BAB I PENDAHULUAN
Latar Belakang
Internet merupakan sebuah media pertukaran informasi dan data yang terbuka, artinya
internet dapat diakses oleh siapa saja, kapan saja dan darimana saja. Dengan berbagai
kecanggihan sarana komunikasi modern tersebut, internet sangat rentan terhadap serangan
sistem informasi. Tanpa adanya sistem keamanan terhadap informasi membuat sistem
informasi yang dimiliki individu, organisasi bahkan instansi pemerintahan menjadi sangat
rentan terhadap adanya upayaupaya penyerangan sistem informasi1.
Perspektif masyarakat tentang Teknologi Informasi dan Komunikasi telah bergeser dari Nilai
Aset Bersih (NAB)4 ke Nilai Aset Informasi. Dalam konteks keamanan informasi, informasi
diartikan sebagai sebuah aset yang sangat bernilai dan harus dilindungi. Hal ini dapat bermakna
bahwa informasi dalam sebuah perangkat PC atau infrastruktur TIK bahkan menjadi lebih
berharga dari pada infrastruktur TIK tersebut secara fisik. Dengan demikian, hilang atau
rusaknya sebuah informasi berharga dapat menyebabkan kerugian besar. Seiring dengan
meningkatnya nilai aset informasi, maka semakin besar keinginan orang untuk mendapatkan
akses ke informasi dan mengendalikannya. Maka muncullah individu atau kelompok yang
menggunakan aset informasi demi berbagai tujuan dan mengerahkan segala upaya untuk
mendapatkan aset informasi dengan berbagai cara.
Dalam penerapan TIK, faktor keamanan informasi merupakan aspek yang sangat penting
diperhatikan mengingat kinerja tata kelola TIK akan terganggu jika informasi sebagai salah satu
objek utama tata kelola TIK mengalami masalah keamanan informasi yang menyangkut
kerahasiaan (confidentiality), keutuhan (integrity) dan ketersediaan (availability). Tujuan utama
dari Tata Kelola keamanan informasi pada organisasi/ instansi pemerintah adalah untuk
mengurangi dampak yang merugikan instansi sampai pada tingkatan yang bisa diterima oleh
instansi.
Keamanan informasi mencakup semua jenis informasi, baik fisik dan elektronik. Pada
implementasi sehari-hari dalam instansi, keamanan informasi melindungi semua aset informasi
terhadap resiko kehilangan, pemutusan operasional, salah pemakaian, pemakai yang tidak
berhak ataupun kerusakan informasi.
Tata Kelola Keamanan Informasi dalam sebuah korporasi atau organisasi apapun di aplikasikan
dalam wujud sebuah sistem, yaitu ISMS (information security management system) atau Sistem
Manajemen Keamanan Informasi. Konsep utama ISMS untuk suatu organisasi adalah untuk
merancang, menerapkan, dan memelihara suatu rangkaian terpadu proses dan sistem untuk
secara efektif mengelola keamanan informasi dan menjamin kerahasiaan, integritas, serta
ketersediaan aset-aset informasi serta meminimalkan risiko keamanan informasi. Komponen
Kebijakan keamanan informasi yang tercakup dalam tata kelola keamanan informasi adalah
arahan startegis dalam pelaksanaan manajemen risiko keamanan informasi pada sebuah
organisasi. Kebijakan berisi kerangka kerja untuk membuat keputusan spesifik, seperti rencana
keamanan fisik dan administratif. Strategi keamanan informasi akan menentukan arah semua
kegiatan keamanan informasi. Dengan adanya peraturan dan strategi maka akan mempertegas
serta memperjelas cara untuk mengatasi permasalahan keamanan informasi. Setiap elemen
dalam mewujudkan kemanan informasi harus mengacu pada standar keamanan yang telah
ditetapkan.
Setiap elemen harus mengacu pada standar keamanan yang telah ditetapkan dalam
mewujudkan kemanan informasi. Standar keamanan informasi harus khusus dan spesifik
sehingga mereka dapat diterapkan ke semua bidang keamanan informasi. Setiap negara perlu
mengembangkan standar sesudah menganalisis standar keamanan administratif, fisik dan
teknis yang banyak digunakan di dunia. Standar haruslah sesuai dengan lingkungan TIK yang
umum. Standar keamanan informasi harus khusus dan spesifik sehingga dapat diterapkan ke
semua bidang keamanan informasi. Organisasi Internasional untuk
Standarisasi telah mengembangkan sejumlah standar tentang Information Security
Management Systems (ISMS) atau Sistem Manajemen Keamanan Informasi (SMKI) baik dalam
bentuk persyaratan maupun panduan. Standar ISMS yang paling terkenal adalah ISO/IEC 27001
dan ISO/IEC 27002 serta standarstandar terkait yang diterbitkan bersama oleh ISO dan IEC.
Information Security Forum juga menerbitkan suatu ISMS lain yang disebut Standard of Good
Practice (SOGP) yang lebih berdasarkan praktik dari pengalaman mereka. Kerangka Manajemen
Teknologi Informasi (TI) lain seperti COBIT dan ITIL juga menyentuh masalah-masalah
keamanan walaupun lebih terarah pada kerangka Tata Kelola secara umum. Dari standar seri
ISO
27000 hingga September 2011, standar ISO/IEC 27001: 2005 telah diadopsi Badan Standarisasi
Nasional (BSN) sebagai Standar Nasional Indonesia (SNI) berbahasa Indonesia bernomor SNI
ISO/IEC 27001: 2009. Pada struktur keseluruhan proses SMKI diterapkan model PLAN-DO-
CHECK-ACT (PDCA).
Dalam sebuah pelayanan publik yang diselenggarakan oleh pemerintah, TIK merupakan sebagai
pendukung layanan agar layanan dapat disampaikan dengan efektif dan efisien. Hal ini
dikemukakan dalam penelitian yang dilakukan oleh Saheer Al-Jaghoub, Hussein Al-Yaseen and
Mouath Al-Hourani (Saheer, Hussein & Mouath, 2010) yang menyimpulkan bahwa TIK adalah
instrument yang bermanfaat dan mampu meningkatkan efektivitas dan efisiensi layanan
pemerintah. Meskipun demikian, dalam peneltian tersebut juga disampaikan mengenai
munculnya isuisu, seperti keamanan, privasi dan penerimaan menjadi hambatan dalam adopsi
layanan e-government. Dengan demikian dibutuhkan perhatian khusus mengenai hal tersebut
dalam pengembangan e-government. Terkait dengan kajian tentang kebijakan Tata Kelola
Keamanan Informasi, dalam penelitian berikutnya yang dilakukan oleh Rossouw Von Solms,
Kerry-Lynn Thomson, dan Prosecutor Mvikeli Maninjwa (Solms, Thomson, & Maninjwa, 2011),
menyebutkan bahwa; Praktik Tata Kelola Keamanan Informasi yang komprehensif harus
dilakukan oleh organisasi. Tata Kelola Keamanan Informasi terdiri dari kegiatan langsung dan
kontrol yang harus dilakukan pada semua tingkat (level) manajemen, yaitu: tingkat strategis,
taktis, dan operasional. Kebijakan yang berada di masing-masing tingkatan harus terwakili di
Arsitektur Kebijakan Tata Kelola Keamanan Informasi atau yang dikenal dengan istilah
Information Security Policy Architecture (ISPA) pada sebuah organisasi. Namun dalam banyak
kasus, kebijakan tata kelola keamanan informasi tidak termasuk dalam kebijakan yang berada
di tingkat operasional.
IT Governance Institute (ITGI, 2003) menunjukkan bahwa tata kelola TI berkaitan dengan
penyampaian nilai TI bagi bisnis dan mitigasi risiko TI. Nilai TI didorong oleh keselarasan
strategis TI dengan tujuan bisnis, mitigasi risiko TI disampaikan dengan menanamkan
akuntabilitas ke dalam organisasi. Lebih lanjut lagi, menurut Tenver A. Zia (Zia, 2010), hal ini
menyebabkan lima area fokus utama tata kelola TI. Dua di antaranya adalah hasil, yaitu:
penyampaian nilai TI dan manajemen risiko. Tiga fokus lainnya adalah pendorong, antara lain:
keselarasan strategis, manajemen sumber daya, dan manajemen kinerja. Dalam rangka untuk
memberikan keamanan di layanan manajemen TI dan tata kelola TI, keselarasan strategis TI dan
manajemen risiko harus ditangani dengan baik.
Meskipun ada banyak karakteristik untuk tata kelola keamanan TI, namun sulit untuk
dikontekstualisasikan. Best Practice menyatakan bahwa tata kelola keamanan TI mendefinisikan
inti prinsip-prinsip keamanan TI, akuntabilitas dan tindakan organisasi, untuk memastikan
pencapaian tujuan. Departement of Broadband, Communications and the Digital Economy,
Australia mendefinisikan Tata Kelola Keamanan Informasi sebagai penetapan dan penegakan
budaya keamanan TI untuk memberikan jaminan bahwa tujuan bisnis dan persyaratan para
stakeholder (pemangku kepentingan) akan perlindungan informasi terus dipenuhi (Department
of Broadband Communications, and the Digital Economy- Australia, 2009).
1. Gambar 1. Konsep IT Security Government
Tujuan
Kabupaten Indramayu
2. Dalam rangka memfasilitasi keamanan data dan informasi serta sistem secara
publik
Dasar Hukum
Republik Indonesia Tahun 1999 Nomor 154, Tambahan Lembaran Negara Republik
(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 58, Tambahan Lembaran Negara
(Lembaran Negara Republik Indonesia Tahun 2008 Nomor 61, Tambahan Lembaran
Republik Indonesia Tahun 2009 Nomor 112, Tambahan Lembaran Negara Republik
undangan (Lembaran Negara Republik Indonesia Tahun 2011 Nomor 82, Tambahan
Lembaran Negara Republik Indonesia Nomor 5234), sebagaimana telah diubah dengan
Republik Indonesia Tahun 2019 Nomor 183, Tambahan Lembaran Negara Republik
6) Undang-Undang Nomor 5 Tahun 2014 tentang Aparatur Sipil Negara (Lembaga Negara
Republik Indonesia Tahun 2014 Nomor 6, Tambahan Lembaran Negara Republik Indonesia
Nomor 5494);
Negara Republik Indonesia Tahun 2014 Nomor 224, Tambahan Lembaran Negara
Republik Indonesia Tahun 2014 Nomor 246, Tambahan Lembaran Negara Republik
(Lembaran Negara Republik ndonesia Tahun 2000 Nomor 107, Tambahan Lembaran
Publik (Lembaran Negara Republik Indonesia Tahun 2010 Nomor 99, Tambahan
Transaksi Elektronik (Lembaran Negara Republik Indonesia Tahun 2012 Nomor 189,
Telematika di Indonesia;
13)Instruksi Presiden Nomor 3 Tahun 2003 tentang Kebijakan dan Strategi Nasional
Kementerian Dalam Negeri dan Pemerintahan Daerah (Berita Negara Republik Indonesia
15)Peraturan Badan Siber dan Sandi Negara Nomor 10 tahun 2019 tentang Pelaksanaan
1)
BAB II Metodologi Penyusunan
A. Metodologi
Metode penelitian yang digunakan adalah metode deskriptif kualitatif yaitu hasil
penelitian disajikan dalam bentuk narasi deskripsi. Pendekatan kualitatif dilakukan
dalam penelitian ini yaitu dengan merincikan Sistem Manajemen Keamanan Informasi
(SMKI) di Pemerintah Kabupaten Indramayu dengan standard yang ada pada ISO/IEC
27001:2013. Dalam penerapan standar ISO/IEC 27001 pada Sistem Manajemen
Keamanan Informasi (SMKI) Pemerintah Kabupaten Indramayu, maka kami akan
berpedoman pada Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021
Tentang Pedoman Manajemen Keamanan Informasi dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik.
Berikut adalah pendekatan yang digunakan dan ruang lingkup dokumen Rencana
Induk SMKI Kabupaten Indramayu
Pendekatan
Indramayu.
Dalam hal ini dilakukan analisis terhadap kendala-kendala yang ada (gap
analysis), yaitu kesenjangan yang ada antara kondisi idealyang ingin dicapai agar
SMKI dapat dipergunakan secara optimal dalam mendukung visi dan misi
Pemerintah Kabupaten Indramayu, dengan kondisi yang ada saat ini. Dari
tahapan ini dapat diketahui langkah-langkah ke depan yang perlu dilakukan untuk
mencapai kondisi ideal, berikut dengan penyusunan prioritasnya sehingga kondisi
ideal yang diharapkan dapat dicapai dalam kurun lima tahun ke depan
Ruang Lingkup
Kabupaten Indramayu.
Kabupaten Indramayu.
2) Aplikasi SPBE
Pemerintah Kabupaten Indramayu 35 aplikasi yang terdaftar di Dinas Komunikasi
dan Informatika :
o akku.indramayukab.go.id
o bphtb.indramayukab.go.id
o bundaliterasi.indramayukab.go.id
o cekpajak.indramayukab.go.id
o cimanuk.indramayukab.go.id
o covid19.indramayukab.go.id
o dev.indramayukab.go.id
o katalog.arpus.indramayukab.go.id
o lpse.indramayukab.go.id
o m.opac.indramayukab.go.id
o metadatayu.indramayukab.go.id
o opac.indramayukab.go.id
o pusdatin.indramayukab.go.id
o radppk.indramayukab.go.id
o report.lpse.indramayukab.go.id
o rujukan.indramayukab.go.id
o sakip.indramayukab.go.id
o sibayu.indramayukab.go.id
o sibunda.jatibarang.indramayukab.go.id
o silat.indramayukab.go.id
o simanis.indramayukab.go.id
o simdagudang.indramayukab.go.id
o simpan-ayu.indramayukab.go.id
o simparda.indramayukab.go.id
o simpedal.indramayukab.go.id
o sindang.indramayukab.go.id
o sintren.indramayukab.go.id
o sip.indramayukab.go.id
o sip4.indramayukab.go.id
o sipajabobad.indramayukab.go.id
o sipelo.indramayukab.go.id
o siponline.indramayukab.go.id
o sirendaayu.indramayukab.go.id
o siskeudes.indramayukab.go.id
o sliyeg.indramayukab.go.id
o sukagumiwang.indramayukab.go.id
o sukra.indramayukab.go.id
o tamsil.indramayukab.go.id
o wbs.indramayukab.go.id
o 9pajak.indramayukab.go.id
o tte.indramayukab.go.id
Berdasarkan data diatas maka diketahui bahwa bahasa pemograman PHP masih
menjadi satu-satunya yang digunakan pada website atau aplikasi berbasis website
(100%) dengan komposisi :
Wordpress menempati posisi teratas sebagai Content Management System
(CMS) dengan persentase 64,6%
Codeigniter menempati posisi kedua sebagai Framework PHP dengan
persentase 20,2%
Laravel menempati posisi ketiga sebagai Framework PHP dengan persentase
10,1%
Terakhir adalah campuran dari berbagai aplikasi yang di develop sendiri atau
memanfaatkan CMS atau Framework yang diluar 3 posisi teratas, seperti
moodle CMS pada aplikasi LMS pinterayu, Bahasa Pemograman Java untuk
aplikasi Android Indramayu1 atau Firebase pada aplikasi Opendata
Pada gambar diatas dapat dilihat bahwa 43,4% website di dunia menggunakan
wordpress, dan sebesar 65,3% wordpress menguasai market share CMS seluruh dunia.
Namun dibalik kepopuleran dan segala kelebihan dari Wordpress, CMS ini juga memiliki
kekurangan yaitu mudah di hack hal ini dikarenakan aplikasi tersebut bersifat open source
dan kelebihan mengubah tampilan dengan tema juga penambahan fitur dengan plugin
dengan beberapa kali klik, kadang menjadi pisau bermata dua yang justru menjadi celah
untuk membobol website dengan CMS wordpress.
i. Data Center
Dinas Komunikasi dan Informatika Kabupaten Indramayu memiliki 3 data center
yaitu terdiri dari :
1. 2 (dua) buah server fisik yang berlokasi di Indramayu Command Center (ICC)
2. 1 (satu) buah server fisik yang berlokasi di Kantor Dinas Komunikasi dan
Informatika Kabupaten Indramayu
3. 1 (satu) buah server virtual yang disewa di ardhosting.com
Keterangan Warna
Peraturan baru BSSN nomor 4 tahun 2021 tentang Pedoman Manajemen Keamanan
Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur
Keamanan Sistem Pemerintahan Berbasis Elektronik maka dibutuhkan penyesuaian
Peraturan Bupati Kabupaten Indramayu nomor 19 Tahun 2020 dalam Kebijakan
Keamanan Informasi untuk mendukung terwujudnya Sistem Manajemen Keamanan
Informasi (SMKI) Pemerintah Daerah Kabupaten Indramayu berdasarkan Peraturan
Badan Siber dan Sandi Negara Nomor 4 tahun 2021 yang dianggap lebih relevan dan
sesuai standar ISO 27001/2013. Adapun dibawah ini kami cantumkan beberapa
Peraturan Kebijakan Keamanan Informasi yang sudah diterbitkan dan disahkan sebagai
referensi :
N Judul
o
1 PERATURAN NOMOR 92 TAHUN 2021 tentang PEDOMAN MANAJEMEN
KEAMANAN INFORMASI SISTEM PEMERINTAHAN BERBASIS ELEKTRONIK DAN
PELAKSANAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI
Level 0 : Ground
Organisasi harus melindungi semua aset IT-nya. Langkah pertama adalah
melakukan audit menyeluruh dan membuat inventaris aset lengkap yang mencakup
semua perangkat keras fisik, sumber daya cloud, dan penyimpanan yang menyimpan
data rahasia seperti kata sandi. Ini harus menjadi latihan yang berkelanjutan karena,
seiring pertumbuhan organisasi, aset baru ditambahkan.
Level 1 : Essential
Tingkat selanjutnya dari piramida kami melibatkan perubahan semua kata sandi
bawaan, pengaturan, konfigurasi, aturan firewall, port, dan lain sebagainya, untuk
meminimalkan risiko pelanggaran. Penjahat dunia maya mencari titik akses terlemah
ke jaringan dan sistem organisasi, dan titik akses tersebut biasanya merupakan
pengaturan bawaan dan konfigurasi sistem dan kombinasi kata sandi bawaan atau
standar. Juga disarankan untuk menonaktifkan komponen yang tidak perlu dan
menghapus aplikasi yang tidak penting.
Level 2 : Basic
Setelah mengubah semua kebijakan standar Teknologi Informasi, akses jaringan
ke aset fisik dan virtual harus dibatasi dengan tepat. Ini akan memerlukan
konfigurasi firewall khusus dengan pengaturan lanjutan, deteksi intrusi, dan solusi
perangkat lunak antivirus (yang perlu dikonfigurasi dengan baik dan diperbarui
secara berkala), autentikasi berbasis RFID, serta pengujian dan audit keamanan data
reguler.
Level 3 : Elevated
Level ini melibatkan pemisahan tugas, pemisahan peran, dan prinsip IAAA.
Pemisahan tugas berarti menghindari penggunaan bersama perangkat keras,
perangkat lunak, dan jaringan yang memiliki tujuan berbeda. Misalnya,
menggunakan komputer yang sama untuk penyimpanan data dan penerapan web
dapat membahayakan seluruh jaringan. Meskipun pemisahan tugas tidak hemat
biaya, hal itu mengurangi banyak risiko dan dapat membatasi dampak pelanggaran
dengan mengurangi jumlah komponen yang dapat diakses penyerang.
Pemisahan peran berarti memberikan akses ke file, sistem, atau perangkat hanya
kepada pengguna yang membutuhkannya. Jumlah pengguna yang diizinkan untuk
mengakses platform, sistem operasi, atau perangkat apa pun harus dibatasi
sebanyak mungkin, izin harus diberikan secara individual, dan identitas semua
pengguna yang memiliki akses ke aset tertentu harus diketahui setiap saat.
«IAAA» singkatan dari identifikasi, otentikasi, otorisasi, dan audit. Mengikuti prinsip
IAAA membantu memastikan bahwa data selalu terlindungi secara menyeluruh.
Level 4 : Advanced
Level Advanced dicapai hanya ketika dokumen internal dikategorikan (berlabel
keamanan) dan dilindungi dengan akses berbasis izin. Pemisahan yang lebih luas ini
mutlak diperlukan bagi usaha menengah dan besar yang tersebar di banyak lokasi.
Dokumen harus diklasifikasikan sebagai Publik, Pribadi, atau Dilindungi, dan izin
akses dapat diatur untuk membuka, membaca, mengedit, dan mengunduh.
Misalnya, seorang CEO mungkin memiliki izin untuk mengakses laporan keuangan
untuk dibuka, dibaca, diedit, dan diunduh, sedangkan kepala departemen mungkin
hanya memiliki akses baca.
Level ini juga mencakup penggunaan alat manajemen kata sandi seperti autentikasi
multifaktor dan alat manajemen kunci seperti AWS KMS, Azure Key Vault, atau
HashiCorp Vault. Alat-alat ini membantu memastikan bahwa kata sandi kuat,
disimpan dengan aman, dan dikelola dengan benar.
Level 5 : Endurance
Serangan siber bukan satu-satunya ancaman keamanan. Bencana alam seperti
gempa bumi dan banjir dapat sangat mengganggu atau bahkan menghancurkan
bisnis dengan menghilangkan perangkat keras dan aset lainnya. Setiap organisasi
harus menyusun rencana untuk mengurangi kerusakan dan gangguan dari peristiwa
force majeure yang mungkin dihadapinya.
Ini berarti mengembangkan Rencana Pemulihan Bencana dan Rencana Tanggap
Darurat Keamanan Cyber. Pencadangan data rutin, latihan, dan pengujian rutin
kerentanan sistem juga disarankan.
Level 6 : Trust
Level ini adalah tentang meningkatkan aspek keamanan manusia.
Selalu lakukan penyaringan SDM menyeluruh saat merekrut personel baru untuk
posisi kunci. Karyawan baru harus layak dipercaya dalam memperhatikan keamanan
dan penanganan informasi rahasia.
Pemasok dan vendor juga harus diperiksa dengan cermat. Jika ada celah atau
kelemahan keamanan yang signifikan teridentifikasi, desaklah agar hal itu ditangani.
Terakhir, pemindaian Dark Web sangat penting untuk menentukan apakah ada data
organisasi yang dimiliki oleh peretas.
Untuk perlindungan tambahan, serangan dapat disimulasikan untuk menguji
bagaimana sistem akan berperilaku dan menghilangkan kelemahan.
Level 7 : Paranoia
Level ini untuk perusahaan yang ingin menambahkan lapisan keamanan ekstra
untuk informasi berharga mereka.
Salah satu langkah yang baik adalah membangun Pusat Operasi Keamanan yang
menangani semua permintaan keamanan dan bertanggung jawab untuk mencegah
dan menanggapi insiden keamanan. Perangkat lunak pendeteksi ancaman dapat
diintegrasikan dengan sistem organisasi untuk menemukan pola perilaku karyawan
yang tidak biasa, potensi malware, phishing, spamming, dan serangan serupa
lainnya. Sistem akses biometrik dengan pemindaian retina, pengenalan suara, atau
autentikasi sidik jari dapat memperketat akses ke tempat, perangkat keras, dan titik
akhir. Izin keamanan mungkin diperlukan untuk bekerja dengan informasi rahasia,
rahasia, dan sangat rahasia. (Setiap negara memiliki tingkatan dan norma yang
berbeda).
Ada banyak tindakan lain yang dapat diambil untuk meningkatkan pengendalian
sistem internal, tetapi pendekatan yang disajikan di tingkat 0 sampai 6 sudah cukup
untuk sebagian besar perusahaan.
D. Kondisi Ideal
1) Standarisasi Keamanan Informasi
ISO 27001 merupakan standar internasional keamanan informasi yang memuat
persyaratan-persyaratan yang harus dipenuhi dalam usaha menggunakan konsep-
konsep keamanan informasi yang berlaku secara internasional pada sebuah organisasi.
Standar ISO 27001 menyatakan persyaratan utama yang harus dipenuhi
menyangkut:
• Konteks Organisasi
• Kepemimpinan
• Perencanaan
• Support
• Operasional ·
• Evaluasi Kinerja ·
• Improvement
Disamping persyaratan utama, standar 27001 mensyaratkan penetapan sasaran
kontrol dan kontrolkontrol keamanan informasi meliputi 14 area pengamanan
sebagai berikut:
Kebijakan keamanan informasi
Organisasi keamanan informasi
Sumber daya manusia menyangkut keamanan informasi
Manajemen aset
Akses control
Kriptographie
Keamanan fisik dan lingkungan Keamanan operasi
Kemanaan Komunikasi
Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
Hubungan dengan pemasok
Pengelolaan insiden keamanan informasi
Manajemen kelangsungan usaha (business continuity management)
Kepatuhan
Manfaat Tata Kelola Keamanan Informasi ISO 27001 agar organsiasi atau
instansi/lembaga
Mampu menerapkan tatakelola keamanan informasi secara efektif, efisien, dan
konsisten dengan pendekatan berbasis risiko.
Mampu melakukan penilaian mandiri (selfassessment) secara berkala melalui
mekanisme audit internal
Mampu menyusun sistem dokumentasi minimum yang diperlukan untuk
menerapkan tata kelola keamanan informasi
Membantu memberikan pemahaman pentingnya keamanan informasi pada
karyawan, stakeholder dan masyarakat umum.
Framework ini membantu dalam sisi teknologi dari DevOps dalam pelaksanaan
continuous integration dan continuous delivery (CI / CD) sehingga menjadi lebih mulus
dan dapat tercapai.
Lebih cepat
menanggapi Karena siklus pengembangan dipersingkat, Architecture microservices mendukung
kebutuhan penerapan dan update yang lebih gesit.
pasar
Sangat Scalabl Saat permintaan untuk service tertentu tumbuh, Anda dapat menerapkan di beberapa
e server, dan infrastruktur, untuk memenuhi kebutuhan Anda.
Service Independent ini jika dibangun dengan benar tidak akan berdampak satu sama
Handal lain. Artinya, jika salah satu bagian gagal, seluruh aplikasi tidak akan mati, tidak seperti
model aplikasi Monolithic.
Karena aplikasi yang lebih besar dipecah menjadi bagian-bagian yang lebih kecil,
developer dapat lebih mudah memahami, memperbarui, dan menyempurnakan bagian
Aksesibilitas
tersebut, menghasilkan siklus pengembangan yang lebih cepat, terutama jika
dikombinasikan dengan metodologi pengembangan yang gesit.
Karena penggunaan API dan poliglot, pengembang memiliki kebebasan untuk memilih
Lebih terbuka
Bahasa pemrograman dan teknologi terbaik untuk fungsi yang diperlukan.
E. GAP analisis
1) Standarisasi Keamanan Informasi ISO 27001/2013
No Aspek Kondisi Saat ini Kondisi Mendatang
1 Konteks Organisasi Ada namun belum Memahami Organisasi dan Konteks
spesifik dalam Organisasi
cakupan Keamanan Memahami Kebutuhan dan
Informasi. Harapan Pihak Berkepentingan
Menentukan Ruang Lingkup
Sistem Manajemen Keamanan
Informasi (SMKI) Kabupaten
Indramayu
2 Kepemimpinan SMKI Tidak ada Kebijakan berupa Peraturan Bupati
Kabupaten Indramayu
Kepemimpinan dan Komitmen
Peran, Tanggung Jawab dan
Wewenang
3 Perencanaan SMKI Tidak ada Program kerja Keamanan SPBE yang
disusun berdasarkan kategori risiko
Keamanan SPBE
Target realisasi program kerja
Keamanan SPBE
4 Pendukung SMKI Tidak ada Tersedianya Sumber Daya Manusia
Tersedianya anggaran
Kesadaraan Keamanan Informasi
Dokumentasi
5 Operasional SMKI Tidak ada Standar Teknis
Assessment manajemen resiko
Keamanan Informasi
Penanganan resiko Keamanan
Informasi
6 Evaluasi kinerja Tidak ada Melakukan audit terhadap SPBE secara
SMKI berkala
7 Peningkatan SMKI Tidak ada Melakukan perbaikan berkelanjutan
berdasarkan hasil temuan dan
rekomendasi dari audit TI.
2) Peraturan Daerah
No Aspek Kondisi Saat ini Kondisi Mendatang
1 Pembentukan Tim Tidak ada Sekretaris Daerah sebagai
Koordinator Koordinator Keamanan SPBE
Keamanan SPBE Kepala Dinas Komunikasi dan
yang ditetapkan oleh Informatika sebagai Pelaksana
Kepala Daerah Teknis Keamanan SPBE
(Peraturan Bupati)
2 Perencanaan Sistem Tidak ada Memiliki komponen perencanaan
Manajemen Keamanan SPBE yaitu :
Keamanan Informasi Program kerja Keamanan SPBE yang
(SMKI) disusun berdasarkan kategori risiko
Keamanan SPBE
Target realisasi program kerja
Keamanan SPBE
3 Standar Teknis Ada, namun tidak Memiliki standar teknis Keamanan
lengkap dan belum Informasi di lingkungan Pemerintah
berupa peraturan Kabupaten Indramayu
daerah (Perbup)
4 Audit Keamanan Ada dan sudah Mengatur audit Keamanan Informasi
Informasi tercantum pada didalam Perbup/Kepbup khusus tentang
produk hukum Sistem Manajemen Keamanan Informasi
daerah Nomor: (SMKI) Kabupaten Indramayu
710.05/Kep.217-
Diskominfo/2022
5 Perbaikan Tidak ada Melakukan perbaikan berkelanjutan
Keamanan Informasi berdasarkan hasil temuan dan
rekomendasi dari audit TI.
BAB IV
Penerapan Sistem Manajemen Keamanan Informasi (SMKI)
Pada penerapan Sistem Manajemen Keamanan Informasi selanjutnya akan kami sebut
SMKI akan dijelaskan dengan 3 bagian utama yang merupakan panduan pekerjaan yang
merupakan hasil Analisa dari Bab sebelumnya yaitu : Standarisasi ISO 27001, Pembuatan
peraturan (policy) dan arsitektur keamanan informasi (aplikasi dan infrastruktur).
Penerapan SMKI dapat menggunakan model apa pun asalkan persyaratan dan
prosesnya didefinisikan dengan jelas, diterapkan dengan benar, dan ditinjau serta
ditingkatkan secara berkala.
Pemerintah Kabupaten Indramayu juga perlu membuat kebijakan SMKI. Ini tidak
perlu dirinci; itu hanya perlu menguraikan apa yang ingin dicapai oleh tim implementasi
Keamanan SPBE dan bagaimana tim pelaksana berencana untuk melakukannya.
Pada titik ini, Anda dapat mengembangkan sisa struktur dokumen Anda. Kami
merekomendasikan penggunaan strategi empat tingkat:
a. Kebijakan di atas, menentukan posisi organisasi pada isu-isu spesifik, seperti
penggunaan yang dapat diterima dan pengelolaan kata sandi.
b. Prosedur untuk memberlakukan persyaratan kebijakan.
c. Instruksi kerja yang menjelaskan bagaimana karyawan harus memenuhi kebijakan
tersebut.
d. Catatan pelacakan prosedur dan instruksi kerja
C.1 Aplikasi
1) Arsitektur Aplikasi
Sistem Informasi yang mendukung SPBE di Kabupaten Indramayu
sebaiknya diubah dari arsitektur monolitik menjadi arsitektur berorientasi
service. Hal tersebut akan mewujudkan SPBE yang lebih aman dikarenakan
operasional pengamanan data dan informasi dapat berfokus pada beberapa
service saja dibandingkan harus memperhatikan keamanan dari banyaknya
aplikasi dengan arsitektur monolitik seperti yang sekarang dimiliki pemerintah
Kabupaten Indramayu.
Service yang kami maksud dalam hal ini adalah ruang lingkup informasi
yang dimiliki oleh Satuan Kerja Perangkat Daerah (SKPD). Dibawah ini kami
contohkan beberapa service tersentralisasi sesuai SKPD.
a. Data Kepegawaian dimiliki oleh BKPSDM
b. Data Barang Milik Daerah dimiliki oleh Badan Keuangan Daerah (BKD)
c. Data Kependudukan dimiliki oleh Disdukcapil
d. Data Ketenaga Kerjaan dimiliki oleh Disnaker
e. Data Inftastruktur dimiliki oleh Dinas PUPR
f. dst
Sebagai contoh, apabila salah satu program bupati unggulan yaitu Lacak Aset
Daerah (LADa) hendak dibuatkan aplikasi untuk mendukung program tersebut
yang memiliki fitur melacak kendaraan dinas dan pegawai yang memakainya.
Maka developer aplikasi tidak perlu repot mengimport data aset dan
kepegawaian secara manual dan tidak perlu khawatir data yang dimiliki tidak
valid karena misalnya, terjadi barang hilang/TGR atau mutasi pegawai.
Selanjutnya aplikasi yang sedang dibangun tersebut bisa berfokus pada fitur
menyimpan informasi yang menghubungkan antara aset milik daerah
(kendaraan dinas) dan pegawai.
1) Manajemen Firewall
Agar data dan informasi Pemerintah Kabupaten Indramayu terlindungi,
maka aspek keamanan dan prosedur yang sudah dijelaskan di dalam tabel daftar
kebutuhan keamanan data dan informasi untuk pengamanan di lingkup
Keamanan Jaringan Intra Pemerintah. Agar aspek dan prosedur tersebut
terpenuhi maka kami menyarankan penggunaan alat bantu cyber security yang
sudah beredar dipasaran, dalam hal ini kami akan menggunakan Sophos sebagai
contoh sebagai One Stop Solution pengamanan infrastruktur jaringan. Sophos
dapat dimanage oleh Dinas Komunikasi dan Informatika Kabupaten Indramayu
dan berfungsi untuk seluruh jaringan SIDT yang tersebar di kecamatan dan SKPD.
Dibawah ini adalah contoh usulan topologi jaringan yang diamankan
menggunakan firewall Sophos di Diskominfo Indramayu sebagai kantor pusat
dan SIDT BKPSDM sebagai kantor cabang.
Gambar 4.5 : Usulan topologi jaringan dengan firewall Sophos SMKI Indramayu
2) Data Center
Data center yang handal diperlukan untuk mendukung penerapan SMKI.
Dinas Komunikasi dan Informatika yang nantinya akan menjadi pusat leading
sektor pengelolaan teknologi informasi , selayaknya perlu dibangun data center
yang handal untuk menampung semua server dari semua dinas dan lembaga
yang ada di Pemda Kabupaten Indramayu.