Memperkenalkan Kerangka Tata Kelola

Keamanan untuk Cloud Computing

Oscar Rebollo 1 , Daniel Mellado 2 dan Eduardo Fernández-Medina 3

Manajemen TI Jamsostek, Kementerian Tenaga Kerja dan Imigrasi,

1

Dokter Tolosa Latour s/n, Madrid, Spanyol

2
Badan Pajak Spanyol - Departemen pembayar pajak besar - Unit Audit TI,
Paseo de la Castellana 106, Madrid, Spanyol
3
GSyA Research Group, Departemen Teknologi dan Sistem Informasi,
Universitas Castilla-La Mancha, Paseo de la Universidad 4, Ciudad Real, Spanyol

Abstrak. Paradigma komputasi awan memberikan cara yang lebih efisien untuk
menyediakan layanan TI, memperkenalkan layanan berdasarkan permintaan dan
sumber daya komputasi yang fleksibel. Adopsi layanan cloud ini terhalang oleh
masalah keamanan yang muncul dengan lingkungan baru ini. Oleh karena itu,
solusi keamanan global, yang berurusan dengan kekhasan paradigma cloud,
diperlukan, dan literatur gagal melaporkan solusi semacam itu. Sebagai
akibatnya, dalam makalah ini kami mengusulkan kerangka tata kelola
keamanan baru yang berfokus pada lingkungan komputasi awan (ISGcloud).
Kerangka kerja ini didasarkan pada dua standar utama: di satu sisi, kami
menerapkan prinsip tata kelola inti dari standar tata kelola ISO/IEC 38500; dan
di sisi lain, kami mengusulkan siklus hidup layanan cloud berdasarkan draft
keamanan outsourcing ISO/IEC 27036. Makalah ini mencakup ikhtisar
kerangka kerja dan deskripsi kumpulan kegiatan dan tugas terkait.

1 pengantar
Selama beberapa tahun terakhir, baik organisasi maupun individu telah mulai
memperhatikan ledakan pertumbuhan dan adopsi layanan cloud computing.
Paradigma baru ini mencakup akses ke kumpulan sumber daya komputasi bersama
yang dapat disediakan dan dirilis dengan cepat dengan upaya manajemen yang
minimal [1]. Pengguna dapat memanfaatkan fleksibilitas dan elastisitas layanan cloud
sesuai permintaan, terutama saat ini ketika batasan ekonomi mengharuskan
departemen TI untuk mencapai lebih banyak tujuan dengan sumber daya yang lebih
sedikit. Ketika jenis layanan ini diselaraskan dengan inisiatif dan tujuan strategis yang
terdefinisi dengan baik, mereka memberikan kontribusi yang berharga bagi
perusahaan [2].
Namun, banyak manfaat yang diberikan oleh cloud computing juga disertai dengan
munculnya risiko baru [3], selain kehadiran terus menerus dari semua masalah
keamanan yang dapat mempengaruhi teknologi yang mendasarinya [4]. Kemandirian
model pengiriman layanan cloud menandakan bahwa manajemen keamanan
diperlukan jika pengadopsiannya ingin dipupuk [5]. Komputasi awan memperluas
sumber daya komputasi di sekeliling perusahaan, mengakibatkan hilangnya kendali
atas aset informasinya. Oleh karena itu, fungsi tata kelola keamanan perlu ditetapkan
untuk manajemen

Rebollo O., Mellado D. and Fernández-Medina E..

Memperkenalkan Kerangka Tata Kelola Keamanan untuk Cloud Computing.
 25

DOI: 10.5220/0004601400240033
Dalam Prosiding 10th International Workshop on Security in Information Systems (WOSIS-2013), halaman 24-33
ISBN: 978-989-8565-64-8
Hak Cipta 2013 SCITEPRESS (Publikasi Sains dan Teknologi, Lda.)
level, dengan strategi keamanan yang jelas [6]. Terlepas dari model cloud yang
diadopsi, keamanan dan tata kelola harus memimpin dan memandu adopsi layanan
cloud [7]. Kebijakan dan tindakan keamanan melibatkan pihak ketiga saat
memindahkan layanan ke cloud computing, dan hilangnya kendali ini menekankan
perlunya tata kelola keamanan dalam perusahaan dan transparansi penyedia cloud [8,
9]. Tata kelola keamanan, sebagai bagian dari tata kelola perusahaan perusahaan,
adalah jalur yang paling cocok untuk mendapatkan kendali atas proses keamanan dan
menjamin keselarasan dengan strategi bisnis [10].
Kerangka kerja Tata Kelola Keamanan Informasi (ISG) yang menangani semua
masalah keamanan di lingkungan cloud dengan cara yang seragam saat ini tidak
tersedia. Meskipun ada banyak pendekatan teknologi yang dapat meningkatkan
keamanan cloud, namun saat ini belum ada solusi yang komprehensif [11]. Penelitian
kami sebelumnya menunjukkan bahwa upaya yang ada yang mencoba menangani
keamanan cloud computing tidak merinci aspek tata kelola [12]. Oleh karena itu,
dalam makalah ini kami mengusulkan pendekatan pertama untuk kerangka kerja tata
kelola keamanan yang mempertimbangkan kekhasan penerapan cloud (ISGcloud).
Kerangka kerja ISGcloud mengkompilasi pedoman yang sudah diterbitkan yang
bekerja di lapangan, dan mengelompokkannya secara homogen untuk menyediakan
model yang mampu memberikan proses ISG untuk layanan cloud. ISGcloud dipimpin
oleh standar, menghasilkan keselarasan dengan praktik terbaik yang sebenarnya.
Dengan penggunaan standar kami bertujuan untuk meningkatkan kualitas dan
keandalan hasil dan menyederhanakan proses tata kelola sambil menjamin keamanan
layanan cloud dan mempromosikan penggunaan kembali sumber daya [13].
Perspektif yang diikuti dalam pendekatan kami berorientasi pada proses, sehingga
memfasilitasi inklusi dalam organisasi mana pun. Untuk menerapkan tata kelola
keamanan, kami telah memilih model yang diterbitkan dalam standar ISO/IEC 38500,
yang menyatakan bahwa direktur harus melakukan tata kelola dengan menggunakan
tiga proses utama: Evaluasi, Langsung, dan Pantau [14]. Oleh karena itu, siklus
Evaluasi-Langsung-Monitor akan menjadi proses inti dari kerangka kerja kami. Kami
juga mengusulkan penambahan proses keempat, yaitu Berkomunikasi, karena
relevansi penyebaran pengetahuan keamanan dalam organisasi, khususnya dalam hal
penerapan layanan baru seperti komputasi awan.
Selain empat proses inti yang disoroti, kami menganggap sangat penting untuk
mengidentifikasi siklus hidup layanan cloud sebagai bagian dari tujuan kami dalam
menentukan penerapan ISG. Hubungan antara klien cloud dan penyedianya, seperti
layanan outsourcing lainnya, mengarah pada risiko baru di seluruh fase siklus
hidupnya yang harus dikelola untuk menjamin keberhasilan layanan [15]. Standar
ISO/IEC 27036 [16], meskipun masih dalam tahap draf, menguraikan kontrol
keamanan yang harus ditangani dalam siklus hidup outsourcing. Kami telah
mengadaptasi standar ini ke siklus hidup komputasi awan umum untuk
mengidentifikasi langkah-langkah dalam proses.
Makalah ini disusun sebagai berikut: bagian berikut berisi pekerjaan terkait di
bidang tata kelola keamanan dan komputasi awan yang memengaruhi penelitian kami;
Bagian 3 memberikan ikhtisar tentang kerangka kerja ISGcloud kami, menjelaskan
proses intinya dan siklus hidup layanan cloud yang diusulkan; Bagian 4 menyajikan
penjelasan rinci tentang kegiatan dan tugas kerangka kerja kami; terakhir, Bagian 5
berisi diskusi tentang kontribusi dan pekerjaan kami di masa depan.
2 Pekerjaan yang berhubungan
Bagian ini secara singkat meringkas proposal yang diterbitkan dalam beberapa tahun
terakhir yang bertujuan untuk mengatasi masalah keamanan dari perspektif tata
kelola. Kami fokus terutama pada mereka yang berurusan dengan penyebaran
komputasi awan.
Referensi utama, ketika membahas IT Governance, adalah Control Objectives for
Information and Related Technology (COBIT) [17]. COBIT adalah kerangka kerja
Tata Kelola TI yang memperkenalkan 37 proses yang dikelompokkan ke dalam lima
domain; merinci tujuan kontrol, metrik, model kematangan, dan pedoman manajemen
lainnya untuk masing-masing proses ini.
 26

Organisasi Internasional untuk Standardisasi (ISO) memiliki portofolio standar

yang luas, beberapa di antaranya didedikasikan untuk aspek keamanan dan tata kelola.
Standar ISO/IEC 27001 sangat menarik bagi tujuan kami terkait dengan Sistem
Manajemen Keamanan Informasi, yang dapat digunakan oleh organisasi untuk
mengembangkan dan menerapkan kerangka kerja untuk mengelola keamanan aset
informasi mereka dan mempersiapkan penilaian independen yang diterapkan pada
perlindungan informasi mereka [18].
Kedua kerangka ini dianalisis dalam [19], di mana beberapa referensi lain juga
dipertimbangkan. Dari pendekatan ini, perlu menyoroti proposal ISG [20], yang
mendefinisikan kerangka kerja keamanan informasi, dengan jelas membedakan antara
sisi tata kelola dan manajemen, selain menjelaskan tugas, peran, dan tanggung jawab
setiap individu kunci dalam suatu organisasi.
Kelemahan utama menggunakan kerangka kerja ini ketika berhadapan dengan
keamanan komputasi awan adalah bahwa mereka belum dirancang secara khusus
untuk lingkungan ini, dan karenanya tidak memiliki kekhususan yang muncul dalam
situasi ini. Persyaratan keamanan khusus yang muncul ketika berhadapan dengan
penyebaran komputasi awan telah menyebabkan banyak publikasi yang mencoba
mengatasi masalah ini. Proposal keamanan cloud yang ada ditinjau di [21], dan yang
paling representatif diperkenalkan di bawah ini.
Panduan keamanan yang diterbitkan oleh Cloud Security Alliance memberikan
rekomendasi praktis untuk mengurangi risiko terkait saat mengadopsi komputasi awan
[22]. Panduan tersebut mengusulkan rekomendasi yang membantu mengidentifikasi
ancaman dalam konteks cloud dan memilih opsi terbaik untuk memitigasi kerentanan.
Organisasi yang menggunakan panduan ini harus memilih jalur mana yang berlaku
untuk penerapan cloud mereka. Garis-garis ini berkisar dari tata kelola hingga
masalah operasi.
Penilaian risiko keamanan telah diusulkan oleh European Network and Information
Security Agency (ENISA) untuk menyediakan kerangka kerja untuk mengevaluasi
risiko dan panduan keamanan untuk pengguna yang ada [23]. Penilaian risiko
berkembang menjadi kerangka jaminan informasi, yang mencakup kontrol dari
keluarga standar ISO 27000.
Untuk memberikan pemahaman tentang komputasi awan dan risiko terkaitnya,
Asosiasi Audit dan Kontrol Sistem Informasi (ISACA) telah menerbitkan [24].
Proposal ini menangani aspek tata kelola dan keamanan secara terpisah, dan berisi
referensi ke publikasi tambahan untuk melengkapi kerangka kerja.
Tinjauan sistematis yang dilakukan di [12] menganalisis semua proposal keamanan
cloud ini bersama dengan publikasi literatur lainnya. Hasil perbandingan ini
menunjukkan banyak kekurangan dalam kerangka kerja yang ada sehubungan dengan
penerapan komprehensif tata kelola keamanan di lingkungan komputasi awan.
Ada berbagai pendekatan proses tata kelola inti dalam literatur; beberapa standar ISO,
seperti ISO/IEC 27001, mengusulkan untuk mengadopsi model proses Plan-DoCheck-
Act (PDCA) untuk menerapkan tata kelola keamanan sistem dan jaringan informasi
[18]. Kami menganggap pendekatan ini dan ISO/IEC 38500 (Evaluate-Direct-Monitor)
sebagai valid dan masuk akal, karena keduanya mencerminkan pembentukan proses
iteratif yang memberikan umpan balik pada aktivitas yang dilakukan.
Pendekatan serupa untuk mendefinisikan proses ini juga dapat ditemukan dalam
literatur. Misalnya, dalam [25] penulis mendefinisikan kerangka tata kelola keamanan
berdasarkan siklus Direct-Control. Setelah memeriksa proses ini ditemukan bahwa ia
berbagi banyak dualitas dengan yang disebutkan di atas, karena membedakan domain
tata kelola dan manajemen, dan menerapkan siklus iteratif ke tingkat strategis, taktis,
dan operasional.

3 Tinjauan Kerangka Kerja ISGcloud

Bagian ini memberikan gambaran umum tentang kerangka kerja ISGcloud yang kami
usulkan. Kami menjelaskan bagaimana proses telah dikembangkan dengan
mempertimbangkan kekhususan lingkungan komputasi awan dan apa yang terkait
dengan standar yang ada di dalamnya.
27

Seperti disebutkan sebelumnya, proses inti ISGcloud didasarkan pada standar

ISO/IEC 38500. Menurut standar ini, siklus tata kelola mengikuti tiga proses: a)
Mengevaluasi penggunaan TI saat ini dan di masa mendatang; b) Persiapan langsung
dan implementasi rencana dan kebijakan untuk memastikan bahwa penggunaan TI
memenuhi tujuan bisnis; dan c) Memantau kesesuaian terhadap kebijakan, dan kinerja
terhadap rencana [14]. Kami menambahkan proses Komunikasi yang menambahkan
penyebaran pengetahuan yang diperlukan dalam ISG. Mulai sekarang, kita akan
mengacu pada iterasi ini sebagai siklus Evaluate-Direct-Monitor.
Siklus tata kelola berulang ini juga mirip dengan proposal COBIT 5, di mana siklus
Evaluate-Direct-Monitor ditujukan untuk proses tata kelola TI, dan siklus PlanBuild-
Run-Monitor disarankan untuk area manajemen [17].
Proses penerapan dan pengelolaan ISG dalam komputasi awan terkait erat dengan
layanan yang ditawarkan oleh penyedia awan dan konsekuensinya dengan siklus
hidupnya. Mengambil standar ISO/IEC 27036 [16] sebagai dasar, kami mengusulkan
siklus hidup komputasi awan generik berikut: 1. Definisi Perencanaan / Strategi; 2.
Analisis Keamanan Cloud; 3. Desain Keamanan Cloud; 4. Implementasi / Migrasi
Cloud; 5. Operasi Cloud Aman; dan 6. Pengakhiran Layanan Cloud.
Kami bermaksud menggunakan siklus hidup yang diusulkan untuk
mengembangkan kerangka kerja yang sesuai untuk semua penerapan cloud.
Bergantung pada detail implementasi cloud atau bahkan pada apakah layanan cloud
sudah digunakan, praktisi akan dapat membuang beberapa aktivitas yang diusulkan
dan menyesuaikan sisanya dengan kebutuhan mereka.
Empat proses ISG merupakan satu dimensi dari kerangka kerja cloud ISG, dan
enam aktivitas siklus hidup komputasi awan menjadi dimensi kedua. Oleh karena itu
kami menggambarkan kerangka kerja kami dalam perspektif dua dimensi, di mana
layanan cloud melintasi enam aktivitas di mana siklus Evaluate-Direct-Monitor
diadakan secara berurutan. Hubungan antara siklus tata kelola keamanan inti dan
siklus hidup cloud ditunjukkan pada Gambar. 1. Bagian depan prisma segitiga
mewakili empat proses tata kelola keamanan utama (Evaluate, Direct, Monitor, dan
Communicate) yang dijalankan secara iteratif di setiap aktivitas dari proses. Sisi
samping prisma menggambarkan aktivitas berturut-turut dari siklus hidup layanan
cloud yang menerapkan tata kelola keamanan.

Gambar 1. Gambaran umum kerangka kerja ISGcloud.

Mengelilingi prisma pada Gambar 1 adalah beberapa aspek yang paling relevan
yang telah mempengaruhi aktivitas tata kelola keamanan dan karenanya harus
dipertimbangkan dalam kerangka kerja kami. Sisi kiri gambar berisi isu-isu yang
bersifat internal organisasi, sedangkan sisi kanan mencantumkan hal-hal eksternal.
Dimasukkannya standar dan praktik terbaik telah diwakili selama siklus hidup layanan
cloud untuk mencerminkan pentingnya kontribusi ini untuk kerangka kerja kami.
Meskipun kami mengusulkan beberapa standar yang relevan, pedoman ini mungkin
sudah ada dan diterapkan di dalam organisasi, atau dapat diperoleh dari sumber
eksternal.
 28

4 Aktivitas ISGcloud
Setelah memperkenalkan proses inti kerangka tata kelola keamanan cloud kami dan
komponen utamanya, bagian ini merinci struktur proses di seluruh siklus hidup
layanan cloud.
Peran pengguna yang terlibat dalam kerangka kerja yang diusulkan mencakup
personel dari seluruh organisasi. Kegiatan tata kelola memerlukan keterlibatan aktif
pejabat senior, eksekutif tinggi dan manajer, dan karena itu berpartisipasi bersama
dengan peran tingkat bawah lainnya. Karena pejabat senior bertanggung jawab atas
proses tata kelola organisasi, mereka terlibat dalam semua aktivitas, menandakan
bahwa mereka perlu diberi tahu tentang evolusi ISGcloud dan menyetujui hasil
tugasnya.
Semua aktivitas harus dilakukan secara iteratif, mengikuti prinsip inti dari kerangka
kerja kami. Umpan balik ini akan memungkinkan praktisi untuk kembali ke aktivitas
yang sebelumnya telah diselesaikan dengan produk keluaran baru yang mungkin
berisi informasi tambahan untuk melakukan siklus lainnya. Sisa dari bagian ini
merinci tugas-tugas yang diusulkan dalam setiap kegiatan bersama dengan deskripsi
singkat.

4.1 Kegiatan 1: Definisi Perencanaan/Strategi

Aktivitas pertama kerangka kerja ISGcloud dirancang sebagai proses pengenalan

untuk menetapkan fondasi yang diperlukan untuk aktivitas selanjutnya.
Tugas 1A: Menetapkan Struktur Tata Kelola Keamanan Informasi. Mengingat
pentingnya tata kelola keamanan, maksud dari tugas ini adalah untuk
memperkenalkan ISG ke dalam budaya organisasi. Pejabat senior dan eksekutif
tinggi, yang memiliki pengetahuan tentang struktur, misi, dan tujuan perusahaan,
bertanggung jawab untuk mengidentifikasi para peserta, mengelompokkan mereka
dalam tim berdasarkan afinitas, dan menugaskan tanggung jawab mereka. Proses tata
kelola melibatkan seluruh organisasi, yang menandakan bahwa hubungan di antara
tingkat manajemen yang berbeda dan garis pelaporan perlu didefinisikan dengan jelas.
Tugas ini muncul dengan rencana strategis ISG yang mencakup semua masalah ini
dan mencakup kebijakan tingkat atas terkait tata kelola keamanan.
Tugas 1B: Menentukan Program Keamanan Informasi. Setelah struktur tata
kelola yang efektif dan kebijakan keamanan tingkat atas telah ditetapkan, maka
Program Keamanan Informasi harus dikembangkan. Program ini terdiri dari
serangkaian aktivitas yang mendukung rencana manajemen risiko perusahaan dan
menghasilkan pengembangan strategi dan kebijakan keamanan [26]. Tugas ini harus
dilakukan secara terkoordinasi oleh manajer TI dan keamanan serta pejabat senior,
untuk menjamin bahwa program keamanan selaras dengan tujuan bisnis.

4.2 Aktivitas 2: Analisis Keamanan Cloud

Aktivitas kedua berfokus pada melakukan berbagai analisis terkait keamanan layanan
cloud. Analisis ini dikembangkan sesuai dengan struktur tata kelola dan Program
Keamanan Informasi yang diuraikan dalam kegiatan sebelumnya.
Tugas 2A: Menentukan Persyaratan Keamanan Informasi. Tugas pertama dalam
aktivitas ini bertujuan untuk menerjemahkan kebijakan keamanan strategis dan
ancaman tingkat tinggi yang ditentukan dengan program keamanan ke dalam
persyaratan yang lebih terperinci. Memastikan keselarasan lengkap dengan misi
organisasi, tujuan diterjemahkan ke dalam persyaratan keamanan. Tugas ini
memerlukan evaluasi sebelumnya terhadap standar dan pedoman yang ada yang
cocok untuk organisasi. Saat menentukan persyaratan ini, penting untuk mulai
mempertimbangkan layanan cloud yang ingin diterapkan oleh organisasi dan
penerapan terkaitnya. Oleh karena itu, pada langkah inilah kerangka kerja ISGcloud
memulai hubungannya dengan lingkungan komputasi awan.
29

Tugas 2B: Analisis Biaya/Manfaat dari Opsi Cloud yang Tersedia. Setelah
persyaratan keamanan dan kebijakan keamanan ditentukan, organisasi perlu
mengevaluasi opsi cloud yang tersedia untuk layanan yang diterapkan. Evaluasi ini
dilakukan dalam tugas ini melalui analisis biaya/manfaat yang mencakup biaya tata
kelola yang efektif untuk mengelola risiko dan memastikan kepatuhan terhadap
peraturan [27] dan nilai tambah dari layanan cloud. Analisis ini harus menyertakan
pertimbangan keamanan dari calon penyedia cloud yang berbeda sehubungan dengan
model layanan cloud yang dipilih. Meskipun ini merupakan perkiraan awal, kasus
bisnis memberikan pendekatan ekonomi pertama sehubungan dengan prospek
keamanan layanan cloud organisasi.
Tugas 2C: Analisis Risiko Cloud. Analisis ketiga yang termasuk dalam kegiatan ini
adalah analisis risiko keamanan cloud. Tujuan dari tugas ini adalah untuk memberikan
pemahaman tentang risiko keamanan layanan cloud yang teridentifikasi dan untuk
menentukan proses manajemen untuk risiko ini. Seperti penilaian risiko apa pun, ini
termasuk identifikasi aset informasi dengan ancaman dan kerentanan terkait, dan
definisi prosedur untuk mengelola risiko dan menangkalnya. Kami
merekomendasikan penggunaan kerangka jaminan informasi yang didefinisikan
dalam [23] oleh ENISA, yang membantu dalam mengikuti langkah-langkah ini.

4.3 Aktivitas 3: Desain Keamanan Cloud

Tujuan dari aktivitas ketiga ISGcloud adalah untuk menyediakan desain menyeluruh
dari tata kelola keamanan yang akan diimplementasikan bersama dengan layanan
cloud.
Tugas 3A: Menentukan SLA dan kontrak hukum. Seperti layanan outsourcing
lainnya, layanan komputasi awan memerlukan perjanjian tingkat layanan (SLA) yang
memadai agar dapat dikelola dengan baik. Tata kelola keamanan yang berhasil dicapai
melalui terjemahan yang tepat dari persyaratan keamanan organisasi ke dalam
perjanjian dengan penyedia cloud untuk mengelola dan meminimalkan risiko.
Perjanjian ini harus mencakup tidak hanya klausul hukum, tetapi juga kelompok
tindakan keamanan yang lengkap, yang akan menjadi titik awal untuk tugas audit dan
pemantauan berikutnya. SLA, sebagai bagian dari siklus tata kelola berulang, harus
ditinjau secara berkala dengan tujuan memodifikasi kekurangan yang terdeteksi dan
meningkatkan manajemen keamanan layanan cloud.
Tugas 3B: Menetapkan Peran dan Tanggung Jawab Keamanan Informasi.
Rancangan keamanan memerlukan penetapan tanggung jawab yang terperinci dalam
organisasi. Penugasan ini sangat bergantung pada struktur tata kelola yang ditentukan
dalam aktivitas pertama. Tugas ini menuntut identifikasi aset informasi, untuk
menentukan kepemilikan dan tanggung jawab masing-masing.
Tugas 3C: Menentukan Pemantauan dan Audit Layanan Cloud. Ini adalah tugas
utama dalam desain keamanan karena menentukan kondisi di mana layanan cloud
akan dipantau. Organisasi menentukan proses dan metrik yang diperlukan untuk
melakukan audit keamanan berdasarkan SLA yang ditentukan sebelumnya. Hasil dari
aktivitas ini menentukan bagaimana proses Monitor dan Evaluasi dari siklus iteratif
akan dijalankan dalam aktivitas operasi.
Tugas 3D: Menentukan Kontrol Keamanan yang Berlaku. Tugas terakhir dalam
aktivitas desain difokuskan pada pendefinisian kontrol keamanan. Berdasarkan
analisis risiko, organisasi harus mengembangkan tindakan keamanan yang akan
diterapkan baik selama pengoperasian layanan cloud maupun dalam kasus insiden
atau bencana besar. Tugas ini dapat dilakukan dengan mengikuti salah satu standar
keamanan yang ada, seperti ISO/IEC 27001 [18].

4.4 Aktivitas 4: Implementasi / Migrasi Cloud

Setelah desain keamanan selesai, maka implementasi layanan cloud dilakukan.

Eksekusi aktivitas ini bervariasi tergantung pada apakah layanan cloud yang
 30

diimplementasikan sebelumnya telah digunakan dalam organisasi atau apakah itu

merupakan migrasi dari satu penyedia cloud ke penyedia cloud lainnya.
Tugas 4A: Implementasi Cloud Aman. Tugas ini berfokus pada keamanan selama
implementasi layanan dan modifikasi paralel dari proses keamanan organisasi.
Kontrol keamanan tambahan diperlukan dalam migrasi, beberapa di antaranya
bergantung pada jenis penerapan cloud. Seiring dengan implementasi layanan, proses
organisasi disesuaikan dengan spesifikasi yang baru dirancang.
Tugas 4B: Mendidik dan Melatih Staf. Perluasan masalah keamanan layanan cloud
dalam organisasi adalah proses tata kelola utama. Meskipun proses Komunikasi
seharusnya meningkatkan kesadaran keamanan dalam aktivitas sebelumnya, dalam
tugas inilah rencana pelatihan global dikembangkan, dan setiap anggota staf dididik
sesuai dengan partisipasinya dalam layanan cloud.

4.5 Aktivitas 5: Operasi Cloud Aman

Aktivitas kelima ISGcloud dikhususkan untuk pengoperasian layanan cloud. Kegiatan

sebelumnya dapat dianggap sebagai batas waktu, tetapi umumnya sulit untuk
menentukan batas waktu operasi karena biasanya memiliki durasi yang tidak terbatas.
Inilah mengapa siklus iteratif inti yang diusulkan sangat relevan dalam kegiatan ini.
Tugas 5A: Operasi Keamanan Cloud. Tugas operasi keamanan mencerminkan
iterasi berturut-turut dari siklus tata kelola. Siklus ini membutuhkan desain proses
yang tepat, sehingga setiap peserta dapat memainkan peran yang telah ditentukan.
Proses peningkatan berkelanjutan dapat menghasilkan modifikasi produk dari
aktivitas sebelumnya, seperti Program Keamanan Informasi atau Analisis Risiko. Jika
demikian, mungkin menarik untuk meninjau kembali aktivitas sebelumnya, bahkan
saat layanan cloud sedang beroperasi. Tata kelola keamanan yang berhasil tidak hanya
membutuhkan pengukuran layanan reguler, tetapi juga prioritas program yang
memadai dan pelaporan masalah keamanan secara reguler, yang dapat mencakup
rekomendasi untuk tindakan perbaikan dan pencegahan.
Tugas 5B: Mengkomunikasikan Keamanan Informasi dalam Organisasi. Tugas
ini mencerminkan proses komunikasi berkelanjutan yang berlangsung dalam
organisasi untuk menjaga kesadaran keamanan dan mengizinkan perluasan kebijakan
baru. Meskipun tugas ini juga dapat disertakan dalam tugas sebelumnya (operasi
keamanan Cloud), perbedaan antara proses Komunikasi dan siklus EvaluateDirect-
Monitor menyarankan pemisahan ini, dengan cara yang lebih ilustratif dan mudah
dipahami.

4.6 Aktivitas 6: Pengakhiran Layanan Cloud

Tujuan dari aktivitas terakhir adalah untuk menyediakan penghentian layanan dengan
keamanan.
Tugas 6A: Penghentian Layanan Cloud. Tugas ini mencakup langkah-langkah yang
diperlukan untuk menjamin penghentian layanan yang aman dan pengambilan
informasi dari penyedia cloud, baik layanan tersebut dialihkan ke penyedia lain atau
akhirnya dibuang. Keluaran utama dari tugas ini adalah laporan keamanan yang berisi
pengetahuan yang diperoleh organisasi, yang dapat digunakan kembali dalam iterasi
tata kelola keamanan yang berurutan.
5 Kesimpulan
Beberapa upaya penelitian terkait keamanan layanan cloud telah dipublikasikan, tetapi
kami melihat kurangnya kerangka tata kelola keamanan yang mempertimbangkan
kekhasan komputasi cloud. Kontribusi utama dari pekerjaan ini adalah proposal
kerangka ISG komprehensif (ISGcloud) yang terkait erat dengan siklus hidup layanan
cloud. Tujuan kerangka kerja ISGcloud adalah untuk menyediakan para praktisi
dengan pendekatan sistematis yang dapat dengan mudah diikuti untuk menjamin tata
kelola keamanan yang sukses, terlepas dari jenis penyebaran cloud.
Agar dapat memahami kerangka kerja, kami telah memperkenalkan deskripsi
singkat tentang aktivitas dan tugas ISGcloud. Namun, kami menyadari bahwa
31

diperlukan lebih banyak detail sebelum proposal kami dipraktikkan. Kami berencana
untuk melanjutkan penelitian kami memperluas tugas yang diusulkan, sehingga
masing-masing mengidentifikasi langkah-langkah yang terlibat, peran pengguna yang
berpartisipasi dalam pelaksanaannya, produk input dan outputnya, dan dokumen
panduan yang diusulkan yang dapat membantu mencapai tujuannya. Penelitian kami
di masa depan harus memungkinkan kami untuk menyediakan pendekatan proses
terstruktur yang memfasilitasi integrasinya dengan proses organisasi lainnya dan dapat
digunakan kembali, yang dapat dimodelkan mengikuti Spesifikasi Meta-Model
Rekayasa Proses Perangkat Lunak & Sistem (SPEM) [28]. Mengikuti baris ini, kami
berencana untuk melengkapi definisi SPEM dari aktivitas kerangka kerja dengan alat
pendukung, seperti EPF Composer.
Selain itu, kami bermaksud untuk dapat melakukan penggunaan praktis kerangka
ISGcloud dalam skenario kehidupan nyata, sehingga penelitian teoretis kami
dipraktikkan untuk mengevaluasi dan memvalidasi kegunaannya. Kami akan terus
memvalidasi proposal kami dengan menghubungi organisasi kandidat yang berniat
untuk mengembangkan layanan cloud atau telah menerapkannya, dan tertarik dengan
masalah tata kelola keamanan yang terkait dengan lingkungan cloud.

Terima kasih
Penelitian ini merupakan bagian dari proyek berikut: MEDUSAS (IDI-20090557),
dibiayai oleh Pusat Pengembangan Teknologi Industri (CDTI), ORIGIN
(IDI2010043(1-5)) dibiayai oleh CDTI dan FEDER, SERENIDAD (PEII11-
0377035 ) dibiayai oleh "Viceconsejería de Ciencia y Tecnología de la Junta de
Comunidades de Castilla- La Mancha" (Spanyol) dan FEDER, dan SIGMA-CC
(TIN201236904) dan GEODAS (TIN2012-37493-C03-01) dibiayai oleh "Ministerio
de Economía y Competitividad" (Spanyol).

Referensi
1. Mell, P., Grance, T.: Definisi Cloud Computing NIST. SP 800-145. Institut Standar dan
Teknologi Nasional (NIST) (2011)
2. Gartner: Hype Cycle Gartner untuk Cloud Computing. (2012)
3. Chen, Y., Paxson, V., Katz, RH: Apa yang Baru Tentang Keamanan Cloud Computing?
Universitas California, Berkeley (2010)
4. Hamlen, K., Kantarcioglu, M., Khan, L., Thuraisingham, B.: Masalah Keamanan untuk
Cloud Computing. Jurnal Internasional Keamanan Informasi dan Privasi 4 (2010) 39-51
5. Subashini, S., Kavitha, V.: Survei tentang masalah keamanan dalam model penyampaian
layanan komputasi awan. Jurnal Aplikasi Jaringan dan Komputer 34 (2011) 1-11
6. Bisong, A., Rahman, SSM: Ikhtisar Masalah Keamanan di Komputasi Awan Perusahaan.
Jurnal Internasional Keamanan Jaringan & Aplikasinya (IJNSA) 3 (2011) 30-45
7. Avanade: Survei Global: Apakah Cloud Computing Sudah Dewasa? Laporan Tahunan
Ketiga , Juni 2011 (2011)
8. Rosado, DG, Gómez, R., Mellado, D., Fernández-Medina, E.: Analisis Keamanan dalam
Migrasi ke Lingkungan Cloud. Internet Masa Depan 4 (2012) 469-487
9. Zhu, Y., Hu, H., Ahn, G.-J., Yau, SS: Outsourcing layanan audit yang efisien untuk
integritas data di cloud. Jurnal Sistem dan Perangkat Lunak 85 (2012) 1083–1095
10. Mellado, D., Sánchez, LE, Fernández-Medina, E., Piattini, M.: Inovasi Tata Kelola
Keamanan TI: Teori dan Penelitian. IGI Global, AS (2012)
11. Rong, C., Nguyen, ST, Jaatun, MG: Beyond lightning: Survei tentang tantangan keamanan
dalam komputasi awan. Komputer dan Teknik Elektro 39 (2013) 47-54
12. Rebollo, O., Mellado, D., Fernández-Medina, E.: Tinjauan Sistematis Kerangka Kerja Tata
Kelola Keamanan Informasi di Lingkungan Cloud Computing. Jurnal Ilmu Komputer
Universal 18 (2012) 798-815
13. Fung, AR-W., Farn, K.-J., Lin, AC: Paper: studi tentang sertifikasi sistem manajemen
keamanan informasi. Standar & Antarmuka Komputer 25 (2003) 447-461
14. ISO/IEC: ISO/IEC 38500:2008 Tata kelola perusahaan teknologi informasi (2008)
15. Chou, DC, Chou, AY: Siklus hidup outsourcing sistem informasi dan analisis risiko.
Standar & Antarmuka Komputer 31 (2009) 1036–1043
16. ISO/IEC: ISO/IEC 27036 - Keamanan TI - Teknik keamanan - Keamanan informasi untuk
hubungan pemasok (draf)
 32

17. ITGI: Tujuan Pengendalian untuk Informasi dan Teknologi terkait (COBIT 5) (2012)
18. ISO/IEC: ISO/IEC 27001:2005 Teknologi informasi - Teknik keamanan - Sistem
manajemen keamanan informasi - Persyaratan (2005)
19. Rebollo, O., Mellado, D., Sánchez, LE, Fernández-Medina, E.: Analisis Komparatif
Kerangka Tata Kelola Keamanan Informasi: Pendekatan Sektor Publik. Prosiding
Konferensi Eropa ke-11 tentang eGovernment – ECEG 2011, Ljubljana, Slovenia (2011)
482-490
20. Solms, SHv, Solms, Rv: Tata Kelola Keamanan Informasi. Peloncat (2009)
21. Rebollo, O., Mellado, D., Fernández-Medina, E.: Tinjauan Komparatif Proposal Keamanan
Cloud dengan ISO/IEC 27002. Prosiding Lokakarya Internasional ke-8 tentang Keamanan
dalam Sistem Informasi - WOSIS 2011, Beijing, China (2011 ) 3-12
22. Aliansi Keamanan Cloud: Panduan Keamanan untuk Area Fokus Penting di Cloud
Computing V3. (2011)
23. Catteddu, D., Hogben, G.: Penilaian Risiko Keamanan Cloud Computing - Manfaat, risiko,
dan rekomendasi untuk keamanan informasi. Jaringan Eropa dan Badan Keamanan
Informasi (ENISA) (2009)
24. ISACA: Tujuan Kontrol TI untuk Cloud Computing. (2011)
25. Solms, Rv, Solms, SHBv: Tata Kelola Keamanan Informasi: Model berdasarkan Siklus
Kontrol Langsung. Komputer & Keamanan 25 (2006) 408-412
26. Allen, JH, Westby, JR: Mengatur Panduan Implementasi Keamanan Perusahaan. Institut
Rekayasa Perangkat Lunak - CERT (2007)
27. Miller, J., Candler, L., Wald, H.: Tata Kelola Keamanan Informasi - Pertimbangan
Pemerintah untuk Lingkungan Cloud Computing. Booz Allen Hamilton (2009)
28. OMG: Spesifikasi Meta-Model Rekayasa Proses Perangkat Lunak & Sistem v.2.0.
http://www.omg.org/spec/SPEM (2008)