Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 Fokus Proses APO13 Dan DSS05 (Studi Pada PT Martina Berto TBK)
Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan Framework COBIT 5 Fokus Proses APO13 Dan DSS05 (Studi Pada PT Martina Berto TBK)
Abstrak
PT Martina Berto Tbk adalah perusahaan manufaktur, pemasaran, penelitian dan pengembangan yang
ada di Martha Tilaar Group. Saat ini perusahaan telah menerapkan sistem dan teknologi informasi
dalam mendukung operasional perusahaan yang dilaksanakan oleh departemen Corporate IT. Tetapi,
terdapat beberapa kekurangan dalam penerapan tersebut khususnya dalam hal keamanan seperti
security incident yang kerap muncul serta serangan ke server perusahaan. Untuk mencegah hal-hal
tersebut terjadi lagi, maka perlu diketahui sejauh mana tata kelola sistem keamanan teknologi
informasi perusahaan dengan cara melakukan evaluasi, karena dengan adanya evaluasi dapat
dihasilkan rekomendasi berupa tindakan-tindakan apa yang harus dilakukan agar hal-hal tersebut tidak
terjadi lagi. Sehingga penelitian dilakukan untuk mengetahui Capability Level pada tata kelola sistem
keamanan teknologi informasi PT Martina Berto Tbk dengan menggunakan framework COBIT 5
domain proses APO13 dan DSS05. Data pada penelitian didapatkan dari wawancara, kuesioner dan
observasi. Hasil penelitian menunjukan Capability Level pada domain proses APO13 dan DSS05
berada pada level 1, sedangkan Capability Level yang diinginkan pada kedua domain proses adalah
level 2, sehingga menyisakan gap sebesar 1. Setelah mengetahui Capability Level saat ini dan yang
diinginkan, maka dibuatkan rekomendasi berdasarkan analisis SWOT. Rekomendasi yang diberikan
seperti pembentukan unit khusus keamanan informasi, membuat dokumen terkait pengelolaan dan
peningkatan keamanan informasi dan penaganan risiko keamanan informasi, membuat dokumen
standar operasional layanan keamanan serta melakukan pembaruan teknis teknologi informasi dan
pemantauan secara rutin.
Kata kunci: keamanan, framework COBIT 5, evaluasi tata kelola, PT Martina Berto Tbk
Abstract
PT Martina Berto Tbk is a manufacturing, marketing, research and development company within the
Martha Tilaar Group. Currently, the company has implemented systems and information technology
in support of corporate operations carried out by the Corporate IT department. However, there are
some deficiencies in the application, especially in terms of security, such as security incidents that
often arise and attacks to the corporate servers. To prevent these things from happening again, it is
necessary to know how far the governance of the company's information technology security system by
conducting an evaluation, because with the evaluation, recommendations in the form of what actions
should be done can be generated, so that security incidents won't happen again. The research was
conducted to determine the Capability Level on governance of information technology security
systems in PT Martina Berto Tbk using COBIT 5 framework process domain APO13 and DSS05. The
research data were obtained from interviews, questionnaires and observations. The results show the
Capability Level on the process domain APO13 and DSS05 are at level 1, while the desired Capability
Level in both process domains is level 2, leaving a gap of 1. After knowing the current and desired
Capability Level, then made a recommendation based on SWOT analysis. Recommendations are given
such as the establishment of a special unit of information security, making documents related to the
management and enhancement of information security and information security risk plotting, making
operational standard documentation of security services as well as updating technical information
technology and monitoring on a regular basis.
domain DSS proses DSS05. Hasil Capability 2. DSS05 – Manage Security Services.
Level yang didapatkan dari domain proses Melindungi informasi perusahaan untuk
APO13 dan DSS05 adalah 2 yaitu managed mempertahankan tingkat risiko keamanan
process yang menandakan bahwa proses informasi yang dapat diterima oleh
berhasil diimplementasikan dan produk kejanya perusahaan sesuai dengan kebijakan
sudah terbentuk, terkendali dan terpelihara. keamanan. Membangun dan memelihara
Level target yang ingin dicapai adalah 3 yaitu peran keamanan informasi dan hak akses
established process (Suryo, Fitroh, dan serta melakukan monitoring keamanan.
Ratnawati, 2014). Tujuan proses ini adalah memperkecil
dampak bisnis dari kerentanan keamanan
2.2. Cobit 5 informasi operasional dan insiden terkait.
Framework COBIT 5 merupakan IT a. DSS05.01 Protect against malware.
Governance framework versi terbaru yang b. DSS05.02 Manage network and
dikeluarkan oleh ISACA. COBIT 5 connectivity security.
menyediakan kerangka kerja komprehensif c. DSS05.03 Manage endpoint security.
yang membantu perusahaan mencapai d. DSS05.04 Manage user identity and
tujuannya dalam hal tata kelola dan manajemen logical address.
teknologi informasi perusahaan. Dengan kata e. DSS05.05 Manage physical access to
lain COBIT 5 membantu perusahaan IT assets.
menciptakan nilai yang optimal dari IT dengan f. DSS05.06 Manage sensitive
menjaga keseimbangan antara mewujudkan documents and output devices.
g. DSS05.07 Monitor the infrastructure
manfaat dan mengoptimalkan tingkat risiko dan
penggunaan sumber daya (ISACA, 2012b). for security-related events.
COBIT 5 terdiri dari 5 domain (Evaluate,
2.4. Capability Level
Direct and Monitor; Align, Plan and Organise;
Build, Acquire and Implement; Deliver, Service Capability Level setiap proses yang dinilai
and Support; Monitor, Evaluate and Assess) dinyatakan dalam level 0 sampai 5. Level 0
dengan total proses sebanyak 37 proses. adalah incomplete, level 1 adalah performed,
level 2 adalah managed, level 3 adalah
2.3. Fokus Proses established, level 4 adalah predictable, level 5
Fokus pada penelitian ini adalah dalam hal adalah optimizing. Setiap atribut dinilai
keamanan informasi sehingga domain APO menggunakan skala penilaian standard yang
pada proses APO13 dengan jumlah tiga sub- terdefinisi dalam standard ISO/IEC 15504
proses dan domain DSS pada proses DSS05 (ISACA, 2013). Gambar 1 menjelaskan skala
dengan jumlah tujuh sub-proses, proses-proses yang digunakan penilai selama penilaian untuk
tersebut dipilih karena menangani masalah membantu penilaian mereka terhadap
keamanan (ISACA, 2012a) : pencapaian saat ini.
1. APO13 – Manage Security. N Not Achieved 0 - 15% achievement
Mendefinisikan, mengoperasikan dan Partially
P >15% - 50% achievement
memantau sistem untuk manajemen Achieved
keamanan informasi. Tujuan proses ini L Largely Achieved >50% - 85% achievement
adalah menjaga dampak dan kejadian F Fully Achieved >85% - 100% achievement
Gambar 1. Capability Level COBIT 5
information security incident didalam
tingkat risiko yang dapat diterima
2.5. Analisis Gap
perusahaan. APO13 memiliki tiga sub-
proses, yaitu : Dalam bisnis analisis gap digunakan untuk
a. APO13.01 Establish and maintain an menentukan langkah-langkah apa yang perlu
information security management diambil untuk berpindah dari kondisi saat ini ke
system (ISMS). kondisi yang diinginkan atau keadaan masa
b. APO13.02 Define and manage an depan yang diinginkan. Analisis gap dapat juga
information security risk treatment diartikan sebagai perbandingan kinerja aktual
plan. dengan kinerja potensial atau yang diharapkan.
c. APO13.03 Monitor and review the Sebagai metoda, analisis gap digunakan sebagai
ISMS. alat evaluasi bisnis yang menitikberatkan pada
Accountable tertinggi dengan jumlah 3, Chief pencapaian level 1 adalah Fully Achieved,
Information Officer, Head IT Administration pencapaian level 2 adalah Largely Achieved dan
dan Information Security Manager memiliki Partially Achieved, pencapaian level 3 adalah
nilai Responsible tertinggi dengan jumlah Fully Achieved dan Partially Achieved,
masing-masing 3. Berdasarkan fungsi RACI pencapaian level 4 dan 5 adalah Not Achieved.
Chart, Manager departemen Corporate IT
berperan sebagai Chief Information Security Tabel 3. Hasil Kuesioner Responden 1
Officer dan Chief Information Officer, Head Proses APO13
Programmer berperan sebagai Head IT Level
Level 2 Level 3 Level 4 Level 5
Administration dan Supervisor Infrastructure 1
PA PA PA PA PA PA PA PA PA
berperan sebagai Information Security
1.1 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Manager. Sehingga dapat disimpulkan bahwa L L P P N P N N N
Manager departemen Corporate IT, Head
1
Programmer dan Supervisor Infrastructure
berkompeten menjadi responden dalam Proses DSS05
pengisian kuesioner pada domain APO proses Level
Level 2 Level 3 Level 4 Level 5
1
APO13. PA PA PA PA PA PA PA PA PA
Tabel 2. RACI Chart DSS05 1.1 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
F L P F P N N N N
1
sesuai dengan keadaan perusahaan saat ini dan Mandiri safe deposit box. Kegiatan tersebut
untuk menggali informasi yang lebih mendalam telah diatur dalam dokumen Prosedur Kerja
selain data dari kuesioner. Wawancara Baku ISO serta menggunakan penghancur
dilakukan kepada Manager departemen kertas untuk menghancurkan dokumen penting
Corporate IT PT Martina Berto Tbk. yang berkaitan dengan keamanan informasi
Dari hasil wawancara dan observasi, perusahaan.
didapati bahwa departemen Corporate IT telah
menjalankan pendekatan untuk mengelola 4.4. Hasil Capability Level
keamanan informasi, menjalankan teknologi Berdasarkan hasil dari kuesioner yang
dan bisnis proses yang aman dan sejalan dengan telah diisi oleh 3 responden dan wawancara
manajemen perusahaan. Namun kegiatan serta observasi yang dilakukan, maka dapat
tersebut belum terdokumentasi kedalam sebuah disimpulkan bahwa hasil dari Capability Level
dokumen perusahaan. Salah satu tindakan domain APO proses APO13 (manage security)
departemen Corporate IT dalam mengelola dan domain DSS proses DSS05 (manage
risiko keamanan informasi adalah dengan security services) yang masing-masing berada
melakukan “risk switching” ke perusahaan pada level 1 telah sesuai dengan keadaan yang
hosting services, dimana aspek keamanan sebenarnya di departemen Corporate IT PT
sangat diperhatikan, termasuk saran untuk Martina Berto Tbk.
tindakan keamanan (update patches, dll).
Dalam hal tindakan pencegahan dan Tabel 4. Ringkasan Penilaian Capability Level
penanggulangan sistem informasi dan teknologi
dari Malware, departemen Corporate IT belum Nama Proses Responden Capability Level
memiliki SOP yang membahas hal tersebut,
1 1
namun kegiatan tersebut sudah terlaksana APO13 2 1
dengan baik antara lain komputer menggunakan 3 1
sistem operasi open source yaitu openSuse, 1 1
penggunaan antivirus pada komputer berbasis DSS05 2 1
Windows, dan penggunaan firewall untuk 3 1
mengamankan informasi. Dalam hal mengelola
keamanan konektivitas, departemen Corporate Tabel 4 di atas menampilkan ringkasan
IT telah membuat instalasi jaringan yang tertata dari penilaian Capability Level yang didapatkan
untuk konektivitas setiap endpoint sesuai dari jawaban kuesioner oleh 3 responden yang
kebutuhan perusahaan. Serta mengkonfigurasi telah dipilih sebelumnya. Didapatkan hasil
peralatan jaringan dengan cara yang aman. Capability Level untuk proses APO13 berada
Dalam mengelola keamanan endpoint pada level 1 yaitu Performed dan proses DSS05
departemen Corporate IT telah melakukan berada pada level 1 yaitu Performed.
tindakan seperti membangun ruang server yang
sesuai dengan tujuan keamanan informasi, 4.5. Temuan Hasil Evaluasi
menggunakan sistem operasi berbasis open Sesuai dengan hasil dari kuesioner dan
source, meletakan data center di Indonesia wawancara serta observasi yang dilakukan
Internet Excange (IIX) dan menggunakan kepada pihak PT Martina Berto Tbk,
konfigurasi keamanan dalam aplikasi filtering didapatkan temuan sebagai berikut :
jaringan. Departemen Corporate IT juga telah 1. Belum adanya dokumen yang membahas
memastikan bahwa setiap pengguna memiliki pendekatan perusahaan untuk mengelola
hak akses yang sesuai dengan kebutuhan unit keamanan informasi, menjalankan
bisnisnya. Belum ada dokumen yang membahas teknologi dan bisnis proses yang aman dan
hal tersebut, namun kegiatan tersebut sudah sejalan dengan manajemen perusahaan.
diterapkan pada aplikasi perusahaan. 2. Tidak adanya unit khusus untuk
Tindakan yang dilakukan departemen menangani keamanan informasi.
Corporate IT dalam memantau akses ke 3. Dokumentasi pengelolaan risiko keamanan
infrastruktur adalah dengan memasang CCTV informasi baru dalam hal layanan hosting
dan perangkat fingerprint guna mengawasi dengan pihak ketiga saja, sedangkan
akses yang tidak sah. Dalam mengelola pengelolaan risiko keamanan informasi
dokumen sensitif, perusahaan menyimpan data yang lain belum ada dokumennya.
berharga termasuk physical backup ke dalam
3. Setelah mengetahui hasil evaluasi yang Framework for the Governance and
menyatakan bahwa departemen Corporate Management of Enterprise IT. Rolling
IT PT Martina Berto Tbk berada pada level Meadows: ISACA. [ebook]
1 untuk proses APO13 dan DSS05, ISACA (2013) Self-assessment Guide: Using
instansi terkait ingin meningkatkan nilai COBIT 5. Rolling Meadows: ISACA.
Capability Level menjadi naik 1 level dari
Martha Tilaar, G. (2010a) Sejarah PT Martina
hasil yang telah dicapai saat ini pada kedua
Berto TBK. [Online] Tersedia di :
prosesnya. Untuk mencapai nilai
<http://www.martinaberto.co.id/compa
Capability Level yang diinginkan, maka
ny.php?page=history&lang=id>
diberikan rekomendasi sebagai berikut :
[Diakses 4 Februari 2017].
a. Capability Level domain APO pada
proses APO13 adalah level 1, Rangkuti, F. (2004) ANALISIS SWOT :
sedangkan Capability Level yang Teknik Membedah Kasus Bisnis.
ingin dicapai adalah level 2, dengan Jakarta: PT Gramedia Pustaka Utama.
hasil analisis gap bernilai 1. Untuk Suryo, S., Fitroh dan Ratnawati, S. (2014)
mencapai nilai Capability Level yang 'Evaluation of Information Technology
diinginkan, maka diperlukan Governance using COBIT 5
pembentukan unit khusus yang Framework Focus APO13 and DSS05
memanajemeni keamanan informasi, in PPIKSN-BATAN', IEEE 2014
membuat dokumen terkait International Conference on Cyber and
pengelolaan dan peningkatan IT Service Management (CITSM), pp.
keamanan informasi dan penaganan 13–16..
risiko keamanan informasi, serta
menjalankan program audit keamanan
untuk memantau dan menilai
peningkatan evektivitas manajemen
keamanan informasi.
b. Capability Level domain DSS pada
proses DSS05 adalah level 1,
sedangkan Capability Level yang
ingin dicapai adalah level 2, dengan
hasil analisis gap bernilai 1. Untuk
mencapai nilai Capability Level yang
diinginkan, maka diperlukan
pembuatan dokumen terkait
pembagian hak akses pengguna,
pembuatan dokumen yang berisi
kebijakan dan SOP dalam hal
perlindungan dari malware, keamanan
konektivitas, keamanan perangkat
endpoint dan pengelolaan akses ke
insfrastruktur, serta melakukan
pembaruan teknis teknologi informasi
dan pemantauan secara rutin.
DAFTAR PUSTAKA
Adi, S. (2015) Gap Analysis (Analisa
Kesenjangan) [Online] Tersedia di :
<http://sis.binus.ac.id/2015/07/28/gap-
analysis-analisa-kesenjangan/>
[Diakses 17 Februari 2017].
ISACA (2012a) COBIT 5 Enabling Processes.
Rolling Meadows: ISACA. [ebook]
ISACA (2012b) COBIT 5 A Business