengan operasional dan monitoring kegiatan keamanan informasi.
2. Bagian II Tata Kelola Keamanan Informasi (II → III) : Perlunya perencaan dan
pendokumentasian yang jelas kepada fungsi dan tanggungjawab pengelola keamanan
informasi, serta tindakan-tindakan pengembangan berkelanjutna terkait tata kelola
keamanan informasi.
3. Bagian III Pengelolaan Risiko Keamanan Informasi (I → III) : Pendokumentasian
rencana-rencana dan tindakan-tindakan dalam pengelolaan risiko keamanan informasi,
serta membuat kerangka kerja dalam pengelolaan risiko keamanan informasi.
4. Bagian IV Kerangka Kerja Pengelolaan Keamanan Informasi (I+ → III) : Perlunya
pendokumentasian secara jelas terhadap kerangka kerja keamanan informasi serta
melakukan uji coba dan monitoring kerangka kerja keamanan informasi yang
berkelanjutan.
5. Bagian V Pengelolaan Aset Keamanan Informasi (I+ → III) : Pendokumentasian aset
keamanan informasi, prosedur, dan kebijakan yang akan dilakukan untuk
mengamankan aset keamanan informasi, sekaligus memperjelas fungsi dan peran aset
keamanan informasi, yang dilengkapi evaluasi dan monitoring secara berkala.
6. Bagian VI Teknologi dan Keamanan Informasi (II → III) : Perlu adanya dokumentasi
yang jelas terkait kelengkapan, evaluasi dan efektivitas penggunaan teknologi, serta
monitoring yang dilakukan secara berkala guna mendapatkan informasi yang
menyeluruh tentang keamanan informasi pada perusahaan.

44
 DAFTAR PUSTAKA

Direktorat Keamanan Informasi, Kementerian Komunikasi dan Informatika. 2011. Panduan

Penerapan Tata Kelola Keamanan Informasi bagi Penyelenggara Pelayanan Publik. Jakarta

Kementrian Keuangan Republik Indonesia. 2013. Analisis Kematangan Manajemen Keamana

Informasi Badan Pendidikan dan Pelatihan Keuangan Diukur Menggunakan Indeks Keamanan
Informasi. Jakarta

Informasi. Diakses dari https://id.wikipedia.org/wiki/Informasi pada tanggal 11 Desember 2018.

Informasi Sebagai Aset. Diakses dari https://konsultanisoindonesia.co.id/informasi-sebagai-aset-

iso-270012013-information-security-management-system/ pada tanggal 11 Desember 2018.

Data Sebagai Aset Strategis Perusahaan. Diakses dari https://dailysocial.id/post/data-sebagai-aset-

strategis-perusahaan pada tanggal 11 Desember 2018.

Ancamana Keamanan Data dan Jenis-Jenis Gangguan/Ancaman. Diakses dari

https://dobelklikk.wordpress.com/2010/11/19/ancaman-keamanan-data-dan-jenis-jenis-
gangguanancaman/ pada tanggal 11 Desember 2018.

45
LAMPIRAN

46
47
48
49
50
51
52