Kajian Kesiapan Keamanan Informasi Insta 672e52c2 PDF
Kajian Kesiapan Keamanan Informasi Insta 672e52c2 PDF
Abstract
This study aims to observe the readiness of Implementation Information Security Governance either in government
agencies or regional ministerial level for the implementation of e-government. The analysis in this study was done by
mapping the information security aspects of Indonesian e-Government Ranking index (index PeGI). The results of this
study had concluded that using a framework of information security aspects index that is mapped to the Indonesian
e-Govenment Ranking index is helpful to see the readiness of government information security.
Abstrak
Kajian ini bertujuan untuk melihat tentang kesiapan penerapan Tata Kelola Keamanan Informasi pada instansi Pemerintah
baik tingkat kementerian atau daerah dalam rangka implementasi e-government. Analisis dalam kajian ini dilakukan
dengan memetakan aspek keamanan informasi terhadap indeks Pemeringkatan e-Government Indonesia. Hasil dari studi
ini menyimpulkan bahwa dengan menggunakan kerangka kerja aspek pada indeks keamanan informasi yang dipetakan
terhadap indeks Pemeringkatan e-Government Indonesia sangat membantu untuk melihat kondisi kesiapan keamanan
informasi pada instansi pemerintah.
Kata Kunci: Tata Kelola Keamanan Informasi, Kesiapan, Indeks KAMI, Indeks PeGI
109
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
110
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
111
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
yang merugikan instansi sampai pada tingkatan fisik dan teknis yang banyak digunakan
yang bisa diterima oleh instansi. Keamanan di dunia. Standar haruslah sesuai dengan
informasi mencakup semua jenis informasi, lingkungan TIK yang umum.
baik fisik dan elektronik. Pada implementasi Standar keamanan informasi harus
sehari-hari dalam instansi, keamanan informasi khusus dan spesifik sehingga dapat diterapkan
melindungi semua aset informasi terhadap ke semua bidang keamanan informasi.
resiko kehilangan, pemutusan operasional, Organisasi Internasional untuk Standarisasi
salah pemakaian, pemakai yang tidak berhak telah mengembangkan sejumlah standar
ataupun kerusakan informasi. tentang Information Security Management
Tata Kelola Keamanan Informasi dalam Systems (ISMS) atau Sistem Manajemen
sebuah korporasi atau organisasi apapun di Keamanan Informasi (SMKI) baik dalam
aplikasikan dalam wujud sebuah sistem, yaitu bentuk persyaratan maupun panduan. Standar
ISMS (information security management ISMS yang paling terkenal adalah ISO/IEC
system) atau Sistem Manajemen Keamanan 27001 dan ISO/IEC 27002 serta standar-
Informasi. Konsep utama ISMS untuk standar terkait yang diterbitkan bersama oleh
suatu organisasi adalah untuk merancang, ISO dan IEC. Information Security Forum juga
menerapkan, dan memelihara suatu rangkaian menerbitkan suatu ISMS lain yang disebut
terpadu proses dan sistem untuk secara efektif Standard of Good Practice (SOGP) yang
mengelola keamanan informasi dan menjamin lebih berdasarkan praktik dari pengalaman
kerahasiaan, integritas, serta ketersediaan mereka. Kerangka Manajemen Teknologi
aset-aset informasi serta meminimalkan risiko Informasi (TI) lain seperti COBIT dan ITIL
keamanan informasi. juga menyentuh masalah-masalah keamanan
Komponen Kebijakan keamanan walaupun lebih terarah pada kerangka Tata
informasi yang tercakup dalam tata kelola Kelola secara umum. Dari standar seri ISO
keamanan informasi adalah arahan startegis 27000 hingga September 2011, standar ISO/
dalam pelaksanaan manajemen risiko IEC 27001: 2005 telah diadopsi Badan
keamanan informasi pada sebuah organisasi. Standarisasi Nasional (BSN) sebagai Standar
Kebijakan berisi kerangka kerja untuk Nasional Indonesia (SNI) berbahasa Indonesia
membuat keputusan spesifik, seperti rencana bernomor SNI ISO/IEC 27001: 2009. Pada
keamanan fisik dan administratif. Strategi struktur keseluruhan proses SMKI diterapkan
keamanan informasi akan menentukan arah model PLAN-DO-CHECK-ACT (PDCA).
semua kegiatan keamanan informasi. Dengan Dalam sebuah pelayanan publik yang
adanya peraturan dan strategi maka akan diselenggarakan oleh pemerintah, TIK
mempertegas serta memperjelas cara untuk merupakan sebagai pendukung layanan agar
mengatasi permasalahan keamanan informasi. layanan dapat disampaikan dengan efektif dan
Setiap elemen dalam mewujudkan kemanan efisien. Hal ini dikemukakan dalam penelitian
informasi harus mengacu pada standar yang dilakukan oleh Saheer Al-Jaghoub,
keamanan yang telah ditetapkan. Hussein Al-Yaseen and Mouath Al-Hourani
(Saheer, Hussein & Mouath, 2010) yang
Setiap elemen harus mengacu pada
menyimpulkan bahwa TIK adalah instrument
standar keamanan yang telah ditetapkan dalam
yang bermanfaat dan mampu meningkatkan
mewujudkan kemanan informasi. Standar
efektivitas dan efisiensi layanan pemerintah.
keamanan informasi harus khusus dan spesifik
Meskipun demikian, dalam peneltian tersebut
sehingga mereka dapat diterapkan ke semua
juga disampaikan mengenai munculnya isu-
bidang keamanan informasi. Setiap negara isu, seperti keamanan, privasi dan penerimaan
perlu mengembangkan standar sesudah menjadi hambatan dalam adopsi layanan
menganalisis standar keamanan administratif, e-government. Dengan demikian dibutuhkan
112
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
perhatian khusus mengenai hal tersebut dalam TI, akuntabilitas dan tindakan organisasi, untuk
pengembangan e-government. memastikan pencapaian tujuan. Departement
Terkait dengan kajian tentang kebijakan of Broadband, Communications and the
Tata Kelola Keamanan Informasi, dalam Digital Economy, Australia mendefinisikan
penelitian berikutnya yang dilakukan oleh Tata Kelola Keamanan Informasi sebagai
Rossouw Von Solms, Kerry-Lynn Thomson, penetapan dan penegakan budaya keamanan
dan Prosecutor Mvikeli Maninjwa (Solms, TI untuk memberikan jaminan bahwa tujuan
Thomson, & Maninjwa, 2011), menyebutkan bisnis dan persyaratan para stakeholder
bahwa; Praktik Tata Kelola Keamanan (pemangku kepentingan) akan perlindungan
Informasi yang komprehensif harus dilakukan informasi terus dipenuhi (Department of
oleh organisasi. Tata Kelola Keamanan Broadband Communications, and the Digital
Informasi terdiri dari kegiatan langsung dan Economy- Australia, 2009).
kontrol yang harus dilakukan pada semua
tingkat (level) manajemen, yaitu: tingkat
strategis, taktis, dan operasional. Kebijakan
yang berada di masing-masing tingkatan harus
terwakili di Arsitektur Kebijakan Tata Kelola
Keamanan Informasi atau yang dikenal dengan
istilah Information Security Policy Architecture
(ISPA) pada sebuah organisasi. Namun dalam
banyak kasus, kebijakan tata kelola keamanan
informasi tidak termasuk dalam kebijakan
yang berada di tingkat operasional. Gambar 1. Konsep IT Security Government
113
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
114
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
115
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
proses sebagai suatu model bagi penetapan, untuk pelayanan publik. SMKI diterapkan
penerapan, pengoperasian, pemantauan, tinjau dengan tujuan untuk manajemen resiko demi
ulang (review), pemeliharaan dan peningkatan terciptanya tata kelola IT yang baik (good IT
suatu SMKI. Pendekatan proses mendorong Governence). Indeks KAMI mensyaratkan
pengguna menekankan pentingnya: penetapan sasaran kontrol dan kontrol-
1. Pemahaman persyaratan keamanan kontrol keamanan informasi meliputi 11 area
informasi organisasi dan kebutuhan pengamanan sebagai berikut:
terhadap kebijakan serta sasaran • Kebijakan keamanan informasi
keamanan informasi • Organisasi keamanan informasi
2. Penerapan dan pengoperasian kontrol • Manajemen aset
untuk mengelola risiko keamanan • Sumber daya manusia menyangkut
informasi dalam konteks risiko bisnis keamanan informasi
organisasi secara keseluruhan
• Keamanan fisik dan lingkungan
3. Pemantauan dan tinjau ulang kinerja dan
efektivitas SMKI, dan • Komunikasi dan manajemen operasi
4. Peningkatan berkelanjutan berdasarkan • Akses kontrol
pada pengukuran tingkat ketercapaian • Pengadaan/akuisisi, pengembangan dan
sasaran pemeliharaan sistem informasi
Indeks KAMI merupakan implementasi • Pengelolaan insiden keamanan informasi
Kebijakan Penerapan Tata Kelola/ Sistem • Manajemen kelangsungan usaha
Manajemen Keamanan Informasi (SMKI) (business continuity management)
bagi Penyelenggara Sistem Elektronik • Kepatuhan
2 Organisasi, peran dan Uraian tentang organisasi yang ditetapkan untuk mengelola dan mengoordinasikan aspek keamanan
tanggungjawab keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Organisasi
informasi pengelola keamanan informasi tidak harus berbentuk unit kerja terpisah
3 Panduan Klasifikasi Informasi Berisi tentang petunjuk cara melakukan klasifikasi informasi yang ada di instansi/lembaga dan disusun
dengan memperhatikan nilai penting dan kritikalitas informasi bagi penyelenggaraan pelayanan
publik, baik yang dihasilkan secara intenal maupun diterima dari pihak eksternal. Klasifikasi informasi
dilakukan dengan mengukur dampak gangguan operasional, jumlah kerugian uang, penurunan
reputasi dan legal manakala terdapat ancaman menyangkut kerahasiaan (confidentiality), keutuhan
(integrity) dan ketersediaan (availability) informasi.
4 Kebijakan Manajemen Risiko Berisi metodologi / ketentuan untuk mengkaji risiko mulai dari identifikasi aset, kelemahan, ancaman
TIK dan dampak kehilangan aspek kerahasiaan, keutuhan dan ketersediaan informasi termasuk jenis
mitigasi risiko dan tingkat penerimaan risiko yang disetujui oleh pimpinan.
5 Kerangka Kerja Manajemen Berisi komitmen menjaga kelangsungan pelayanan publik dan proses penetapan keadaan bencana
kelangsungan Usaha (Business serta penyediaan infrastruktur TIK pengganti saat infrastruktur utama tidak dapat beroperasi agar
Continuity Management) pelayanan publik tetap dapat berlangsung bila terjadi keadaan bencana/k darurat. Dokumen ini
juga memuat tim yang bertanggungjawab (ketua dan anggota tim), lokasi kerja cadangan, skenario
bencana dan rencana pemulihan ke kondisi normal setelah bencana dapat diatasi/berakhir.
6 Kebijakan Penggunaan Sumber Berisi aturan penggunaan komputer (desktop/laptop/modem atau email dan internet).
daya TIK
116
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
117
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
118
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
119
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
Dimensi Rata-
No. Departemen Kategori
rata
Kebijakan Kelembagaan Infrastruktur Aplikasi Perencanaan
120
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
Dimensi Nilai
No. Provinsi Rata- Kategori
Kebijakan Kelembagaan Infrastruktur Aplikasi Perencanaan
rata
1 Jawa Barat 2.96 3.40 3.33 2.97 3.20 3.17 Baik
2 Jawa Timur 2.96 3.20 3.00 3.00 3.33 3.10 Baik
D.I. Nanggroe Aceh
3 2.96 3.13 2.95 2.87 2.80 2.94 Baik
Darusalam
4 DKI Jakarta 3.29 2.73 2.57 2.67 3.20 2.89 Baik
5 D.I. Yogyakarta 2.88 2.87 2.76 2.93 2.73 2.83 Baik
6 Sumatera Selatan 2.71 2.67 3.05 2.47 3.00 2.78 Baik
7 Jambi 2.63 2.53 2.43 2.47 3.00 2.61 Baik
8 Papua 2.75 2.53 2.81 2.30 2.13 2.50 Kurang
9 Kalimantan Barat 2.42 2.53 2.48 2.50 2.20 2.43 Kurang
10 Riau 2.17 2.33 2.14 2.23 1.93 2.16 Kurang
11 Sumatera Utara 1.88 2.40 2.29 2.13 2.07 2.15 Kurang
12 Jawa Tengah 1.71 2.40 2.38 2.33 1.53 2.07 Kurang
13 Kalimantan Timur 2.00 2.13 2.10 2.03 1.80 2.01 Kurang
Nusa Tenggara
14 2.54 1.87 1.71 1.73 2.00 1.97 Kurang
Barat
15 Kalimantan Tengah 2.17 1.67 1.95 1.83 2.20 1.96 Kurang
16 Bali 2.33 2.40 2.00 1.93 1.13 1.96 Kurang
17 Lampung 1.96 2.27 1.67 1.87 1.60 1.87 Kurang
Kepulauan Bangka
18 2.08 2.13 1.29 1.50 2.20 1.84 Kurang
Belitung
19 Bengkulu 1.67 2.07 1.43 1.50 1.33 1.60 Kurang
Nusa Tenggara
20 1.67 1.60 1.48 1.70 1.40 1.57 Sangat Kurang
Timur
21 Sulawesi Barat 1.04 2.00 1.62 1.37 1.27 1.46 Sangat Kurang
22 Sumatera Barat 1.33 1.20 1.48 1.83 1.00 1.37 Sangat Kurang
23 Kepulauan Riau 1.25 1.67 1.00 1.43 1.40 1.35 Sangat Kurang
24 Sulawesi Tengah 1.08 1.53 1.33 1.03 1.00 1.19 Sangat Kurang
25 Sulawesi Selatan 1.04 1.07 1.00 1.00 1.00 1.02 Sangat Kurang
RATA-RATA 2.14 2.25 2.09 2.06 2.02 2.11 Kurang
Penilaian Mengenai Kondisi Keamanan tata kelola pemerintahan yang baik (Good
Informasi Pemerintah Governance). Implementasi tersebut juga
berdampak pada kesiapan keamaman informasi
Secara umum, kesiapan keamanan pemerintah. Penilaian pada instansi pemerintah
informasi pada instansi pemerintah baik pusat tersebut antara lain pada aspek; perencanaan,
maupun daerah masih dinilai kurang memenuhi kebijakan, kelembagaan dan infrastruktur.
harapan. Walaupun demikian, ada beberapa
instansi baik pusat maupun daerah yang sudah Untuk aspek perencanaan, dengan
memiliki inisiatif yang baik dalam menerapkan melihat total skor kumulatif pada instansi
tata kelola TI sebagai wujud implementasi pemerintahan tingkat pusat sebesar 2,29 dan
121
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
instansi pemerintahan daerah sebesar 2,02, untuk pemerintah daerah sebesar 2, 25. Hal
memperlihatkan bahwa perencanaan sistem ini menunjukkan bahwa banyaknya instansi
pada instansi pemerintah belum memiliki pemerintah pusat dan daerah yang belum
mekanisme perencanaan Master Plan TIK yang menerapkan strategi kelembagaan untuk
baik mencakup mekanisme implementasinya. mengelola TIK termasuk keamanan TIK yang
Hal ini juga mencakup aspek pendanaan mencakup penanganan insiden keamanan
terhadap infrastruktur TIK untuk mendukung informasi dengan baik.
penerapan tata kelola TIK pada instansi Untuk aspek infrastruktur, masih
pemerintah. Penilaian terhadap aspek tersebut banyak instansi pemerintah baik pusat
juga memperlihatkan kurangnya kesiapan maupun daerah yang perlu memperhatikan
dalam perencanaan tata kelola TIK yang juga penerapan tata kelola infrastruktur TIK yang
mencakup kesiapan keamanan informasi meliputi; inventarisasi, perawatan dan tata
pemerintah. cara pemanfaatan. Ketersediaan infrastruktur,
Dalam hal kebijakan, total skor kumulatif dalam hal spesifikasi dan jumlah yang sesuai
pada instansi pemerintahan tingkat pusat dengan kebutuhan untuk menunjang kinerja
sebesar 2,37 dan instansi pemerintahan daerah masih kurang diperhatikan pada banyak
sebesar 2,14. nilai tersebut masih berada di instansi pemerintah baik pusat maupun daerah.
bawah nilai rata-rata untuk kategori baik. Hal ini juga meliputi ketersediaan infrastruktur
Aspek ini mencakup penilaian yang meliputi untuk kebutuhan pengamanan informasi yang
adanya pedoman, prosedur dan strategi belum diterapkan secara maksimal. Kondisi
penerapan tata kelola TIK yang juga mencakup kesiapan ini tampak dengan capaian nilai rata-
prosedur dan kebijakan untuk menerapkan rata kumulatif untuk instansi pemerintah pusat
manajemen risiko. Dengan total nilai rata-rata sebesar 2,58 dan untuk pemerintah daerah
kumulatif pada aspek kebijakan tersebut, dapat sebesar 2,09.
disimpulkan bahwa masih banyak instansi Sebagai pelengkap dalam kajian ini,
pemerintah yang belum memiliki kesiapan maka dilakukan wawancara mendalam yang
pada aspek kebijakan untuk menerapakan tata melibatkan para pakar dibidang keamanan
kelola TIK yang baik dan tata kelola keamanan informasi sebagai proses penilaian pakar
informasi. (expert judgement) untuk menilai kondisi
Aspek kelembagaan mencakup kesiapan keamanan informasi pada instansi
penilaian terhadap adanya kelembagaan yang pemerintah. Berikut ini adalah rangkuman
bertujuan untuk mengorganisir pengelolaan hasil penilaian pakar dalam menilai kondisi
TIK termasuk dalam hal penanganan insiden keamanan informasi pada instansi pemerintah;
keamanan informasi pada instansi pemerintah. Ir. Hogan Kusnadi, M.Sc, CISA, CISM,
Penilaian ini juga mencakup ketersediaan CISSP-ISSAP, SSCP:
sumber daya manusia yang bertanggung jawab
untuk mengelola sarana dan prasarana TIK pada • Awareness mengenai manajemen resiko/
instansi pemerintah berikut pengorganisiran tata kelola keamanan informasi pada
tanggungjawab masing-masing pegawai. instansi pemerintah umumnya berasal
Hal ini berdampak pada pendelegasian dari tingkat operational IT pada instansi
tanggungjawab pengelolaan TIK termasuk pemerintah dan berjalan sudah cukup
dalam hal pengelolaan keamamanan informasi baik. Namun, dari sisi governance (tata
yang mencakup penanganan jika terjadi pamong) masih besar gap yang ada antara
insiden keamanan informasi. Total nilai rata- best practice dengan yang sudah berjalan.
rata kumulatif yang dicapai pada instansi Masalah IT dan Information Security
pemeritahan pusat adalah sebesar 2,49 dan pada instansi pemerintah cenderung
dilepaskan ke pihak IT Operational.
122
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
IT masih dianggap sebagai bagian yang pendanaan (sistem anggaran yang sangat
terpisah dari upaya pencapaian visi/misi kaku)
organisasi
• Peran IT harus ditingkatkan baik Ir. Rinaldi Munir, MT :
secara struktur maupun kebijakan. • Keamanan informasi yang disinggung
Hal ini diperlukan agar kebijakan di dalam tata kelola hanya 3 aspek saja
yang dikeluarkan dalam bidang TIK yaitu kerahasiaan (confidentiality),
khususnya keamanan informasi dapat keutuhan (integrity), dan ketersediaan
dijadikan landasan hukum yang kuat bagi (availability). Menurut William Stalling,
instansi pemerintah baik pusat maupun layanan keamanan juga meliputi:
daerah dalam menerapkan tata kelola otentikasi (authentication), kontrol
TI dan tata kelola keamanan informasi. akses (access control), otorisasi, dan
Dengan kelemahan sistem seperti itu, anti-penyangkalan (non-repudiation).
maka kesiapan instansi publik dalam Seharusnya semua layanan keamanan
menghadapi insiden keamanan informasi tercakup di dalam tata kelola itu.
patut dipertanyakan. • Keamanan informasi tidak hanya untuk
data/informasi dalam bentuk digital,
Ir. Iwan Sumantri, CEH : tetapi seharusnya juga mencakup data/
• Penerapan tata kelola keamanan informasi informasi dalam bentuk cetak/ hard
adalah bagian dari penerapan tata kelola copy.
TIK. Pemerintah pusat yang terkait • Model penerapan kebijakan keamanan
dengan regulasi TIK Nasional, dalam hal informasi di tingkat nasional maupun
ini adalah Kementerian Kominfo telah daerah seharusnya tidak jauh berbeda
memberikan perhatian khusus terhadap karena insiden keamanan informasi dapat
permasalahan keamanan informasi terjadi di mana saja. Hanya saja untuk
terkait dengan banyaknya insiden tingkat pusat perlu model yang lebih
keamanan informasi dan mengingat kuat karena Instansi Pusat menyimpan
asset informasi pada instansi pemerintah informasi yang lebih strategis. Setiap
adalah hal yang sangat penting. instansi daerah yang terhubung dengan
• Kementerian Kominfo telah instansi pusatnya memiliki protokol
mensosialisasikan tentang kesadaran keamanan informasi yang unik.
akan keamanan informasi (information • Insiden keamanan informasi antara lain
security awareness) pada instansi pencurian data penting (hard copy dan
pemerintah baik pusat maupun daerah soft copy), penyadapan, penyalaghunaan
dan mengeluarkan panduan tata kelola password, pencurian PIN, deface,
keamanan informasi bagi penyelenggara phising, serangan virus dan worm, denial
pelayanan publik. of services (DOS), distributed denial of
• Sebagian besar pemerintah pusat service (DDOS), penyalahgunaan email,
maupun daerah sudah menerapkan Tata pembajakan akun, hacking, dan lain-
Kelola TIK, dengan kapasitas yang lain. Sebagian besar insiden keamanan
berbeda, sesuai dengan kondisi SDM dan informasi di dunia, termasuk di Indonesia,
dukungan Pimpinan. Kesiapan keamanan jarang dipublikasikan, sebab dapat
informasi pada instansi pemerintah pusat memberikan “negative publicity” bagi
dan daerah sangat beragam dan terdapat instansi yang terkena serangan. Instansi
berbagai kendala. Kendala yang umum memilih diam atau menyelesaikan
adalah; SDM, Komitmen Pimpinan dan sendiri masalah keamanan yang terjadi.
123
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
• Dari beberapa laporan insiden keamanan penanggung jawab dalam hal tata kelola
informasi yang dilaporkan ke ID-CERT TIK, seperti CIO (Chief Information
dan Id-SIRTII, maka dapat disimpulkan Officer) dan juga penanggung jawab yang
bahwa penyedia layanan informasi khusus di bidang keamanan informasi,
di instansi pemerintah masih rentan seperti CISO (Chief Information Security
terhadap serangan. Banyak situs web Officer)
dan sistem online ketika dirancang tidak • Pemerintah perlu membentuk struktur
memperhitungkan aspek keamanan yang kelembagaan tim respon insiden
kuat sehingga sistem mudah dijebol. seperti CERT khusus untuk instansi
Masalah menjadi lebih berat karena pemerintahan mulai dari tingkat pusat
instansi publik tidak punya standard hingga instansi daerah untuk menangani
prosedur recovery setiap terjadi insiden adanya insiden keamanan informasi
keamanan informasi, misalnya apa yang dan tim respon yang terbentuk dapat
harus dilakukan, kemana dilaporkan, dan bekerjasama dengan CERT lainnya.
sebagainya.
Dengan melihat hasil penilaian kesiapan
• Dengan kelemahan sistem seperti itu, keamanan informasi pemerintah berdasarkan
maka kesiapan instansi publik dalam pemetaan aspek keamanan informasi ke indeks
menghadapi insiden keamanan informasi PeGI, baik secara keseluruhan maupun untuk
patut dipertanyakan. tiap-tiap aspek, secara umum terlihat bahwa
umumnya instansi pemerintahan baik pusat
DR. Ronny Wuisan, M.Kom : maupun daerah kurang memenuhi standar
• Hal terpenting dalam kaitan penerapan penilaian. Dapat disimpulkan bahwa kondisi
kemanan informasi adalah membangun kesiapan keamanan informasi pada instansi
kesadaran akan keamanan informasi. pemerintah masih kurang memenuhi harapan
Selanjutnya adalah membuat prosedur dan belum siap menghadapi adanya ancaman
dan kebijakan yang terkait dengan insiden keamaman informasi. Walaupun
pengelolaan keamanan informasi. Setelah demikian, beberapa instansi pemerintah baik
itu membuat kelembagaan kemanan pusat maupun daerah yang memiliki skor
informasi untuk dapat menerapkan tata penilaian dengan kategori baik. Hal ini juga
kelola keamanan informasi. menunjukan instansi tersebut telah menerapkan
tata kelola TIK mencakup tata kelola keamanan
• Dalam membuat kebijakan dan
informasi dengan baik.
operasional secara teknis dalam hal
penerapan tata kelola kemanan informasi
pada instansi pemerintah, diharapkan
pemerintah dapat merangkul pihak PENUTUP
akademisi karena pihak akademisi
memiliki banyak sumber daya manusia Simpulan
yang memahami dan mendalami
Berdasarkan hasil kajian yang telah
permasalahan TIK dan keamanan
dilakukan, maka dapat diambil beberapa
informasi. Pihak akademisi akan
kesimpulan aspek tata kelola keamanan
memberikan telaahan dan masukan/
informasi adalah bagian dari lingkup tata kelola
rekomenasi teknis serta dapat melakukan
TIK secara umum. Dalam melihat kondisi
riset sebelum dan sesudah penerapan tata
kesiapan keamanan informasi pemerintah
kelola keamanan informasi dilakukan.
baik pusat maupun daerah dapat digunakan
• Pada tiap-tiap instansi pemerintah baik data PeGI yang dipetakan berdasarkan aspek
pusat maupun daerah perlu dibentuk keamanan informasi.
124
Kajian Kesiapan Keamanan Informasi Instansi Pemerintah Dalam Penerapan E-Government
Ahmad Budi Setiawan
Sebagian besar instansi pemerintah baik Kementerian Kominfo. Dasar hukum tersebut
pusat maupun daerah sudah menerapkan Tata dapat dijadikan sebagai komitmen penerapan
Kelola TIK, namun dengan kapasitas yang tata kelola keamanan informasi termasuk
berbeda dan sesuai dengan kondisi SDM yang untuk mengatasi permasalahan/isu mengenai
tersedia dan adanya dukungan Pimpinan. pendanaan.
Kendala yang umum pada penerapan tata Dalam hal pemberlakukan kebijakan
kelaola TIK dan tata kelola keamanan khusus tentang keamanan informasi,
informasi di lingkungan pemerintah adalah; direkomendasikan agar Surat Edaran Menteri
SDM, Komitmen Pimpinan dan pendanaan Komunikasi dan Informatika Nomor: 5/
(sistem anggaran yang sangat kaku). SE/M.KOMINFO/07/2011 tentang Penerapan
Kebijakan, panduan dan sosialiasi terkait Tata Kelola Keamanan Informasi bagi
dengan keamanan informasi pada instansi Penyelenggara Pelayanan Publik yang
pemerintah yang dilakukan oleh Kementerian memberikan panduan tentang penerapan tata
Komunikasi dan Informatika melalui Direktorat kelola keamanan informasi bagi penyelenggara
Keamanan Informasi, Ditjen APTIKA saat pelayanan publik untuk dinaikkan tingkatan
ini belum mendatangkan hasil maksimal hukumnya agar dapat dijadikan landasan/
dengan belum diterapkannya tata kelola kelola dasar hukum yang kuat bagi setiap instansi
keamanan informasi secara maksimal pada pemerintah pusat maupun daerah.
instansi pemerintah pusat maupun daerah. Hal Pada setiap instansi pemerintah baik pusat
ini didasarkan dari hasil evaluasi PeGI yang maupun daerah perlu memiliki BCP (Business
menyebutkan bahwa nilai total rata-rata PeGI Continuity Plan) dan DRP (Disaster Recovery
pada instansi pusat maupun daerah adalah pada Plan) sebagai standard prosedur recovery
kategori “KURANG”. untuk mengantisipasi setiap terjadinya insiden
keamanan informasi. Model ststus infrastruktur
Saran
TIK yang sesuai dengan konsep pengamanan
Adapun rekomendasi yang dapat informasi juga perlu meninjau sisi ekonomi
diberikan sebagai hasil penelitian ini adalah dan disesuaikan dengan kebutuhan organisasi
dalam menerapkan tata kelola keamanan karena diperlukan investasi yang besar.
informasi dibutuhkan sebuah kesadaran, dasar
/ landasan hukum dan kebijakan yang cukup Pada setiap instansi pemerintah baik pusat
kuat, kelembagaan dan penanggung jawab, maupun daerah perlu memiliki mekanisme
sumber pendanaan, ketersediaan infrastruktur penanganan insiden keamanan informasi yang
dan teknologi yang digunakan, Sumber Daya ditunjang dengan bentuk kelembagaan yang
Manusia (SDM) yang memahami TIK dan akan menangani insiden tersebut.
keamanan informasi serta komitmen pimpinan. Untuk menunjang program dan kebijakan
Pada setiap instansi pemerintah baik keamanan informasi, baik pemerintah pusat
pusat maupun daerah perlu dibuat SK/ maupun daerah perlu membentuk peranan
keputusan pimpinan instansi tersebut terkait GCIO (Government Chief Information Officer)
dengan keamanan informasi sebagai dasar dan lebih spesifik lagi membentuk peranan
dan landasan untuk melakukan penerapan tata GCISO (Government Chief Information
kelola keamanan informasi yang mengacu pada Security Officer). Peranan GCISO dapat berada
panduan dan kebijakan yang dikeluarkan oleh pada peran level koordinatif dan pelaksana.
125
Jurnal Masyarakat Telematika dan Informasi
Vol. 4 No. 2 November 2013 Hal.: 109-126
126