TATA KELOLA MANAJEMEN TEKNOLOGI INFORMASI

 COBIT 2019 Assessment Gap Improvement - APO13 Managed Security

 

 
  
 
Submitted by: 
 
“SI-42-08” 
Arifathul Fabian 1202180198 
Anisah Fredella 1202183325 
Elysia Estiningtyas 1202180032
Ginna Trigama 1202184234 
M. Ashril Mahardika 1202184142
M. Iqsan Wahyudin 1202152167 
 
 
  

PROGRAM STUDI S1 SISTEM INFORMASI 

FAKULTAS REKAYASA INDUSTRI 
UNIVERSITAS TELKOM 
2022
 DAFTAR ISI

DAFTAR ISI 1
DAFTAR GAMBAR 2
DAFTAR TABEL 3
ANALISIS FAKTOR DESAIN 4
1. Analisis Faktor Desain 1 4
2. Analisis Faktor Desain 2 4
3. Analisis Faktor Desain 3 6
4. Analisis Faktor Desain 4 7
5. Analisis Faktor Desain 5 9
6. Analisis Faktor Desain 6 10
7. Analisis Faktor Desain 7 10
8. Analisis Faktor Desain 8 11
9. Analisis Faktor Desain 9 12
10. Analisis Faktor Desain 10 12
APO13 - Managed Security 15
Rekomendasi Aspek People 25
Rekomendasi Aspek Proses 27
Rekomendasi Aspek Teknologi 28
Kesimpulan 30

1
 DAFTAR GAMBAR

Gambar 1.Design Factor 1.....................................................................................................................4

Gambar 2.Design Factor 2.....................................................................................................................5
Gambar 3.Design Factor 3.....................................................................................................................7
Gambar 4.Design Factor 4.....................................................................................................................9
Gambar 5.Design Factor 5.....................................................................................................................9
Gambar 6.Design Factor 6...................................................................................................................10
Gambar 7.Design Factor 7...................................................................................................................11
Gambar 8.Design Factor 8...................................................................................................................11
Gambar 9.Design Factor 9...................................................................................................................12
Gambar 10.Design Factor 10...............................................................................................................13
Gambar 11.Governance and Management Objective Importance........................................................13

2
 DAFTAR TABEL

Tabel 1.Analisis Faktor Desain 1...........................................................................................................4

Tabel 2.Analisis Faktor Desain 2...........................................................................................................4
Tabel 3.Analisis Faktor Desain 3...........................................................................................................6
Tabel 4.Analisis Faktor Desain 4...........................................................................................................7
Tabel 5.Analisis Faktor Desain 5...........................................................................................................9
Tabel 6.Analisis Faktor Desain 6.........................................................................................................10
Tabel 7.Analisis Faktor Desain 7.........................................................................................................10
Tabel 8.Analisis Faktor Desain 8.........................................................................................................11
Tabel 9.Analisis Faktor Desain 9.........................................................................................................12
Tabel 10.Analisis Faktor Desain 10.....................................................................................................12

3
 ANALISIS FAKTOR DESAIN

1. Analisis Faktor Desain 1

Tabel 1.Analisis Faktor Desain 1.

Importanc
Baselin
Value e Description
e
(1-5)
Growth/Acquisition 4,30 3 Organisasi memiliki fokus pada pertumbuhan (pendapatan)

Perusahaan memiliki fokus pada penawaran produk dan

Innovation/Differentiation 4,36 3
layanan yang berbeda dan/atau inovatif kepada klien mereka

Perusahaan memiliki fokus pada minimalisasi biaya jangka

Cost Leadership 3,86 3
pendek
Perusahaan memiliki fokus pada penyediaan layanan yang
Client Service/Stability 4,48 3
stabil dan berorientasi pelanggan

Gambar 1.Design Factor 1.

2. Analisis Faktor Desain 2

Tabel 2.Analisis Faktor Desain 2.

Importance
Value Baseline Description
(1-5)
EG01—Portfolio of competitive products 4,18 EG01—Portofolio produk dan layanan yang
3
and services kompetitif

EG02—Managed business risk 4,66 3 EG02—Terkelolanya risiko bisnis

EG03—Compliance with external laws 4,27 EG03—Kepatuhan pada hukum dan peraturan
3
and regulations eksternal

EG04—Quality of financial information 4,57 3 EG04—Kualitas informasi keuangan

EG05—Customer-oriented service culture 4,11 3 EG05—Budaya layanan yang berorientasi

4
 pelanggan

EG06—Business-service continuity and 4,41

3 EG06—Keberlanjutan dan ketersediaan layanan
availability

EG07—Quality of management 4,30

3 EG07—Kualitas informasi manajemen
information

EG08—Optimization of internal business 4,32 EG08—Optimalisasi fungsionalitas proses bisnis

3
process functionality internal

EG09—Optimization of business process 4,07

3 EG09—Optimalisasi biaya proses bisnis
costs

EG10—Staff skills, motivation and 4,55 EG10—Keterampilan, motivasi, dan

3
productivity produktivitas staf

EG11—Compliance with internal policies 4,30 3 EG11—Kepatuhan terhadap kebijakan internal

EG12—Managed digital transformation 4,20 EG12—Terkelolanya program transformasi

3
programs digital

EG13—Product and business innovation 4,32 3 EG13—Inovasi produk dan bisnis

Gambar 2.Design Factor 2.

5
3. Analisis Faktor Desain 3
Tabel 3.Analisis Faktor Desain 3.

Risk Scenario Risk

Baseline Description
Category Rating
IT investment decision
making, portfolio 1. Pembuatan keputusan investasi TI, pendefinisian dan pemeliharaan
13,1456 9
definition & portofolio investasi TI
maintenance
Program & projects life
15,435 9 2. Pengelolaan siklus hidup program & proyek TI
cycle management
IT cost & oversight 14,1795 9 3. Biaya & pengawasan TI
IT expertise, skills &
12,5328 9 4. Keahlian, keterampilan & perilaku TI
behavior
Enterprise/IT
12,9148 9 5. Arsitektur organisasi/TI
architecture
IT operational
14,6727 9 6. Insiden infrastruktur operasional TI
infrastructure incidents
Unauthorized actions 14,7504 9 7. Tindakan yang tidak sah
Software
adoption/usage 9,96 9 8. Masalah adopsi/penggunaan perangkat lunak
problems
Hardware incidents 13,135 9 9. Insiden perangkat keras
Software failures 13,4653 9 10. Kegagalan perangkat lunak
Logical attacks
(hacking, malware, 16,3149 9 11. Logical attacks (hacking, malware, dsb.)
etc.)
Third-party/supplier
13,3331 9 12. Insiden pihak ketiga/pemasok
incidents
Noncompliance 11,85 9 13. Ketidaksesuaian
Geopolitical Issues 12,4678 9 14. Masalah geopolitik
Industrial action 12,0576 9 15. Tindakan industri
Acts of nature 14,4318 9 16. Kejadian alam
Technology-based
12,1476 9 17. Inovasi berbasis teknologi
innovation
Environmental 9,94 9 18. Lingkungan
Data & information
15,9037 9 19. Pengelolaan data & informasi
management

6
 Gambar 3.Design Factor 3.

4. Analisis Faktor Desain 4

Tabel 4.Analisis Faktor Desain 4.

Importanc
Baselin
I&T-Related Issue e Description
e
(1-3)
Frustration between different IT entities
A. Kebingungan pada setiap entitas TI yang ada di
across the organization because of a
1,98 2 organisasi karena dipandang kontribusinya rendah terhadap
perception of low contribution to
nilai bisnis
business value
Frustration between business
departments (i.e., the IT customer) and B. Kebingungan pada unit bisnis dan unit TI karena
the IT department because of failed 2,16 2 inisiatif yang gagal atau dipandang kontribusi yang rendah
initiatives or a perception of low terhadap nilai bisnis
contribution to business value
Significant I&T-related incidents, such
C. Insiden terkait TI yang signifikan (seperti kehilangan
as data loss, security breaches, project
2,75 2 data, pelanggaran keamanan, kegagalan proyek, dan
failure and application errors, linked to
kesalahan aplikasi) dikaitkan pada unit TI saja
IT
Service delivery problems by the IT
2,11 2 D. Masalah penyediaan layanan TI oleh pihak ketiga
outsourcer(s)
Failures to meet IT-related regulatory E. Kegagalan untuk memenuhi persyaratan regulasi atau
2,14 2
or contractual requirements kontrak terkait TI
Regular audit findings or other
F. Temuan audit rutin atau laporan penilaian lainnya
assessment reports about poor IT
2,59 2 tentang rendahnya kinerja TI atau masalah kualitas atau
performance or reported IT quality or
layanan TI
service problems
Substantial hidden and rogue IT
G. Pengeluaran TI yang tersembunyi dan menipu, yakni
spending, that is, I&T spending by user
pengeluaran TI oleh unit bisnis di luar kendali mekanisme
departments outside the control of the 2,14 2
keputusan investasi TI secara umum dan anggaran yang
normal I&T investment decision
disetujui
mechanisms and approved budgets

7
Duplications or overlaps between
various initiatives, or other forms of
wasted resources
Insufficient IT resources, staff with
inadequate skills or staff
burnout/dissatisfaction
IT-enabled changes or projects
frequently failing to meet business
needs and delivered late or over budget
Reluctance by board members,
executives or senior management to
engage with IT, or a lack of committed
business sponsorship for IT
Complex IT operating model and/or
unclear decision mechanisms for IT-
related decisions
Excessively high cost of IT
Obstructed or failed implementation of
new initiatives or innovations caused
by the current IT architecture and
systems
Gap between business and technical
knowledge, which leads to business
users and information and/or
technology specialists speaking
different languages
Regular issues with data quality and
integration of data across various
sources
High level of end-user computing,
creating (among other problems) a lack
of oversight and quality control over
the applications that are being
developed and put in operation
Business departments implementing
their own information solutions with
little or no involvement of the
enterprise IT department (related to
end-user computing, which often stems
from dissatisfaction with IT solutions
and services)
Ignorance of and/or noncompliance
with privacy regulations
Inability to exploit new technologies or
innovate using I&T
H. Duplikasi atau tumpang tindih antar berbagai inisiatif
2,16 2
atau sumber daya
I. Sumber daya TI yang tidak mencukupi, staf dengan
2,25 2 keterampilan yang tidak memadai atau adanya
ketidakpuasan staf
J. Perubahan atau proyek yang didukung TI sering gagal
2,18 2 memenuhi kebutuhan bisnis dan terlambat atau melebihi
anggaran
K. Keengganan pejabat atau manajemen senior untuk
2,14 2 terlibat dengan TI, atau kurangnya dukungan (sponsorship)
bisnis yang berkomitmen pada TI
L. Model operasi TI yang kompleks dan/atau mekanisme
2,11 2
keputusan yang tidak jelas untuk keputusan terkait TI
2,14 2 M. Biaya TI yang terlalu tinggi
N. Implementasi inisiatif atau inovasi baru yang terhambat
2,16 2 atau gagal, disebabkan oleh arsitektur dan sistem TI saat
ini
O. Kesenjangan antara pengetahuan bisnis dan teknis, yang
2,20 2 menyebabkan pengguna bisnis dan spesialis informasi
dan/atau teknologi yang berbicara dalam berbagai bahasa
P. Masalah umum pada kualitas data dan integrasi data di
2,48 2
berbagai hal
Q. Komputasi pengguna (end-user) tingkat tinggi,
2,09 2 membuat kurangnya pengawasan dan kontrol kualitas atas
aplikasi yang sedang dikembangkan dan dioperasikan
R. Unit bisnis menerapkan solusi informasinya sendiri
dengan sedikit atau tanpa keterlibatan unit TI (terkait
2,02 2
dengan komputasi pengguna, yang seringkali berasal dari
ketidakpuasan terhadap solusi dan layanan TI yang ada)
S. Ketidaktahuan dan/atau ketidakpatuhan terhadap
2,57 2
regulasi kerahasiaan data
T. Ketidakmampuan untuk memanfaatkan teknologi baru
2,14 2
atau berinovasi menggunakan TI
8
 Gambar 4.Design Factor 4.

5. Analisis Faktor Desain 5

Tabel 5.Analisis Faktor Desain 5.

Value Importance (100%) Baseline Description

Organisasi beroperasi dalam lingkungan sektornya dengan

High 34% 33%
ancaman tinggi

Normal 66% 67% Organisasi beroperasi di bawah tingkat ancaman normal

Gambar 5.Design Factor 5.

9
6. Analisis Faktor Desain 6
Tabel 6.Analisis Faktor Desain 6.

Importance
Value Baseline Description
(100%)

Organisasi tunduk pada persyaratan kepatuhan yang lebih tinggi

High 44% 0% dari rata-rata, paling sering terkait dengan sektornya atau
kondisi geopolitik

Organisasi tunduk pada serangkaian persyaratan kepatuhan

Normal 52% 100%
standar yang umum di berbagai sektor

Organisasi tunduk pada serangkaian minimal persyaratan

Low 3% 0%
kepatuhan standar yang lebih rendah dari rata-rata

Gambar 6.Design Factor 6.

7. Analisis Faktor Desain 7

Tabel 7.Analisis Faktor Desain 7.

Importance (1-
Value Baseline Description
5)
TI tidak penting untuk keberjalanan dan keberlangsungan proses dan
Support 3,64 3
layanan bisnis, maupun inovasi organisasi.

Ketika TI gagal, ada dampak langsung pada keberjalanan dan

keberlangsungan proses dan layanan bisnis.
Factory 3,59 3
Namun, TI tidak dilihat sebagai pendorong untuk berinovasi dalam
proses dan layanan bisnis.

TI dipandang sebagai pendorong untuk berinovasi dalam proses dan

Turnaround 3,20 3 layanan bisnis. Saat ini tidak ada ketergantungan kritikal pada TI untuk
keberjalanan dan kelangsungan proses bisnis dan layanan.

TI sangat penting untuk keberjalanan dan inovasi proses dan layanan

Strategic 4,34 3
bisnis organisasi.

10
 Gambar 7.Design Factor 7.

8. Analisis Faktor Desain 8

Tabel 8.Analisis Faktor Desain 8.

Value Importance (100%) Baseline Description

Organisasi meminta layanan pihak ketiga untuk menyediakan
Outsourcing 37% 33%
layanan TI

Organisasi memaksimalkan penggunaan cloud untuk menyediakan

Cloud 39% 33%
layanan TI kepada penggunanya

Insourced 24% 34% Organisasi menyediakan staf dan layanan TI oleh mereka sendiri

Gambar 8.Design Factor 8.

11
9. Analisis Faktor Desain 9
Tabel 9.Analisis Faktor Desain 9.

Value Importance (100%) Baseline Description

Organisasi menggunakan metode kerja Agile development untuk

Agile 54% 15%
pengembangan perangkat lunaknya.

Organisasi menggunakan metode kerja DevOps untuk membangun,

DevOps 31% 10%
menyebarkan, dan mengoperasikan perangkat lunak.

Perusahaan menggunakan pendekatan yang lebih klasik terhadap

Traditional 15% 75% pengembangan perangkat lunak (air terjun) dan memisahkan
pengembangan dan operasi perangkat lunak.

Gambar 9.Design Factor 9.

10. Analisis Faktor Desain 10

Tabel 10.Analisis Faktor Desain 10.

Value Importance (100%) Baseline Description

Organisasi umumnya mengadopsi teknologi baru sedini mungkin dan

First mover 59% 15% mencoba untuk mendapatkan keunggulan sebagai penggerak pertama
(first-mover).

Organisasi biasanya menunggu teknologi baru untuk menjadi arus

Follower 39% 70%
utama dan terbukti sebelum mengadopsinya.

Slow
2% 15% Organisasi terlambat melakukan adopsi untuk teknologi barunya.
adopter

12
 Gambar 10.Design Factor 10.

Summary : Setelah melalui pengisian survey dan pengolahan data dapat kami simpulkan bahwa
analisis desain faktor di atas menghasilkan Governance and Management Objective Importance dari
rendah hingga ke tinggi. Berikut Diagram hasil analisis desain faktor.

Gambar 11.Governance and Management Objective Importance.

13
14
 APO13 - Managed Security
APO13.01 Establish and maintain an information security management system (ISMS).

Establish and maintain an information security management system (ISMS) that provides a standard, formal and continuous approach to information security
management, enabling secure technology and business processes that are aligned with business requirements.
Activitie Answ Capability
Description
s er Score Comment Evidence Level

Define the scope and boundaries of the information security management

KD 37_2010_Pengelolaan
system (ISMS) in terms of the characteristics of the enterprise, the Terdapat scope dan
1 Yes 1 Keamanan & Keselamatan
organization, its location, assets and technology. Include details of, and boundaries ISMS
Perusahaan
justification for, any exclusions from the scope.

Berdasarkan
dokumen Terdapat
penjelasan
mengenai
pengelolaan
Keamanan dan
Keselamatan 2
Perusahaan adalah
proses KD 37_2010_Pengelolaan
Define an ISMS in accordance with enterprise policy and the context in which
2 Yes 1 pengembangan dan Keamanan & Keselamatan
the enterprise operates.
pemeliharaan Perusahaan
kerangka kerja
yang didukung
oleh struktur serta
proses manajemen
untuk memastikan
bahwa strategi
Keamanan dan
Keselamatan

15
 Perusahaan sejalan
dengan tujuan
bisnis Perusahaan,
sesuai dengan
peraturan yang
berlaku, melalui
pelaksanaan
kebijakan,
pengendalian
internal dan
penetapan
tanggung jawab
yang terintegrasi
ke dalam suatu
proses manajemen
Risiko;

Berdasarkan
dokumen
Pengelolaan
Keamanan terdapat KD 37_2010_Pengelolaan
Align the ISMS with the overall enterprise approach to the management of
3 Yes 1 pembahsan Keamanan & Keselamatan
security.
mengenai Perusahaan
keselarasan
manajemen
kemanan

Terdapat otoritas

dan waktu yang KD 37_2010_Pengelolaan

Obtain management authorization to implement and operate or change the memadai untuk
4 Yes 1 Keamanan & Keselamatan
ISMS. membangun serta Perusahaan
menjaga sistem
Pengelolaan

16
 Keamanan dan
Keselamatan
Perusahaan yang
efektif dan efisien.

Terdapat
penetapan tata
kelola security and
safety, kepatuhan
terhadap ruang
lingkup ISMS,
Penerapan
Rencana
Keamanan dan
Keselamatan
KD 37_2010_Pengelolaan
Prepare and maintain a statement of applicability that describes the scope of the Perusahaan melalui
5 Yes 1 Keamanan & Keselamatan
ISMS. kebijakan/ bisnis Perusahaan
proses/

prosedur kerja/
bentuk dokumen
lainnya dilakukan

secara melekat dan

terus menerus di
lingkungan

Perusahaan

KD 37_2010_Pengelolaan
Terdapat peran dan Keamanan dan Keselamatan
Define and communicate Information security management roles and
6 Yes 1 tanggung jawab Perusahaan &
responsibilities.
stakeholder ISMS PR_146_tahun_2018_Standar_P
engelolaan Kontrol Akses

17
 Sistem Informasi

7 Communicate the ISMS approach. No 0

APO13.02 Define and manage an information security and privacy risk treatment plan.
Maintain an information security plan that describes how information security risk is to be managed and aligned with enterprise strategy and enterprise architecture.
Activiti Answe Capability
Description
es r Score Comment Evidence Level

Formulate and maintain an information security risk treatment Terdapat rencana

plan aligned with strategic objectives and the enterprise penanganan risiko
architecture. Ensure that the plan identifies the appropriate and keamanan informasi yang KD 37_2010_Pengelolaan Keamanan
1 Yes 1
optimal management practices and security solutions, with selaras dengan tujuan & Keselamatan Perusahaan
strategis dan arsitektur
associated resources, responsibilities and priorities for managing
perusahaan
identified information security risk.

Maintain as part of the enterprise architecture an inventory of

2 solution components that are in place to manage security- related No 0
3
risk.

Develop proposals to implement the information security risk

Terdapat penjelasan Tata PR_146_tahun_2018_Standar_Pengel
treatment plan, supported by suitable business cases that include
3 Yes 1 Kelola Keamanan olaan Kontrol Akses Sistem Informasi
consideration of funding and allocation of roles and
Informasi & Security System and Data Integrity
responsibilities.

4 Provide input to the design and development of management Yes 1 Terdapat Pengelolaan PR_146_tahun_2018_Standar_Pengel
practices and solutions selected from the information security risk Akses ke Source Code olaan Kontrol Akses Sistem Informasi

18
 treatment plan. Program

Terdapat program
Implement information security and privacy training and KD 37_2010_Pengelolaan Keamanan
5 Yes 1 pelatihan terkait
awareness programs. & Keselamatan Perusahaan
keamanan & keselamatan

Terdapat Strategi deteksi

Integrate the planning, design, implementation and monitoring of
keamanan dan
information security and privacy procedures and other controls KD 37_2010_Pengelolaan Keamanan
6 Yes 1 keselamatan perusahaan
capable of enabling prompt prevention, detection of security & Keselamatan Perusahaan
(fasilitas / peralatan
events, and response to security incidents.
deteksi dan akses kontrol)

% Fulfillment of Level 3 6 83% L (Largely) Stop Here!

Define how to measure the effectiveness of the selected

management practices. Specify how these measurements are to be
7 N.A. 0 4
4 used to assess effectiveness to produce comparable and
reproducible results.

19
APO13.03 Monitor and review the information security management system (ISMS).
Maintain and regularly communicate the need for, and benefits of, continuous improvement in information security.
Activitie Answe Capability
Description
s r Score Comment Evidence Level

Review dan Audit, untuk

memastikan bahwa Rencana
Keamanan dan Keselamatan
Perusahaan telah dibuat,
dijalankan dan dijaga
Undertake regular reviews of the effectiveness of the ISMS. KD 37_2010_Pengelolaan
performansinya sesuai dengan
1 Include meeting ISMS policy and objectives and reviewing Yes 1 Keamanan dan Keselamatan
tingkat Risiko yang telah
security and privacy practices. Perusahaan
ditetapkan, harus dilakukan
review dan audit secara rutin dan
berkala serta dilaporkan ke
Komite Risiko Perusahaan untuk
ditindaklanjuti.

4
Sistem harus dapat menyajikan
reporting untuk keperluan audit PR_146_tahun_2018_Standar_
2 Conduct ISMS audits at planned intervals. Yes 1 atau review, yang dilakukan oleh Pengelolaan Kontrol Akses
BPO, internal audit atau Sistem Informasi
eksternai audit.

Undertake a management review of the ISMS on a regular basis Terdapat identifikasi dan KD 37_2010_Pengelolaan
3 to ensure that the scope remains adequate and improvements in Yes 1 Perbaikan Keamanan dan Keselamatan
the ISMS process are identified. Kelemahan Sistem Keamanan Perusahaan

4 Yes 1 Pencatatan (logging) akses PR_146_tahun_2018_Standar_

Record actions and events that could have an impact on the
adalah wajib untuk menjamin Pengelolaan Kontrol Akses

20
 auditability dari sistem
pengendalian akses dan
effectiveness or performance of the ISMS. memungkinkan untuk tindak Sistem Informasi
lanjut yang sesuai dalam kasus
penyalahgunaan sistem.

% Fulfillment of Level 4 4 100% F (Fully) Continue!

Target dari kegiatan Pengelolaan

Keamanan dan

Keselamatan Perusahaan adalah

KD 37_2010_Pengelolaan
Provide input to the maintenance of the security plans to take into menyusun Rencana
5 Yes 1 Keamanan dan Keselamatan 5
account the findings of monitoring and reviewing activities.
Keamanan dan Keselamatan Perusahaan
Perusahaan. Serta pemantauan
mengenai terlaksananya
pengelolaan keamanan.

21
 Rekomendasi Aspek People
Practice- People Aspect
No Gap
Activity Type Potential Improvement

Menambahkan roles yakni

Roles
Manager Kemanan Informasi

Menambahkan rincian tugas

dan tanggung jawab terkait
Responsibility security controls dan
monitoring information
security

Mampu memiliki skill

mengenai pengelolaan security
Belum terdapat komunikasi yang disesuaikan dengan
1 APO13.01-7 kebijakan organsiasi dan risk
pendekatan mengenai ISMS
Skill & assessment kemudian dapat
awareness mengkomunikasikan risiko
security ke stakeholder
perusahaan sehingga mampu
juga menganalisis risk
assesment

Melakukan meeting terkait

pembuatan semua kategori
Communication
perubahan seperti infrastruktur,
sistem operasi, jaringan, dsb

2 APO13.02.2 ISMS belum menjadi bagian daripada

enterprise architecture Menambahkan roles terkait
Roles
yaitu Solution Architect

Menambahkan rincian tugas

dan tanggung jawab untuk
menyelaraskan ISMS dengan
Responsibility
enterprise architecture dan
mendeskripsikan pengelolaan
keamanan informasi

Skill & Dapat mengevaluasi kendala

awareness untuk menemukan alternatif,
mengurangi risiko, dan
melakukan pengulangan proses
jika diperlukan kemudian
mempunyai pengetahuan
umum terkait enterprise
architecture & menganalisis
dampak bisnis yang mungkin
terjadi

22
 Melakukan meeting terhadap
inovasi baru terkait
Communication
penyambungan dengan
enterprise architecture

Menambahkan roles terkait

Roles yakni Manager Keamanan
Informasi

Menambahkan rincian tugas

dan tanggung jawab terkait
kelemahan dan memberikan
Responsibility rekomendasi untuk tindakan
perbaikan. Kemudian
melakukan penentuan KPI
perusahaan
Belum adanya pengukuran yang akan Mampu mengindetifikasi
digunakan untuk menilai efektivitas parameter performansi terkait
3 APO13.02-7
untuk menghasilkan hasil yang kemanan informasi dan
sebanding dan dapat direproduksi Skill &
melakukan
awareness
evaluasi/measurement terkait
efektivitas dari pengelolaan
information security

Melakukan meeting terkait

pembuatan semua kategori
perubahan seperti pengelolaan
Communication keamanan informasi, parameter
yang diukur, memberikan
laporan hasil evaluasi
pengukuran di periode tertentu

23
 Rekomendasi Aspek Proses

Practice- Process Aspect

No Gap
Activity Type Potential Improvement
Membuat kebijakan dalam
Policy pendekatan komunikasi
ISMS
Membuat alur dalam
mengkomunikasikan ISMS
Procedure berupa training dan
presentasi progress per
periode
APO13.01- Belum terdapat komunikasi
1
7 pendekatan mengenai ISMS
Work
-
instruction

Laporan hasil evaluasi dan

Record performansi dalam bentuk
tabel monitoring

ISMS belum menjadi bagian
2 APO13.02.2
daripada enterprise architecture
Menetapkan kebijakan,
standar, dan pedoman
tentang bagaimana
Policy
organisasi melakukan
pengembangan strategi dan
perencanaan
Membuat tahapan
penyelarasan ISMS dengan
Procedure enterprise architecture
(penyusunan requirement
hingga keterkaitan artefak)

Merinci kebutuhan untuk

Work melakukan penyelarasan
instruction ISMS dengan enterprise
architecture

24
 Laporan hasil evaluasi
Record penyelarasan ISMS dengan
enterprise architecture

Menambahkan kebijakan
Policy terkait pengukuran
efektivitas

Membuat alur atau acuan

Procedure efektivitas berupa KPI per
Belum adanya pengukuran yang periode
akan digunakan untuk menilai
APO13.02- Merinci tahapan
3 efektivitas untuk menghasilkan
7 Work pengukuran penilaian
hasil yang sebanding dan dapat
direproduksi instruction efektivitas dari setiap
practices sesuai dengan KPI

Laporan hasil evaluasi dan

Record performansi dalam bentuk
tabel monitoring

Rekomendasi Aspek Teknologi

Practice- Technology Aspect

No Gap
Activity Type Potential Improvement
Tools Email blast per periode
Belum terdapat
APO13.01- communisis Feature Fitur sosialisasi / awareness /
1
7 pendekatan reporting untuk diberikan top
mengenai ISMS level management

Tools -
ISMS belum
menjadi bagian
2 APO13.02.2 daripada Feature -
enterprise
architecture

25
 Belum adanya Tools Memerlukan Dashboard
pengukuran
yang akan
digunakan Feature Terdapat matriks untuk
untuk menilai pengukuran efektivitas, chart
APO13.02- efektivitas yang jelas, real time dan dapat
3
7 untuk diakses dari website oleh top
menghasilkan level management dan bagian
hasil yang bagian yang terkait
sebanding dan
dapat
direproduksi

Kesimpulan

Hasil pengerjaan assesment APO13 - Managed Security menggunakan COBIT 2019

sebagian besar aktivitas telah terpenuhi. Hasil analisis yang ditulis merupakan hasil dari dua

26
evidence yaitu KD37_2010_Pengelolaan Keamanan & Keselamatan Perusahaan
danPR_146_tahun_2018_Standar_Pengelolaan Kontrol Akses Sistem Informasi. Perlu ada
improvement yang harus ditingkatkan berupa people aspect, process aspect dan technology
aspect.

27