Anda di halaman 1dari 69

LAPORAN AKHIR TAHUN

PENYUSUNAN MASTER PLAN

SISTEM MENEJEMEN KEAMANAN INFORMASI

DI KABUPATEN INDRAMAYU

TAHUN 2022

Laporan Akhir Tahun


1
BAB I PENDAHULUAN …………………………………………………………………………

A. Latar Belakang ………………………………………………………………………..


B. Tujuan ………………………………………………………………………………...
C. Dasar Hukum
………………………………………………………………………….

BAB II. METODOLOGI PENYUSUNAN .……………………………………………………..

A. Metodologi …………………………………………………………………………….
B. Pendekatan Dan Ruang Lingkup
…………………………………………………….
a. Pendekatan
……………………………………………………………….............
b. Ruang Lingkup
…………………………………………………………………..

BAB III. ANALISA KONDISI DAN KEBUTUHAN …………………………………………..

A. Pengumpulan Data
……………………………………………………………………
B. Kondisi Saat Ini ……………………………………………………………………….
C. Kondisi Umum dan Kesimpulan …………………………………………………….
D. Kondisi Ideal ………………………………………………………………………….

BAB IV. PENERAPAN SISTEM MANAJEMEN KEAMANAN INFORMASI (SMKI)


…….

A. Standarisasi ISO 27001


……………………………………………………………….
A.1 Bentuk tim penerapan SMKI
……………………………………………………
A.2 Buat rencana penerapan SMKI
…………………………………………………
A.3 Memulai Sistem Manajemen Keamanan Informasi (SMKI)
………………….
A.4 Tentukan ruang lingkup Sistem Manajemen Keamanan Informasi(SMKI)

A.5 Identifikasi garis dasar keamanan SMKI
………………………………………

Laporan Akhir Tahun


2
A.6 Menetapkan proses manajemen resiko keamanan informasi
…………………
A.7 Penerapan rencana penanganan resiko keamanan informasi
…………………
A.8 Pemantauan dan peninjauan SMKI
…………………………………………….
A.9 Pengajuan sertifikasi SMKI Kabupaten Indramayu
…………………………..
B. Pembuatan Peraturan
………………………………………………………………...
C. Arsitektur Keamanan Informasi (Aplikasi dan Infrastruktur )
……………………
C.1 Aplikasi
…………………………………………………………………………..
C.2 SMKI Infrastruktur Jaringan
…………………………………………………..

BAB I PENDAHULUAN

A. Latar Belakang

Internet merupakan sebuah media pertukaran informasi dan data yang terbuka, artinya internet
dapat diakses oleh siapa saja, kapan saja dan darimana saja. Dengan berbagai kecanggihan
sarana komunikasi modern tersebut, internet sangat rentan terhadap serangan sistem informasi.
Tanpa adanya sistem keamanan terhadap informasi membuat sistem informasi yang dimiliki
individu, organisasi bahkan instansi pemerintahan menjadi sangat rentan terhadap adanya
upayaupaya penyerangan sistem informasi1.

Perspektif masyarakat tentang Teknologi Informasi dan Komunikasi telah bergeser dari Nilai
Aset Bersih (NAB)4 ke Nilai Aset Informasi. Dalam konteks keamanan informasi, informasi
diartikan sebagai sebuah aset yang sangat bernilai dan harus dilindungi. Hal ini dapat bermakna
bahwa informasi dalam sebuah perangkat PC atau infrastruktur TIK bahkan menjadi lebih
berharga dari pada infrastruktur TIK tersebut secara fisik. Dengan demikian, hilang atau
rusaknya sebuah informasi berharga dapat menyebabkan kerugian besar. Seiring dengan

Laporan Akhir Tahun


3
meningkatnya nilai aset informasi, maka semakin besar keinginan orang untuk mendapatkan
akses ke informasi dan mengendalikannya. Maka muncullah individu atau kelompok yang
menggunakan aset informasi demi berbagai tujuan dan mengerahkan segala upaya untuk
mendapatkan aset informasi dengan berbagai cara.

Strategi keamanan informasi menentukan arah semua kegiatan keamanan informasi. Komponen
regulasi dan kebijakan keamanan informasi adalah dokumen rencana tingkat tinggi dari
keamanan informasi seluruh organisasi. Kebijakan berisi kerangka kerja untuk membuat
keputusan spesifik, seperti rencana keamanan fisik dan administratif. ini merupakan rumusan
untuk mengatasi permasalah Keamanan Informasi Nasional. Dengan adanya peraturan dan
strategi maka akan mempertegas serta memperjelas cara untuk mengatasi permasalahan
keamanan informasi.

Dalam penerapan TIK, faktor keamanan informasi merupakan aspek yang sangat penting
diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu
objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Tujuan utama
dari Tata Kelola keamanan informasi pada organisasi/ instansi pemerintah adalah untuk
mengurangi dampak yang merugikan instansi sampai pada tingkatan yang bisa diterima oleh
instansi.

Keamanan informasi mencakup semua jenis informasi, baik fisik dan elektronik. Pada
implementasi sehari-hari dalam instansi, keamanan informasi melindungi semua aset informasi
terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak berhak
ataupun kerusakan informasi.

Tata Kelola Keamanan Informasi dalam sebuah korporasi atau organisasi apapun di aplikasikan
dalam wujud sebuah sistem, yaitu ISMS (information security management system) atau Sistem
Manajemen Keamanan Informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk
merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk
secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta
ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi. Komponen
Kebijakan keamanan informasi yang tercakup dalam tata kelola keamanan informasi adalah

Laporan Akhir Tahun


4
arahan startegis dalam pelaksanaan manajemen risiko keamanan informasi pada sebuah
organisasi. Kebijakan berisi kerangka kerja untuk membuat keputusan spesifik, seperti rencana
keamanan fisik dan administratif. Strategi keamanan informasi akan menentukan arah semua
kegiatan keamanan informasi. Dengan adanya peraturan dan strategi maka akan mempertegas
serta memperjelas cara untuk mengatasi permasalahan keamanan informasi. Setiap elemen dalam
mewujudkan kemanan informasi harus mengacu pada standar keamanan yang telah ditetapkan.

Setiap elemen harus mengacu pada standar keamanan yang telah ditetapkan dalam mewujudkan
kemanan informasi. Standar keamanan informasi harus khusus dan spesifik sehingga mereka
dapat diterapkan ke semua bidang keamanan informasi. Setiap negara perlu mengembangkan
standar sesudah menganalisis standar keamanan administratif, fisik dan teknis yang banyak
digunakan di dunia. Standar haruslah sesuai dengan lingkungan TIK yang umum. Standar
keamanan informasi harus khusus dan spesifik sehingga dapat diterapkan ke semua bidang
keamanan informasi. Organisasi Internasional untuk

Standarisasi telah mengembangkan sejumlah standar tentang Information Security Management


Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam bentuk
persyaratan maupun panduan. Standar ISMS yang paling terkenal adalah ISO/IEC 27001 dan
ISO/IEC 27002 serta standarstandar terkait yang diterbitkan bersama oleh ISO dan IEC.
Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good

Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka Manajemen
Teknologi Informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah
keamanan walaupun lebih terarah pada kerangka Tata Kelola secara umum. Dari standar seri
ISO

27000 hingga September 2011, standar ISO/IEC 27001: 2005 telah diadopsi Badan Standarisasi
Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI
ISO/IEC 27001: 2009. Pada struktur keseluruhan proses SMKI diterapkan model PLAN-DO-
CHECK-ACT (PDCA).

Dalam sebuah pelayanan publik yang diselenggarakan oleh pemerintah, TIK merupakan sebagai
pendukung layanan agar layanan dapat disampaikan dengan efektif dan efisien. Hal ini
dikemukakan dalam penelitian yang dilakukan oleh Saheer Al-Jaghoub, Hussein Al-Yaseen and

Laporan Akhir Tahun


5
Mouath Al-Hourani (Saheer, Hussein & Mouath, 2010) yang menyimpulkan bahwa TIK adalah
instrument yang bermanfaat dan mampu meningkatkan efektivitas dan efisiensi layanan
pemerintah. Meskipun demikian, dalam peneltian tersebut juga disampaikan mengenai
munculnya isuisu, seperti keamanan, privasi dan penerimaan menjadi hambatan dalam adopsi
layanan e-government. Dengan demikian dibutuhkan perhatian khusus mengenai hal tersebut
dalam pengembangan e-government. Terkait dengan kajian tentang kebijakan Tata Kelola
Keamanan Informasi, dalam penelitian berikutnya yang dilakukan oleh Rossouw Von Solms,
Kerry-Lynn Thomson, dan Prosecutor Mvikeli Maninjwa (Solms, Thomson, & Maninjwa,
2011), menyebutkan bahwa; Praktik Tata Kelola Keamanan Informasi yang komprehensif harus
dilakukan oleh organisasi. Tata Kelola Keamanan Informasi terdiri dari kegiatan langsung dan
kontrol yang harus dilakukan pada semua tingkat (level) manajemen, yaitu: tingkat strategis,
taktis, dan operasional. Kebijakan yang berada di masing-masing tingkatan harus terwakili di
Arsitektur Kebijakan Tata Kelola Keamanan Informasi atau yang dikenal dengan istilah
Information Security Policy Architecture (ISPA) pada sebuah organisasi. Namun dalam banyak
kasus, kebijakan tata kelola keamanan informasi tidak termasuk dalam kebijakan yang berada di
tingkat operasional.

IT Governance Institute (ITGI, 2003) menunjukkan bahwa tata kelola TI berkaitan dengan
penyampaian nilai TI bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh keselarasan
strategis TI dengan tujuan bisnis, mitigasi risiko TI disampaikan dengan menanamkan
akuntabilitas ke dalam organisasi. Lebih lanjut lagi, menurut Tenver A. Zia (Zia, 2010), hal ini
menyebabkan lima area fokus utama tata kelola TI. Dua di antaranya adalah hasil, yaitu:
penyampaian nilai TI dan manajemen risiko. Tiga fokus lainnya adalah pendorong, antara lain:
keselarasan strategis, manajemen sumber daya, dan manajemen kinerja. Dalam rangka untuk
memberikan keamanan di layanan manajemen TI dan tata kelola TI, keselarasan strategis TI dan
manajemen risiko harus ditangani dengan baik.

Meskipun ada banyak karakteristik untuk tata kelola keamanan TI, namun sulit untuk
dikontekstualisasikan. Best Practice menyatakan bahwa tata kelola keamanan TI mendefinisikan
inti prinsip-prinsip keamanan TI, akuntabilitas dan tindakan organisasi, untuk memastikan
pencapaian tujuan. Departement of Broadband, Communications and the Digital Economy,
Australia mendefinisikan Tata Kelola Keamanan Informasi sebagai penetapan dan penegakan

Laporan Akhir Tahun


6
budaya keamanan TI untuk memberikan jaminan bahwa tujuan bisnis dan persyaratan para
stakeholder (pemangku kepentingan) akan perlindungan informasi terus dipenuhi (Department of
Broadband Communications, and the Digital Economy- Australia, 2009).

Laporan Akhir Tahun


7
1. Gambar 1. Konsep IT Security Government

B. Tujuan

1. Menginventarisasi pola keamanan dari aspek komunikasi jaringan , perangkat keras, dan
perangkat lunak perangkat daerah Pemerintah

Kabupaten Indramayu

2. Dalam rangka memfasilitasi keamanan data dan informasi serta sistem secara
komputerisasi dengan mudah

3. Mengefesiensikan pengelolaan persandian lewat jaringan internet terpadu

4. Memberikan hasil yang maksimal untuk keamanan informasi dan komunikasi public

Laporan Akhir Tahun


8
C. Dasar Hukum

a) Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi (Lembaran Negara


Republik Indonesia Tahun 1999 Nomor 154, Tambahan Lembaran Negara Republik
Indonesia Nomor 3881);

b) Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik


(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran
Negara Republik Indonesia Nomor 4843);

c) Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik


(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 61, Tambahan Lembaran
Negara Republik Indonesia Nomor 4846);

d) Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik Lembaran Negara


Republik Indonesia Tahun 2009 Nomor 112, Tambahan Lembaran Negara Republik
Indonesia Nomor 5038);

e) Undang-Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-


undangan (Lembaran Negara Republik Indonesia Tahun 2011 Nomor 82, Tambahan
Lembaran Negara Republik Indonesia Nomor 5234), sebagaimana telah diubah dengan
Undang-Undang Nomor 15 Tahun 2019 tentang Perubahan atas Undang-Undang
Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan
(Lembaran Negara Republik Indonesia Tahun 2019 Nomor 183, Tambahan Lembaran
Negara Republik Indonesia Nomor 6398);

f) Undang-Undang Nomor 5 Tahun 2014 tentang Aparatur Sipil Negara (Lembaga


Negara Republik Indonesia Tahun 2014 Nomor 6, Tambahan Lembaran Negara
Republik Indonesia Nomor 5494);

Laporan Akhir Tahun


9
g) Undang-Undang Nomor 23 Tahun 2014 tentang Pemerinatahan Daerah (Lembaran
Negara Republik Indonesia Tahun 2014 Nomor 224, Tambahan Lembaran Negara
Republik Indonesia Nomor 5587), sebagaimana telah diubah dengan Peraturan
Pemerintah Pengganti Undang-Undang Nomor 2 Tahun 2014 tentang Perubahan Atas
Undang-Undang Nomor 23 Tahun 2014 tentang Pemerintahan Daerah (Lembaran
Negara Republik Indonesia Tahun 2014 Nomor 246, Tambahan Lembaran Negara
Republik Indonesia Nomor 5589);
h) Peraturan Pemerintah Nomor 52 Tahun 2000 tentang Penyelenggaraan
Telekomunikasi (Lembaran Negara Republik ndonesia Tahun 2000 Nomor 107,
Tambahan Lembaran Negara Republik Indonesia Nomor 3980);
i) Peraturan Pemerintah Nomor 61 Tahun 2010 tentang Pelaksanaan Keterbukaan
Informasi Publik (Lembaran Negara Republik Indonesia Tahun 2010 Nomor 99,
Tambahan Lembaran Negara Republik Indonesia Nomor 5149);
j) Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan
Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189,
Tambahan Lembaran Negara Republik Indonesia Nomor 5348);
k) Peraturan Presiden Nomor 87 Tahun 2014 tentang Peraturan Pelaksanaan Undang-
Undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan
(Lembaran Negara Republik Indonesia Tahun 2014 Nomor 199);
l) Instruksi Presiden Nomor 6 Tahun 2001 tentang Pengembangan dan Pendayagunaan
Telematika di Indonesia;
m) Instruksi Presiden Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional
Pengembangan e-Government; Peraturan Menteri Dalam Negeri Nomor 35 Tahun 2010
tentang Pedoman dan Pelayanan Informasi dan Dokumentasi di Lingkungan
Kementerian Dalam Negeri dan Pemerintahan Daerah (Berita Negara Republik
Indonesia Tahun 2010 Nomor 245);
n) Peraturan Menteri Pendayagunaan Aparatur Negara Nomor 6 Tahun 2011 tentang
Pedoman Umum Tata Naskah Dinas Elektronik di Lingkungan Instansi Pemerintah;
o) Peraturan Badan Siber dan Sandi Negara Nomor 10 tahun 2019 tentang Pelaksanaan
Persandian Untuk Pengamanan Informasi di Pemerintah Daerah
1)

Laporan Akhir Tahun


10
BAB II Metodologi Penyusunan

A. Metodologi
Metode penelitian yang digunakan adalah metode deskriptif kualitatif yaitu hasil
penelitian disajikan dalam bentuk narasi deskripsi. Pendekatan kualitatif dilakukan
dalam penelitian ini yaitu dengan merincikan Sistem Manajemen Keamanan Informasi
(SMKI) di Pemerintah Kabupaten Indramayu dengan standard yang ada pada ISO/IEC
27001:2013. Dalam penerapan standar ISO/IEC 27001 pada Sistem Manajemen
Keamanan Informasi (SMKI) Pemerintah Kabupaten Indramayu, maka kami akan
berpedoman pada Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021
Tentang Pedoman Manajemen Keamanan Informasi dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik.
Pada prinsipinya metodologi penyusunan dokumen Rencana Induk SMKI
Kabupaten Indramayu tahun ini mencakup beberapa langkah berikut:

a. Analisis terhadap kondisi saat ini (Current Condition).

Tahap analisis ini dimaksudkan untuk memperoleh informasi yang memadai


mengenai kondisi penerapan SMKI saat ini di lingkungan Pemerintahan
Daerah Kabupaten Indramayu. Termasik di dalamnya kegiatan analisis
aplikasi SMKI yang telah ada, infrastruktur jaringan, SDM pendukung,
peraturan-peraturan (regulasi) internal yang berkaitan dengan penerapan
SMKI.

b. Analisis terhadap kondisi ideal (Future State).

Langkah ini dimaksudkan untuk menyusun kondisi atau konsep ideal


bagi Pemerintah Kabupaten Indramayu dalam penerapan SMKI untuk
mendukung tupoksi seluruh OPD-nya. Tahapan ini difokuskan pada
bagaimana SMKI dapay mendukung tercapainya visi dan misi Pemerintahan
Kabupaten Indramayu. Dalam hal ini juga dilakukan analisis terhadap
kondisi internal, yaitu aset teknologi informasi dan peraturan internal yang
terkait dengan SMKI serta pengaruh- pengaruh external, khususnya
perkembangan Keamanan SPBE.

Laporan Akhir Tahun


11
B. Pendekatan dan Ruang Lingkup

Berikut adalah pendekatan yang digunakan dan ruang lingkup dokumen Rencana
Induk SMKI Kabupaten Indramayu

 Pendekatan

1) Pendekatan deskriptif digunakan untuk menggambarkan hasil analisis


kebijakan dan data yang diperoleh dari berbagai OPD di lingkungan
Pemerintah Kabupaten Indramayu
2) Pendekatan Kelembagaan/Organisasi digunakan untuk melakukan analisis
terhadap struktur organisasi Pemerintah Kabupaten Indramayu serta rencana
pengembangannya.
3) Pendekatan Perencanaan dilakukan untuk menganalisis kebutuhan sarana dan
prasarana, berbagai aspek ketersediaan sumber daya manusia serta
ketersediaan biaya dalam kaitan pengembangan SMKI di Kabupaten
Indramayu.
4) Pendekatan Teknis digunakan untuk analisis spesifikasi teknis perangkat
keras/lunak, infrasturktur jaringan komunikasi serta kebutuhan kualifikasi
sumber daya manusia bagi Kabupaten Indramayu.
5) Pendekatan Komprehensif dan Integratif digunakan untuk
mempertimbangkan segala aspek yang terkait secara terpadu terutama dalam
hal perencanaan, pelaksanaan, pengembangan serta pengendalian
pembangunan SMKI di Kabupaten Indramayu.

Laporan Akhir Tahun


12
c. Penyusunan transition plan
Dalam hal ini dilakukan analisis terhadap kendala-kendala yang ada (gap analysis),
yaitu kesenjangan yang ada antara kondisi idealyang ingin dicapai agar SMKI dapat
dipergunakan secara optimal dalam mendukung visi dan misi Pemerintah
Kabupaten Indramayu, dengan kondisi yang ada saat ini. Dari tahapan ini dapat
diketahui langkah-langkah ke depan yang perlu dilakukan untuk mencapai kondisi
ideal, berikut dengan penyusunan prioritasnya sehingga kondisi ideal yang
diharapkan dapat dicapai dalam kurun lima tahun ke depan

 Ruang Lingkup

Ruang lingkup Rencana Induk SMKI Pemerintah Kabupaten Indramayu ini


mencakup beberapa hal sebagai berikut:
a) Pendefinisian arah strategis dan kerangka kebijakan penerapan SMKI di
Kabupaten Indramayu.
b) Mengembangkan arah strategis SMKI yang menjelaskan kontribusinya
terhadap pencapaian visi dan misi Pemerintahan Kabupaten Indramayu.
c) Mengembangkan kerangka kebijakan untuk penentuan prioritas dan
alokasi sumber daya dalam penerapan SMKI.
d) Perencanaan daftar kebutuhan keamanan data dan informasi SMKI yang
dibutuhkan Kabupaten Indramayu
e) Menjelaskan arsitektur teknis dari jaringan, perangkat keras dan perangkat
lunak yang memungkinkan penerapan SMKI dalam menunjang
pelaksanaan pemerintahan Kabupaten Indramayu.
f) Merekomendasikan portofolio aplikasi khusus untuk mendukung SMKI
yang sesuai dengan kebutuhan Pemerintah Kabupaten Indramayu.
g) Menjelaskan langkah-langkah untuk menyelaraskan penerapan SMKI
sesuai dengan kaidah standarisasi ISO 27001/2013 Pemerintah Daerah
Kabupaten Indramayu.
h) Merekomendasikan usulan pengembangan SMKI sesuai dengan
standarisasi ISO 27001/2013.
i) Merekomendasikan kerangka pengelolaan dan penerapan SMKI yang
tersentral maupun juga yang terdistribusi.

Laporan Akhir Tahun


13
BAB III Analisa Kondisi dan Kebutuhan
A. Pengumpulan Data

Pengumpulan data dilakukan dengan cara pengamatan langsung dilapangan dan


wawancara langsung dengan pengguna akhir sistem dan pengelola sistem dalam hal ini
orang yang berkompeten dalam bidang teknologi informasi. Kebijakan Keamanan
Informasi didefinisikan sebagai: Sebuah rencana tindakan untuk menangani masalah
keamanan informasi, atau satu set peraturan untuk mempertahankan kondisi atau tingkat
keamanan informasi tertentu.

Gambar 3.1 Teknik analisis data kualitatif

B. Kondisi saat ini


Kondisi saat ini akan dijabarkan dalam 4 kategori yang menjadi area prioritas dalam
penyelenggaraan Manajemen Keamanan Sistem Pemerintahan Berbasis Elektronik
(SPBE) yang tercantum dalam Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun
2021.
Dibawah ini adalah gambaran infografis untuk menjelaskan aset Sistem Informasi baik
berupa website sebagai media penyampaian informasi dan data ataupun aplikasi
pelayanan yang mendukung penyelenggaran Sistem Pemerintahan Berbasis Elektronik
(SPBE) di lingkungan pemerintah Kabupaten Indramayu dengan domain dan subdomain
indramayukab.go.id

Laporan Akhir Tahun


14
Gambar 3.2 Infografis Aset Sistem Informasi Pemkab Indramayu

1) Data dan Informasi SPBE


Pemerintah Kabupaten Indramayu memiliki memiliki 64 website milik pemerintah
yang terdiri dari :
 1 website milik Pemerintah Daerah:
o Indramayukab.go.id
 32 website milik Satuan Kerja Perangkat Daerah :
o setda.indramayukab.go.id
o inspektorat.indramayukab.go.id
o disdik.indramayukab.go.id
o dinkes.indramayukab.go.id
o pupr.indramayukab.go.id
o satpolppdamkar.indramayukab.go.id
o dlh.indramayukab.go.id
o diskoperindag.indramayukab.go.id
o dpkpp.indramayukab.go.id
o disdukcapil.indramayukab.go.id
o dpmd.indramayukab.go.id
o dinsos.indramayukab.go.id
o disnaker.indramayukab.go.id
o dishub.indramayukab.go.id

Laporan Akhir Tahun


15
o diskominfo.indramayukab.go.id
o dpmptsp.indramayukab.go.id
o diudpar.indramayukab.go.id
o diskanla.indramayukab.go.id
o distan.indramayukab.go.id
o disnakeswan.indramayukab.go.id
o dkp.indramayukab.go.id
o dppkb.indramayukab.go.id
o dp3a.indramayukab.go.id
o dispora.indramayukab.go.id
o disarpus.indramayukab.go.id
o bappeda.indramayukab.go.id
o bkpsdm.indramayukab.go.id
o bkd.indramayukab.go.id
o kesbangpol.indramayukab.go.id
o bpbd.indramayukab.go.id
o rsud.indramayukab.go.id
o rsudmasentot.indramayukab.go.id
 31 website milik Kecamatan :
o anjatan.indramayukab.go.id
o arahan.indramayukab.go.id
o balongan.indramayukab.go.id
o bangodua.indramayukab.go.id
o bongas.indramayukab.go.id
o cantigi.indramayukab.go.id
o cikedung.indramayukab.go.id
o gabuswetan.indramayukab.go.id
o gantar.indramayukab.go.id
o haurgeulis.indramayukab.go.id
o indramayu.indramayukab.go.id
o jatibarang.indramayukab.go.id
o juntinyuat.indramayukab.go.id
o kandanghaur.indramayukab.go.id
o karangampel.indramayukab.go.id
o kedokanbunder.indramayukab.go.id
o kertasemaya.indramayukab.go.id
o krangkeng.indramayukab.go.id
o kroya.indramayukab.go.id
o lelea.indramayukab.go.id
o lohbener.indramayukab.go.id
o losarang.indramayukab.go.id
o pasekan.indramayukab.go.id
o patrol.indramayukab.go.id

Laporan Akhir Tahun


16
o sindang.indramayukab.go.id
o sliyeg.indramayukab.go.id
o sukagumiwang.indramayukab.go.id
o sukra.indramayukab.go.id
o tukdana.indramayukab.go.id
o terisi.indramayukab.go.id
o widasari.indramayukab.go.id
 Selain website diatas sebagai media informasi milik masing-masing satuan
kerja, Pemerintah Kabupaten Indramayu juga memiliki website open data
yang dapat diakses oleh masyarakat maupun perangkat daerah yang
membutuhkan dengan domain berikut :
o opendata.indramayukab.go.id
o data.indramayukab.go.id
o satudata.indramayukab.go.id

Satudata.indramayukab.go.id saat ini belum memiliki kelengkapan data yang cukup,


sehingga belum bisa menjadi alat yang dapat digunakan untuk integrasi data antara
perangkat daerah di Kabupaten Indramayu. Website maupun aplikasi milik pemerintah
Kabupaten Indramayu juga hamper seluruhnya belum menyediakan Application
Programming Interface (API) untuk komunikasi dengan sistem lain. Desain aplikasi
yang dibangun untuk SPBE masih menggunakan pendekatan arsitektur monolitik yaitu
arsitektur dimana keseluruhan kode akan dikompilasi menjadi satu aplikasi (biasanya
menjadi satu binary atau artifact) dimana aplikasi tersebut menjalankan seluruh proses
yang dibutuhkan. Kebutuhan akan komunikasi kepada aplikasi atau service lain bisa
jadi tidak ada, karena aplikasi ini telah mencakup seluruh kode yang dibutuhkan.

Gambar 3.3 Arsitektur Monolitik

2) Aplikasi SPBE

Laporan Akhir Tahun


17
Pemerintah Kabupaten Indramayu 35 aplikasi yang terdaftar di Dinas Komunikasi dan
Informatika :
o akku.indramayukab.go.id
o bphtb.indramayukab.go.id
o bundaliterasi.indramayukab.go.id
o cekpajak.indramayukab.go.id
o cimanuk.indramayukab.go.id
o covid19.indramayukab.go.id
o dev.indramayukab.go.id
o katalog.arpus.indramayukab.go.id
o lpse.indramayukab.go.id
o m.opac.indramayukab.go.id
o metadatayu.indramayukab.go.id
o opac.indramayukab.go.id
o pusdatin.indramayukab.go.id
o radppk.indramayukab.go.id
o report.lpse.indramayukab.go.id
o rujukan.indramayukab.go.id
o sakip.indramayukab.go.id
o sibayu.indramayukab.go.id
o sibunda.jatibarang.indramayukab.go.id
o silat.indramayukab.go.id
o simanis.indramayukab.go.id
o simdagudang.indramayukab.go.id
o simpan-ayu.indramayukab.go.id
o simparda.indramayukab.go.id
o simpedal.indramayukab.go.id
o sindang.indramayukab.go.id
o sintren.indramayukab.go.id
o sip.indramayukab.go.id
o sip4.indramayukab.go.id
o sipajabobad.indramayukab.go.id
o sipelo.indramayukab.go.id
o siponline.indramayukab.go.id
o sirendaayu.indramayukab.go.id
o siskeudes.indramayukab.go.id
o sliyeg.indramayukab.go.id
o sukagumiwang.indramayukab.go.id
o sukra.indramayukab.go.id
o tamsil.indramayukab.go.id
o wbs.indramayukab.go.id
o 9pajak.indramayukab.go.id
o tte.indramayukab.go.id

Laporan Akhir Tahun


18
Dibawah ini merupakan komposisi teknologi yang digunakan terkait dengan Framework
atau Content Management System yang digunakan pada website dan aplikai di
lingkungan pemerintah Kabupaten Indramayu :

Gambar 3.4 Framework dan CMS Teknologi SPBE Kabupaten Indramayu

Laporan Akhir Tahun


19
Berdasarkan data diatas maka diketahui bahwa bahasa pemograman PHP masih
menjadi satu-satunya yang digunakan pada website atau aplikasi berbasis website
(100%) dengan komposisi :
 Wordpress menempati posisi teratas sebagai Content Management System
(CMS) dengan persentase 64,6%
 Codeigniter menempati posisi kedua sebagai Framework PHP dengan
persentase 20,2%
 Laravel menempati posisi ketiga sebagai Framework PHP dengan persentase
10,1%
 Terakhir adalah campuran dari berbagai aplikasi yang di develop sendiri atau
memanfaatkan CMS atau Framework yang diluar 3 posisi teratas, seperti
moodle CMS pada aplikasi LMS pinterayu, Bahasa Pemograman Java untuk
aplikasi Android Indramayu1 atau Firebase pada aplikasi Opendata
Penggunaan CMS Wordpress menjadi pilihan utama bagi terselenggaranya Sistem
Informasi Berbasis Elektronik (SPBE) di lingkungan Pemerintah Kabupaten Indramayu
dapat kami fahami karena Wordpress memiliki beberapa kelebihan yaitu :
a. Hemat Biaya
b. Instalasi Mudah
c. Update Praktis
d. Kaya Akan Fitur Tambahan dari Plugin
e. Tampilan Mudah Diganti dan Diatur
f. Ramah Optimasi Mesin Pencarian

Gambar 3.5 Persentase


penggunaan CMS pada website di dunia tahun 2022

Pada gambar diatas dapat dilihat bahwa 43,4% website di dunia menggunakan wordpress,
dan sebesar 65,3% wordpress menguasai market share CMS seluruh dunia. Namun dibalik

Laporan Akhir Tahun


20
kepopuleran dan segala kelebihan dari Wordpress, CMS ini juga memiliki kekurangan
yaitu mudah di hack hal ini dikarenakan aplikasi tersebut bersifat open source dan
kelebihan mengubah tampilan dengan tema juga penambahan fitur dengan plugin dengan
beberapa kali klik, kadang menjadi pisau bermata dua yang justru menjadi celah untuk
membobol website dengan CMS wordpress.

Gambar 3.6 Persentase CMS yang terkena Hack (Sumber : Sucuri)


3) Infrastruktur Data Center dan Jaringan
i. Data Center
Dinas Komunikasi dan Informatika Kabupaten Indramayu memiliki 3 data center yaitu
terdiri dari :
1. 2 (dua) buah server fisik yang berlokasi di Indramayu Command Center (ICC)
2. 1 (satu) buah server fisik yang berlokasi di Kantor Dinas Komunikasi dan
Informatika Kabupaten Indramayu
3. 1 (satu) buah server virtual yang disewa di ardhosting.com
ii. Topologi Jaringan Diskominfo Indramayu
Jaringan Dinas Komunikais dan Informatika Kabupaten Indramayu masih menggunakan
wireless., dengan sentral di Kantor diskominfo. Topologi wireless dibagi menjadi
beberapa (Base Transceiver Station ) BTS dengan system Point To Point dan Multi
Point.

Laporan Akhir Tahun


21
Gambar 3.7 Topologi Jaringan Diskominfo Indramayu

Keterangan Warna

Device dalam keadaan ON


Device dalam keadaan OFF
Device NVR CCTV dalam keadaan ON

4) Kebijakan keamanan informasi SPBE yang telah dimiliki


Pemerintah Kabupaten Indramayu sudah memiliki Peraturan Bupati terkait dengan
Keamanan Informasi. Beberapa Peraturan Bupati dan Keputusan Bupati terkait dengan
Keamanan Informasi dan Sistem Informasi Berbasis Elektronik (SPBE) yaitu :

No Nomor dan Tahun Judul


1 Nomor 19 Tahun 2020 Peraturan Bupati Indramayu Nomor 19 Tahun
2020 tentang Pelaksanaan dan Pengelolaan
Sistem Keamanan Informasi Pemerintah
Kabupten Indramayu
2 489.05/Kep.126-Diskominfo/2021 PEMBETUKAN TIM EVALUATOR
INTERNAL PENYELENGGARAAN

Laporan Akhir Tahun


22
SISTEM PEMERINTAHAN BERBASIS
ELEKTRONIK (SPBE) PEMERINTAH
DAERAH KABUPATEN INDRAMAYU
3 489.05/Kep.125-Diskominfo/2021 PEMBENTUKAN TIM KOORDINASI
SISTEM PEMERINTAHAAN BERBASIS
ELEKTRONIK PEMERINTAH DAERAH
KABUPATEN INDRAMAYU
4 710.05/Kep.218-Diskominfo/2022 TIM EVALUATOR INTERNAL
PENYELENGGARAAN SISTEM
PEMERINTAHAN BERBASIS
ELEKTRONIK (SPBE) PEMERINTAH
DAERAH KABUPATEN INDRAMAYU
5 710.05/Kep.217-Diskominfo/2022 TIM KOORDINASI SISTEM
PEMERINTAHAN BERBASIS
ELEKTRONIK PEMERINTAH DAERAH
KABUPATEN INDRAMAYU

Peraturan baru BSSN nomor 4 tahun 2021 tentang Pedoman Manajemen Keamanan
Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik maka dibutuhkan penyesuaian
Peraturan Bupati Kabupaten Indramayu nomor 19 Tahun 2020 dalam Kebijakan
Keamanan Informasi untuk mendukung terwujudnya Sistem Manajemen Keamanan
Informasi (SMKI) Pemerintah Daerah Kabupaten Indramayu berdasarkan Peraturan
Badan Siber dan Sandi Negara Nomor 4 tahun 2021 yang dianggap lebih relevan dan
sesuai standar ISO 27001/2013. Adapun dibawah ini kami cantumkan beberapa Peraturan
Kebijakan Keamanan Informasi yang sudah diterbitkan dan disahkan sebagai referensi :

No Judul
1 PERATURAN NOMOR 92 TAHUN 2021 tentang PEDOMAN MANAJEMEN
KEAMANAN INFORMASI SISTEM PEMERINTAHAN BERBASIS
ELEKTRONIK DAN PELAKSANAAN PERSANDIAN UNTUK
PENGAMANAN INFORMASI

2 PERATURAN SEKRETARIS JENDERAL KEMENTERIAN PENDIDIKAN,


KEBUDAYAAN, RISET, DAN TEKNOLOGI NOMOR 11 TAHUN 2022
tentang SISTEM MANAJEMEN KEAMANAN INFORMASI PADA SISTEM
PEMERINTAHAN BERBASIS ELEKTRONIK KEMENTERIAN
PENDIDIKAN, KEBUDAYAAN, RISET, DAN TEKNOLOGI

Laporan Akhir Tahun


23
C. Kondisi Umum dan Kesimpulan
Beberapa kondisi umum yang diperoleh dari hasil interview dengan responden pengelola
sistem informasi Dinas Komunikasi dan Informatika Kabupaten Indramayu didapatkan
hasil sebagai berikut :
 Belum adanya Peraturan Daerah yang mengatur tentang Kebijakan Keamanan
Informasi.
 Belum dibentuknya Tim yang memiliki wewenang yang terdiri dari Pejabat
Koordinator dan Pelaksana Sistem Manajemen Keamanan Informasi (SMKI)
Pemerintah Daerah Kabupaten Indramayu.
 Mayoritas aplikasi masih bersifat scattered dan memiliki arsitektur monolit
(terpisah dan belum berkorelasi satu dengan yang lain).
 Pengembangan aplikasi sebagian besar dilakukan secara otonom di masing-
masing Perangkat Daerah dengan bantuan pihak ketiga sehingga akan berdampak
pada sulitnya integrasi data dan standarisasi keamanan sistem.
 Belum maksimalnya mekanisme untuk membuat sentralisasi pengelolaan aplikasi
di data center yang dikelola oleh Dinas Komunikasi dan Informatika sehingga
beberapa aplikasi di hosting oleh pihak ke 3 di server yang mereka kelola atau
sewa yang sangat riskan menyimpan data sensitif milik Pemerintah Daerah di
pihak penyedia Hosting.
 Penggunaan Content Management System (CMS) yang populer seperti wordpress,
memiliki resiko tinggi untuk diretas. Namun, anggaran untuk mengamankannya
dengan plugin keamanan yang mumpuni belum dianggarkan sehingga website-
website milik Pemerintah Kabupaten Indramayu menjadi rentan.

Selanjutnya, dari berbagai macam sumber referensi, Penyedia jasa konsultan membuat
pentahapan keamanan sistem untuk sebuah entitas. Tahapan tersebut adalah sebagai
berikut:

 Level 0 : Ground
Organisasi harus melindungi semua aset IT-nya. Langkah pertama adalah melakukan
audit menyeluruh dan membuat inventaris aset lengkap yang mencakup semua
perangkat keras fisik, sumber daya cloud, dan penyimpanan yang menyimpan data
rahasia seperti kata sandi. Ini harus menjadi latihan yang berkelanjutan karena, seiring
pertumbuhan organisasi, aset baru ditambahkan.

 Level 1 : Essential
Tingkat selanjutnya dari piramida kami melibatkan perubahan semua kata sandi
bawaan, pengaturan, konfigurasi, aturan firewall, port, dan lain sebagainya, untuk
meminimalkan risiko pelanggaran. Penjahat dunia maya mencari titik akses terlemah
ke jaringan dan sistem organisasi, dan titik akses tersebut biasanya merupakan
pengaturan bawaan dan konfigurasi sistem dan kombinasi kata sandi bawaan atau

Laporan Akhir Tahun


24
standar. Juga disarankan untuk menonaktifkan komponen yang tidak perlu dan
menghapus aplikasi yang tidak penting.

 Level 2 : Basic
Setelah mengubah semua kebijakan standar Teknologi Informasi, akses jaringan ke
aset fisik dan virtual harus dibatasi dengan tepat. Ini akan memerlukan konfigurasi
firewall khusus dengan pengaturan lanjutan, deteksi intrusi, dan solusi perangkat
lunak antivirus (yang perlu dikonfigurasi dengan baik dan diperbarui secara berkala),
autentikasi berbasis RFID, serta pengujian dan audit keamanan data reguler.

 Level 3 : Elevated
Level ini melibatkan pemisahan tugas, pemisahan peran, dan prinsip IAAA.
Pemisahan tugas berarti menghindari penggunaan bersama perangkat keras, perangkat
lunak, dan jaringan yang memiliki tujuan berbeda. Misalnya, menggunakan komputer
yang sama untuk penyimpanan data dan penerapan web dapat membahayakan seluruh
jaringan. Meskipun pemisahan tugas tidak hemat biaya, hal itu mengurangi banyak
risiko dan dapat membatasi dampak pelanggaran dengan mengurangi jumlah
komponen yang dapat diakses penyerang.
Pemisahan peran berarti memberikan akses ke file, sistem, atau perangkat hanya
kepada pengguna yang membutuhkannya. Jumlah pengguna yang diizinkan untuk
mengakses platform, sistem operasi, atau perangkat apa pun harus dibatasi sebanyak
mungkin, izin harus diberikan secara individual, dan identitas semua pengguna yang
memiliki akses ke aset tertentu harus diketahui setiap saat.
«IAAA» singkatan dari identifikasi, otentikasi, otorisasi, dan audit. Mengikuti prinsip
IAAA membantu memastikan bahwa data selalu terlindungi secara menyeluruh.

 Level 4 : Advanced
Level Advanced dicapai hanya ketika dokumen internal dikategorikan (berlabel
keamanan) dan dilindungi dengan akses berbasis izin. Pemisahan yang lebih luas ini
mutlak diperlukan bagi usaha menengah dan besar yang tersebar di banyak lokasi.
Dokumen harus diklasifikasikan sebagai Publik, Pribadi, atau Dilindungi, dan izin
akses dapat diatur untuk membuka, membaca, mengedit, dan mengunduh. Misalnya,
seorang CEO mungkin memiliki izin untuk mengakses laporan keuangan untuk
dibuka, dibaca, diedit, dan diunduh, sedangkan kepala departemen mungkin hanya
memiliki akses baca.
Level ini juga mencakup penggunaan alat manajemen kata sandi seperti autentikasi
multifaktor dan alat manajemen kunci seperti AWS KMS, Azure Key Vault, atau
HashiCorp Vault. Alat-alat ini membantu memastikan bahwa kata sandi kuat,
disimpan dengan aman, dan dikelola dengan benar.
 Level 5 : Endurance

Laporan Akhir Tahun


25
Serangan siber bukan satu-satunya ancaman keamanan. Bencana alam seperti gempa
bumi dan banjir dapat sangat mengganggu atau bahkan menghancurkan bisnis dengan
menghilangkan perangkat keras dan aset lainnya. Setiap organisasi harus menyusun
rencana untuk mengurangi kerusakan dan gangguan dari peristiwa force majeure yang
mungkin dihadapinya.
Ini berarti mengembangkan Rencana Pemulihan Bencana dan Rencana Tanggap
Darurat Keamanan Cyber. Pencadangan data rutin, latihan, dan pengujian rutin
kerentanan sistem juga disarankan.

 Level 6 : Trust
Level ini adalah tentang meningkatkan aspek keamanan manusia.
Selalu lakukan penyaringan SDM menyeluruh saat merekrut personel baru untuk
posisi kunci. Karyawan baru harus layak dipercaya dalam memperhatikan keamanan
dan penanganan informasi rahasia.
Pemasok dan vendor juga harus diperiksa dengan cermat. Jika ada celah atau
kelemahan keamanan yang signifikan teridentifikasi, desaklah agar hal itu ditangani.
Terakhir, pemindaian Dark Web sangat penting untuk menentukan apakah ada data
organisasi yang dimiliki oleh peretas.
Untuk perlindungan tambahan, serangan dapat disimulasikan untuk menguji
bagaimana sistem akan berperilaku dan menghilangkan kelemahan.

 Level 7 : Paranoia
Level ini untuk perusahaan yang ingin menambahkan lapisan keamanan ekstra untuk
informasi berharga mereka.
Salah satu langkah yang baik adalah membangun Pusat Operasi Keamanan yang
menangani semua permintaan keamanan dan bertanggung jawab untuk mencegah dan
menanggapi insiden keamanan. Perangkat lunak pendeteksi ancaman dapat
diintegrasikan dengan sistem organisasi untuk menemukan pola perilaku karyawan
yang tidak biasa, potensi malware, phishing, spamming, dan serangan serupa lainnya.
Sistem akses biometrik dengan pemindaian retina, pengenalan suara, atau autentikasi
sidik jari dapat memperketat akses ke tempat, perangkat keras, dan titik akhir. Izin
keamanan mungkin diperlukan untuk bekerja dengan informasi rahasia, rahasia, dan
sangat rahasia. (Setiap negara memiliki tingkatan dan norma yang berbeda).
Ada banyak tindakan lain yang dapat diambil untuk meningkatkan pengendalian
sistem internal, tetapi pendekatan yang disajikan di tingkat 0 sampai 6 sudah cukup
untuk sebagian besar perusahaan.

Laporan Akhir Tahun


26
Gambar 3.8 Piramida Keamanan Perusahaan

Dari berbagai kondisi yang telah disampaikan sebelumnya, status Sistem Manajemen
Keamanan Informasi di Pemerintah Daerah Kabupaten Indramayu dapat disimpulkan
berada di level 1 (Essential) dimana, penggunaan Firewall, port dan keamanan
standar lainnya sudah diimplementasikan namun belum dapat masuk ke level 2
(Basic) karena banyak komponen yang belum dilaksanakan, salah satu contohnya
adalah akses jaringan ke data center oleh pihak ke 3 atau penyedia belum
menggunakan VPN atau 2 factor authentication.

D. Kondisi Ideal
1) Standarisasi Keamanan Informasi
ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-konsep
keamanan informasi yang berlaku secara internasional pada sebuah organisasi.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional ·
• Evaluasi Kinerja ·
• Improvement

Laporan Akhir Tahun


27
Disamping persyaratan utama, standar 27001 mensyaratkan penetapan sasaran kontrol
dan kontrolkontrol keamanan informasi meliputi 14 area pengamanan
sebagai berikut:
 Kebijakan keamanan informasi
 Organisasi keamanan informasi
 Sumber daya manusia menyangkut keamanan informasi
 Manajemen aset
 Akses control
 Kriptographie
 Keamanan fisik dan lingkungan Keamanan operasi
 Kemanaan Komunikasi
 Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
 Hubungan dengan pemasok
 Pengelolaan insiden keamanan informasi
 Manajemen kelangsungan usaha (business continuity management)
 Kepatuhan
Manfaat Tata Kelola Keamanan Informasi ISO 27001 agar organsiasi atau
instansi/lembaga
 Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan
konsisten dengan pendekatan berbasis risiko.
 Mampu melakukan penilaian mandiri (selfassessment) secara berkala melalui
mekanisme audit internal
 Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk
menerapkan tata kelola keamanan informasi
 Membantu memberikan pemahaman pentingnya keamanan informasi pada
karyawan, stakeholder dan masyarakat umum.

Laporan Akhir Tahun


28
Gambar 3.8 ISO 27001 Sistem Manajemen Keamanan Informasi

2) Peraturan Daerah yang menuangkan standar teknis dan prosedur SMKI


Analisa kondisi ideal dimaksudkan untuk melihat sejauh mana kondisi yang dapat di
capai dari penerapan Sistem Manajemen Keamanan Informasi (SMKI) dalam mendukung
kinerja pemerintahan daerah dalam menyelenggarakan Sistem Pemerintahan Berbasis
Elektronik(SPBE). Analisa kondisi ideal ini disusun berdasarkan peraturan yang berlaku,
trend teknologi informasi saat ini dan yang akan datang. Dasar hukum standarisasi ISO
270001 terkait penerapan Sistem Manajemen Keamanan Informasi (SMKI) sudah di
susun oleh BSSN yang tertuang pada Peraturan Badan Siber dan Sandi Negara Nomor 4
Tahun 2021 yang secara garis besar Pemerintah Daerah perlu menerbitkan Peraturan
yang disahkan Kepala Daerah tentang Pedoman Manajemen Keamanan Informasi SPBE
berupa :
o Membentuk Tim yang ditetapkan Kepala Daerah yang terdiri dari Kooridinator
Keamanan SPBE dan Pelaksanan Keamanan SPBE.
o Memiliki perencanaan (Masterplan) dalam mengimplementasi Keamanan
SPBE.
o Edukasi kesadaran dan dukungan anggaran Keamanan SPBE.
o Penilaian kerentanan Keamanan SPBE (Risk Management).
o Penanganan insiden Keamanan SPBE.
o Melaksanakan audit terhadap Keamanan Informasi secara berkala.
o Melakukan perbaikan berkelanjutan dari hasil audit.
o Memiliki Standar Teknis Keamanan Informasi.

Laporan Akhir Tahun


29
3) Arsitektur Sistem Informasi
Disintergasi aplikasi dan sistem informasi milik Pemerintah Kabupaten Indramayu juga
perlu diubah ke kondisi ideal dimana dapat tercapainya data terpusat sehingga
Manajemen Resiko Keamanan Informasi dapat maksimalkan karena berfokus pada
sedikit aplikasi atau service. Hal ini dapat dicapai apabila pengembangan sistem
informasi menggunakan pendekatan arsitektur microservices atau strategi SOA (Service
Oriented Architecture) dimana kedua arsitektur sistem tersebut memiliki kemudahan
dalam integrasi dengan menggunakan API (Application Programming Language) sebagai
jembatan komunikasi antar aplikasi.
Microservices adalah suatu framework Architecture yang dipakai sebagai model dalam
pembuatan aplikasi cloud yang modern. Di dalam microservices setiap aplikasi di bangun
sebagai sekumpulan service dan setiap layanan berjalan dalam processnya sendiri.
Masing-masing dari aplikasi tersebut saling berkomunikasi melalu API (Application
Programing Interface).
Microservices merupakan Architecture dalam pembangunan aplikasi cloud yang modern.
Architecture microservices bersifat terdistribusi, sehingga perubahan pada program yang
di lakukan oleh satu tim developer tidak menganggu keseluruhan aplikasi.
Manfaat utama dalam mempergunakan microservices adalah agar team developer mampu
mengembangkan aplikasi secara cepat dengan membuat komponen-komponen dari
aplikasi berjalan secara independen sehingga dapat memenuhi kebutuhan bisnis yang
terus menerus berubah.
Cara pebangunan aplikasi yang seperti ini dioptimalkan dengan mempergunakan DevOps
(Development and Operation) dan CI / CD (Continuous Integration and Continuous
Delivery).
Apa yang membedakan Architecture Microservices dengan pendekatan yang lebih
tradisional seperti Monolithic Architecture adalah bagaimana framework ini memecah
aplikasi menjadi fungsi intinya. Setiap fungsi ini disebut sebagai service, dapat dibangun
dan dijalankan secara independen, yang berarti service tersebut dapat berfungsi (dan
gagal) tanpa berdampak negatif pada fungsi-fungsi yang lain.

Laporan Akhir Tahun


30
Gambar 3.9 Arsitektur Monolitik vs Microservice

Framework ini membantu dalam sisi teknologi dari DevOps dalam pelaksanaan
continuous integration dan continuous delivery (CI / CD) sehingga menjadi lebih mulus
dan dapat tercapai.

Lebih cepat
menanggapi Karena siklus pengembangan dipersingkat, Architecture microservices mendukung
kebutuhan penerapan dan update yang lebih gesit.
pasar

Sangat Scalabl Saat permintaan untuk service tertentu tumbuh, Anda dapat menerapkan di
e beberapa server, dan infrastruktur, untuk memenuhi kebutuhan Anda.

Service Independent ini jika dibangun dengan benar tidak akan berdampak satu
Handal sama lain. Artinya, jika salah satu bagian gagal, seluruh aplikasi tidak akan mati,
tidak seperti model aplikasi Monolithic.

Karena aplikasi yang lebih besar dipecah menjadi bagian-bagian yang lebih kecil,
developer dapat lebih mudah memahami, memperbarui, dan menyempurnakan
Aksesibilitas
bagian tersebut, menghasilkan siklus pengembangan yang lebih cepat, terutama
jika dikombinasikan dengan metodologi pengembangan yang gesit.

Karena penggunaan API dan poliglot, pengembang memiliki kebebasan untuk


Lebih terbuka
memilih Bahasa pemrograman dan teknologi terbaik untuk fungsi yang diperlukan.

E. GAP analisis

Laporan Akhir Tahun


31
1) Standarisasi Keamanan Informasi ISO 27001/2013
No Aspek Kondisi Saat ini Kondisi Mendatang
1 Konteks Organisasi Ada namun belum  Memahami Organisasi dan
spesifik dalam Konteks Organisasi
cakupan Keamanan  Memahami Kebutuhan dan
Informasi. Harapan Pihak Berkepentingan
 Menentukan Ruang Lingkup
 Sistem Manajemen Keamanan
Informasi (SMKI) Kabupaten
Indramayu
2 Kepemimpinan Tidak ada  Kebijakan berupa Peraturan Bupati
SMKI Kabupaten Indramayu
 Kepemimpinan dan Komitmen
 Peran, Tanggung Jawab dan
Wewenang
3 Perencanaan SMKI Tidak ada  Program kerja Keamanan SPBE
yang disusun berdasarkan kategori
risiko Keamanan SPBE
 Target realisasi program kerja
Keamanan SPBE
4 Pendukung SMKI Tidak ada  Tersedianya Sumber Daya
Manusia
 Tersedianya anggaran
 Kesadaraan Keamanan Informasi
 Dokumentasi
5 Operasional SMKI Tidak ada  Standar Teknis
 Assessment manajemen resiko
Keamanan Informasi
 Penanganan resiko Keamanan
Informasi
6 Evaluasi kinerja Tidak ada Melakukan audit terhadap SPBE
SMKI secara berkala
7 Peningkatan SMKI Tidak ada Melakukan perbaikan berkelanjutan
berdasarkan hasil temuan dan
rekomendasi dari audit TI.

Laporan Akhir Tahun


32
2) Peraturan Daerah

No Aspek Kondisi Saat ini Kondisi Mendatang


1 Pembentukan Tim Tidak ada  Sekretaris Daerah sebagai
Koordinator Koordinator Keamanan SPBE
Keamanan SPBE  Kepala Dinas Komunikasi dan
yang ditetapkan oleh Informatika sebagai Pelaksana
Kepala Daerah Teknis Keamanan SPBE
(Peraturan Bupati)

2 Perencanaan Sistem Tidak ada Memiliki komponen perencanaan


Manajemen Keamanan SPBE yaitu :
Keamanan  Program kerja Keamanan SPBE
Informasi (SMKI) yang disusun berdasarkan kategori
risiko Keamanan SPBE
 Target realisasi program kerja
Keamanan SPBE

3 Standar Teknis Ada, namun tidak Memiliki standar teknis Keamanan


lengkap dan belum Informasi di lingkungan Pemerintah
berupa peraturan Kabupaten Indramayu
daerah (Perbup)

4 Audit Keamanan Ada dan sudah Mengatur audit Keamanan Informasi


Informasi tercantum pada didalam Perbup/Kepbup khusus tentang
produk hukum Sistem Manajemen Keamanan
daerah Nomor: Informasi (SMKI) Kabupaten
710.05/Kep.217- Indramayu
Diskominfo/2022

5 Perbaikan Tidak ada Melakukan perbaikan berkelanjutan


Keamanan berdasarkan hasil temuan dan
Informasi rekomendasi dari audit TI.

Laporan Akhir Tahun


33
3) Arsitektur Sistem Informasi

No Aspek Kondisi Saat ini Kondisi Mendatang


1 Data terpadu Ada namun masih  Data Terpadu yang dapat
sangat minim dimanfaatkan oleh lintas perangkat
daerah Kabupaten Indramayu
 Real Time CRUD (Create, Update
dan Delete) data
2 Application Ada namun masih  Dokumentasi API
Programming sangat minim  Data transactional via API
Language (API)  Keamanan Informasi API
3 CMS website Opensource  CMS yang dibuat Dinas Komunikasi
Wordpress dan Informatika yang disediakan
untuk website Perangkat Daerah

Laporan Akhir Tahun


34
BAB IV Penerapan Sistem Manajemen Keamanan Informasi (SMKI)

Pada penerapan Sistem Manajemen Keamanan Informasi selanjutnya akan kami sebut SMKI
akan dijelaskan dengan 3 bagian utama yang merupakan panduan pekerjaan yang merupakan
hasil Analisa dari Bab sebelumnya yaitu : Standarisasi ISO 27001, Pembuatan peraturan
(policy) dan arsitektur keamanan informasi (aplikasi dan infrastruktur).

A. Standarisasi ISO 27001

Dokumen ISO 27001 yang kami gunakan menggunakan versi oktober 2013 yang sudah
terbukti efektif dan menjadi dasar BSSN dalam penyusunan peraturan Nomor 4 Tahun
2021 meskipun ISO 27001 versi 2022 sudah resmi dipublikasikan.

Gambar 4.1 Publikasi ISO 27001/2013

Menerapkan Sistem Manajemen Keamanan Informasi (SMKI) atau secara literatur dalam
dokumen publikasi ISO 27001 disebut dengan ISMI yang merupakan singkatan dari

Laporan Akhir Tahun


35
Information Security Management System yang sesuai dengan standarisasi ISO 27001 itu
tidaklah mudah dan penuh tantangan. Maka dari itu kami sebagai konsultan sudah
merangkum langkah-langkah strategis untuk Pemerintah Kabupaten Indramayu dalam
penerapan SMKI yang sesuai dengan kaidah-kaidah dan standarisasi ISO 27001.
Langkah penerapan ISO 27001 berupa 9 langkah strategis (Roadmap) yang perlu
dilakukan.

Gambar 4.2 : Infografis 9 Langkah strategis (Roadmap) penerapan ISO


27001/2013
A.1 Bentuk tim penerapan SMKI

Laporan Akhir Tahun


36
Langkah pertama adalah Kepala Daerah perlu menunjuk pemimpin proyek untuk
mengawasi penerapan SMKI. Menurut Peraturan BSSN nomor 4 tahun 2021 pemimpin
proyek yang sesuai dengan aturan di lingkungan Pemerintahan Daerah adalah Sekretaris
Daerah sebagai Koordinator SPBE Pasal 5 Ayat (2).
Pemimpin proyek akan membutuhkan sekelompok orang untuk membantu mereka.
Manajemen senior dapat memilih tim sendiri atau membiarkan pemimpin tim memilih
stafnya sendiri. Manajemen senior yaitu Pelaksana Teknis Keamanan SPBE yang
diatur pada Pasal 6 ayat (2) :
a. Pejabat pimpinan tinggi pratama yang melaksanakan tugas dan fungsi di bidang
keamanan teknologi, informasi dan komunikasi pada Instansi Pusat dan
Pemerintah Daerah masing-masing; dan
b. Pejabat pimpinan tinggi atau pejabat administrator yang membawahi,
membangun, memelihara, dan/atau mengembangkan Aplikasi SPBE.
Setelah tim terbentuk, tim pelaksana harus membuat mandat proyek SMKI berupa
Peraturan Bupati atau Keputusan Bupati Kabupaten Indramayu. Ini pada dasarnya adalah
serangkaian jawaban untuk pertanyaan-pertanyaan berikut:
 Apa yang ingin kita capai ?
 Akan mengabiskan waktu berapa lama ?
 Berapa biayanya ?
 Apakah proyek mendapat dukungan Kepala Daerah melalui Produk Hukum ?

A.2 Buat rencana penerapan SMKI

Tim implementasi akan menggunakan mandat proyek mereka untuk membuat garis besar
yang lebih rinci tentang tujuan, rencana, dan daftar risiko keamanan informasi mereka.
Ini termasuk menetapkan kebijakan tingkat tinggi untuk SMKI yang menetapkan:
a. Peran dan tanggung jawab.
b. Aturan untuk perbaikan terus-menerus.
c. Bagaimana meningkatkan kesadaran proyek melalui komunikasi internal dan
eksternal.
Perencanaan implementasi SMKI sendiri dapat menggunakan masterplan ini sebagai
acuan penerapan SMKI di Kabupaten Indramayu.

A.3 Memulai Sistem Manajemen Keamanan Informasi (SMKI)

Dengan rencana yang ada, saatnya untuk menentukan metodologi peningkatan


berkelanjutan mana yang akan digunakan.
ISO 27001 tidak menentukan metode tertentu, melainkan merekomendasikan
"pendekatan proses". Ini pada dasarnya adalah strategi Plan-Do-Check-Act.

Laporan Akhir Tahun


37
Gambar 4.3 : Penerapan SMKI sesuai ISO 27001:2013

Penerapan SMKI dapat menggunakan model apa pun asalkan persyaratan dan prosesnya
didefinisikan dengan jelas, diterapkan dengan benar, dan ditinjau serta ditingkatkan
secara berkala.
Pemerintah Kabupaten Indramayu juga perlu membuat kebijakan SMKI. Ini tidak perlu
dirinci; itu hanya perlu menguraikan apa yang ingin dicapai oleh tim implementasi
Keamanan SPBE dan bagaimana tim pelaksana berencana untuk melakukannya.
Pada titik ini, Anda dapat mengembangkan sisa struktur dokumen Anda. Kami
merekomendasikan penggunaan strategi empat tingkat:
a. Kebijakan di atas, menentukan posisi organisasi pada isu-isu spesifik, seperti
penggunaan yang dapat diterima dan pengelolaan kata sandi.
b. Prosedur untuk memberlakukan persyaratan kebijakan.
c. Instruksi kerja yang menjelaskan bagaimana karyawan harus memenuhi kebijakan
tersebut.
d. Catatan pelacakan prosedur dan instruksi kerja

Laporan Akhir Tahun


38
A.4 Tentukan ruang lingkup Sistem Manajemen Keamanan Informasi (SMKI)

Langkah selanjutnya adalah mendapatkan pemahaman yang lebih luas tentang kerangka
SMKI. Proses ini diuraikan dalam pasal 4 dan 5 standar ISO 27001. Langkah ini sangat
penting dalam menentukan skala SMKI Kabupaten Indramayu dan tingkat jangkauannya
dalam penerapan SMKI dilingkungan Pemerintah Daerah Indramayu pada aktifitas
sehari-hari. Dengan demikian, tim pelaksana harus mengenali semua yang relevan
dengan Pemerintah Daerah sehingga SMKI dapat memenuhi kebutuhan Pemerintah
Daerah Kabupaten Indramayu.
Bagian terpenting dari proses ini adalah menentukan ruang lingkup SMKI Kabupaten
Indramayu. Ini melibatkan identifikasi lokasi penyimpanan informasi, apakah itu file fisik
atau digital, sistem, atau perangkat portabel.
Mendefinisikan ruang lingkup Anda dengan benar adalah bagian penting dari proyek
implementasi SMKI Kabupaten Indramayu.
Jika ruang lingkup SMKI terlalu kecil, hal tersebut sama saja membiarkan informasi
terbuka, membahayakan keamanan informasi di Kabupaten Indramayu. Namun jika
cakupan ruang lingkupnya terlalu luas, SMKI akan menjadi terlalu rumit untuk dikelola.

A.5 Identifikasi garis dasar keamanan SMKI

Garis dasar keamanan organisasi adalah tingkat aktivitas minimum yang diperlukan
untuk menjalankan SPBE dengan aman. Tim pelaksana dapat mengidentifikasi garis
dasar keamanan dengan informasi yang dikumpulkan dalam penilaian risiko ISO 27001.
Ini akan membantu tim pelaksana mengidentifikasi kerentanan keamanan paling
signifikan di organisasi Anda dan kontrol ISO 27001 yang sesuai untuk mengurangi
risiko (diuraikan dalam Lampiran A Standar ).

A.6 Menetapkan proses manajemen resiko keamanan informasi

Manajemen risiko adalah inti dari SMKI. Hampir setiap aspek sistem keamanan
organisasi dalam hal ini Pemerintah Kabupaten Indramayu didasarkan pada ancaman
yang telah tim pelaksana identifikasi dan prioritaskan, menjadikan manajemen risiko
sebagai kompetensi inti untuk setiap organisasi yang menerapkan ISO 27001. Standar
memungkinkan organisasi untuk menentukan proses manajemen risiko mereka sendiri.
Metode umum berfokus pada risiko terhadap aset tertentu atau risiko yang disajikan
dalam skenario tertentu.

Laporan Akhir Tahun


39
Proses apa pun yang tim pelaksana penerapan SMKI pilih, keputusan tersebut harus
dihasilkan dari penilaian risiko. Ini adalah lima langkah proses yang perlu
dilaksanakan:
a. Menetapkan kerangka penilaian risiko
b. Identifikasi risiko
c. Menganalisis risiko
d. Mengevaluasi risiko
e. Pilih opsi manajemen risiko
Anda kemudian perlu menetapkan kriteria penerimaan risiko Anda, yaitu kerusakan yang
akan ditimbulkan oleh ancaman dan kemungkinan terjadinya hal tersebut. Manajer sering
mengkuantifikasi risiko dengan memberi skor pada matriks risiko ; semakin tinggi
skornya, semakin besar ancamannya. Mereka kemudian akan memilih ambang batas
untuk titik di mana risiko harus ditangani.
Ada empat pendekatan yang dapat Anda ambil saat menangani risiko:
a. Toleransi risikonya
b. Perlakukan risiko dengan menerapkan control
c. Hentikan risiko dengan menghindarinya sepenuhnya
d. Mentransfer risiko (dengan polis asuransi atau melalui perjanjian dengan pihak
lain).
e. Terakhir, ISO 27001 mengharuskan Pemerintah Kabupaten Indramayu untuk
menyelesaikan SoA (Statement of Applicability) yang mendokumentasikan
kontrol Standar mana yang telah tim pelaksana pilih dan hilangkan dan mengapa
tim pelaksana SMKI membuat pilihan tersebut.

A.7 Penerapan rencana penanganan resiko keamanan informasi

Penerapan rencana penanganan risiko adalah proses membangun kontrol keamanan yang
akan melindungi aset informasi Pemerintah Kabupaten Indramayu. Untuk memastikan
kontrol ini efektif, tim pelaksana harus memeriksa apakah seluruh ASN dan pegawai
yang bekerja dilingkungan Pemerintah Daerah dapat mengoperasikan atau berinteraksi
dengan kontrol dan mengetahui kewajiban keamanan informasi mereka. Tim pelaksana
SMKI juga perlu menyusun proses untuk menentukan, meninjau, dan mempertahankan
kompetensi yang diperlukan untuk mencapai tujuan SMKI Pemerintah Kabupaten
Indramayu.

A.8 Pemantauan dan peninjauan SMKI

Tim pelaksana SMKI tidak akan dapat mengetahui apakah SMKI pemerintah Kabupaten
Indramayu berfungsi atau tidak kecuali dilakukan peninjauan. Kami merekomendasikan

Laporan Akhir Tahun


40
untuk melakukan peninjauan SMKI secara berkala setidaknya setiap tahun sehingga tim
pelaksana SMKI dapat terus memantau lanskap risiko yang terus berkembang.
Proses peninjauan melibatkan identifikasi kriteria yang mencerminkan tujuan yang Tim
pelaksana buat dalam mandat penerapan SMKI.
Metrik umum adalah analisis kuantitatif, di mana Tim pelaksana menetapkan angka untuk
apa pun yang di ukur. Ini berguna saat menggunakan hal-hal yang melibatkan biaya atau
waktu keuangan.
Alternatifnya adalah analisis kualitatif, di mana pengukuran didasarkan pada penilaian.
Tim pelaksana SMKI akan menggunakan analisis kualitatif ketika penilaian paling cocok
untuk kategorisasi, seperti 'tinggi', 'sedang', dan 'rendah'. Selain proses ini, tim
pelaksana harus melakukan audit internal secara berkala atas SMKI.
Tidak ada cara khusus untuk melakukan audit ISO 27001, artinya penilaian dapat
dilakukan untuk satu Satuan Kerja Perangkat Daerah (SKPD) pada satu waktu. Ini
membantu mencegah kerugian yang signifikan dalam produktivitas dan memastikan
upaya tim pelaksana menjadi tidak efektif di berbagai tugas.
Tim pelaksana harus menyelesaikan prosesnya secepat mungkin, karena tim pelaksana
perlu mendapatkan hasilnya, meninjaunya, dan merencanakan audit tahun berikutnya.
Hasil audit internal tim pelaksana SMKI menjadi masukan untuk tinjauan Kepala daerah
dan koordinator SPBE yaitu Sekretari Daerah apabila merujuk pada peraturan BSSN,
yang hasil audit tersebut akan dimasukkan ke dalam proses perbaikan berkelanjutan di
tahun berikutnya.

A.9 Pengajuan sertifikasi SMKI Kabupaten Indramayu

Setelah SMKI diterapkan, Anda dapat memilih untuk mencari sertifikasi SNI/ISO 27001,
dalam hal ini Tim pelaksana perlu mempersiapkan audit eksternal.
Audit sertifikasi dilakukan dalam dua tahap. Audit awal menentukan apakah SMKI
Kabupaten Indramayu telah dikembangkan sesuai dengan persyaratan ISO 27001. Jika
auditor puas, mereka akan melakukan investigasi yang lebih menyeluruh.
Tim pelaksana harus yakin dengan suksesnya penerapan SMKI untuk mensertifikasi
sebelum melanjutkan ke tahap ini, hal ini dikarenakan prosesnya memakan waktu dan
masih akan dikenakan biaya jika proses sertifikasi langsung gagal.
Hal lain yang harus Tim pelaksana SMKI ingat adalah lembaga sertifikasi mana yang
harus dipilih. Ada banyak pilihan, tetapi Anda harus memastikan mereka diakreditasi
oleh badan sertifikasi nasional, yang harus menjadi anggota IAF (Badan Akreditasi
Internasional).
Hal ini memastikan bahwa tinjauan tersebut benar-benar sesuai dengan ISO 27001,
berbeda dengan badan yang tidak bersertifikat, yang sering berjanji untuk memberikan
sertifikasi terlepas dari postur kepatuhan organisasi pada pedoman sertifikasi ISO 27001.
Biaya audit sertifikasi mungkin akan menjadi faktor utama saat memutuskan badan mana
yang akan dipilih, tetapi itu seharusnya bukan satu-satunya perhatian Tim pelaksana

Laporan Akhir Tahun


41
SMKI. Tim pelaksana juga harus mempertimbangkan apakah peninjau atau badan
sertifikasi memiliki pengalaman di lingkungan Pemerintahan Daerah.
Lagi pula, SMKI selalu unik bagi organisasi yang membuatnya, dan siapa pun yang
melakukan audit harus mengetahui kebutuhan yang diperlukan di Pemerintah Daerah
Kabupaten Indramayu.
Kami menyarankan sertifikasi ISO 27001 Kabupaten Indramayu dapat berkoordinasi
dengan BSN, karena tentunya sertifikasi oleh sesama Lembaga pemerintahan akan lebih
ideal untuk Pemerintah Daerah sehingga terwujudnya kerjasama Government to
Government (G2G).
Namun sertifikasi oleh lembaga BSN tidak menjadi keharusan, apabila lembaga
sertifikasi lain dianggap lebih sesuai untuk sertifikasi ISO 27001 di Pemerintah
Kabupaten Indramayu. Karena beberapa instansi pemerintah di daerah lain menggunakan
lembaga lain untuk sertifikasi, sebagai contoh Dinas Kependudukan dan Pencatatan Sipil
(Disdukcapil) Kabupaten Bantul yang mendapatkan sertifikasi ISO 27001 dari Lembaga
Sertifikasi AQC.

B. Pembuatan peraturan (policy)


Peraturan Sistem Manajemen Keamanan Informasi (SMKI) di lingkungan Pemerintah
Kabupaten Indramayu perlu memiliki Standar Teknis dan Prosedur Keamanan, konsultan
membuatnya seperti yang tercantum pada peraturan Badan Sandi dan Statistik Negara
nomor 14 tahun 2021 karena masterplan ini dibuat untuk Kabupaten Indramayu sebagai
instansi pemerintahan. Dibawah ini kami coba rangkum daftar kebutuhan keamanan
data dan informasi :

No Standar Teknis dan Prosedur Aspek yang Prosedur


dipenuhi
1 Keamanan data dan Kerahasiaan a. Menetapkan klasifikasi
informasi informasi;
b. Menerapkan enkripsi dengan
sistem kriptografi; dan
c. Menerapkan pembatasan akses
terhadap data dan informasi
sesuai dengan kewenangan dan
kebijakan yang telah
ditetapkan.
Keaslian a. Menyediakan mekanisme
verifikasi;
b. Menyediakan mekanisme
validasi; dan
c. Menerapkan sistem hash
function.

Laporan Akhir Tahun


42
Keutuhan a. Menerapkan pendeteksian
modifikasi; dan
b. Menerapkan tanda tangan
elektronik tersertifikasi.
Kenirsangkalan a. Menerapkan tanda tangan
elektronik tersertifikasi; dan
b. Penjaminan oleh penyelenggara
sertifikasi elektronik melalui
sertifikat elektronik.
Ketersediaan a. Menerapkan sistem
pencadangan secara berkala;
b. Membuat perencanaan untuk
menjamin data dan informasi
dapat selalu diakses; dan
c. Menerapkan sistem pemulihan.
2 Keamanan Aplikasi SPBE Autentikasi a. Menggunakan manajemen kata
berbasis Website sandi untuk proses autentikasi;
b. Menerapkan verifikasi kata
sandi pada sisi server;
c. Mengatur jumlah karakter,
kombinasi jenis karakter, dan
masa berlaku dari kata sandi
d. Mengatur jumlah maksimum
kesalahan dalam pemasukan
kata sandi;
e. Mengatur mekanisme
pemulihan kata sandi;
f. Menjaga kerahasiaan kata sandi
yang disimpan melalui
mekanisme kriptografi;
g. Menggunakan jalur komunikasi
yang diamankan untuk proses
autentikasi.
Manajemen sesi a. menggunakan pengendali sesi
untuk proses manajemen sesi;
b. menggunakan pengendali sesi
yang disediakan oleh kerangka
kerja aplikasi;
c. mengatur pembuatan dan
keacakan token sesi yang

Laporan Akhir Tahun


43
dihasilkan oleh pengendali sesi;
d. mengatur kondisi dan jangka
waktu habis sesi;
e. validasi dan pencantuman
session id;
f. pelindungan terhadap lokasi
dan pengiriman token untuk
sesi terautentikasi; dan
g. pelindungan terhadap duplikasi
dan mekanisme persetujuan
pengguna.
Persyaratan kontrol a. menetapkan otorisasi pengguna
akses untuk membatasi kontrol akses;
b. mengatur peringatan terhadap
bahaya serangan otomatis
apabila terjadi akses yang
bersamaan atau akses yang
terus-menerus pada fungsi;
c. mengatur antarmuka pada sisi
administrator;
d. mengatur verifikasi kebenaran
token ketika mengakses data
dan informasi yang
dikecualikan.
Validasi input a. menerapkan fungsi validasi
input pada sisi server;
b. menerapkan mekanisme
penolakan input jika terjadi
kesalahan validasi;
c. memastikan runtime
environment aplikasi tidak
rentan terhadap serangan
validasi input;
d. melakukan validasi positif pada
seluruh input;
e. melakukan filter terhadap data
yang tidak dipercaya;
f. menggunakan fitur kode
dinamis;
g. melakukan pelindungan

Laporan Akhir Tahun


44
terhadap akses yang
mengandung konten skrip; dan
h. melakukan pelindungan dari
serangan injeksi basis data.
Kriptografi pada a. menggunakan algoritma
verifikasi statis kriptografi, modul kriptografi,
protokol kriptografi, dan kunci
kriptografi sesuai dengan
ketentuan peraturan
perundangundangan;
b. melakukan autentikasi data
yang dienkripsi;
c. menerapkan manajemen kunci
kriptografi; dan
d. membuat angka acak yang
menggunakan generator angka
acak kriptografi.
Penanganan eror a. mengatur konten pesan yang
dan pencatatan log ditampilkan ketika terjadi
kesalahan;
b. menggunakan metode
penanganan eror untuk
mencegah kesalahan terprediksi
dan tidak terduga serta
menangani seluruh
pengecualian yang tidak
ditangani;
c. tidak mencantumkan informasi
yang dikecualikan dalam
pencatatan log;
d. mengatur cakupan log yang
dicatat untuk mendukung upaya
penyelidikan ketika terjadi
insiden;
e. mengatur pelindungan log
aplikasi dari akses dan
modifikasi yang tidak sah;
f. melakukan enkripsi pada data
yang disimpan untuk mencegah
injeksi log; dan

Laporan Akhir Tahun


45
g. melakukan sinkronisasi sumber
waktu sesuai dengan zona
waktu dan waktu yang benar.
Proteksi data a. melakukan identifikasi dan
penyimpanan Salinan informasi
yang dikecualikan;
b. melakukan pelindungan dari
akses yang tidak sah terhadap
informasi yang dikecualikan
yang disimpan sementara dalam
aplikasi;
c. melakukan pertukaran,
penghapusan, dan audit
informasi yang dikecualikan;
d. melakukan penentuan jumlah
parameter;
e. memastikan data disimpan
dengan aman;
f. menentukan metode untuk
menghapus dan mengekspor
data sesuai permintaan
pengguna; dan
g. membersihkan memori setelah
tidak diperlukan.
Keamanan a. menggunakan komunikasi
komunikasi terenkripsi;
b. mengatur koneksi masuk dan
keluar yang aman dan
terenkripsi dari sisi pengguna;
c. mengatur jenis algoritma yang
digunakan dan alat
pengujiannya; dan
d. mengatur aktivasi dan
konfigurasi sertifikat elektronik
yang diterbitkan oleh
penyelenggara sertifikasi
elektronik.
Pengendalian kode a. menggunakan analisis kode
berbahaya dalam kontrol kode berbahaya;
b. memastikan kode sumber

Laporan Akhir Tahun


46
aplikasi dan pustaka tidak
mengandung kode berbahaya
dan fungsionalitas lain yang
tidak diinginkan;
c. mengatur izin terkait fitur atau
sensor terkait privasi;
d. mengatur pelindungan
integritas;
e. mengatur mekanisme fitur
pembaruan.
Logika bisnis a. memproses alur logika bisnis
dalam urutan Langkah dan
waktu yang realistis;
b. memastikan logika bisnis
memiliki batasan dan validasi;
c. memonitor aktivitas yang tidak
biasa;
d. membantu dalam kontrol
antiotomatisasi; dan
e. memberikan peringatan ketika
terjadi serangan otomatis atau
aktivitas yang tidak biasa.
File a. mengatur jumlah file untuk
setiap pengguna dan kuota
ukuran file yang diunggah;
b. melakukan validasi file sesuai
dengan tipe konten yang
diharapkan;
c. melakukan pelindungan
terhadap metadata input dan
metadata file;
d. melakukan pemindaian file
yang diperoleh dari sumber
yang tidak dipercaya; dan
e. melakukan konfigurasi server
untuk mengunduh file sesuai
ekstensi yang ditentukan.
Keamanan API dan a. melakukan konfigurasi layanan
web service web;
b. memverifikasi uniform resource

Laporan Akhir Tahun


47
identifier API tidak
menampilkan informasi yang
berpotensi sebagai celah
keamanan;
c. membuat keputusan otorisasi;
d. menampilkan metode RESTful
hypertext transfer protocol
apabila input pengguna
dinyatakan valid;
e. menggunakan validasi skema
dan verifikasi sebelum
menerima input;
f. menggunakan metode
pelindungan layanan berbasis
web; dan
g. xmenerapkan kontrol
antiotomatisasi.
Keamanan a. mengonfigurasi server sesuai
konfigurasi rekomendasi server aplikasi dan
kerangka kerja aplikasi yang
digunakan;
b. mendokumentasi, menyalin
konfigurasi, dan semua
dependensi;
c. menghapus fitur, dokumentasi,
sampel, dan konfigurasi yang
tidak diperlukan;
d. memvalidasi integritas aset jika
aset aplikasi diakses secara
eksternal; dan
e. menggunakan respons aplikasi
dan konten yang aman.
3 Keamanan Aplikasi SPBE Penyimpanan data a. menyimpan seluruh data dan
berbasis Mobile dan persyaratan informasi yang dikecualikan
privasi hanya dalam fasilitas
penyimpanan kredensial sistem;
b. membatasi pertukaran data dan
informasi yang dikecualikan
dengan third party;
c. menonaktifkan cache keyboard

Laporan Akhir Tahun


48
pada saat memasukkan data dan
informasi yang dikecualikan;
d. melindungi informasi yang
dikecualikan saat terjadi inter
process communication; dan
e. melindungi data dan informasi
yang dikecualikan yang
dimasukkan melalui antarmuka
pengguna.
Kriptografi a. menghindari penggunaan
kriptografi simetrik dengan
hardcoded key;
b. mengimplementasikan metode
kriptografi yang sudah teruji
sesuai kebutuhan;
c. menghindari penggunaan
protokol kriptografi atau
algoritme kriptografi yang
obsolet;
d. menghindari penggunaan kunci
kriptografi yang sama;
e. menggunakan pembangkit
kunci acak yang memenuhi
kriteria keacakan kunci.
Autentikasi dan a. menerapkan autentikasi pada
manajemen sesi remote endpoint terhadap
aplikasi yang menyediakan
akses pengguna untuk layanan
jarak jauh;
b. menggunakan session identifier
yang acak tanpa perlu
mengirimkan kredensial
pengguna apabila menggunakan
stateful manajemen sesi;
c. memastikan server
menyediakan token yang telah
ditandatangani menggunakan
algoritme yang aman apabila
menggunakan autentikasi
stateless berbasis token;

Laporan Akhir Tahun


49
d. memastikan remote endpoint
memutus sesi yang ada saat
pengguna log out;
e. menerapkan pengaturan sandi
pada remote endpoint;
f. membatasi jumlah percobaan
log in pada remote endpoint;
g. menentukan masa berlaku sesi
dan masa kedaluwarsa token
pada remote endpoint; dan
h. melakukan otorisasi pada
remote endpoint.
Komunikasi a. menerapkan secure socket layer
jaringan atau transport layer security
yang tidak obsolet secara
konsisten; dan
b. memverifikasi sertifikat remote
endpoint.
Interaksi platform a. memastikan aplikasi hanya
meminta akses terhadap sumber
daya yang diperlukan;
b. melakukan validasi terhadap
seluruh input dari sumber
eksternal dan pengguna;
c. menghindari pengiriman
fungsionalitas sensitive melalui
skema custom uniform resource
locator dan fasilitas inter
process communication;
d. menghindari penggunaan
JavaScript dalam WebView;
e. menggunakan protokol
hypertext transfer protocol
secure pada WebView; dan
f. mengimplementasikan
penggunaan serialisasi API
yang aman.
Kualitas kode dan a. menandatangani aplikasi
pengaturan build dengan sertifikat yang valid;
b. memastikan aplikasi dalam

Laporan Akhir Tahun


50
mode rilis;
c. menghapus simbol debugging
dari native binary;
d. menghapus kode debugging
dan kode bantuan pengembang;
e. mengidentifikasi kelemahan
seluruh komponen third party;
f. menentukan mekanisme
penanganan eror;
g. mengelola memori secara
aman;
h. mengaktifkan fitur keamanan
yang tersedia.
Ketahanan a. mencegah aplikasi berjalan
pada perangkat yang telah
dilakukan modifikasi yang
tidak sah;
b. mendeteksi dan merespons
debugger;
c. mencegah executable file
melakukan perubahan pada
sumber daya perangkat;
d. mendeteksi dan merespons
keberadaan perangkat reverse
engineering;
e. mencegah aplikasi berjalan
dalam emulator;
f. mendeteksi perubahan kode dan
data di ruang memori;
g. menerapkan fungsi device
binding dengan menggunakan
property unik pada perangkat;
h. melindungi seluruh file dan
library pada aplikasi; dan
i. menerapkan metode
obfuscation.
4 Keamanan Sistem Keamanan a. menerapkan sistem tanda
Penghubung Layanan interoperabilitas tangan elektronik tersertifikasi
data dan informasi untuk pengamanan dokumen
dan surat elektronik;

Laporan Akhir Tahun


51
b. menerapkan sistem enkripsi
data;
c. memastikan data dan informasi
selalu dapat diakses sesuai
otoritasnya; dan
d. menerapkan sistem hash
function pada file
Kontrol sistem a. menerapkan protokol secure
integrasi socket layer atau protokol
transport layer security versi
terkini pada sesi pengiriman
data dan informasi;
b. menerapkan internet protocol
security untuk mengamankan
transmisi data dalam jaringan
berbasis transmission control
protocol/internet protocol;
c. menerapkan sistem anti
distributed denial of service;
d. menerapkan autentikasi untuk
memverifikasi identitas
eksternal antar Layanan SPBE
yang terhubung;
e. menerapkan manajemen
keamanan sesi;
f. menerapkan pembatasan akses
pengguna berdasarkan otorisasi
yang telah ditetapkan;
g. menerapkan validasi input;
h. menerapkan kriptografi pada
verifikasi statis;
i. menerapkan sertifikat
elektronik pada web
authentication;
j. menerapkan penanganan eror
dan pencatatan log;
k. menerapkan proteksi data dan
jalur komunikasi;
l. menerapkan pendeteksi virus
untuk memeriksa beberapa

Laporan Akhir Tahun


52
konten file;
m. menetapkan perjanjian tingkat
layanan dengan standar paling
rendah 95% (sembilan puluh
lima per seratus); dan
n. memastikan sistem integrasi
tidak memiliki kerentanan yang
berpotensi menjadi celah
peretas.
Kontrol perangkat a. menggunakan sistem operasi
integrator dan perangkat lunak dengan
security patches terkini;
b. menggunakan anti virus dan
anti-spyware terkini;
c. mengaktifkan fitur keamanan
pada peramban web;
d. menerapkan firewall dan host-
based intrusion detection
systems;
e. mencegah instalasi perangkat
lunak yang belum terverifikasi;
f. mencegah akses terhadap situs
yang tidak sah; dan
g. mengaktifkan sistem recovery
dan restore pada perangkat
integrator.
Keamanan API dan a. menerapkan protokol secure
web service socket layer atau protokol
transport layer security diantara
pengirim dan penerima API;
b. menerapkan protokol open
authorization versi terkini untuk
menjembatani interaksi antara
resource owner, resource server
dan/atau third party;
c. menampilkan metode RESTful
hypertext transfer protocol
apabila input pengguna
dinyatakan valid;
d. melindungi layanan web

Laporan Akhir Tahun


53
RESTful yang menggunakan
cookie dari cross-site request
forgery; dan
e. memvalidasi parameter yang
masuk oleh penerima API
untuk memastikan data yang
diterima valid dan tidak
menyebabkan kerusakan.
Keamanan migrasi a. memastikan migrasi data
data dilakukan secara bertahap dan
terprogram oleh sistem;
b. memastikan aplikasi yang
menggunakan sistem basis data
lama tetap dipertahankan
sampai sistem pendukung basis
data baru dapat berjalan atau
berfungsi dengan normal;
c. mendokumentasikan format
sistem basis data lama secara
rinci;
d. melakukan pencadangan
seluruh data yang tersimpan
pada sistem sebelum melakukan
migrasi data;
e. menerapkan teknik kriptografi
pada proses penyimpanan dan
pengambilan data; dan
f. melakukan validasi data ketika
proses migrasi data selesai.
5 Keamanan Jaringan Intra Aspek administrasi a. menyusun dan mengevaluasi
Pemerintah keamanan Jaringan dokumen arsitektur Jaringan
Intra Intra;
b. mengidentifikasi seluruh aset
infrastruktur jaringan;
c. menyusun dan menetapkan
standar operasional prosedur
terkait pemeliharaan keamanan
Jaringan Intra; dan
d. membuat laporan pengawasan
keamanan jaringan secara

Laporan Akhir Tahun


54
periodik.
Kontrol akses dan a. menempatkan perangkat
autentikasi infrastruktur jaringan yang
menyediakan layanan Jaringan
Intra pada zona terpisah;
b. menggunakan autentikasi untuk
mengakses Jaringan Intra;
c. menerapkan pembatasan akses
dalam Jaringan Intra;
d. mematikan atau membatasi
protocol, port, dan layanan
yang tidak digunakan;
e. menerapkan penyaringan tautan
dan memblokir akses ke situs
berbahaya;
f. menerapkan fungsi honeypot
untuk menganalisis celah
keamanan berdasarkan jenis
serangan;
g. menerapkan virtual private
network dan mengaktifkan
fungsi enkripsi pada jalur
komunikasi yang digunakan;
h. memberikan kewenangan hanya
kepada administrator untuk
menginstal perangkat lunak
dan/atau mengubah konfigurasi
sistem dalam Jaringan Intra;
i. menerapkan secure endpoints;
j. memblokir layanan yang tidak
dikenal;
k. menerapkan secure socket layer
atau transport layer security
versi terkini pada jalur akses
Jaringan Intra; dan
l. menerapkan server perantara
saat client mengakses server
database dalam rangka
pemeliharaan.
Persyaratan a. menggunakan perangkat

Laporan Akhir Tahun


55
perangkat dan security information and event
aplikasi keamanan management untuk network
Jaringan Intra logging dan monitoring;
b. menerapkan sistem deteksi dini
kerentanan keamanan perangkat
jaringan;
c. menggunakan perangkat
firewall;
d. menggunakan perangkat
intrusion detection systems dan
intrusion prevention systems;
e. menerapkan virtual private
network terenkripsi untuk
penggunaan akses jarak jauh
secara terbatas;
f. menerapkan kontrol update
patching pada infrastruktur
Jaringan Intra dan sistem
komputer;
g. menggunakan perangkat web
application firewall;
h. menggunakan perangkat load
balancer untuk menjaga
ketersediaan akses terhadap
jaringan dan aplikasi;
i. memperbarui teknologi
keamanan perangkat keras dan
perangkat lunak untuk
meminimalisasi celah peretas;
j. mengunduh perangkat lunak
melalui enterprise software
distribution system; dan
k. menerapkan sertifikat
elektronik.
Kontrol keamanan a. menerapkan content filtering;
gateway b. menerapkan inspection packet
filtering untuk memeriksa
packet yang masuk pada
Jaringan Intra;
c. menerapkan kontrol keamanan

Laporan Akhir Tahun


56
pada fitur akses jarak jauh
perangkat gateway;
d. memastikan perangkat gateway
yang menghubungkan antar
Jaringan Intra tidak terkoneksi
langsung dengan jaringan
publik;
e. melaksanakan manajemen
traffic gateway; dan
f. f. memastikan port tidak dibuka
secara default.
Kontrol keamanan a. menerapkan protokol keamanan
access point pada access point nirkabel dan
jaringan nirkabel teknologi enkripsi terkini;
b. menerapkan media access
control pada address filtering;
c. menerapkan dedicated service
set identifier;
d. menerapkan pembatasan
jangkauan radio transmisi dan
pengguna jaringan;
e. menerapkan pembatasan terkait
penambahan perangkat nirkabel
yang dipasang secara tidak sah;
f. menerapkan manajemen
vulnerability secara berkala dan
berkelanjutan; dan
g. melakukan patching firmware
secara rutin.
Kontrol konfigurasi a. menggunakan kata sandi yang
access point pada kuat;
jaringan nirkabel b. menggunakan protokol model
authentication authorization dan
accounting pada perangkat
infrastruktur jaringan untuk
management user atau
otentikasi administrator access
point;
c. memastikan fitur akses
konfigurasi jarak jauh hanya

Laporan Akhir Tahun


57
dapat digunakan dalam kondisi
darurat dengan menerapkan
kontrol keamanan;
d. mengisolasi atau melakukan
segmentasi jaringan area lokal
nirkabel; dan
e. menonaktifkan antarmuka
nirkabel, layanan, dan aplikasi
yang tidak digunakan.
6 Keamanan Pusat Data Persyaratan Standar Nasional Indonesia yang
Nasional keamanan fisik dan terkait dengan Pusat Data
manajemen Pusat
Data Nasional
Persyaratan koneksi a. memastikan keamanan
perangkat ke Pusat perangkat yang terkoneksi ke
Data Nasional. infrastruktur Pusat Data
Nasional;
b. memutus akses fisik atau logic
dari perangkat yang tidak
terotorisasi;
c. memastikan akses tingkat
administrator ke server dan
perangkat jaringan utama tidak
boleh dilakukan secara remote;
d. memastikan hanya personil
yang berwenang yang boleh
menggunakan komputer di area
Pusat Data Nasional;
e. melakukan backup informasi
dan perangkat lunak yang
berada di Pusat Data Nasional
secara berkala;
f. memastikan perangkat
komputer Pusat Data Nasional
terbebas dari virus dan
malware;
g. melakukan pembatasan akses
pemanfaatan removable media
di area Pusat Data Nasional;
h. memastikan pengaktifan

Laporan Akhir Tahun


58
konfigurasi port universal serial
bus telah mendapatkan izin dari
personil yang berwenang;
i. memastikan setiap perangkat
yang akan terkoneksi ke
infrastruktur Pusat Data
Nasional menggunakan internet
protocol address dan hostname
yang telah ditentukan; dan
j. menerapkan server perantara
saat client mengakses server
database dalam rangka
pemeliharaan.

Agar lebih memahami aspek-aspek kebutuhan keamanan data dan informasi dalam
rancangan Sistem Manajemen Keamanan Informasi (SMKI) di Kabupaten Indramayu
maka kami buatkan Mind Mapping aspek SMKI dibawah ini :

Laporan Akhir Tahun


59
Gambar 4.4 : Aspek SMKI Kabupaten Indramayu

C. Arsitektur Keamanan Informasi (aplikasi dan infrastruktur)

Arsitektur keamanan data dan informasi yang dibutuhkan di Pemerintah Kabupaten


Indramayu kami bagi menjadi dua yaitu aplikasi dan infrastruktur. Pembahasan

Laporan Akhir Tahun


60
disini akan menjelaskan secara lebih praktikal dari aspek keamanan SMKI yang kami
jelaskan pada bagian sebelumnya yang berisi daftar kebutuhan data dan informasi.

C.1 Aplikasi

1) Arsitektur Aplikasi
Sistem Informasi yang mendukung SPBE di Kabupaten Indramayu sebaiknya diubah
dari arsitektur monolitik menjadi arsitektur berorientasi service. Hal tersebut
akan mewujudkan SPBE yang lebih aman dikarenakan operasional pengamanan data
dan informasi dapat berfokus pada beberapa service saja dibandingkan harus
memperhatikan keamanan dari banyaknya aplikasi dengan arsitektur monolitik
seperti yang sekarang dimiliki pemerintah Kabupaten Indramayu.
Service yang kami maksud dalam hal ini adalah ruang lingkup informasi yang
dimiliki oleh Satuan Kerja Perangkat Daerah (SKPD). Dibawah ini kami contohkan
beberapa service tersentralisasi sesuai SKPD.
a. Data Kepegawaian dimiliki oleh BKPSDM
b. Data Barang Milik Daerah dimiliki oleh Badan Keuangan Daerah (BKD)
c. Data Kependudukan dimiliki oleh Disdukcapil
d. Data Ketenaga Kerjaan dimiliki oleh Disnaker
e. Data Inftastruktur dimiliki oleh Dinas PUPR
f. dst

Informasi dan data yang menjadi milik SKPD tersebut beberapa diantaranya sudah
dikelola secara elektronik dengan menggunakan aplikasi yang dikelola oleh SKPD
masing-masing dan seluruhnya masih dibangun dengan arsitektur monolitik dimana
setiap modul aplikasi beserta basis data hanya untuk kebutuhan 1 (satu) aplikasi saja.
Transformasi arsitektur aplikasi menjadi SOA yang dalam hal ini kami memberikan
usulan menggunakan arsitektur microservice dapat mewujudkan SPBE yang :
a. Data dan Informasi menjadi aman apabila mengikuti pedoman system
security yang ada.
b. Data dan Informasi menjadi aktual karena pembaharuan data dan
penggunaannya secara real time melalui API.
c. Mewujudkan Indramayu 1 data.
d. Pengembangan aplikasi baru akan lebih cepat karena dapat menggunakan
API service yang tersedia untuk kebutuhan beberapa modul.
Sebagai contoh, apabila salah satu program bupati unggulan yaitu Lacak Aset Daerah
(LADa) hendak dibuatkan aplikasi untuk mendukung program tersebut yang
memiliki fitur melacak kendaraan dinas dan pegawai yang memakainya. Maka
developer aplikasi tidak perlu repot mengimport data aset dan kepegawaian secara
manual dan tidak perlu khawatir data yang dimiliki tidak valid karena misalnya,
terjadi barang hilang/TGR atau mutasi pegawai. Selanjutnya aplikasi yang sedang
dibangun tersebut bisa berfokus pada fitur menyimpan informasi yang
menghubungkan antara aset milik daerah (kendaraan dinas) dan pegawai.

Laporan Akhir Tahun


61
Gambar 4.5 : Usulan Arsitektur Microservice Aplikasi Kabupaten
Indramayu

2) Aspek keamanan aplikasi

Laporan Akhir Tahun


62
Agar aplikasi memiliki keamanan yang baik maka SMKI Indramayu harus
memastikan setiap aplikasi yang dibangun dan sudah digunakan memenuhi aspek
dan prosedur dibawah ini :

Laporan Akhir Tahun


63
No Aspek Prosedur
1 Autentikasi a. Menggunakan manajemen kata sandi untuk proses
autentikasi;
b. Menerapkan verifikasi kata sandi pada sisi server;
c. Mengatur jumlah karakter, kombinasi jenis karakter,
dan masa berlaku dari kata sandi
d. Mengatur jumlah maksimum kesalahan dalam
pemasukan kata sandi;
e. Mengatur mekanisme pemulihan kata sandi;
f. Menjaga kerahasiaan kata sandi yang disimpan
melalui mekanisme kriptografi;
g. Menggunakan jalur komunikasi yang diamankan
untuk proses autentikasi.

2 Manajemen a. menggunakan pengendali sesi untuk proses


sesi manajemen sesi;
b. menggunakan pengendali sesi yang disediakan oleh
kerangka kerja aplikasi;
c. mengatur pembuatan dan keacakan token sesi yang
dihasilkan oleh pengendali sesi;
d. mengatur kondisi dan jangka waktu habis sesi;
e. validasi dan pencantuman session id;
f. pelindungan terhadap lokasi dan pengiriman token
untuk sesi terautentikasi; dan
g. pelindungan terhadap duplikasi dan mekanisme
persetujuan pengguna.
3 Persyaratan a. menetapkan otorisasi pengguna untuk membatasi
kontrol akses kontrol akses;
b. mengatur peringatan terhadap bahaya serangan
otomatis apabila terjadi akses yang bersamaan atau
akses yang terus-menerus pada fungsi;
c. mengatur antarmuka pada sisi administrator;
d. mengatur verifikasi kebenaran token ketika
mengakses data dan informasi yang dikecualikan.
4 Validasi a. menerapkan fungsi validasi input pada sisi server;
input b. menerapkan mekanisme penolakan input jika terjadi
kesalahan validasi;
c. memastikan runtime environment aplikasi tidak rentan
terhadap serangan validasi input;
d. melakukan validasi positif pada seluruh input;
e. melakukan filter terhadap data yang tidak dipercaya;
f. menggunakan fitur kode dinamis;
g. melakukan pelindungan terhadap akses yang
mengandung konten skrip; dan
h. melakukan pelindungan dari serangan injeksi basis
data.
5 Kriptografi a. menggunakan algoritma kriptografi,Laporan
modul Akhir Tahun
pada kriptografi, protokol kriptografi, dan kunci kriptografi
64
verifikasi sesuai dengan ketentuan peraturan
statis perundangundangan;
Aspek dan prosedur SMKI Indramayu untuk keamanan aplikasi diatas perlu untuk
dijelaskan lagi secara detail untuk mengetahui standar yang harus diikuti dan sebagai
dasar checklist pemenuhan prosedur dan bisa digunakan sebagai Quality Check
keamanan informasi aplikasi yang kami sebut sebagai Scenario Test. Dibawah ini
kami buatkan satu contoh Scenario Test dalam pemenuhan aspek autentifikasi pada
aplikasi SPBE di Kabupaten Indramayu.

Laporan Akhir Tahun


65
No Aspek Prosedur Scenario Test
1 Autentikasi Menggunakan manajemen  Login dengan Username
kata sandi untuk proses dan Password yang benar
autentikasi;  Login dengan Username
dan Password yang salah
Menerapkan verifikasi Autentifikasi di server side
kata sandi pada sisi server; dengan melihat request dan
response ketika melakukan
autentifikasi agar
mengentahui dimana
autentifikasi dijalankan
apakah di client side atau di
server side
Mengatur jumlah karakter,  Mencoba membuat
kombinasi jenis karakter, password dengan aturan
dan masa berlaku dari kata yang sudah ditentukan,
sandi misalkan jumlah karakter
harus berupa angka,
alfabet UpperCase,
alfabet LowerCase,
karakter special dan
minimal panjang
karakter 8 angka.
 Melakukan pengecekan
pada fungsi masa berlaku
sandi dalam periode
tertentu, agar diperbaharui
oleh pengguna dengan
menambahkan field
updated at sebagai data
acuan password
expiration date
Mengatur jumlah Melakukan pengecekan
maksimum kesalahan berupa mencoba login dengan
dalam pemasukan kata username atau password yang
sandi; salah dan melihat apakah user
akan di block atau harus
memperbaharui password
dengan fitur “lupa password”
Mengatur mekanisme  Melakukan test apakah
pemulihan kata sandi; link reset password
berhasil dikirimkan ke
email user
 Mencoba fitur update
password
 Login dengan password
Laporan Akhir Tahun
yang baru 66
Menjaga kerahasiaan kata Melihat isi field pada tabel di
sandi yang disimpan dalam basis data yang
C.2 SMKI Infrastruktur Jaringan

1) Manajemen Firewall

Agar data dan informasi Pemerintah Kabupaten Indramayu terlindungi, maka aspek
keamanan dan prosedur yang sudah dijelaskan di dalam tabel daftar kebutuhan
keamanan data dan informasi untuk pengamanan di lingkup Keamanan Jaringan
Intra Pemerintah. Agar aspek dan prosedur tersebut terpenuhi maka kami
menyarankan penggunaan alat bantu cyber security yang sudah beredar dipasaran,
dalam hal ini kami akan menggunakan Sophos sebagai contoh sebagai One Stop
Solution pengamanan infrastruktur jaringan. Sophos dapat dimanage oleh Dinas
Komunikasi dan Informatika Kabupaten Indramayu dan berfungsi untuk seluruh
jaringan SIDT yang tersebar di kecamatan dan SKPD. Dibawah ini adalah contoh
usulan topologi jaringan yang diamankan menggunakan firewall Sophos di
Diskominfo Indramayu sebagai kantor pusat dan SIDT BKPSDM sebagai kantor
cabang.

Laporan Akhir Tahun


67
Gambar 4.5 : Usulan topologi jaringan dengan firewall Sophos SMKI
Indramayu

Gambar diatas berisi konfigurasi Sophos Firewall untuk mengizinkan pengguna di


SIDT mengautentikasi dengan Server Direktori Aktif (AD) Diskominfo. Dalam
contoh ini, Sophos Firewall terhubung ke Sophos Firewall lainnya. Lalu lintas yang
dihasilkan oleh firewall Kantor Cabang (SIDT BKPSDM) diarahkan ke server di
172.16.1.15 di jaringan Kantor Pusat (Diskominfo).

2) Data Center

Data center yang handal diperlukan untuk mendukung penerapan SMKI. Dinas
Komunikasi dan Informatika yang nantinya akan menjadi pusat leading sektor
pengelolaan teknologi informasi , selayaknya perlu dibangun data center yang handal
untuk menampung semua server dari semua dinas dan lembaga yang ada di Pemda
Kabupaten Indramayu.
Dengan data center terpusat yang terpusat mempunyai keuntungan :
 Dinas-dinas atau lembaga pemerintahan dapat lebih fokus pada tugas
utamanya dan meminimalkan kompleksitas IT
 Dinas tidak lagi dipusingkan dengan masalah server crash, pemutakhiran
teknologi ataupun hardware, cabling, connection, dan proses
pemeliharaannya.

Topologi Datacenter sesuai TIA-942 (Telecommunication Industry Association)


adalah sebagai berikut :

Laporan Akhir Tahun


68
Gambar 4.6 : Topologi Data Center TIA-942

Laporan Akhir Tahun


69

Anda mungkin juga menyukai