Analisis Implementasi Manajemen Keamanan Informasi dalam penanganan risiko keamanan

informasi pada PT. X berdasarkan ISO 27001

Abstrak

PT. X merupakan salah satu bumn yang bergerak di sektor migas. PT. X banyak mengelola
aset-aset negara terkait migas yang merupakan obyek vital nasional. Dalam menjalankan
proses bisnisnya PT. X juga memanfaatkan sistem teknologi untuk mengoptimalkan dan
melancarkan proses bisnisnya. Salah satu strategi untuk melindungi keamanan informasi
dapat dilakukan melalui manajemen keamanan informasi. Salah satu standar yang dapat
digunakan oleh organisasi atau Perusahaan dalam menerapkan manajemen keamanan
informasi adalah ISO 270001. Penelitian ini akan mencoba menganalisis bagaimana
implementasi manajemen keamanan informasi yang diterapkan oleh PT. X betdasarkan
standar ISO 270001. Metode penelitian yang akan digunakan adalah kualitatif

1.1 Latar belakang masalah

Kemajuan teknologi informasi yang semakin cepat, berbanding terbalik dengan resiko
keamanan informasi yang semakin besar. Informasi merupakan salah satu aset penting
perusahaan yang harus dilindungi dari risiko keamanan baik yang berupa ancaman (threat)
ataupun kelemahan (vulnerabilities). Aset informasi meliputi hardware, software, sistem
informasi, informasi, dan manusia. Di era digital saat ini banyak perusahaan yang
memanfaatkan teknologi informasi dalam mengelola data informasi untuk menciptakan
layanan yang berkualitas pada proses bisnis perusahaan. Salah satu strategi untuk melindungi
keamanan informasi dapat dilakukan melalui manajemen keamanan informasi. Salah satu
standar yang dapat digunakan oleh organisasi atau perusahaan dalam menerapkan manajemen
keamanan informasi adalah ISO 270001. ISO 270001 menetapkan pedoman dan prinsip
umum bagi organisasi untuk memulai, menerapkan, memelihara, dan meningkatkan
manajemen keamanan informasi yang diterapkan organisasi atau perusahaan. 3 aspek
kebutuhan keamanan informasi yang penting dipenuhi antara lain adalah aspek
Confidentiality (Kerahasiaan), Integrity (integritas), dan Availability (ketersediaan).

Gangguan dari dalam (internal) merupakan gangguan yanng berasal dari dalam
jaringan infrastruktur (pihak-pihak yang mengetahui kondisi keamanan dan kelemahan
jaringan). Gangguan dari luar (eksternal) merupakan gangguan yang berasal dari luar, yaitu
pihak yang mencoba atau sengaja membobol dinding keamanan yang ada. Gangguan-
gangguan ini merupakan risiko yang perlu diminimalisir serendah mungkin dampak kerugian
yang dirasakan perusahaan merupakan kerugian yang dapat ditangani. Risiko yang tidak
tertangani dapat melumpuhkan aktivitas di dalam sistem sehingga sistem tidak dapat berjalan
secara optimal dan dapat mengganggu kelangsungan proses bisnis perusahaan. Contoh risiko
yang mengancam keamanan informasi antara lain adalah kegagalan sistem, kegagalan
jaringan (network), kerusakan hardware dan software, kehilangan data, serangan virus,
pencurian data, hacking, dan lain-lain. Gangguan alam seperti petir, banjir, hujan, dan angin
juga berpotensi merusak infrastruktur teknologi informasi.

Salah satu ancaman kejahatan yang rentan terjadi adalah peretasan data pribadi. Data
pribadi merupakan data yang sensitif dan sangat rentan untuk bocor serta dimanfaatkan oleh
oknum yan tidak bertanggung jawab, Data pribadi yang bocor ini dapat dimanfaatkan oleh
oknum yang tidak bertanggung jawab untuk melakukan kejahatan lain seperti penipuan,
pembobolan kartu kredit, impersonation, dan lain-lain. Di Indonesia, kasus peretasan data
pribadi customer di berbagai perusahaan sering terjadi seperti kasus bocornya data pengguna
Tokopedia, data peserta BPJS

PT. X (Persero) merupakan salah satu perusahaan BUMN yang bergerak di sektor
migas. PT. X sebagai salah satu perusahaan yang bergerak di sektor migas, banyak mengelola
tempat atau lokasi yang dapat dikategorikan sebagai obyek vital nasional. PT. X dalam
menjalankan proses bisnisnya juga memanfaatkan teknologi informasi dalam mengelola
berbagai data penting yang dimiliki, untuk berhubungan dengan berbagai mitra bisnis,
pengadaan barang dan jasa, pelaporan pertanggungjawaban keuangan, dan lain-lain. Pada
Maret 2021, PT. X menjadi korban peretasan data yang dilakukan oleh hacker. Hacker
tersebut membobol sistem komputer PT. X dan mencuri dokumen internal dan data puluhan
ribu data customer PT. X. Data tersebut dijual oleh hacker ke dalam situs di dark web. Pada
saat proses peretasan terjadi, aplikasi sistem pemesanan barang atau delivery order tidak
dapat diakses oleh Mitra PT. X . PT. X belum mengonfirmasi kerugian yang diterima akibat
trjadinya peretasan tersebut, namun mitra yang tidak dapat mengakses aplikasi tersebut
mengalami kerugian hingga puluhan juta per harinya.

Untuk menangani berbagai ancaman tersebut PT. X perlu untuk melakukan

manajemen sekuriti yang salah satunya adalah dengan melakukan pengamanan informasi. PT.
X membentuk fungsi corporate security untuk menjalankan fungsi pengamanan terhadap aset
milik PT. X dan fungsi investigasi terhadap berbagai insiden dan kejahatan yang terjadi
dalam internal PT. X.
 tidak luput juga dari

Informasi yang dikelola

Ancaman yang berpotensi terjadi terhadap aset informasi yang dimiliki oleh PT. X
antara lain adalah kebocoran data, hacking,

Aset informasi yang dimiliki oleh PT. X dalam menjalankan proses bisnisnya banyak
yang termasuk dalam kategori Confidential (rahasia).

ungsi manajemen keamanan pada berbagai aset di lingkungan PT. X dijalankan oleh
divisi corporate security.

1.2 Permasalahan

Berdasarkan latar belakang yang telah diuraikan sebelumnya, dapat dipahami pentingnya keamanan
informasi dalam proses bisnis PT. X. Namun, penyelenggaraan manajemen sekuriti informasi yang
diterapkan oleh PT. X belum optimal, didukung fakta pernah terjadinya kebocoran data, dan
peretasan terhadap software aplikasi yang digunakan. Salah satu standar manajemen keamanan
informasi yang dapat dijadikan acuan untuk menganalisis implementasi manajemen keamanan
informasi yang diterapkan oleh PT. X adalah ISO 270001. Sehingga dapat dirumuskan suatu masalah
yaitu, bagaimanakah penyelenggaraan manajemen keamanan informasi yang diterapkan oleh PT. X
dengan batasan ruang lingkup penelitian pada bidang ancaman, kejahatan, dan upaya taktis. Fokus
penelitian ini adalah bagaimana penyelenggaraan manajemen sekuriti informasi oleh PT. X dalam
mengamankan aset informasi aspek confidentiali, Integrity, dan available dari informasi tersebut
tetap terjaga dan terhindar dari ancaman kebocoran data atau peretasan. Sehingga dapat
dirumuskan pertanyaan penelitian sebagai berikut:

a. Bagaimanakah Kondisi penyelenggaraan manajemen sekuriti informasi yang diterapkan oleh

PT.X dalam melindungi informasi terkait data customer
b. Bagaimanakah implementasi ISO 270001 diterapkan oleh PT. X dalam melakukan
manajemen keamanan informasi
c. Bagaimanakah model manajemen risiko keamanan informasi yang seharusnya
dijalankan terhadap pengelolaan perangkat dan sistem teknologi informasi di
lingkungan PT. X (Persero)

Tujuan
Tujuan yang ingin dicapai dari penelitian ini, yaitu mengidentifikasi potensi gangguan dan
permasalahan yang ada pada sistem teknologi keamanan informasi di PT. X (Persero) saat ini
dan memberikan rekomndasi yang perlu diterapkan untuk manajemen risiko keamanan
informasi.

Novelty

Penelitian ini didasarkan pada masalah mengenai sistem pengamanan informasi pada obyek yang
memiliki kerentanan tinggi. Berdasarkan penelusuran penulis, banyak penelitian yang telah meneliti
mengenai sistem pengamanan informasi yang diterapkan oleh perusahaan, namun belum ada
penelitian yang meneliti mengenai sistem pengamanan informasi yang diterapkan oleh PT. X dan
menganalisisnya berdasarkan standar ISO 270001. PT. X berbeda dengan perusahaan-perusahaan
lainnya karena PT. X merupakan perusahaan BUMN yang bergerak di sector migas. Banyak asset
milik negara terkait migas yang dikelola oleh PT. X. PT. X banyak mengelola informasi yang tergolong
sensitive dan sangat rahasia. Apabila terdapat data atau informasi yang dikelola PT. X bocor atau
diretas maka PT. X akan mengalami kerugian. Kerugian yang dialami oleh PT.X yang merupakan
badan usaha milik negara secara tidak langsung juga dapat menimbulkan kerugian yang besar bagi
Negara Republik Indonesia karema berkurangmya pemasukan yang diterima oleh negara . Oleh
karena itu, Implementasi dari manajemen sekuriti informasi yang diterapkan oleh PT. X ini menarik
untuk diteliti.

Literature review

Dalam penelitian ini, Penulis akan menggunakan konsep, Security, Informasi, Konsep keamanan
informasi dan konsep ISO 270001.

Konsep Security

Wu & Meng (2018) mengidentifikasi pola dalam definisi konsep sekuriti yaitu bahwa subjek yang
ingin melindungi objek tertentu dari sumber ketidakamanan (ancaman) menggunakan metode
tertentu. Sekuriti secara umum memiliki 4 (empat) aspek, yaitu: Subjek, Objek, Sumber
ketidakamanan, dan metode.

Konsep informasi

Gordon B. Davis (1980) mendefinisikan informasi sebagai suatu data yang telah diolah menjadi suatu
bentuk yang penting untuk penerima data tersebut (Triwasananda, 2017). Burch (1992), informasi
didefinisikan sebagai pengumpulan dan pengolahan data yang bertujuan untuk memberikan
pengetahuan dan keterangan.
Konsep keamanan informasi

Keamanan informasi berfungsi untuk memproteksi informasi dari ancaman yang luas untuk
memastikan keberlanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba hingga
mencegah terjadinya tindak criminal. Keamanan informasi harus memastikan sejumlah aspek tetap
terjaga, yaitu:

a. Kerahasiaan (confidentiality)
Memastikan bahwa informasi hanya dapat diakses oleh pengguna yang sah atau memiliki
wewenang untuk memperolehnya.
b. Keutuhan (Integrity)
Melindungi akurasi dan kelengkapan informasi melalui sejumlah metodologi pengolahan
yang efektif dengan memastikan bahwa informasi dimodifikasi hanya oleh pengguna yang
sah.
c. Ketersediaan (availability)
Memastikan bahwa informasi terkait dapat diakses setiap saat oleh mereka yang berwenang
sesuai dengan kebutuhan.

Standar Keamanan Informasi ISO 270001

ISO 270001 merupakan salah satu standar sistem manajemen keamanan informasi terkait kegiatan
pengelolaan dan pemeliharaan data atau informasi. Dalam ISO iini dikenal standar penilaian risiko
(risk assessment) yang melibatkan proses identifikasi risiko, analisis risiko, evaluasi penanggulangan
risiko. Dalam ISO 27001 dijelaskan beberapa kerangka kerja yang perlu diterapkan dalam manajemn
keamanan informasi, yaitu :

No. Kerangka Kerja Keterangan

1. User access management Berfungsi untuk memastikan hanya pengguna yang
berwenang yan dapat mengakses dan mencegah askes
illegal ke sistem.
2. User registration and de- Pendaftaran pengguna dan pembatalan pendaftaran
registration harus dapat dilaksanakan untuk memungkinkan
pengalihan hak akses.
3. User Access provisioning Proses penyediaan akses pengguna dapat dilaksanakan
untuk menetapkan atau mencabut hak akses untuk
semua jenis pengguna untuk semua sistem dan layanan.
4. Management of privileged access Alokasi dan penggunaan hak akses istimewa harus
rights dibatasi dan dikontrol
5. Management of secret Alokasi dan autentikasi informasi rahasia harus
 authentication information of users dikontrol melalui proses manajemen formal.
6. Review of user access rights Pemilik aset harus dapat meninjau hak akses pengguna
secara berkala
7. Removal of adjustment of access Penghapusan seluruh hak akses pihak eksternal saat
right pemutusan kontrak, perjanjian atau hubungan kerja.
8. User Responsibilities Pengguna bertanggungjawab untuk menjaga informasi
otentikasi mereka
9. Use of secret authentication Pengguna wajib mengikuti peraturan organisasi dalam
information pengunaan informasi otentikasi rahasia.
10 Information access restriction Akses ke data informasi dan sistem aplikasi harus
dibatasi sesuai dengan kebijakan kontrol akses
11. Secure login procedures Akses ke dalam sistem dan aplikasi harus dikendalikan
dengan prosedur login yang aman.
12. Password management system Sistem manajemen password harus interaktif dan
sistem harus dapat memastikan kualitas password.
13. Use of privileged utility programs Penggunaan program yang mungkin mampu override
sistem dan aplikasi perlu untuk dibatasi dan dikontrol
secara ketat.
14. Access control program source Akses terhadap sumber kode program harus dibatasi
code
15. Cryptographic controls Memastikan penggunaan Teknik kriptoggrafi yang
tepat untuk melindungi aspek kerahasiaan, keaslian, dan
atau integritas informasi.
16. Key management Kebijakan tentang penggunaan serta perlindungan
kunci-kunci kriptografi harus dikembangkan dan
dilaksanakan dalam seluruh siklus hidup sistem.

Metodologi Penelitian

Penulisan tesis ini rencananya akan mengkaji serta mengulas lebih dalam lagi mengenai
penyelenggaraan manajemen sekuriti infornasi yang diterapkan oleh PT. X. Penulis akan
mengidentifikasi bagaimana kondisi penyelenggaraan manajemen sekuriti informasi yang
telah diterapkan, kemudian menganalis berdasarkan standar ISO 270001, dan bagaimanakah
model manajemen risiko keamanan informasi yang seharusnya dijalankan terhadap
pengelolaan perangkat dan sistem teknologi informasi di lingkungan PT. X (Persero).
Penelitian ini rencananya akan dilakukan dengan menggunakan pendekatan kualitatif. Data-
data primer dalam penelitian ini diperoleh melalui wawancara dan hasil observasi.
Wawancara dilakukan kepada anggota fungsi corporate security dan anggota fungsi IT dari
PT. X (Persero). Wawancara terhadap tersebut bertujuan untuk mendapatkan data mengenai
insiden keamanan informasi yang pernah terjadi sebelumnya dan untuk mengetahui
bagaimana pelaksanaan teknis implementasi ISO 270001. Data sekunder diambil dari
berbagai dokumen atau literatur sebagai referensi dalam pengolahan dan Analisa data yang
telah diperoleh dari wawancara dan hasil observasi. Proses analisis data dimulai dengan
menelaah seluruh data yang tersedia dari berbagai sumber, baik itu data dari hasil wawancara
atau hasil pengamatan. Setelah ditelaah peneliti mengadakan reduksi data. Setelah itu penulis
melakukan analisa dengan menggunakan teknik analisis wacana atau discourse analysis.
Dengan menggunakan pendekatan analisis wacana, peneliti dapat melihat dan menganalisis
makna apa yang ada dibalik kata dan kalimat

1.3 Tujuan Penelitian

1.4 Manfaat Penelitian

Bab II

Kajian Pustaka

2.1 Konsep

2.1.1 Keamanan

2.1.2 Keamanan Informasi

2.1.3 ISO 270002

2.2 Teori

Bab III

Metode Penelitian

Jurnal nasional:

Supradono, B. (2009). Manajemen risiko keamanan informasi dengan menggunakan metode octave
(operationally critical threat, asset, and vulnerability evaluation). Media Elektrika, 2(1).
Prasetyowati, Desy Dwi., Indra, Gamayanto., Sasono, Wibowo., Suharnawi. (2019). Evaluasi
Manajemen Keamanan Informasi Menggunakan Indeks KAMI Berdasarkan ISO/IEC 270001: 2013
pada Politeknik Ilmu Pelayaran Semarang. Journal of Information System Vol.4, No.1,

Sidik, M., Iriani, A., & Yulianto, S. (2018). Audit Manajemen Keamanan Teknologi Informasi
Menggunakan Standar ISO 27001: 2005 Di PerguruanTinggi XYZ. Media Informasi Analisa dan
Sistem, 3(2), 99-106.

Pranoto, C. A., Samson, C. M. S., & Prahatmaja, N. Analisis Sistem Informasi Pengelolaan Arsip Vital
Digital (E-Arsip) di PT. Pertamina (Persero) Studi Kasus Praktik Kerja Lapangan di Direktorat
Manajemen Data Aset PT. Pertamina (Persero) Tahun 2019. Khazanah: Jurnal Pengembangan
Kearsipan, 13(1), 1-16

Jurna internasional

Singh, A. N., & Gupta, M. P. (2019). Information security management practices: case
studies from India. Global Business Review, 20(1), 253-271.
Line, M. B., Tøndel, I. A., & Jaatun, M. G. (2016). Current practices and challenges in
industrial control organizations regarding information security incident management–Does
size matter? Information security incident management in large and small industrial control
organizations. International Journal of Critical Infrastructure Protection, 12, 12-26.
Chu, A. M., & So, M. K. (2020). Organizational information security management for
sustainable information systems: An unethical employee information security behavior
perspective. Sustainability, 12(8), 3163.
Joshi, C., & Singh, U. K. (2017). Information security risks management framework–A step
towards mitigating security risks in university network. Journal of Information Security and
Applications, 35, 128-137.
Kim, H. L., Hovav, A., & Han, J. (2019). Protecting intellectual property from insider threats:
A management information security intelligence perspective. Journal of Intellectual Capital.
van Wessel, R., Yang, X., & de Vries, H. J. (2011). Implementing international standards for
Information Security Management in China and Europe: a comparative multi-case
study. Technology Analysis & Strategic Management, 23(8), 865-879.
Mirtsch, M., Blind, K., Koch, C., & Dudek, G. (2021). Information security management in
ICT and non-ICT sector companies: A preventive innovation perspective. computers &
security, 109, 102383.
Wu, Y. (2020). Developing a Taxonomic Framework of Security Methods for Security
Management and Information Resource Management. Journal of Strategic Security, 13(2),
64-77.
Wu, Y., & Meng, F. (2018). Categorizing security for security management and information
resource management. Journal of Strategic Security, 11(4), 72-84.
Culot, G., Nassimbeni, G., Podrecca, M., & Sartor, M. (2021). The ISO/IEC 27001
information security management standard: literature review and theory-based research
agenda. The TQM Journal.
Astakhova, L. V. (2020). A Corporate Employee as a Subject of Corporate Information
Security Management. Scientific and Technical Information Processing, 47(2), 113-118.
Thangavelu, M., Krishnaswamy, V., & Sharma, M. (2021). Impact of comprehensive
information security awareness and cognitive characteristics on security incident
management–an empirical study. Computers & Security, 109, 10240
Georg-Schaffner, L., & Prinz, E. (2021). Corporate management boards’ information security
orientation: an analysis of cybersecurity incidents in DAX 30 companies. Journal of
Management and Governance, 1-34.