Abstrak
PT Gagas Energi Indonesia merupakan salah satu perusahaan yang menerapkan Teknologi Informasi
(TI) untuk menunjang proses bisnisnya. Aktivitas pengelolaan TI di lingkungan PT Gagas Energi
Indonesia dilakukan dibawah HR & IT Department melalui Satuan Kerja TI. Pemanfaatan TI
membutuhkan banyak data dan informasi untuk mendukung proses bisnis yang berjalan. Banyaknya
data dan informasi dengan sifat rahasia yang disimpan dalam TI maka perlu dipastikan data dan
informasi yang tersimpan pada TI yang diterapkan telah diamankan dengan baik untuk mencegah
adanya ancaman terhadap sistem yang merugikan bisnis. Kualitas pengelolaan keamanan informasi
perlu untuk diukur untuk memastikan teknologi informasi yang diterapkan benar-benar aman.
Pengukuran keamanan informasi dilakukan dengan membandingkan antara pencapaian yang telah
dicapai oleh perusahaan dan pencapaian yang diinginkan oleh perusahaan. Metode yang digunakan
dalam penelitian ini adalah kualitatif dengan menggunakan kerangka kerja COBIT 5 dengan fokus pada
proses APO13 (Mengelola Keamanan) dan DSS05 (Mengelola Layanan Keamanan). Pengumpulan data
dilakukan dengan melakukan observasi serta menggunakan instrumen lembar penilaian dan wawancara.
Berdasarkan hasil penelitian, kedua proses tersebut telah mencapai level 2 (Managed Process),
sedangkan tingkat pencapaian yang diinginkan perusahaan berada pada level 3 (Estabilished Process).
Sehingga terjadi kesenjangan (gap level) sebesar 1 level pada masing-masing proses. Berikutnya akan
diberikan sejumlah rekomendasi berdasarkan hasil temuan penelitian dengan mempertimbangkan
kesenjangan (gap level) yang ada.
Kata kunci: evaluasi, keamanan informasi, pengelolaan keamanan, pengelolaan layanan keamanan, COBIT 5
Abstract
PT Gagas Energi Indonesia is one company that applies Information Technology (IT) to support its
business processes. IT management activities within PT Gagas Energi Indonesia are carried out under
the HR & IT Department through the IT Work Unit. Utilization of IT requires a lot of data and
information to support ongoing business processes. The amount of data and information with
confidential properties stored in IT needs to be ensured that the data and information stored on the IT
that is implemented has been properly secured to prevent threats to the system that harm the business.
The quality of information security management needs to be measured to ensure that the information
technology applied is truly safe. Measurement of information security is done by comparing the
achievements that have been achieved by the company and the desired achievement of the company. The
method used in this study is qualitative by using the COBIT 5 framework with a focus on the APO13
process (Managing Security) and DSS05 (Managing Security Services). Data collection is done by
observing and using assessment sheet instruments and interviews. Based on the results of the study, the
two processes have reached level 2 (Managed Process), while the level of achievement desired by the
company is at level 3 (Estabilished Process). So that there is a gap (gap level) of 1 level in each process.
Next will be given a number of recommendations based on the findings of the study by considering
existing gaps.
Keywords: evaluation, information security, manage security, manage security services, COBIT 5
untuk mengisi lembar penilaian dokumen pada Head sebagai pihak Accountable. Sedangkan
proses APO13. Hal tersebut dikarenakan pada peran lainnya tidak ditemukan jabatan yang
berdasarkan berdasarkan struktur organisasi sesuai dengan struktur organisasi. Infrastructure
yang ada, pihak Information and System and Network Senior Staff memiliki peran yang
Development Staff memiliki tanggung jawab sama dengan Head IT Operations dalam RACI
yang mirip dengan definisi dari Chief Chart yaitu sebagai pihak yang bertanggung
Information Officer, yaitu sebagai pihak yang jawab untuk menangani masalah infrastruktur TI
memiliki tugas untuk mengarahkan penggunaan pada perusahaan. Sedangkan Chief Information
teknologi informasi untuk mencapai tujuan Security Officer memiliki kesamaan peran
perusahaan. Sedangkan Chief Information dengan HR & IT Department Head, yaitu
Security Officer dalam jabatan organisasi disebut sebagai pihak dengan yang bertugas dalam hal
sebagai HR & IT Department Head sebagai keamanan informasi di dalam organisasi secara
pihak Accountable karena memiliki kemiripan umum.
tanggung jawab pada komponen dan peranan
pada RACI Chart yaitu sebagai pihak yang 3.2. Manage Security (APO13)
memiliki kewenangan dalam hal penerapan TI di Menurut ISACA (2012a), APO13 adalah
lingkungan perusahaan dan memiliki tanggung sebuah proses pada COBIT 5 yang terkait
jawab dalam hal keamanan informasi pada dengan pendefinisian, pengoperasian dan
perusahaan. Information and System pengawasan keamanan serta menjaga risiko
Development Senior Staff memiliki peran yang keamanan informasi pada tingkatan yang dapat
sama dengan Chief Information Officer dalam diterima oleh perusahaan. Proses ini memiliki
RACI Chart yaitu orang yang bertanggung fungsi untuk menjaga dampak dari risiko
jawab dalam hal penanganan masalah TI pada keamanan informasi agar tetap dalam tingkat
perusahaan. Sedangkan Chief Information yang telah ditetapkan oleh perusahaan.
Security Officer memiliki kesamaan peran Berdasarkan hasil observasi yang telah
dengan HR & IT Department Head, yaitu dilakukan, diketahui jika ketiga Base Practices
sebagai orang yang memiliki kewenangan pada (BP) yang terdapat pada COBIT 5 proses APO13
organisasi untuk menjaga keamanan informasi. telah diterapkan oleh pihak PT Gagas Energi
Tabel 2. Analisis RACI Chart Proses DSS05 Indonesia dan menghasilkan beberapa dokumen
Komponen Peran Jabatan
sebagai Work Product (WP). Dokumen yang
Responsible Head IT Infrastructure and dihasilkan yaitu Dokumen Pedoman Tata Kelola
Operations Network Senior TI, Dokumen Prosedur Operasi, dan Dokumen
Staff Grand Design IT.
Information - Pada penilaian level berikutnya, dihasilkan
Security sejumlah Generic Practices dan Generic Work
Manager Product dalam bentuk Dokumen Pedoman Tata
Accountable Chief HR & IT Kelola TI pada bagian Prosedur Pengamanan TI
Information Department Head dan Dokumen Prosedur Operasi pada bagian
Security Prosedur serta Diagram Alir Prosedur. Penilaian
Officer
pada level berikutnya secara keseluruhan sama
seperti penilaian level 1 yang mencapai largely
Berdasarkan Tabel 2, pihak Head IT
achieved sehingga penilaian dapat dilanjutkan ke
Operations dalam jabatan organisasi disebut
tingkatan berikutnya. Penilaian yang dilakukan
Infrastructure and Network Senior Staff sebagai
berhenti pada level 3 karena pada salah satu
pihak Responsible yang berhak untuk mengisi
atribut proses yang ada pada level 3 hanya
lembar penilaian dokumen pada proses DSS05
mencapai partially achieved yaitu pada atribut
karena memiliki kemiripan tanggung jawab
proses 3.2 (PA 3.2). Sehingga dapat disimpulkan
dengan peranan yang terdapat pada pihak
proses penilaian berhenti pada level 2 (Managed
Responsible pada peranan Head IT Operations
Process) dengan catatan penilaian pada level 3
yaitu sebagai pihak yang melaksanakan
(Estabilished Process) atribut proses 3.1 (PA
pekerjaan dalam hal pemeliharaan infrastruktur
3.1) mencapai largely achieved dan atribut
TI pada perusahaan. Sedangkan Chief
proses 3.2 (PA 3.2) mencapai partially achieved.
Information Security Officer dalam jabatan
Sehingga berdasarkan penilaian proses yang
organisasi disebut sebagai HR & IT Department
dilakukan karena pada level berikutnya salah
Fakultas Ilmu Komputer, Universitas Brawijaya
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5930
satu atribut prosesnya tidak ada yang mencapai bagian Prosedur pengamanan Software,
largely achieved (ISACA, 2013a). Penilaian Dokumen Prosedur Operasi Pengelolaan
keseluruhan pada proses APO13 digambarkan Masalah IT pada bagian Diagram Alir dan
dalam Tabel 3. prosedur pada poin pengelompokan klasifikasi
Tabel 3. Penilaian Proses APO13
masalah dan Dokumen Prosedur Operasi
Pengelolaan Hak Akses pada bagian prosedur
Level Level Level 2 Level 3 Level 4 Level 5 poin pemberian hak akses TI. Penilaian pada
0 1
proses ini berhenti pada level 3 atribut proses
PA 1.1 PA PA PA PA PA PA PA PA
kedua (PA 3.2) dengan pencapaian pada atribut
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2 tersebut memenuhi kriteria partially achieved
dan pencapaian pada atribut proses sebelumnya
L L L L P
berada pada kriteria largely achieved. Sehingga
2 diketahui jika penilaian pada proses DSS05 tidak
mampu mencapai level berikutnya karena salah
Keterangan : (N): Not Achieved (0%-15%), (P): Partially satu atribut prosesnya tidak ada yang mencapai
Achieved (>15%-50%), (L): Largely Achieved (>50%-85%), (F):
Fully Achieved (>85%-100%) largely achieved (ISACA, 2013a). gambaran
penilaian dari proses DSS05 digambarkan dalam
Tabel 4.
Berdasarkan Tabel 3 diatas dapat
disimpulkan jika penilaian proses APO13 telah Tabel 4. Penilaian Proses DSS05
mencapai pada level 2 (Managed Process) Level Level Level 2 Level 3 Level 4 Level 5
dengan catatan penilaian pada level 3 PA 3.1 0 1
termasuk dalam kriteria Largely Achieved dan
PA 1.1 PA PA PA PA PA PA PA PA
PA 3.2 termasuk dalam kriteria Partially 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Achieved. Sedangkan menurut wawancara yang
telah dilaksanakan, PT Gagas Energi Indonesia L L L L P
3.3. Manage Security Services (DSS05) Tabel 4 menyimpulkan jika proses DSS05
DSS05 adalah sebuah proses pada COBIT 5 yang dijalankan oleh PT Gagas Energi Indonesia
dengan fokus mengelola layanan keamanan pada telah mencapai level 2 (Managed Process)
organisasi untuk mempertahankan risiko dengan catatan pada level 3 PA 3.1 mencapai
keamanan informasi berada pada batas aman largely achieved dan pada PA 3.2 mencapai
yang telah ditentukan (ISACA, 2012b). Base partially achieved. Hasil wawancara yang
Practices dan Work Product berdasarkan dilakukan menunjukkan jika pihak PT Gagas
penilaian proses ini adalah Dokumen Prosedur Energi Indonesia menginginkan pencapaian
Operasi Instalasi dan Monitoring Software, pada proses DSS05 berada pada level 3. Dalam
kegiatan klasifikasi data, Log Firewall & hal ini terjadi kesenjangan atau gap sebesar 1
Antivirus, Dokumen Prosedur Operasi Hak level pada proses DSS05.
Akses, Dokumen Prosedur Operasi Lisensi
Software serta Dokumen Prosedur Operasi 4. PEMBAHASAN
Pengamanan TI. Selain itu, terdapat juga
4.1. Manage Security (APO13)
pelaksanaan klasifikasi data yang telah
dilaksanakan namun belum ditemukan dokumen Hasil analisis data menunjukkan jika proses
tertulis yang menjelaskan klasifikasi data yang APO13 (Manage Security) berada pada level 2
dilakukan oleh perusahaan. (Managed Process). PT Gagas Energi Indonesia
Pada penilaian level berikutnya, Generic mentargetkan pencapaian pada proses ini agar
Practices dan Generic Work Product yang berada pada level 3 (Estabilished Process).
dihasilkan yaitu berupa Dokumen Prosedur Dalam hal ini, PT Gagas Energi Indonesia
Operasi Instalasi dan Monitoring Software pada menginginkan proses APO13 yang dilaksanakan
telah terimplementasikan dengan standar proses proses APO13 disimpulkan dalam Tabel 5.
yang telah didefinisikan dan telah mencapai Tabel 5. Rekomendasi Proses APO13
tujuan utama dari proses tersebut (ISACA,
2013a). Pemberian rekomendasi untuk No Rekomendasi Outcome
memperbaiki tata kelola keamanan pada proses 1 Membuat dokumen APO13-02
APO13 yang pertama adalah dengan membuat tentang studi kasus bisnis
terkait Sistem Manajemen
dokumen tentang studi kasus bisnis (business
Keamanan Informasi.
case) terkait keamanan informasi. Tujuannya 2 Membuat dokumen APO13-01,
adalah untuk meningkatkan pehamanan tertulis tentang APO13-03
stakeholder pada kebijakan keamanan informasi rekomendasi untuk
yang diterapkan di perusahaan. meningkatkan Sistem
Rekomendasi kedua yang diberikan yaitu Manajemen Keamanan
meningkatkan manajemen keamanan informasi Informasi.
dengan menerapkan standar internasional seperti 3 Melakukan audit APO13-01
ISO/IEC 27001:2013. Selain itu, diperlukan manajemen keamanan
identifikasi potensi keamanan informasi yang informasi secara
mendetail menggunakan
dapat ditingkatkan terutama pada bagian yang
standar
memiliki peranan penting dalam perusahaan. internasional/nasional
Rekomendasi ketiga yang diberikan adalah yang berlaku.
dengan melakukan audit keamanan informasi 4 Meningkatkan APO13-03
secara mendetail dan berkala menggunakan pengetahuan terkait
standar nasional/internasional yang berlaku keamanan informasi pada
seperti ISO/IEC 27001 atau standar lainnya yang seluruh pihak dalam
sejenis seperti ITIL Security Management atau perusahaan.
standar lokal seperti Indeks KAMI. 5 Melengkapi Dokumen APO13-02
Rekomendasi keempat yang diberikan Tata Kelola TI dengan
menambahkan
untuk meningkatkan proses APO13 yang
infrastruktur dan
berjalan adalah dengan meningkatkan lingkungan kerja minimal
pengetahuan keamanan informasi pada seluruh yang dibutuhkan untuk
satuan kerja untuk meningkatkan pemahaman menjalankan proses
pengguna mengenai keamanan informasi manajemen keamanan
sehingga mengurangi risiko perpindahan informasi.
informasi atau data kepada yang tidak memiliki 6 Melengkapi Dokumen APO13-02
hak. Sedangkan khusus pada satuan kerja TI Tata Kelola TI dengan
perlu ditingkatkan pengetahuannya agar dapat menambahkan kebijakan
melaksanakan pekerjaan spesifik terkait untuk melakukan
pemantauan dan pelaporan
keamanan informasi, terutama pekerjaan yang
terkait proses manajemen
memerlukan keahlian dan sertifikasi khusus. keamanan informasi yang
Rekomendasi kelima yang diberikan adalah dijalankan.
melengkapi Dokumen Pedoman Tata Kelola TI
dengan menambahkan infrastruktur dan
lingkungan kerja yang dibutuhkan untuk 4.2. Manage Security Services (DSS05)
menjalankan proses manajemen keamanan
informasi. Rekomendasi yang diperlukan untuk
Rekomendasi keenam yang diberikan meningkatkan kualitas pada proses DSS05 yang
adalah dengan mendefinisikan kebijakan untuk pertama adalah dengan melengkapi dokumen
melakukan pemantauan dan pelaporan proses mengenai evaluasi ancaman potensial keamanan
manajemen keamanan informasi berdasarkan informasi. Berdasarkan hasil evaluasi yang
kriteria yang telah ditentukan sebelumnya. dilakukan, PT Gagas Energi Indonesia belum
Kedua rekomendasi ini diberikan untuk memiliki dokumen evaluasi ancaman potensial
menyempurnakan keempat rekomendasi keamanan informasi. Dokumen evaluasi
sebelumnya agar proses APO13 yang dijalankan ancaman potensial keamanan informasi
dapat mencapai level 3 seperti yang diharapkan. berisikan daftar potensi ancaman terhadap
Keenam rekomendasi yang diberikan pada keamanan informasi yang dapat terjadi pada
pdf>
[Diakses 14 Mei 2019].
Yunis, R. & Surendro, K., 2009. Perancangan
Model Enterprise Architecture Dengan
TOGAF Architecture Development
Method. Yogyakarta, Seminar Nasional
Aplikasi Teknologi Informasi 2009
(SNATI 2009) .