Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

Vol. 1, No. 12, Desember 2017, hlm. 1622-1631 http://j-ptiik.ub.ac.id

Evaluasi Tata Kelola Sistem Keamanan Teknologi Informasi Menggunakan

Framework COBIT 5 Fokus Proses APO13 dan DSS05
(Studi Pada PT Martina Berto Tbk)
Raja Gantino Mufti1, Suprapto2, Yusi Tyroni Mursityo3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1rajagantinomufti@gmail.com, 2spttif@ub.ac.id, 3yusi_tyro@ub.ac.id

Abstrak
PT Martina Berto Tbk adalah perusahaan manufaktur, pemasaran, penelitian dan pengembangan yang
ada di Martha Tilaar Group. Saat ini perusahaan telah menerapkan sistem dan teknologi informasi
dalam mendukung operasional perusahaan yang dilaksanakan oleh departemen Corporate IT. Tetapi,
terdapat beberapa kekurangan dalam penerapan tersebut khususnya dalam hal keamanan seperti
security incident yang kerap muncul serta serangan ke server perusahaan. Untuk mencegah hal-hal
tersebut terjadi lagi, maka perlu diketahui sejauh mana tata kelola sistem keamanan teknologi
informasi perusahaan dengan cara melakukan evaluasi, karena dengan adanya evaluasi dapat
dihasilkan rekomendasi berupa tindakan-tindakan apa yang harus dilakukan agar hal-hal tersebut tidak
terjadi lagi. Sehingga penelitian dilakukan untuk mengetahui Capability Level pada tata kelola sistem
keamanan teknologi informasi PT Martina Berto Tbk dengan menggunakan framework COBIT 5
domain proses APO13 dan DSS05. Data pada penelitian didapatkan dari wawancara, kuesioner dan
observasi. Hasil penelitian menunjukan Capability Level pada domain proses APO13 dan DSS05
berada pada level 1, sedangkan Capability Level yang diinginkan pada kedua domain proses adalah
level 2, sehingga menyisakan gap sebesar 1. Setelah mengetahui Capability Level saat ini dan yang
diinginkan, maka dibuatkan rekomendasi berdasarkan analisis SWOT. Rekomendasi yang diberikan
seperti pembentukan unit khusus keamanan informasi, membuat dokumen terkait pengelolaan dan
peningkatan keamanan informasi dan penaganan risiko keamanan informasi, membuat dokumen
standar operasional layanan keamanan serta melakukan pembaruan teknis teknologi informasi dan
pemantauan secara rutin.
Kata kunci: keamanan, framework COBIT 5, evaluasi tata kelola, PT Martina Berto Tbk

Abstract
PT Martina Berto Tbk is a manufacturing, marketing, research and development company within the
Martha Tilaar Group. Currently, the company has implemented systems and information technology
in support of corporate operations carried out by the Corporate IT department. However, there are
some deficiencies in the application, especially in terms of security, such as security incidents that
often arise and attacks to the corporate servers. To prevent these things from happening again, it is
necessary to know how far the governance of the company's information technology security system by
conducting an evaluation, because with the evaluation, recommendations in the form of what actions
should be done can be generated, so that security incidents won't happen again. The research was
conducted to determine the Capability Level on governance of information technology security
systems in PT Martina Berto Tbk using COBIT 5 framework process domain APO13 and DSS05. The
research data were obtained from interviews, questionnaires and observations. The results show the
Capability Level on the process domain APO13 and DSS05 are at level 1, while the desired Capability
Level in both process domains is level 2, leaving a gap of 1. After knowing the current and desired
Capability Level, then made a recommendation based on SWOT analysis. Recommendations are given
such as the establishment of a special unit of information security, making documents related to the
management and enhancement of information security and information security risk plotting, making
operational standard documentation of security services as well as updating technical information
technology and monitoring on a regular basis.

Fakultas Ilmu Komputer

Universitas Brawijaya 1622
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
Keywords: security, framework COBIT 5, evaluation of governance, PT Martina Berto Tbk
1. PENDAHULUAN
PT Martina Berto Tbk adalah perusahaan
manufaktur, pemasaran, penelitian dan
pengembangan yang ada di Martha Tilaar
Group (Martha Tilaar, 2010a). Sebagai salah
satu produsen kosmetik terbesar di Indonesia,
PT Martina Berto Tbk dituntut untuk mengikuti
perkembangan teknologi yang ada. Salah
satunya adalah Information Technology (IT)
sebagai penunjang aktivitas perusahaan. Oleh
sebab itu, PT Martina Berto Tbk sudah
membentuk sebuah departemen Corporate IT
untuk mengelola aktivitas IT baik di PT
Martina Berto Tbk maupun di sister company
dalam Martha Tilaar Group. Semakin besar
aktivitas IT yang dilakukan perusahaan, maka
semakin besar pula tantangan keamanan
informasi yang dihadapi perusahaan, tak
terkecuali perusahaan PT Martina Berto Tbk.
Berdasarkan hasil wawancara dengan Bapak
Vincent Darmawan selaku Corporate IT
Manager dan Bapak Arief Rama Syarif selaku
Infrastructure Solution Manager perusahaan PT
Martina Berto Tbk yang dilampirkan dalam
Lampiran A, mengatakan bahwa keamanan
informasi merupakan prioritas penting bagi
perusahaan. Oleh sebab itu perusahaan selalu
melakukan backup data berdasarkan ISO 9001
yang berfokus pada mutu IT, menyimpan data
dalam bentuk fisik di Mandiri Safe Deposit Box
(SDB), menggunakan jasa hosting Dreamhost
dan menggunakan jasa Indonesia Internet
Exchange sebagai provider data center.
Perusahaan juga mengimplementasikan
mekanisme keamanan dari sisi physical berupa
membatasi hak akses, menggunakan
fingerprint, memasang cctv, dan melakukan
body check di tempat penyimpanan informasi.
Serta mekanisme keamanan dari sisi software
berupa penggunaan sistem operasi open source,
kewajiban menggunakan antivirus untuk sistem
operasi Windows, pembatasan hak akses
informasi berdasarkan departemen masing-
masing, menggunakan spamfilter dan
menggunakan dua mekanisme firewall dari
Linux dan Mikrotik.
Departemen Corporate IT PT Martina
Berto Tbk perlu dievaluasi karena mekanisme
pengamanan tersebut belum tertuang kedalam
Standar Operasional Prosedur (SOP)
perusahaan. Selain itu, departemen Corporate
Fakultas Ilmu Komputer, Universitas Brawijaya
1623
IT PT Martina Berto Tbk belum memiliki unit
khusus yang berfokus pada aktivitas
pengamanan informasi, security incident juga
kerap muncul berupa broadcast dari salah satu
web server perusahaan serta ‘serangan’ yang
mengarah ke server perusahaan. Kondisi server
perusahaan saat ini berada dalam posisi ip
public karena belum diimplementasikannya vpn
(virtual private network) bagi yang ingin
mengakses server. Perusahaan pernah
menggunakan jasa freelancer audit security,
tetapi kegiatan tersebut sudah tidak dilanjutkan
oleh manajemen, serta departemen Corporate
IT PT Martina Berto Tbk belum pernah
melakukan evaluasi menggunakan framework
COBIT 5. Oleh karena itu, departemen
Corporate IT PT Martina Berto Tbk perlu
diukur dan dievaluasi untuk mengetahui sejauh
mana departemen Corporate IT PT Martina
Berto Tbk dalam mengelola keamanan
informasi perusahaan. Kegiatan tersebut juga
digunakan untuk menghasilkan rekomendasi
dalam pencapaian tingkat kemampuan yang
optimal, sehingga dapat membantu mencapai
visi dan misi perusahaan.
Penelitian ini bertujuan untuk menilai
sejauh mana tingkat kemampuan atau
Capability Level teknologi informasi fokus
keamanan informasi departemen Corporate IT
di PT Martina Berto Tbk dengan judul
“Evaluasi Tata Kelola Sistem Keamanan
Teknologi Informasi Menggunakan Framework
COBIT 5 Fokus Proses APO13 dan DSS05
(Studi Pada PT Martina Berto Tbk)”.
Diharapkan dengan penerapan evaluasi
keamanan teknologi informasi tersebut dapat
mengukur Capability Level dan memberikan
rekomendasi untuk perbaikan teknologi
informasi dari analisis kesenjangan atau gap
analysis dan analisis SWOT dari hasil evaluasi
tersebut.
2. LANDASAN KEPUSTAKAAN
2.1. Landasan Kepustakaan
Penelitian sebelumnya yang dilakukan oleh
Suryo, Fitroh dan Ratnawati pada Badan
Tenaga Nuklir Nasional (BATAN) adalah
mengaudit Pusat Pendayagunaan Informatika
dan Kawasan Strategis Nuklir (PPIKSN)
BATAN menggunakan framework COBIT 5
dengan domain APO proses APO13 dan
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
domain DSS proses DSS05. Hasil Capability
Level yang didapatkan dari domain proses
APO13 dan DSS05 adalah 2 yaitu managed
process yang menandakan bahwa proses
berhasil diimplementasikan dan produk kejanya
sudah terbentuk, terkendali dan terpelihara.
Level target yang ingin dicapai adalah 3 yaitu
established process (Suryo, Fitroh, dan
Ratnawati, 2014).
2.2. Cobit 5
Framework COBIT 5 merupakan IT
Governance framework versi terbaru yang
dikeluarkan oleh ISACA. COBIT 5 connectivity security.
menyediakan kerangka kerja komprehensif
yang membantu perusahaan mencapai
tujuannya dalam hal tata kelola dan manajemen
teknologi informasi perusahaan. Dengan kata
lain COBIT 5 membantu perusahaan
menciptakan nilai yang optimal dari IT dengan
menjaga keseimbangan antara mewujudkan
manfaat dan mengoptimalkan tingkat risiko dan
penggunaan sumber daya (ISACA, 2012b).
COBIT 5 terdiri dari 5 domain (Evaluate,
Direct and Monitor; Align, Plan and Organise;
Build, Acquire and Implement; Deliver, Service
and Support; Monitor, Evaluate and Assess)
dengan total proses sebanyak 37 proses.
2.3. Fokus Proses
Fokus pada penelitian ini adalah dalam hal
keamanan informasi sehingga domain APO
pada proses APO13 dengan jumlah tiga sub-
proses dan domain DSS pada proses DSS05
dengan jumlah tujuh sub-proses, proses-proses
tersebut dipilih karena menangani masalah
keamanan (ISACA, 2012a) :
1. APO13 – Manage Security.
Mendefinisikan, mengoperasikan dan
memantau sistem untuk manajemen
keamanan informasi. Tujuan proses ini
adalah menjaga dampak dan kejadian
information security incident didalam
tingkat risiko yang dapat diterima
perusahaan. APO13 memiliki tiga sub-
proses, yaitu :
a. APO13.01 Establish and maintain an
information security management
system (ISMS).
b. APO13.02 Define and manage an
information security risk treatment
plan.
c. APO13.03 Monitor and review the
ISMS.
Fakultas Ilmu Komputer, Universitas Brawijaya
1624
2. DSS05 – Manage Security Services.
Melindungi informasi perusahaan untuk
mempertahankan tingkat risiko keamanan
informasi yang dapat diterima oleh
perusahaan sesuai dengan kebijakan
keamanan. Membangun dan memelihara
peran keamanan informasi dan hak akses
serta melakukan monitoring keamanan.
Tujuan proses ini adalah memperkecil
dampak bisnis dari kerentanan keamanan
informasi operasional dan insiden terkait.
a. DSS05.01 Protect against malware.
b. DSS05.02 Manage network and
c. DSS05.03 Manage endpoint security.
d. DSS05.04 Manage user identity and
logical address.
e. DSS05.05 Manage physical access to
IT assets.
f. DSS05.06 Manage sensitive
documents and output devices.
g. DSS05.07 Monitor the infrastructure
for security-related events.
2.4. Capability Level
Capability Level setiap proses yang dinilai
dinyatakan dalam level 0 sampai 5. Level 0
adalah incomplete, level 1 adalah performed,
level 2 adalah managed, level 3 adalah
established, level 4 adalah predictable, level 5
adalah optimizing. Setiap atribut dinilai
menggunakan skala penilaian standard yang
terdefinisi dalam standard ISO/IEC 15504
(ISACA, 2013). Gambar 1 menjelaskan skala
yang digunakan penilai selama penilaian untuk
membantu penilaian mereka terhadap
pencapaian saat ini.
N Not Achieved 0 - 15% achievement
Partially
P >15% - 50% achievement
Achieved
L Largely Achieved >50% - 85% achievement
F Fully Achieved >85% - 100% achievement
Gambar 1. Capability Level COBIT 5
2.5. Analisis Gap
Dalam bisnis analisis gap digunakan untuk
menentukan langkah-langkah apa yang perlu
diambil untuk berpindah dari kondisi saat ini ke
kondisi yang diinginkan atau keadaan masa
depan yang diinginkan. Analisis gap dapat juga
diartikan sebagai perbandingan kinerja aktual
dengan kinerja potensial atau yang diharapkan.
Sebagai metoda, analisis gap digunakan sebagai
alat evaluasi bisnis yang menitikberatkan pada
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1625

kesenjangan kinerja perusahaan saat ini dengan

kinerja yang sudah ditargetkan sebelumnya.
Analisis ini juga mengidentifikasi tindakan- Analisis Capability Level
tindakan apa saja yang diperlukan untuk
mengurangi kesenjangan atau mencapai kinerja
yang diharapkan pada masa datang (Adi, 2015). Analisis Gap

2.6. Analisis SWOT

Analisis SWOT
Menurut Rangkuti (2004) analisis SWOT
adalah identifikasi berbagai faktor secara
sistematis untuk merumuskan strategi Membuat Rekomendasi
perusahaan. Analisis ini didasarkan pada logika
yang dapat memaksimalkan kekuatan
(Strengths) dan peluang (Opportunities), namun Kesimpulan
secara bersamaan dapat meminimalkan
kelemahan (Weaknesses) dan ancaman
Selesai
(Threats). SWOT adalah singkatan dari
lingkungan internal Strengths dan Weaknesses
Gambar 2. Alur Kerja Penelitian
serta lingkungan eksternal Opportunities dan
Threats yang dihadapi dunia bisnis. Analisis 1. Melakukan studi literatur tentang COBIT 5
SWOT membandingkanantara faktor eksternal terutama domain APO pada proses APO13
peluang (Opportunities) dan ancaman (Threats) dan domain DSS pada proses DSS05,
dengan faktor internal kekuatan (Strengths) dan sejarah dan profil perusahaan PT Martina
kelemahan (Weaknesses). Berto Tbk dan departemen Corporate IT.
2. Menentukan subjek dan objek penelitian di
3. METODOLOGI PT Martina Berto Tbk.
Pada Gambar 2 dibawah ini adalah alur 3. Menentukan responden yang akan mengisi
kerja penelitian evaluasi. Dimulai dari studi kuesioner berdasarkan RACI Chart.
literatur sampai pengumpulan dan analisis data 4. Melakukan wawancara dan observasi di
serta pemberian kesimpulan. departemen Corporate IT dan pengambilan
data dengan menggunakan kuesioner
kepada responden yang sudah ditentukan.
Mulai 5. Mengevaluasi dan menganalisis data dari
kuesioner yang delah diisi.
6. Membuat analis gap dan analisis SWOT
Studi Literatur dari hasil kuesioner yang telah diisi.
7. Membuat rekomendasi dari hasil Evaluasi
Tata Kelola Sistem Keamanan Teknologi
Analisis RACI Chart
Informasi.

Pengumpulan Data 4. HASIL

Wawancara Kuesioner 4.1. Analisis RACI Chart

dan Tabel 1. RACI Chart APO13

Berdasarkan dari Tabel 1 di atas Chief

Information Security Officer memiliki nilai

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1626

Accountable tertinggi dengan jumlah 3, Chief pencapaian level 1 adalah Fully Achieved,
Information Officer, Head IT Administration pencapaian level 2 adalah Largely Achieved dan
dan Information Security Manager memiliki Partially Achieved, pencapaian level 3 adalah
nilai Responsible tertinggi dengan jumlah Fully Achieved dan Partially Achieved,
masing-masing 3. Berdasarkan fungsi RACI pencapaian level 4 dan 5 adalah Not Achieved.
Chart, Manager departemen Corporate IT
berperan sebagai Chief Information Security Tabel 3. Hasil Kuesioner Responden 1
Officer dan Chief Information Officer, Head Proses APO13
Programmer berperan sebagai Head IT Level
Level 2 Level 3 Level 4 Level 5
Administration dan Supervisor Infrastructure 1
PA PA PA PA PA PA PA PA PA
berperan sebagai Information Security
1.1 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Manager. Sehingga dapat disimpulkan bahwa L L P P N P N N N
Manager departemen Corporate IT, Head
1
Programmer dan Supervisor Infrastructure
berkompeten menjadi responden dalam Proses DSS05
pengisian kuesioner pada domain APO proses Level
Level 2 Level 3 Level 4 Level 5
1
APO13. PA PA PA PA PA PA PA PA PA
Tabel 2. RACI Chart DSS05 1.1 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
F L P F P N N N N
1

Responden 2 didapatkan nilai Capability

Berdasarkan dari Tabel 2 di atas Head IT
Operations memiliki nilai Responsible tertinggi
dengan jumlah 7 diikuti oleh Information
Security Manager dengan jumlah 6, sedangkan
Chief Information Security Officer memiliki
nilai Accountable tertinggi dengan jumlah 6.
Berdasarkan fungsi RACI Chart, Manager
departemen Corporate IT berperan sebagai
Chief Information Security Officer, Head
Programmer berperan sebagai Head IT
Operations dan Supervisor Infrastructure
berperan sebagai Information Security
Manager. Sehingga dapat disimpulkan bahwa
Manager departemen Corporate IT, Head
Programmer dan Supervisor Infrastructure
berkompeten menjadi responden dalam
pengisian kuesioner pada domain DSS proses
DSS05.
4.2. Hasil Kuesioner
Berdasarkan Tabel 3 dibawah dari
responden 1 didapatkan nilai Capability Level
pada domain APO proses APO13 dan domain
DSS proses DSS05 adalah level 1. Pada proses
APO13 pencapaian level 1 adalah Largely
Achieved, pencapaian level 2 adalah Largely
Achieved dan Partially Achieved, pencapaian
level 3 dan 4 adalah Partially Achieved dan Not
Achieved, pencapaian level 5 adalah Not
Achieved. Sedangkan pada proses DSS05
Level pada domain APO proses APO13 dan
domain DSS proses DSS05 adalah level 1. Pada
proses APO13 pencapaian level 1 adalah
Largely Achieved, pencapaian level 2 adalah
Largely Achieved dan Partially Achieved,
pencapaian level 3 dan 4 adalah Partially
Achieved, pencapaian level 5 adalah Not
Achieved. Sedangkan pada proses DSS05
pencapaian level 1 adalah Fully Achieved,
pencapaian level 2 adalah Largely Achieved dan
Partially Achieved, pencapaian level 3 dan 4
adalah Partially Achieved, pencapaian level 5
adalah Not Achieved.
Sedangkan responden 3 didapatkan nilai
Capability Level pada domain APO proses
APO13 dan domain DSS proses DSS05 adalah
level 1. Pada proses APO13 pencapaian level 1
adalah Largely Achieved, pencapaian level 2
adalah Partially Achieved dan Not Achieved,
pencapaian level 3 adalah Partially Achieved,
pencapaian level 4 adalah Partially Achieved
dan Not Achieved, pencapaian level 5 adalah
Not Achieved. Sedangkan pada proses DSS05
pencapaian level 1 adalah Fully Achieved,
pencapaian level 2 adalah Largely Achieved dan
Partially Achieved, pencapaian level 3 adalah
Partially Achieved dan Not Achieved,
pencapaian level 4 dan 5 adalah Not Achieved.
4.3. Hasil Wawancara dan Observasi
Wawancara dan observasi dilakukan untuk
memverifikasi hasil kuesioner apakah sudah

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
sesuai dengan keadaan perusahaan saat ini dan
untuk menggali informasi yang lebih mendalam
selain data dari kuesioner. Wawancara
dilakukan kepada Manager departemen
Corporate IT PT Martina Berto Tbk.
Dari hasil wawancara dan observasi,
didapati bahwa departemen Corporate IT telah
menjalankan pendekatan untuk mengelola
keamanan informasi, menjalankan teknologi
dan bisnis proses yang aman dan sejalan dengan
manajemen perusahaan. Namun kegiatan
tersebut belum terdokumentasi kedalam sebuah
dokumen perusahaan. Salah satu tindakan
departemen Corporate IT dalam mengelola
risiko keamanan informasi adalah dengan
melakukan “risk switching” ke perusahaan
hosting services, dimana aspek keamanan
sangat diperhatikan, termasuk saran untuk
tindakan keamanan (update patches, dll).
Dalam hal tindakan pencegahan dan
penanggulangan sistem informasi dan teknologi
dari Malware, departemen Corporate IT belum
memiliki SOP yang membahas hal tersebut,
namun kegiatan tersebut sudah terlaksana
dengan baik antara lain komputer menggunakan
sistem operasi open source yaitu openSuse,
penggunaan antivirus pada komputer berbasis
Windows, dan penggunaan firewall untuk
mengamankan informasi. Dalam hal mengelola
keamanan konektivitas, departemen Corporate
IT telah membuat instalasi jaringan yang tertata
untuk konektivitas setiap endpoint sesuai
kebutuhan perusahaan. Serta mengkonfigurasi
peralatan jaringan dengan cara yang aman.
Dalam mengelola keamanan endpoint
departemen Corporate IT telah melakukan
tindakan seperti membangun ruang server yang
sesuai dengan tujuan keamanan informasi,
menggunakan sistem operasi berbasis open
source, meletakan data center di Indonesia
Internet Excange (IIX) dan menggunakan
konfigurasi keamanan dalam aplikasi filtering
jaringan. Departemen Corporate IT juga telah
memastikan bahwa setiap pengguna memiliki
hak akses yang sesuai dengan kebutuhan unit
bisnisnya. Belum ada dokumen yang membahas
hal tersebut, namun kegiatan tersebut sudah
diterapkan pada aplikasi perusahaan.
Tindakan yang dilakukan departemen
Corporate IT dalam memantau akses ke
infrastruktur adalah dengan memasang CCTV
dan perangkat fingerprint guna mengawasi
akses yang tidak sah. Dalam mengelola
dokumen sensitif, perusahaan menyimpan data
berharga termasuk physical backup ke dalam
Fakultas Ilmu Komputer, Universitas Brawijaya
1627
Mandiri safe deposit box. Kegiatan tersebut
telah diatur dalam dokumen Prosedur Kerja
Baku ISO serta menggunakan penghancur
kertas untuk menghancurkan dokumen penting
yang berkaitan dengan keamanan informasi
perusahaan.
4.4. Hasil Capability Level
Berdasarkan hasil dari kuesioner yang
telah diisi oleh 3 responden dan wawancara
serta observasi yang dilakukan, maka dapat
disimpulkan bahwa hasil dari Capability Level
domain APO proses APO13 (manage security)
dan domain DSS proses DSS05 (manage
security services) yang masing-masing berada
pada level 1 telah sesuai dengan keadaan yang
sebenarnya di departemen Corporate IT PT
Martina Berto Tbk.
Tabel 4. Ringkasan Penilaian Capability Level
Nama Proses Responden Capability Level
1 1
APO13 2 1
3 1
1 1
DSS05 2 1
3 1
Tabel 4 di atas menampilkan ringkasan
dari penilaian Capability Level yang didapatkan
dari jawaban kuesioner oleh 3 responden yang
telah dipilih sebelumnya. Didapatkan hasil
Capability Level untuk proses APO13 berada
pada level 1 yaitu Performed dan proses DSS05
berada pada level 1 yaitu Performed.
4.5. Temuan Hasil Evaluasi
Sesuai dengan hasil dari kuesioner dan
wawancara serta observasi yang dilakukan
kepada pihak PT Martina Berto Tbk,
didapatkan temuan sebagai berikut :
1. Belum adanya dokumen yang membahas
pendekatan perusahaan untuk mengelola
keamanan informasi, menjalankan
teknologi dan bisnis proses yang aman dan
sejalan dengan manajemen perusahaan.
2. Tidak adanya unit khusus untuk
menangani keamanan informasi.
3. Dokumentasi pengelolaan risiko keamanan
informasi baru dalam hal layanan hosting
dengan pihak ketiga saja, sedangkan
pengelolaan risiko keamanan informasi
yang lain belum ada dokumennya.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
4. Penilaian atau pengukuran untuk
mengetahui sejauh mana keberhasilan
usaha peningkatan keamanan informasi
tidak dilanjutkan perusahaan.
5. Belum selesainya dokumen SOP yang
mendefinisikan, mengatur dan memberikan
pedoman kegiatan dalam prosedur
perlindungan sistem informasi dan
teknologi dari malware, prosedur
pengelolaan keamanan konektivitas,
prosedur pengelolaan keamanan endpoint
serta prosedur pengelolaan akses ke
infrastruktur.
6. Belum ada dokumen yang membahas hak
akses pengguna yang sesuai dengan
kebutuhan unit bisnisnya. Baru mengacu
pada setiap aplikasi yang ada.
5. PEMBAHASAN
5.1. Analisis Gap
Berdasakan hasil wawancara didapati
bahwa level yang ingin dicapai PT Martina
Berto Tbk adalah naik satu tingkat dari nilai
yang sudah ada pada setiap domain prosesnya.
Tabel 5 menunjukan bahwa hasil Capability
Level pada proses APO13 dan DSS05 adalah
bernilai 1 dan level yang ingin dicapai kedua
proses tersebut adalah 2 sehingga menghasilkan
gap masing-masing sebesar 1.
Tabel 5. Analisis Gap Keseluruhan Domain Proses
Level saat Level
Proses Gap
ini Target
APO13 1 2 1 konektivitas sebagai prinsip dasar kegiatan
DSS05 1 2 1 mengelola keamanan konektivitas. Serta
5.2. Analisis Capability Level
Berdasakan Tabel 5 diatas menunjukan
bahwa kesenjangan atau gap APO13 yang
dihasilkan antara level saat ini dan level yang
ingin dicapai adalah sebesar 1, maka yang perlu
dilakukan departemen Corporate IT PT Martina
Berto Tbk untuk mencapai target yang
diinginkan adalah :
1. Memiliki suatu unit khusus yang memiliki
tugas untuk merencanakan, memantau dan
mengatur hal-hal yang berkaitan dengan
manajemen keamanan informasi.
2. Memiliki dokumen tertulis yang berisi
perancangan, penerapan dan pemeliharaan
suatu rangkaian prosedur terpadu dan
kebijakan-kebijakan dalam mengelola
keamanan informasi, menjalankan
teknologi dan proses bisnis yang aman
Fakultas Ilmu Komputer, Universitas Brawijaya
1628
serta sejalan dengan manajemen
perusahaan.
3. Memiliki dokumen tertulis yang berisi
rencana penanganan risiko keamanan
informasi yang menjelaskan bagaimana
risiko keamanan informasi dikelola dan
pengelolaan tersebut sejalan dengan
strategi perusahaan, serta penanganan
risiko keamanan informasi tersebut dapat
menjangkau seluruh aspek teknologi
informasi.
4. Setiap aktivitas pengimplementasian
peningkatan keamanan harus memiliki
dokumen business case keamanan
informasi yang telah disetujui oleh
manajemen.
5. Memiliki program audit internal
keamanan, sebagai salah satu usaha untuk
memantau dan menilai apakah
peningkatkan efektivitas prosedur dan
kebijakan keamanan informasi yang secara
berkelanjutan sudah sesuai atau belum.
Sedangkan kesenjangan atau gap DSS05
yang dihasilkan antara level saat ini dan level
yang ingin dicapai adalah sebesar 1, maka yang
perlu dilakukan departemen Corporate IT PT
Martina Berto Tbk untuk mencapai target yang
diinginkan adalah :
1. Memiliki dokumen kebijakan pencegahan
perangkat lunak berbahaya sebagai prinsip
dasar kegiatan perlindungan dari malware.
Serta melakukan evaluasi potensi ancaman
di masa mendatang.
2. Memiliki dokumen kebijakan keamanan
melakukan penetration test secara berkala
untuk menilai kecukupan keamanan
jaringan dan hasilnya didokumentasikan
dengan baik.
3. Memiliki dokumen kebijakan keamanan
perangkat endpoint sebagai prinsip dasar
kegiatan mengelola keamanan endpoint.
4. Memiliki dokumen tertulis yang berisi
pembahasan pembagian hak akses
pengguna sesuai dengan kebutuhan unit
bisnisnya.
5. Memiliki dokumen SOP yang
mendefinisikan, mengatur dan memberikan
pedoman kegiatan dalam prosedur
perlindungan sistem informasi dan
teknologi dari malware, prosedur
pengelolaan keamanan konektivitas,
prosedur pengelolaan keamanan endpoint
serta prosedur pengelolaan akses ke
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
infrastruktur, dan memantau kegiatan
tersebut secara rutin.
6. Dari sisi teknis teknologi informasi,
memiliki antivirus yang bukan free edition
dan memiliki aplikasi antimalware
pendukung, memiliki detektor suhu ruang
sever yang memberikan data real time,
memiliki CCTV digital yang lebih baik.
5.3. Analisis SWOT
Tabel 6 dibawah adalah hasil analisis
SWOT pada domain APO13.
Tabel 6. Analisis SWOT APO13
Strengths
 Memiliki kesadaran untuk menjalankan pendekatan
dalam mengelola keamanan informasi, menjalankan
teknologi dan proses bisnis yang aman dan sejalan
dengan manajemen perusahaan.
 Pengelolaan resiko keamanan informasi sudah dimulai
perusahaan dengan melakukan risk switching dalam
hal hosting service dengan perusahaan pihak ketiga.
 Adanya komunikasi tentang kebutuhan dan manfaat
dari peningkatan keamanan informasi dalam internal
meeting perusahaan.
Weakness
 Belum ada unit khusus yang bertugas merencanakan,
memantau dan mengatur hal-hal yang berkaitan
dengan manajemen keamanan informasi.
 Belum ada dokumen tertulis yang membahas
perancangan, penerapan dan pemeliharaan prosedur
terpadu dan kebijakan terkait pengelolaan keamanan
informasi, menjalankan teknologi dan proses bisnis
yang aman serta sejalan dengan manajemen
perusahaan.
 Belum ada dokumen tertulis yang membahas rencana
penanganan risiko keamanan informasi yang dapat
menjangkau seluruh aspek teknologi informasi
perusahaan.
 Tidak adanya kegiatan perusahaan untuk memantau
dan menilai peningkatan efektivitas pengelolaan
keamanan informasi.
Opportunities
 Tersedianya berbagai macam framework atau
kerangka kerja tata kelola keamanan teknologi
informasi yang bisa digunakan perusahaan dalam
merencanakan pengelolaan keamanan informasinya.
 Banyaknya perusahaan konsultan teknologi informasi
sebagai tempat untuk mengkonsultasikan usaha
pengelolaan keamanan informasi perusahaan.
Threats
 Masih kurangnya tenaga ahli teknologi informasi pada
bidang keamanan di Indonesia.
 Perusahaan kompetitor yang memiliki tata kelola
keamanan informasi yang lebih memadai.
Tabel 7 dibawah adalah hasil analisis
SWOT pada domain DSS05.
Fakultas Ilmu Komputer, Universitas Brawijaya
1629
Tabel 7. Analisis SWOT DSS05
Strengths
 Telah melakukan beberapa tindakan untuk melindungi
sistem informasi dan teknologi dari malware.
 Telah membuat instalasi jaringan yang tertata dalam
rangka pengamanan konektivitas perusahaan.
 Telah melakukan beberapa tindakan dalam rangka
pengamanan perangkat endpoint.
 Telah ada pembagian hak akses pengguna pada
aplikasi-aplikasi perusahaan yang sesuai dengan
kebutuhan unit bisnisnya.
 Telah menggunakan beberapa perangkat pengamanan
untuk mengelola akses ke infrastruktur.
 Telah melakukan beberapa tindakan dalam mengelola
dokumen sensitif dan output devices.
 Telah melakukan beberapa tindakan pemantauan
infrastruktur seperti memasang perangkat otentifikasi
dan pengawasan, serta memanfaatkan pemantauan
infrastruktur dari pihak ketiga.
Weakness
 Belum ada dokumen tertulis yang membahas
kebijakan pencegahan perangkat lunak berbahaya
sebagai prinsip dasar dalam usaha perlindungan dari
malware, kebijakan keamanan konektivitas sebagai
prinsip dasar dalam usaha mengelola keamanan
konektivitas, kebijakan keamanan perangkat endpoint
sebagai prinsip dasar dalam usaha mengelola
keamanan endpoint.
 Belum ada dokumen tertulis yang membahas tentang
pembagian hak akses pengguna yang sesuai dengan
kebutuhan unit bisnisnya.
 Belum ada dokumen SOP yang mendefinisikan,
mengatur dan memberikan pedoman kegiatan dalam
prosedur perlindungan sistem informasi dan teknologi
dari malware, pengelolaan keamanan konektivitas,
pengelolaan keamanan endpoint serta pengelolaan
akses ke infrastruktur.
 Terdapat beberapa kelemahan pada teknis teknologi
informasi yang menyangkut keamanan.
Opportunities
 Banyaknya vendor perangkat lunak seperti anti-
malware dan yang lainnya yang tersedia saat ini yang
memberikan pembaruan secara berkala dan harganya
terjangkau bagi perusahaan.
 Terdapat undang-undang yang mengatur tentang akses
ilegal sebagai tanda dukungan dari pemerintah dalam
usaha keamanan informasi.
Threats
 Perangkat lunak berbahaya yang semakin modern
banyak tersebar.
 Serangan dari luar kearah server perusahaan dengan
tujuan memperoleh data dan informasi perusahaan
atau membawa perangkat lunak yang bersifat merusak.
5.4. Rekomendasi
Rekomendasi berdasarkan domain APO13.
1. Membentuk suatu unit khusus yang
memiliki tugas untuk merencanakan,
memantau dan mengatur hal-hal yang
berkaitan dengan manajemen keamanan
informasi.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
2. Membuat dokumen tertulis yang berisi
perancangan, penerapan dan
pemeliharaan suatu rangkaian prosedur
terpadu dan kebijakan-kebijakan dalam
mengelola keamanan informasi,
menjalankan teknologi dan proses
bisnis yang aman serta sejalan dengan
manajemen perusahaan.
3. Membuat dokumen tertulis yang berisi
rencana penanganan risiko keamanan
informasi yang menjelaskan bagaimana
risiko keamanan informasi dikelola dan
pengelolaan tersebut sejalan dengan
strategi perusahaan, serta penanganan
risiko keamanan informasi tersebut
dapat menjangkau seluruh aspek
teknologi informasi.
4. Membuat dan menyetujui dokumen
business case keamanan informasi pada
setiap aktivitas pengimplementasian
peningkatan keamanan serta hasilnya
harus terdokumentasi.
5. Menjalankan program audit internal
keamanan, sebagai salah satu usaha
untuk memantau dan menilai apakah
peningkatkan efektivitas prosedur dan
kebijakan keamanan informasi yang
secara berkelanjutan sudah sesuai atau
belum.
Rekomendasi berdasarkan domain DSS05.
1. Membuat dokumen kebijakan pencegahan
perangkat lunak berbahaya sebagai prinsip
dasar kegiatan perlindungan dari malware.
Serta melakukan evaluasi potensi ancaman
di masa mendatang.
2. Membuat dokumen kebijakan keamanan
konektivitas sebagai prinsip dasar kegiatan
mengelola keamanan konektivitas. Serta
melakukan penetration test secara berkala
untuk menilai kecukupan keamanan
jaringan dan hasilnya didokumentasikan
dengan baik.
3. Membuat dokumen kebijakan keamanan
perangkat endpoint sebagai prinsip dasar
kegiatan mengelola keamanan endpoint.
4. Membuat dokumen tertulis yang berisi
pembahasan pembagian hak akses
pengguna sesuai dengan kebutuhan unit
bisnisnya.
5. Membuat dokumen SOP yang
mendefinisikan, mengatur dan memberikan
pedoman kegiatan dalam prosedur
perlindungan sistem informasi dan
teknologi dari malware, prosedur
Fakultas Ilmu Komputer, Universitas Brawijaya
1630
pengelolaan keamanan konektivitas,
prosedur pengelolaan keamanan endpoint
serta prosedur pengelolaan akses ke
infrastruktur, dan memantau kegiatan
tersebut secara rutin.
6. Membeli antivirus bertipe full edition dan
membeli aplikasi antimalware pendukung,
memperbarui detektor suhu ruang sever
menjadi digital yang dapat memberikan
alarm perubahan suhu, memperbarui
resolusi CCTV menjadi digital dan
menaikan tingkat warna sehingga citra
ruang aset IT terlihat lebih jelas.
6. KESIMPULAN
Berdasarkan dari hasil penelitian dan
analisis yang sudah dilakukan pada tata kelola
sistem keamanan teknologi informasi di
departemen Corporate IT PT Martina Berto
Tbk, maka dapat diambil kesimpulan sebagai
berikut :
1. Evaluasi dilakukan menggunakan
framework COBIT 5 domain APO (Align,
Plan and Organize) pada proses APO13
yaitu manage security dan domain DSS
(Deliver, Service and Support) pada proses
DSS05 yaitu manage security services.
Evaluasi dilakukan dengan melakukan
penyebaran kuesioner kepada 3 orang
responden sebagai hasil analisis RACI
chart yang kemudian hasilnya divalidasi
dengan observasi dan wawancara.
2. Tingkat kemampuan atau Capability Level
dari hasil evaluasi tata kelola sistem
keamanan teknologi informasi di
departemen Corporate IT PT Martina
Berto Tbk adalah sebagai berikut :
a. Tingkat kemampuan atau Capability
Level domain APO pada proses
APO13 (manage security) berada
pada level 1 yaitu performed process.
Hasil tersebut menunjukan bahwa
proses yang terimplementasi telah
mencapai tujuan prosesnya, dilakukan
tetapi belum ada manajemennya.
b. Tingkat kemampuan atau Capability
Level domain DSS pada proses
DSS05 (manage security services)
berada pada level 1 yaitu performed
process. Hasil tersebut menunjukan
bahwa proses yang terimplementasi
telah mencapai tujuan prosesnya,
dilakukan tetapi belum ada
manajemennya.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1631

3. Setelah mengetahui hasil evaluasi yang Framework for the Governance and
menyatakan bahwa departemen Corporate Management of Enterprise IT. Rolling
IT PT Martina Berto Tbk berada pada level Meadows: ISACA. [ebook]
1 untuk proses APO13 dan DSS05, ISACA (2013) Self-assessment Guide: Using
instansi terkait ingin meningkatkan nilai COBIT 5. Rolling Meadows: ISACA.
Capability Level menjadi naik 1 level dari
Martha Tilaar, G. (2010a) Sejarah PT Martina
hasil yang telah dicapai saat ini pada kedua
Berto TBK. [Online] Tersedia di :
prosesnya. Untuk mencapai nilai
<http://www.martinaberto.co.id/compa
Capability Level yang diinginkan, maka
ny.php?page=history&lang=id>
diberikan rekomendasi sebagai berikut :
[Diakses 4 Februari 2017].
a. Capability Level domain APO pada
proses APO13 adalah level 1, Rangkuti, F. (2004) ANALISIS SWOT :
sedangkan Capability Level yang Teknik Membedah Kasus Bisnis.
ingin dicapai adalah level 2, dengan Jakarta: PT Gramedia Pustaka Utama.
hasil analisis gap bernilai 1. Untuk Suryo, S., Fitroh dan Ratnawati, S. (2014)
mencapai nilai Capability Level yang 'Evaluation of Information Technology
diinginkan, maka diperlukan Governance using COBIT 5
pembentukan unit khusus yang Framework Focus APO13 and DSS05
memanajemeni keamanan informasi, in PPIKSN-BATAN', IEEE 2014
membuat dokumen terkait International Conference on Cyber and
pengelolaan dan peningkatan IT Service Management (CITSM), pp.
keamanan informasi dan penaganan 13–16..
risiko keamanan informasi, serta
menjalankan program audit keamanan
untuk memantau dan menilai
peningkatan evektivitas manajemen
keamanan informasi.
b. Capability Level domain DSS pada
proses DSS05 adalah level 1,
sedangkan Capability Level yang
ingin dicapai adalah level 2, dengan
hasil analisis gap bernilai 1. Untuk
mencapai nilai Capability Level yang
diinginkan, maka diperlukan
pembuatan dokumen terkait
pembagian hak akses pengguna,
pembuatan dokumen yang berisi
kebijakan dan SOP dalam hal
perlindungan dari malware, keamanan
konektivitas, keamanan perangkat
endpoint dan pengelolaan akses ke
insfrastruktur, serta melakukan
pembaruan teknis teknologi informasi
dan pemantauan secara rutin.

DAFTAR PUSTAKA
Adi, S. (2015) Gap Analysis (Analisa
Kesenjangan) [Online] Tersedia di :
<http://sis.binus.ac.id/2015/07/28/gap-
analysis-analisa-kesenjangan/>
[Diakses 17 Februari 2017].
ISACA (2012a) COBIT 5 Enabling Processes.
Rolling Meadows: ISACA. [ebook]
ISACA (2012b) COBIT 5 A Business

Fakultas Ilmu Komputer, Universitas Brawijaya