Abstrak² PT. Telekomunikasi Indonesia Tbk. (Telkom) Dalam proses bisnis utama Telkom yang sudah sangat
adalah perusahaan milik negara yang bergerak dalam bidang luas, Telkom memiliki banyak kantor cabang yang tersebar
penyedia layanan komunikasi di Indonesia. Saat ini Telkom di seluruh wilayah Indonesia dan terhubung langsung
berpusat di kota Bandung. Banyaknya jaringan yang terhubung dengan kantor pusat Telkom di kota Bandung. Saat ini
dengan kantor pusat Telkom tersebut, akan berdampak pada
Divisi Network of Broadband bertugas untuk menangani
munculnya risiko keamanan informasi yang dapat mengancam
Telkom dalam operasionalnya, sehingga perlu diadakan segala jaringan yang ada dalam Telkom Bandung. Baik itu
evaluasi atas keamanan informasi pada Divisi Network of dari segi jaringannya maupun perangkat, hingga
Broadband kantor pusat Telkom untuk mengetahui kondisi perencanaan perangkat tersebut. Dengan banyaknya
keamanan informasi pada Divisi Network of Broadband jaringan yang terhubung dengan kantor pusat Telkom
Telkom. tersebut, akan berdampak pada munculnya risiko keamanan
Indeks Keamanan Informasi (KAMI) merupakan suatu data yang dapat mengancam Telkom dalam kegiatan
bentuk aplikasi yang dibuat oleh Kementerian Komunikasi dan operasionalnya, sehingga perlu diadakan evaluasi atas
Informatika dan digunakan untuk mencari ukuran tingkat keamanan informasi dengan indeks KAMI pada Divisi
kematangan dan kelengkapan keamanan informasi pada instasi
Network of Broadband Telkom kota Bandung untuk
negara yang telah disesuaikan dengan standar internasional,
yaitu ISO 27001:2005. Tahap pertama dalam evaluasi indeks mengetahui kondisi terkini keamanan informasi yang
KAMI adalah melakukan penilaian tingkat ketergantungan kemudian dilanjutkan dengan membuat rekomendasi
TIK pada instasi tersebut, dan hasil dari tingkat perbaikan terhadap keamanan informasi tersebut dengan
ketergantungan tersebut akan digunakan sebagai batasan nilai harapan rekomendasi yang telah dibuat digunakan sebagai
dari penilaian lima area dalam indeks KAMI. bahan pertimbangan dalam rangka upaya meningkatkan
Hasil penilaian tingkat ketergantungan TIK adalah sebesar kualitas keamanan informasi Divisi Network of Broadband
44 dari total keseluruhan 48, dan termasuk dalam kategori Telkom Bandung agar dapat memberikan pelayanan yang
kritis, sehingga nilai minimal penilaian kelima area yang harus lebih baik dan dapat diandalkan.
didapatkan adalah sebesar 334. Hasil penilaian kelima area
yang telah dilakukan adalah sebesar 582 dari total keseluruhan
588 dan sudah termasuk dalam kategori optimal. Untuk itu II. TINJAUAN PUSTAKA
akan dibuatkan suatu saran perbaikan pada bagian-bagian
yang masih kurang dari hasil penilaian indeks KAMI yang telah A. Divisi Network of Broadband
dilakukan. Divisi Network of Broadband merupakan gabungan
antara divisi akses dan divisi infrastruktur telekomunikasi
Kata Kunci² indeks KAMI, ISO 27001, Keamanan informasi,
yang sebelumnya memiliki tugas yang terpisah dalam PT.
Telekomunikasi Indonesia Tbk. Peleburan kedua divisi ini
I. PENDAHULUAN
dimulai sejak tahun 2014. Divisi Network of Broadband
Penggunaan Teknologi Informasi dan Komunikasi adalah divisi dalam PT. Telekomunikasi Indonesia Tbk
(TIK) saat ini sudah menjadi kebutuhan dan tuntutan di yang bertanggung jawab atas segala jaringan yang ada
setiap instansi baik kecil maupun besar. PT. Telekomunikasi dalam perusahaan tersebut.
Indonesia Tbk (Telkom) merupakan perusahaan Badan Saat ini Divisi Network of Broadband menggunakan
Usaha Milik Negara (BUMN) yang bergerak dalam bidang ISO 27001:2005 sebagai panduan dalam penerapan
layanan komunikasi dan jaringan terbesar di Indonesia. keamanan informasi. Tetapi dimulai dari tahun 2014, divisi
Sebagai salah satu upaya untuk meningkatkan kualitas network of broadband sedang melakukan implementasi ISO
keamanan informasi pada instasi milik pemerintah, maka 27001:2013.
Kementrian Kominfo membuat suatu alat bantu untuk
mengukur tingkat kematangan dan kelengkapan dalam x Visi
keamanan informasi yang disebut dengan indeks Keamanan Memberikan support dan layanan jaringan yang dapat
Informasi (KAMI). Indeks KAMI dibuat dengan acuan ISO diandalkan oleh seluruh PT. Telkom Group
27001:2005 yang berisi tentang keamanan informasi[1]. x Misi
Sedangkan ISO 27001 adalah suatu bentuk kerangka
- Mengelola jaringan yang mengutamakan keamanan
keja standar internasional yang berisi tentang standar-
sesuai dengan standar internasional
standar dalam area keamanan informasi. ISO 27001
menyediakan kerangka kerja dalam lingkup penggunaan - Memberikan support jaringan yang dapat
teknologi dan pengelolaan aset yang membantu organisasi diandalkan untuk PT. Telkom Group
memastikan bahwa keamanan informasi sudah efektif. Hal
ini termasuk kemampuan akses data secara berkelanjutan, B. Keamanan Informasi
kerahasiaan, dan integritas atas informasi yang Pengertian dari keamanan informasi adalah upaya
dimilikinya[2]. untuk mengamankan aset informasi dari segala ancaman
JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: 2337-3539 (2301-9271 Print) A-229
yang mungkin terjadi untuk mengurangi resiko negatif yang manajemen tentang SMKI
diterima. Semakin banyak informasi yang disimpan di atau kegiatan pemantauan
sebuah organisasi maka semakin banyak juga juga resiko lainnya untuk mencapai
yang akan terjadi seperti kerusakan, kehilangan atau juga peningkatan yang
informasi yang bersifat pribadi bisa tersebar ke pihak yang berkelanjutan.
tidak bertanggung jawab. Terdapat lima layanan jaminan Organisasi harus menetapkan, menerapkan,
keamanan, diantaranya adalah sebagai berikut[3] : mengoperasikan, memantau, mengkaji, memelihara dan
1. Confidentiality, yaitu memastikan bahwa infomasi meningkatkan SMKI dan terdokumentasi dalam konteks
hanya dapat diakses oleh pihak yang memiliki bisnis organisasi secara keseluruhan beserta risiko yang
wewenang. dihadapinya[1].
2. Authenticity, yaitu menjamin informasi tersebut asli
3. Integrity, yaitu memastikan informasi tersebut tepat, b. Indeks KAMI
lengkap, dan sesuai dengan bentuk semula. Indeks KAMI adalah alat evaluasi untuk menganalisa
4. Availability, yaitu memastikan informasi dapat tingkat kesiapan pengamanan informasi di instansi
diakses oleh orang yang memiliki wewenang tanpa pemerintah. Alat evaluasi ini tidak ditujukan untuk
ada keterlambatan waktu jika data sedang menganalisa kelayakan atau efektifitas bentuk pengamanan
dibutuhkan. yang ada, melainkan sebagai perangkat untuk memberikan
5. Non-repudiation, yaitu menjamin pihak pengguna gambaran kondisi kesiapan (kelengkapan dan kematangan)
tidak dapat menyangkal keaslian tanda tangan kerangka kerja keamanan informasi kepada pimpinan
digital (digital signature) pada suatu dokumen atau instansi. Evaluasi dilakukan terhadap berbagai area yang
tempat dalam jaringan tersebut. menjadi target penerapan keamanan informasi dengan ruang
lingkup pembahasan yang juga memenuhi semua aspek
a. Sistem Manajemen Keamanan Informasi (SMKI) keamanan yang didefinisikan oleh standar SNI ISO/IEC
Sistem Manajemen Keamanan Informasi (SMKI) 27001:2009.
adalah suatu bentuk susunan proses yang dibuat berdasarkan
pendekatan resiko bisnis untuk merencanakan (Plan), c. Manajemen Risiko TI
mengimplementasikan dan mengoperasikan (Do), Manajemen risiko adalah proses mengelola dan
memonitoring dan meninjau (Check), serta memelihara dan mengatur risiko yang akan terjadi untuk mengurangi
meningkatkan atau mengembangkan (Act) terhadap dampak negatif yang ditimbulkan dari risiko tersebut bagi
keamanan informasi perusahaan. Keamanan informasi setiap individu atau organisasi. Sedangkan manajemen
ditujukan menjaga aspek kerahasian (Confidential), risiko TI adalah proses pengelolaan risiko yang
keutuhan (Integrity), dan ketersediaan (Availibity) dari berhubungan dengan TI. Berikut ini adalah proses dari
informasi. Dalam menerapkan keamanan informasi aspek manajemen risiko:
SMKI dan teknologi keamanan informasi tidak dapat a. Risk Identification, yaitu mengenal dan memahami
dipisahkan. Artinya sebaiknya suatu organisasi tidak hanya
seluruh risiko yang ada dan juga yang mungkin
menerapkan teknologi keamanan informasi saja tanpa
menerapkan SMKI[1]. muncul dari aktivitas.
Tabel 1 Definisi Proses SMKI b. Risk Measurement, yaitu mengukur dampak dan
kecenderungan terjadinya risiko.
PLAN (Menetapkan SMKI) Menetapkan kebijakan
c. Risk Controlling, yaitu evaluasi terhadap dampak
SMKI, sasaran, proses dan
prosedur yang relevan untuk risiko.
mengelola risiko dan d. Risk Financing, yaitu menentukan kapan dan kepada
meningkatkan keamanan siapa kerugian akibat risiko ditanggungkan.
informasi agar memberikan
hasil sesuai dengan d. Pengelolaan Aset
keseluruhan kebijakan dan Pengelolaan aset merupakan serangkaian kegiatan yang
sasaran. berhubungan dengan:
DO (Menerapkan dan Menerapkan dan - Identifikasi kebutuhan aset
menjalankan SMKI mengoperasikan kebijakan - Identifikasi pembiayaan aset
SMKI, kontrol, proses dan - Memperoleh aset
prosedur-prosedur . - Menyediakan logistik dan perawatan sistem untuk
CHECK (Memantau dan Mengkaji dan mengukur aset
melakukan tinjau ulang kinerja proses terhadap - Membuang atau memperbarui aset
SMKI) kebijakan, sasaran, praktek- Pengelolaan aset adalah kegiatan yang sistematis dan
praktek dalam menjalankan terkoordinasi dan dipraktekan secara mendalam dimana
SMKI dan melaporkan organisasi secara optimal dan berkelanjutan mengelola aset
hasilnya kepada manajemen dan sistem aset, kinerja aset, risiko dan pengeluaran selama
untuk ditinjau efektivitasnya. siklus hidup aset tersebut berjalan untuk mencapai rencana
ACT (Memelihara dan Melakukan tindakan strategis organisasinya. Pengelolaan aset bertujuan untuk
meningkatkan SMKI) perbaikan dan pencegahan, menyediakan informasi dan kapasitas terhadap aset tersebut,
berdasarkan hasil evaluasi, sehingga dapat membantu manajer untuk mengambil
audit internal dan tinjauan keputusan dalam suatu organisasi[4].
JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: 2337-3539 (2301-9271 Print) A-230
Saran Perbaikan:
Peraturan yang mengatur akun dan kata sandi sudah ada,
namun dalam pelaksanaan peraturan tersebut dalam kegiatan
sehari-hari masih kurang. Karena penggunaan akun dan kata
sandi tersebut tergantung dari setiap individu yang bekerja
dalam divisi, sehingga untuk membantu menegakkan peraturan
yang telah dibuat tersebut, perlu dibuat suatu kebijakan yang
secara khusus mengatur tentang penggunaan akun dan kata
sandi tersebut. Dokumen tersebut akan terdapat dalam
Lampiran buku tugas akhir ini.
Gambar 2Dashboard Hasil Indeks KAMI
Dari dashboard diatas, dapat dilihat bahwa tingkat V. KESIMPULAN DAN SARAN
kematangan keamanan informasi divisi Network of 5.1 Kesimpulan
Broadband PT. Telekomunikasi Indonesia sudah baik, yaitu Kesimpulan yang dapat diambil dari penelitian tugas
tingkat V dengan nilai sebesar 582. Dapat dilihat pada radar akhir dengan studi kasus Evaluasi Keamanan Informasi Pada
chart dashboard tersebut, bahwa hampir seluruh area yang Divisi Network Of Broadband PT. Telekomunikasi Indonesia
dinilai dalam indeks KAMI telah terpenuhi dan sesuai Tbk. Dengan Menggunakan Indeks Keamanan Informasi
dengan ISO 27001. (KAMI) antara lain:
x Hasil dari penilaian tingkat kepentingan dan peran
TIK adalah sebesar 44 dari total keseluruhan 48. Hal
ini menunjukan bahwa divisi Network of Broadband
Telkom sudah sangat kritis dalam hal penggunaan
TIK.
x Hasil keseluruhan dari penilaian kelima area dalam
indeks KAMI adalah sebesar 582 dari total
keseluruhan 588 dan berada pada level V. Level V
berarti sudah termasuk dalam kategori optimal, yang
memiliki arti antara lain:
Gambar 3 Hasil Penilaian Indeks KAMI o Pengamanan menyeluruh diterapkan secara
berkelanjutan dan efektif melalui program
Dari gambar diatas dapat terlihat jika nilai indeks KAMI pengelolaan risiko yang terstruktur
yang telah dicapai cukup bagus, yaitu mencapai tingkat V.
o Pengamanan informasi dan manajemen risiko
Dapat dikatakan bagus karena nilai yang dicapai sesuai
sudah terintegrasi dengan tugas pokok instansi
dengan peran dan tingkat kepentingan teknologi informasi
yang digunakan pada divisi network of broadband PT. o Kinerja pengamanan dievaluasi secara
Telekomunikasi Indonesia, yaitu mencapai tingkat kritis. berkelanjutan dengan analisa parameter
4.3 Saran Perbaikan efektifitas kontrol, kajian akar permasalahan
dan penerapan langkah untuk optimasi
Setelah melakukan penilaian dengan indeks KAMI dan
peningkatan kinerja
mengetahui hasil dari setiap area yang terdapat dalam indeks
KAMI, maka tahap selanjutnya adalah membuat saran o Target pencapaian program pengamanan
perbaikan pada setiap bagian yang masih kurang baik. informasi selalu dipantau, dievaluasi dan
Berikut ini adalah salah satu contoh tabel pemetaan dari diperbaiki
pertanyaan evaluasi, hasil evaluasi, dan saran perbaikan yang o Karyawan secara proaktif terlibat dalam
direkomendasikan: peningkatan efektifitas pengamanan
x Hasil penilaian kelima area menunjukan nilai
Tabel 8 Saran Perbaikan 1 sebesar 582, dengan hasil nilai tingkat kepentingan
Nomor Pertanyaan Jawaban Nilai TIK sebesar 44 maka divisi Network of Broadband
5.11 Apakah Instansi anda Dalam 2 PT. Telekomunikasi Indonesia Tbk sudah dapat
memiliki dan Penerapan / dikatakan matang dan sesuai dengan standart ISO
menerapkan perangkat Diterapkan 27001.
di bawah ini, sebagai Sebagian 5.2 Saran
kelanjutan dari proses Saran yang dapat diambil dari hasil pengerjaan tugas
penerapan mitigasi akhir dengan studi kasus Evaluasi Keamanan Informasi Pada
JURNAL TEKNIK POMITS Vol. 3, No. 2, (2014) ISSN: 2337-3539 (2301-9271 Print) A-233
DAFTAR PUSTAKA
[2] Perera, D. (2008, Juli 26). Daminda Perera's Home Page. Retrieved
Februari 28, 2014 Daimnda Perera's Home Page [online] :
http://www.daminda.com/
[3] Sekolah Tinggi Sandi Negara. (2012, Oktober 24). Hal Dasar Tentang
Keamanan Informasi (Bagian 2). Retrieved February 26, 2014, Sekolah
Tinggi Sandi Negara [online] : http://stsn-nci.ac.id/hal-dasar-tentang-
keamanan-informasi-bag-2/