Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

Vol. 4, No. 4, April 2020, hlm. 1116-1124 http://j-ptiik.ub.ac.id

Evaluasi Proses Tata kelola Keamanan Informasi Menggunakan COBIT 5

Dengan Proses APO13, DSS04 dan DSS05 (Studi Pada DISKOMINFO
Kabupaten Sidoarjo)
Ridho Hardiansyah1, Yusi Tyroni Mursityo2, Suprapto3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1ridho1098@student.ub.ac.id, 2 yusi_tyro@ub.ac.id, 3spttif@ub.ac.id

Abstrak
Dinas Komunikasi dan Informatika (DISKOMINFO) Kabupaten Sidoarjo merupakan instansi
pemerintah yang membantu bupati melaksanakan urusan pemerintahan di bidang komunikasi,
informatika, statistik dan persandian. Dalam melaksanakan tugasnya, DISKOMINFO memiliki pusat
data yang digunakan untuk pelayanan penyimpanan data aplikasi pada Organisasi Perangkat Daerah
(OPD) di Kabupaten Sidoarjo. Banyaknya data yang akan dikelola serta kemungkinan adanya ancaman
serangan siber dan pencurian data, maka diperlunya proses tata kelola keamanan informasi yang baik
agar meningkatkan proses keamanan informasi dan keberlangsungan bisnis organisasi. Perlunya
dilakukan evaluasi penilaian terhadap kondisi saat ini pada pusat data untuk mengetahui sejauh mana
proses pengelolaan keamanan informasi dilakukan, hasil evaluasi tersebut digunakan sebagai dasar
rekomendasi perbaikan untuk mencapai kondisi yang diharapkan. Penelitian ini menggunakan kerangka
kerja COBIT 5 dengan berfokus pada proses APO13 (Manage Security), DSS04 (Manage Continuity)
dan DSS05 (Manage Security Services). Hasil penelitian untuk setiap proses mencapai tingkat 1 dengan
nilai pada APO13 (64,29%), DSS04 (63,33%) dan DSS05 (82,14%), sedangkan harapan yang ingin
dicapai yaitu pada tingkat 3. Rekomendasi yang dihasilkan untuk mencapai tingkatan yang diharapkan
yaitu sebanyak empat rekomendasi untuk proses APO13, tiga rekomendasi untuk proses DSS04 dan
tujuh rekomendasi untuk proses DSS05.
Kata kunci: Pusat Data, COBIT 5, Pengelolaan keamanan, Pengelolaan Keberlangsungan,
Pengelolaan Layanan Keamanan, Dinas Komunikasi dan Informatika

Abstract
The Department of Communication and Information (DISKOMINFO) of Sidoarjo Regency is a
government agency that helps regents carry out government affairs in the fields of communication,
informatics, statistics and coding. DISKOMINFO has a data center used for application data storage
services for Regional Apparatus Organization (OPD) in the Sidoarjo Regency. Whith the amount of
data to be managed as well as the possibility of cyber attacks and data theft, therefore a good
information security management process is needed to increase information security and business
continuity processes. Evaluation of the current condition of the data center is needed to determine the
extent carried out of the information security management process, the results of the evaluation are used
as a basic for recommendations for improvement to achieve the expected conditions. This research uses
framework COBIT 5 by focusing on the process of APO13 (Manage Security), DSS04 (Manage
Continuity) and DSS05 (Manage Security Services). The results of the obtain for each process reached
level 1 with a value at APO13 (64.29%), DSS04 (63.33%) and DSS05 (82.14%), while the expectations
to be achieved were at level 3. The recommendations needed to reach the expected level are four
recommendations for the process of APO13, three recommendations for the process of DSS04 and seven
recommendations for the process of DSS05.
Keywords: Data Center, COBIT 5, Manage Security, Manage Continuitiy, Manage Security Services,
Department of Communication and Information

Fakultas Ilmu Komputer

Universitas Brawijaya 1116
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
1. PENDAHULUAN
Dinas Komunikasi dan Informatika
(DISKOMINFO) Kabupaten Sidoarjo memiliki
tugas untuk membantu bupati dalam
melaksanakan pelayanan terhadap masyarakat
khususnya dalam bidang komunikasi, informasi,
statistika dan persediaan sesuai dengan
Peraturan Gubernur No 80 Tahun 2016.
Cepatnya perkembangan Teknologi Informasi
(TI) sudah sangat dirasakan bagi intansi
pemerintahan, hal tersebut ditandai dengan
banyaknya inovasi aplikasi pelayanan publik
yang dimiliki oleh setiap Organisasi Perangkat
Daerah (OPD) terutama di Kabupaten Sidoarjo.
Setiap OPD memiliki server yang di gunakan
untuk menjalankan aplikasinya, Pemerintah
Kabupaten Sidorjo bekerja sama dengan
DISKOMINFO Sidoarjo untuk berupaya
mengelola aplikasi layanan pada setiap OPD
pada satu server terpusat.
Menurut kepala DISKOMINFO Kabupaten
Sidoarjo, akan ada upaya pengintegrasian
seluruh layanan yang dimiliki sehingga menjadi
satu aplikasi (Wartaekonomi, 2017).
Pengintegrasian tersebut merupakan upaya
untuk mempermudah masyarakat dalam
memanfaatkan pleyanan yang diberikan
(Kurniawan, 2017). DISKOMINFO Sidoarjo
sudah memiliki pusat data yang digunakan untuk
pengelolaan seluruh data dan informasi.
Pengelolaan tersebut merupakan tanggung
jawab Bidang Teknologi Informasi dan
Komunikasi, data center yang dikelola juga
pernah mendapatkan serangan siber berupa
penyebaran virus WannaCry. Banyaknya data
serta adanya ancaman terhadap serangan siber
yang dapat terjadi maka pihak DISKOMINFO
berupaya untuk melakukan pemenuhan
dokumen terkait dengan pengelolaan keamanan
informasi sesuai standard yang ada, sehingga
dapat diadaptasi dan disesuaikan dengan
kebutuhan organisasi.
Pada tahun 2018 terdapat setidaknya dua
ratus juta lebih serang siber dan pencurian data
di Indoensia (CNN Indonesia, 2019). Pencurian
data masih kerap terjadi, seperti yang dialami
oleh maskapai penerbangan Lion Air yang
dimana terdapat sekitar tujuh juta lebih data
pelanggan dapat dicuri (Haryanto, 2019).
Kemudian pencurian data kembali terjadi di
Indonesia, yaitu pada server Badan Meteorlogi,
Klimatologi dan Geofisika (BMKG), sehingga
mengakibatkan pihak BMKG harus
Fakultas Ilmu Komputer, Universitas Brawijaya
1117
menginputkan ulang data yang hilang (CNN
Indonesia, 2019).
Sebagai salah satu dinas yang berperan
penting dalam menjaga keamanan data dan
informasi, DISKOMINFO Kabupaten Sidoarjo
diharapkan mampu mengelola keamanan data
dan informasi yang dimiliki. Pentingnya
pengamanan data teersebut telah disampaikan
oleh Presiden Republik Indonesia Joko Widodo,
beliau menyampaikan bahwa data merupakan
sumber salah satu sumber kekayaan bangsa yang
harus dijaga (Silaban, 2019). Oleh karena itu
pentingnya kepedulian terhadap keamanan
informasi pada zaman yang sangat maju akan
digitaliasasi ini maka diperlukanya evaluasi tata
kelola TI yang tepat khususnya terkait dengan
keamanan informasi agar terjaminya keamanan
data yang dimiliki sehingga meningkatkan
keamanan informasi dan keberlangsungan bisnis
organisasi.
Proses evaluasi tata kelola TI dapat
dilakukan menggunakan berbagai cara salah
satunya yaitu menggunakan Control Objective
for Information and Related Technology (COBIT
5). Kerangka kerja tersebut digunakan karena
memiliki domain yang terkait dengan
pengelolaan keamanan informasi yaitu pada
proses APO13 (Manage Security) berfokus pada
mendefinisikan, mengoperasikan dan
melakukan pemantauan terhadap sistem
pengelolaan keamanan informasi, DSS04
(Manage Continuity) berfokus pada
keberlangsungan layanan TI serta ketersediaan
informasi dan DSS05 (Manage Security
Services) berfokus unutk mengurangi ancaman
yang mungkin terjadi saat proses operasional TI.
Hasil akhir penelitian adalah rekomendasi
berdasarkan COBIT 5 berupa aktivitas yang
perlu dilakukan dan dokumen yang perlu
dimiliki, rekomendasi tersebut didapat dari hasil
penilaian terhadap analisis kesenjangan (Gap)
antara capability level dan target level.
Tersusunya rekomendasi tersebut diharapkan
dapat meningkatkan proses pengelolaan
keamanan informasi pada pengelolaan data
center, sehingga tercapainya tujuan
DISKOMINFO menuju Sidoarjo Smart City.
2. LANDASAN KEPUSTAKAAN
Evaluasia dalah cara atau prosedur yang
dilakukan, sesuai dengan aturan yang telah
disusun untuk mengukur sesuatu yang
ditetapkan (Muryadi, 2017). Tata kelola TI
merupakan bagian organisasi yang meliputi
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1118

aspek kepemimpinan, struktur organisasi dan ditargetkan.

proses TI untuk mencapai tujuan organisasi Rating Levels digunakan untuk melakukan
(ISACA, 2012). penilaian pada setiap atribut proses capability
Keamanan informasi berguna untuk level sesuai dengan standard ISO/IEC 15504
meningkatkan keberlangsungan layanan dengan (ISACA, 2013), penjelasan terhadap rating
menjaga validitas dan integrasi data (Santoso, et levels dapat dilihat pada tebel 1:
al., 2016). Aspek yang perlu diperhatikan untuk
menjamin keamanan yaitu kelengkapan
informasi (Right Information), pengelolan yang
baik (Right People), kemudahan pengaksesan
(Right Time) dan ketepatan jenis format yang
disampaikan (Right Form) (Purwanto, 2014).
COBIT 5 merupakan kerangka kerja yang
dapat membantu organisasi mencapai tujuanya Skala Not achieved mendefinisikan bahwa
tata kelola dan manajemen TI, membantu tidak adanya atau sedikit bukti ditemukan, Skala
mengoptimalkan pemanfaatan TI dan menjaga Partially achieved berarti ada beberapa bukti
pemanfaatan, risiko dan penggunaan sumber dan beberapa capaian, Skala Largely achieved
daya perusahaan (ISACA, 2012). berarti adanya bukti, pendekatan sudah
Self assessment merupakan cara penilaian sistematis dan signifikan dan Skala Fully
yang dapat dilakukan dengan tidak terlalu detail, achieved berarti bukti yang ada sudah lengkap
digunakan oleh organisasi untuk melakukan dan sistematis, untuk dapat melanjutkan
penilaian kesenjangan terhadap aktivitas yang penilaian pada tingkatan selanjutnya maka
akan dinilai sesuai dengan capability level dan perlunya pencapaian skala Fully Achieved (F)
target level (ISACA, 2013). terlebih dahulu (Gunawan & Pratama, 2018).
Capability Level merupakan capaian RACI Chart digunakan untuk membedakan
tingkatan dari organisasi dalam memanfaatkan peran dan tanggung jawab sesuai dengan
TI pada suatu proses (ISACA, 2013). Process struktur organisasi sesuai dengan kategori
Capability level dinyatakan dalam 6 level dan 9 responsible berarti pihak yang melakukan suatu
atribut proses. tugas, accountable merupakan pihak
Level 0: Incomplete yang berarti tidak ada bertanggung jawab atas pencapaian kegiatan,
proses yang dilakukan atau hanya sedikit consulted pihak yang memberi masukan dan
aktivitas yang dilakukan, Level 1: Performed Informed adalah pihak yang menerima informasi
yang berarti tujuan proses telah dicapai, Level (ISACA, 2012).
2: Managed yang berarti pengelolaan,
perencanaan dan monitoring terhadap proses 3. METODOLOGI PENELITIAN
telah dilakukan, Level 3: Established yang
berarti proses berhasil di capai sesuai dengan
penerapan yang telah didefinisikan, Level 4:
Predictable yang berarti proses dioperasikan
sesuai dengan batasan dan dapat mencapai
tujuan dan Level 5: Optimizing yang berarti
proses ditingkatkan secara berkala untuk
memenuhi tujuan bisnis organisasi (ISACA,
2013). Model penilaian pada COBIT 5
berdasarkan indikator yang ada pada setiap
bagian Base Practices (BPs) dan Work Products
(WPs) untuk level 1 serta Generic Practices
(GPs) dan Generic Work Products (GWPs)
untuk level 2 hingga level 5 (ISACA, 2013).
Proses perhitungan mengadaptasi dari penelitian
yang dilakukan oleh (Putri, et al., 2017) dengen
melakukan penilaian persentase terhadap
BPs/GPs dan WPs/GWPs yang terpenehuhi
dengan BPs/GPs dan WPs/GWPs yang Gambar 1. Metodologi

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1119

Pada tahap identifikasi permasalahan,

peneliti penentuan masalah yang ada pada objek
penelitian, penentuan permasalahan didapat dari
wawancara terhadap pihak DISKOMINFO
Kabupaten Sidoarjo. Setelah permasalahan
ditemukan maka langkah selanjutnya yaitu
melakukan studi literatur dengan mempelajari
teori-teori yang dapat di jadikan rujukan dalam
penyelesaian masalah. Langkah selanjutnya
yaitu analisis organisasi yang berkaitan dengan
memahami profil perusahaan, visi dan misi,
tujuan dan struktur organisasi serta melakukan
pemetaan peran dan tanggung jawab
menggunakan RACI Chart sesuai dengan COBIT
5 pada proses APO13, DSS04 dan DSS05.
Setelah responden dipetakan maka langkah
selanjutnya yaitu mengumpulkan data dengan
dilakukanya wawacara dan penyebaran
kuesioner serta observasi dan dokumentasi yang
dimiliki yang behubungan dengan proeses
pengelolaan keamanan informasi data center.
Langkah selanjutnya yaitu melakukan Tabel 2 menjelaskan bahwa terdapat tiga
proses Self Assessment dengan menentukan taget jabatan yang terpilih sesuai pemetaan RACI
level yang diharapkan oleh respon kemudian Chart yaitu untuk peran Information Security
melakukan penilaian terhadap tingkatan yang Manager terletak pada jabatan Kepala Seksi
dicapai, selanjutnya dilakukan proses triangulasi Keamanan Informasi dan telekomunikasi, peran
data dengan melakukan wawancara kembali CIO terletak pada jabatan Kepala Dinas
terhadap validitas data yang diperoleh, Komunikasi dan Informatika, kemudian peran
kemudian melakukan analisis kesenjangan Head IT Administration dan CISO terletak pada
berdasarkan target level dan kapabilitas level jabatan Kepala Bidang Teknologi Informasi dan
yang diperoleh. langkah selanjtnya yaitu Komunikasi.
menyusun rekomendasi aktivitas yang perlu
dilakukan serta dokumen yang harus dimiliki
sesuai dengan kerangka kerja COBIT 5. Langkah
terakhir yaitu membuat kesimpulan dari
penelitian yang dilakukan serta saran yang dapat
diberikan terhadap penelitian selanjutnya.

4. HASIL ANALISIS
Sebelum dilakukanya proses penilaian
terhadap bagaimana proses pengelolaan
keamanan informasi pada data center yang ada
pada DISKOMINFO Kabupaten Sidoarjo, maka
terlebih dahulu dilakukanya penentuan peran
dan tanggung jawab pada organisasi. RACI
Chart pada COBIT 5 hanya memerlukan
kategori responden yang berperan sebagai
responsible (R) dan accountable (A) dalam
mejalankan kegiatan, kategori tersebut dipilih Sedangkan untuk Tabel 3, diketahui bahwa
karena pihak tersebut merupakan orang yang peran CIO terletak pada jabatan Kepala Dinas
berperan langsung dalam aktivitas kegiatan Komunikasi dan Informatika, peran Head IT
(Santosa & Widyawan, 2015). Berikut Operations terletak pada jabatan Kepala Seksi
merupakan hasil RACI Chart pada proses Keamanan Informasi dan telekomunikasi dan
APO13, DSS04 dan DSS05: untuk peran Business Continuity Manager

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
terletak pada jabatan Kepala Bidang Teknologi
Informasi dan Komunikasi.
Hasil RACI Chart pada proses DSS05 pada
tabel 4 diketahui terdapat dua jabatan yang
bertanggung jawab yaitu untuk peran
Information Security Manager dan Head IT
operations yaitu terletak pada jabatan Kepala
Seksi Keamanan Informasi dan telekomunikasi
dan untuk peran CISO merupakan jabatan
Kepala Bidang Teknologi Informasi dan
Komunikasi. Pada penelitian yang dilakukan,
karena keterbatasan waktu penelitian dan
kesibukan yang dimiliki oleh Kepala Dinas,
maka proses penelitian memilih kedua
responden yang menepati jabatan sebagai
Kepala Bidang Teknologi Informasi dan
Komunikasi serta Kepala Seksi Keamanan
Informasi dan Telekomunikasi.
Setelah responden berhasil ditentukan maka
proses selanjutnya yaitu melakukan
pengumpulan data menggunakan metode
wawancara, observasi, kuesioner dan
dokumentasi. Dari hasil wawancara terhadap
reponden, target level yang ingin dicapai dalam
pengelolaan keamanan informasi yaitu mencapai
level 3, kemudian hasil metode pengumpulan
data yang didapat akan digunakan sebagai proses
penilaian terhadap kapabilitas level pada
masing-masing proses mengacu pada ebook
COBIT 5 yang dikeluarkan oleh ISACA,
penilaian peroses berdasarkan Base Practice
(BP) / Generic Prastice (GP) dan Work Product
(WP) / Generic Work Product (GWP) (ISACA,
2013). Berikut merupakan hasil nilai tingkat
kapabilitas pada proses APO13, DSS04 dan
DSS05:
Fakultas Ilmu Komputer, Universitas Brawijaya
1120
Diketahui pada Tabel 5 bahwa hasil dari
perhitungan kapabilitas yang dicapai
DISKOMINFO Kabupaten Sidoarjo pada proses
APO13 pada maisng-masing level mendapat
skala Largly Achieved (L), untuk level 1 pada
PA1.1 Process Performance mendapatkan
sebesar 64,29% sedangkan pada level 2 dengan
PA2.1 Performance Management sebesar
75,00% dan PA2.2 Work Product Management
sebesar 77,78% dan level 3 pada atribut PA3.1
Process Definition sebesar 75,00% sedangkan
pada atribut PA3.2 Process Deployment
mendapat persentase sebesar 57,14%.
Tingkat kapabilitas yang diperoleh pada
proses APO13 yaitu mencapai level 1, dengan
didapatkanya dokumen serta bukti pendukung
terhadap dilakukanya sebuah aktivitas
pengelolaan keamanan seperti telah dibuat
sebuah tim yang secara khusus menangani
tentang penglolaan keamanan data center, telah
di definisikan struktur organisasi, ruang lingkup
kerja, infrastruktur dan sumber daya yang di
perlukan. Sudah terdapatnya pengelolaan
terhadap risiko dan insiden, telah dilakukanya
monitoring secara berkala terhadap proses
pengelolaan keamanan sesuai dengan Standard
Oprational Procedure (SOP) yang berlaku, akan
tetapi belum terdapatnya evaluasi atau tinjauan
ulang terhadap hasil monitoring yang telah
dilakukan.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
Kemudian untuk proses selanjutnya pada
DSS04 dengan masing-masing level mendapat
skala Largely Achieved (L) kecuali pada PA3.2
yang mendapat skala Partialy Achieved (p)
tingkat kapabilitas yang dicapai juga pada level
1 dengan Atribut Proses PA1.1 Process
Performance sebesar 63,33% sedangkan pada
level 2 dengan Atribut Proses PA2.1
Performance Management mendapatkan)
persentase sebesar 56,25% kemudian untuk
Atribut Proses PA2.2 Work Product
Management dan PA3.1 Process Definition
mendapatkan persentase sebesar 66,67%,
sedangkan pada atribut PA3.2 Process
Deployment sebesar 50,00%.
Untuk proses DSS04 dikatahui bahwa
tingkatan yang dicapai yaitu pada level 1, hal
tersebut dikarenakan perlunya skala Fully
Achieved (F) untuk dapat berlanjut pada level
selanjutnya. Pada proses pengelolaan
keberlangsungan, pihak DISKOMINFO
Kabupaten Sidoarjo telah mendefinisikan
struktur Tim Business Continuity Plan (BCP),
memiliki kesepakatan terhadap vendor atau
pihak ketiga dalam membantu pengelolaan data
center, telah mendefinisikan tingkatan dampak
bencana yang mungkin terjadi, telah
menyediakan lokasi backup data serta
pengelolaan keberlangsungan data center telah
didefinisikan sesuai dengan SOP yang
digunakan, terdapatnya log arsip tentang data
yang disimpan. Akan tetapi dalam penerapan
proses tersebut, belum dilakukanya
pembentukan, pelatihan dan peninjauan terhadap
Tim BCP sesuai dengan kopetensi yang
diperlukan, belum terdapatnya peninjauan dan
rencana peningkatan pengelolaan
keberlangsungan dan belum dilakukanya
evaluasi terkait permasalahaan dan ancaman
keamanan yang pernah dialamai dalam
pengelolaan keberlangsungan data center.
Fakultas Ilmu Komputer, Universitas Brawijaya
1121
Perhitungan terakhir untuk hasil kapabilitas
yang dicapai DISKOMINFO Kabupaten
Sidoarjo selanjutnya yaitu pada proses DSS05
pada Tabel 7 juga mencapai level 1 dengan
Atribut Proses PA1.1 sebesar 82,14% sedangkan
pada level 2 dengan Atribut Proses PA2.1
sebesar 75,00%, kemudian pada Atribut Proses
PA2.2 sebesar 77,78% dan pada level 3 pada
atribut PA3.1 sebesar 75,00% sedangkan pada
atribut PA3.2 sebesar 57,14%.
Proses DSS05 tersebut mendapat nilai
kurang dari 86% yang berarti baru mencapai
level 1. Hasil evaluasi yang di dapat dari proses
penilaian tersebut diketahui bahwa dalam
melakukan proses pengelolaan layanan
keamanan dalam proses oprasional pihak
DISKOMINFO telah menggunakan antivirus
untuk perangkat komputer, terdapatnya firewall
untuk keamanan jaringan dan konektivitas, telah
dilakukanya pengkomunikasian terhadap
pegawai untuk meningkatkan kepedulian
tentang ancaman virus dan maleware, sudah
didefinisikan dan di terapkanya pengamanan hak
akses logic, telah dilakukan nya pendefinisian
dan penerapan terhadap keamanan fisik yang
menunjang pengelolaan terhadap data center
sesuai dengan SOP, telah dilakukannya
pendefinisian dan penerapan pada pemusnahan
terkait hak akses pengguna serta dokumen
penting yang sudah tidak dipakai dan
terdapatnya monitoring yang dilakukan untuk
memastikan kondisi infrastruktur dalam
melakukan proses pengelolaan data center
berjalan dengan baik.
5. PEMBAHASAN
Setelah dilakukanya pemetaan RACI Chart
dan penilaian terhadap proses pengelolaan
keamanan informasi data center, hasil kapailitas
level pada setiap proses yaitu mencapai Level 1
(Performed Process), penilaian terhadap
masing-masing proses diperkuat dengan
triangulasi data dengan cara melakukan
wawancara kembali terhadap reponden serta
dilakukanya observasi secara langsung pada
bagian pengelolaan keamanan informasi dan
melakukan pengumpulan bukti berupa
dokumen-dokumen yang dimiliki terkait dengan
pengelolaan Keamanan informasi pada data
center.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
Dari hasil wawancara, responden berharap
bahwa proses pengelolaan keamanan informasi
dapat mencapai level 3 (Established Process)
sehingga proses pengelolaan keamanan
informasi dapat berjalan secara konsisten,
terdefinisi serta diterapkan sebaik mungkin.
Sehingga masing-masing gap pada proses
APO13, DSS04 dan DSS05 sesuai pada Gambar
2 adalah sebesar dua tingkatan. Proses penilaian
yang telah dilakukan, untuk dapat mencapai
tingkatan level yang diharapkan pada masing-
masing proses maka perlunya pencapaian skala
Fully Achieved (F) pada level 1 dan level 2 serta
capaian skala Largely Achieved (L) atau Fully
Achieved (F) pada level 3 (Gunawan & Pratama,
2018). Untuk mencapai kriteria skala yang telah
di tentukan perlu dilakukanya beberapa aktivitas
serta dokumen yang harus dipenuhi sesuai
dengan rekomendasi yang dibuat pada penelitian
ini terhadap masing-masing proses.
Pada proses APO13 (Manage Security)
rekomendasi yang dapat diberikan untuk
meningkatkan proses pengelolaan keamanan
sehingga tercapainya target level yang
diharapkan. Rekomendasi pertama yaitu
bertujuan untuk memperjelas arah dan tujuan
dalam melakukan pengelolaan data center
dengan mendefinsikan dokumen tentang
business case organiasi. Rekomendasi kedua
adalah perlunya pendetailan, evaluasi dan
pengendalian terhadap dokumen sasaran Sistem
Manajemen Keamanan Informasi (SMKI).
Rekomendasi ketiga yaitu perlunya dokumen
yang mendefinisikan definisi arsitektur data
center. Rekomendasi keempat yaitu perlunya
pendetailan terhadap dokumen Manual
Keamanan Informasi dalam pengelolaan data
center khususnya dalam pengeloaan kemanan
informasi dengan melengkapi Standard
Oprational Procedure (SOP) serta dokumen
melakukan evaluasi secara berkala untuk
disesuaikan dengan kondisi organisasi.
Kemudian untuk proses DSS04 (Manage
Continuity) rekomendasi yang dapat diberikan
Fakultas Ilmu Komputer, Universitas Brawijaya
1122
untuk meningkatkan proses pengelolaan
keamanan terkait dengan keberlangsungan
layanan pengelolaan data center sehingga
tercapainya target level yang diharapkan.
Rekomendasi pertama yaitu bertujuan untuk
mengetahui sejauh mana proses pengelolaan
tersebut mencapai target dengan membuat
dokumen yang mendefisnikan tentang
pengukuran analisis kebutuhan yang ingin
dicapai (Gap). Dengan mengetahui nilai
kesenjangan tersebut maka akan mendorong
pengambilan sebuah keputusan yang diperlukan
untuk menutup kesenjangan. Rekomendasi yang
kedua adalah perlunya pengembangan lebih
lanjut terkait dengan dokumen SOP Manajemen
Keberlangsungan dengan pendefinisian
rekomendasi yang dibutuhkan dari hasil
pengujian yang telah dilakukan serta dilakukan
peninjauan ulang dari hasil Business Continuity
Plan (BCP). Rekomendasi terakhir yaitu
rekomendasi ketiga adalah perlunya
pendefinisian terhadap SOP manajemen
keberlangsungan yang dimilki oleh tim
keamanan informasi untuk penyusunan detail
kebutuhan pada proses seperti pendefinsian
struktur tim BCP, melakukan pelatihan pegawai
untuk meningkatkan kopetensi yang dimiliki
serta pendefinsian infrastruktur dan scope
kegiatan BCP. Harapan dengan adanya proses
BCP yang tepat mampu menumbuhkan
kemandirian dan mengurangi ketergantungan
pada pihak ke tiga jika terjadi bebrapa insiden
atau problem sehingga meningkatkan
responsifitas dalam penanganan.
Rekomendasi untuk proses DSS05 yang
dapat diberikan sehingga dapat meningkatkan
proses pengelolaan layanan keamanan untuk
tercapainya target level yang diharapkan.
Rekomendasi pertama yaitu mendefinisikan
dokumen atau kebijakan terkait jenis-jenis
perangkat lunak yang dapat digunakan dan yang
dapat membahayakan atau dapat menimbulkan
kerugian terkait dengan pengelolaan keamanan
data center. Rekomendasi kedua yaitu Perlunya
kebijakan atau aturan yang dikeluarkan oleh tim
keamanan informasi untuk mengatur tentang
penggunaan antivirus yang digunakan pada
setiap perangkat pengelola data center.
Rekomendasi ketiga yaitu perlunya dokumen
yang mendefinisikan penetration testing untuk
mengetahui kelemahan sistem sejak dini
sehingga dapat mengurangi dampak dari celah
keamanan. Rekomendasi keempat yaitu
perlunya pendefinisian dokumen tentang
pengelolaan klasifikasi data yang disimpan pada
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
data center seperti membedakan data yang dapat
diakses oleh pengguna. Rekomendasi kelima
yaitu perlunya dokumen tentang informasi
model asitektur data center. Rekomendasi
keenam adalah perlunya dokumen tentang
catatan hasil transaksi data untuk sehingga
meningkatkan transparansi dan menjamin
keamanan transaksi yang memanfaatkan data
center sebagai tempat penyimpanan.
Rekomendasi terakhir yaitu rekomendasi
ketujuh yaitu perlunya evaluasi dan peninjauan
pada dokumen manual keamanan informasi yang
digunakan sebagai pedoman pengelolaan
keamanan informasi pada data center.
6. PENUTUP
Berdasarkan hasil penelitian yang telah
dilakukan diketahui bahwa pada tingkat
kapabilitas yang di capai yaitu masing-masing
proses pada level 1, untuk proses APO13
mendapat persentase sebesar 64,29%, proses
DSS04 sebesar 64,29% dan pada proses DSS05
sebesar 82,14%. Dari hasil persentase tersebut
menandakan skala yang dicapai yaitu Largely
Achieved (L). Hasil pengumpulan data yang
dilakukan terhadap setiap responden yang telah
dipetakkan menggunakan RACI Chart, diketahui
bahwa target level yang ingin dicapai yaitu pada
level 3 (Established Porcess), sehingga hasil
Gap terhadap proses pengelolaan keamanan data
center sebesar dua tingkat pada setiap proses.
Rekomendasi yang dapat diberikan untuk
meningkatkan pengelolaan keamanan informasi
pada data center yaitu sebanyak empat
rekomendasi untuk proses APO13, tiga
rekomendasi untuk proses DSS04 dan tujuh
rekomendasi untuk proses DSS05.
7. DAFTAR PUSTAKA
CNN Indonesia, 2019. 225 Juta Serangan Siber
Masuk Indonesia Sepanjang 2018.
[Online]
Available at:
https://www.cnnindonesia.com/teknolo
gi/20190207210646-185-367347/225-
juta-serangan-siber-masuk-indonesia-
sepanjang-2018
[Diakses 1 November 2019].
CNN Indonesia, 2019. Server BMKG Diretas.
[Online]
Available at:
https://www.cnnindonesia.com/teknolo
gi/20191015121126-213-
Fakultas Ilmu Komputer, Universitas Brawijaya
1123
439595/server-bmkg-diretas
[Diakses 20 Oktober 2019].
Gunawan, B. & Pratama, F. A., 2018.
Perancangan Tata kelola Teknologi
Informasi. Yogyakarta: Penerbit Andi.
Haryanto, A. T., 2019. Hasil Investigasi: 7,8 Juta
Data Penumpang Lion Air Group Bocor.
[Online]
Available at: https://inet.detik.com/security/d-
4723338/hasil-investigasi-78-juta-data-
penumpang-lion-air-group-bocor
[Diakses 20 Oktober 2019].
ISACA, 2012. COBIT® 5: A Business
Framework for the Governance and
Management of Enterprise IT.
s.l.:Rolling Meadows.
ISACA, 2012. COBIT® 5: Enabling Processes.
s.l.:Rolling Meadows.
ISACA, 2013. COBIT® Process Assessment
Model (PAM): Using COBIT® 5. s.l.:
Rolling Meadows.
ISACA, 2013. COBIT® Self-assessment Guide:
Using COBIT® 5. s.l.:Rolling
Meadows.
Kurniawan, D., 2017. Membangun Data Center
untuk Sidoarjo Sekali Sentuh. [Online]
Available at:
https://www.liputan6.com/regional/read
/3001841/membangun-data-center-
untuk-sidoarjo-sekali-sentuh
[Diakses 17 November 2019].
Muryadi, A. D., 2017. Model Evaluasi Program
Dalam Penelitian Evaluasi. jurnal Ilmiah
Penjas, 3(1), pp. 1-16.
Najwa, N. F. & Susanto, T. D., 2018. Kajian dan
Peluang Penelitian Tata Kelola
Teknologi Informasi: Usalsan Literatur.
Jurnal Teknologi Informasi dan Ilmu
Komputer (JTIIK), 5(5), pp. 517-530.
Purwanto, E., 2014. Keamanan Informasi.
[Online]
Available at:
https://bpptik.kominfo.go.id/2014/03/2
4/404/keamanan-informasi/
[Diakses 30 Oktober 2019].
Putri, M. A., Aknuranda, . I. & Mahmudy, W. F.,
2017. Maturity Evaluation of
Information Technology Governance in
PT DEF Using Cobit 5 Framework.
Journal of Information Technology and
Computer Science, 2(1), pp. 17-19.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1124

Santosa, C. & Widyawan, 2015. Pemetaan Minyak. [Online]

Penurunan Tujuan COBIT 5 Untuk
Audit keamanan Sistem Informasi
(Studii Kasus: Sistem Informasi
Akademik Sekolah Tinggi XYZ). pp. 1-
7.
Santoso, B. P., Hariyanti, E. & Wuryanto, . E.,
2016. Penyusunan Panduan Pengelolaan
Keamanan Informasi Untuk Firewall
Configuration Berdasarkan Kerangka
Kerja PCI DSS v.3.1 dan COBIT 5.
Journal of Information Systems
Engineering and Business Intelligence,
2(2), pp. 68-73.
Silaban, M. W., 2019. Sidang Tahunan MPR,
Jokowi: Data lebih Berharga daripada
Available at:
https://bisnis.tempo.co/read/1236665/si
dang-tahunan-mpr-jokowi-data-lebih-
berharga-daripada-
minyak/full&view=ok
[Diakses 20 Oktober 2019].
Wartaekonomi, 2017. Wartaekonomi. [Online]
Available at:
https://www.wartaekonomi.co.id/read1
56032/pemkab-sidoarjo-rilis-aplikasi-
rumah-sidoarjo.html
[Diakses 20 Oktober 2019].

Fakultas Ilmu Komputer, Universitas Brawijaya