Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

Vol. 3, No. 6, Juni 2019, hlm. 5926-5935 http://j-ptiik.ub.ac.id

Evaluasi Tata Kelola Keamanan Informasi menggunakan COBIT 5 pada

Domain APO13 dan DSS05 (Studi pada PT Gagas Energi Indonesia)
Yauma Dzikri Imany1, Widhy Hayuhardhika Nugraha Putra2, Admaja Dwi Herlambang3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1imanyauma@student.ub.ac.id, 2widhy@ub.ac.id, 3herlambang@ub.ac.id

Abstrak
PT Gagas Energi Indonesia merupakan salah satu perusahaan yang menerapkan Teknologi Informasi
(TI) untuk menunjang proses bisnisnya. Aktivitas pengelolaan TI di lingkungan PT Gagas Energi
Indonesia dilakukan dibawah HR & IT Department melalui Satuan Kerja TI. Pemanfaatan TI
membutuhkan banyak data dan informasi untuk mendukung proses bisnis yang berjalan. Banyaknya
data dan informasi dengan sifat rahasia yang disimpan dalam TI maka perlu dipastikan data dan
informasi yang tersimpan pada TI yang diterapkan telah diamankan dengan baik untuk mencegah
adanya ancaman terhadap sistem yang merugikan bisnis. Kualitas pengelolaan keamanan informasi
perlu untuk diukur untuk memastikan teknologi informasi yang diterapkan benar-benar aman.
Pengukuran keamanan informasi dilakukan dengan membandingkan antara pencapaian yang telah
dicapai oleh perusahaan dan pencapaian yang diinginkan oleh perusahaan. Metode yang digunakan
dalam penelitian ini adalah kualitatif dengan menggunakan kerangka kerja COBIT 5 dengan fokus pada
proses APO13 (Mengelola Keamanan) dan DSS05 (Mengelola Layanan Keamanan). Pengumpulan data
dilakukan dengan melakukan observasi serta menggunakan instrumen lembar penilaian dan wawancara.
Berdasarkan hasil penelitian, kedua proses tersebut telah mencapai level 2 (Managed Process),
sedangkan tingkat pencapaian yang diinginkan perusahaan berada pada level 3 (Estabilished Process).
Sehingga terjadi kesenjangan (gap level) sebesar 1 level pada masing-masing proses. Berikutnya akan
diberikan sejumlah rekomendasi berdasarkan hasil temuan penelitian dengan mempertimbangkan
kesenjangan (gap level) yang ada.
Kata kunci: evaluasi, keamanan informasi, pengelolaan keamanan, pengelolaan layanan keamanan, COBIT 5
Abstract
PT Gagas Energi Indonesia is one company that applies Information Technology (IT) to support its
business processes. IT management activities within PT Gagas Energi Indonesia are carried out under
the HR & IT Department through the IT Work Unit. Utilization of IT requires a lot of data and
information to support ongoing business processes. The amount of data and information with
confidential properties stored in IT needs to be ensured that the data and information stored on the IT
that is implemented has been properly secured to prevent threats to the system that harm the business.
The quality of information security management needs to be measured to ensure that the information
technology applied is truly safe. Measurement of information security is done by comparing the
achievements that have been achieved by the company and the desired achievement of the company. The
method used in this study is qualitative by using the COBIT 5 framework with a focus on the APO13
process (Managing Security) and DSS05 (Managing Security Services). Data collection is done by
observing and using assessment sheet instruments and interviews. Based on the results of the study, the
two processes have reached level 2 (Managed Process), while the level of achievement desired by the
company is at level 3 (Estabilished Process). So that there is a gap (gap level) of 1 level in each process.
Next will be given a number of recommendations based on the findings of the study by considering
existing gaps.
Keywords: evaluation, information security, manage security, manage security services, COBIT 5

Fakultas Ilmu Komputer

Universitas Brawijaya 5926
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
1. PENDAHULUAN
PT Gagas Energi Indonesia adalah salah
satu perusahaan yang mengimplementasikan
Teknologi Informasi (TI) untuk mendukung
kegiatan bisnis perusahaan. Penerapan TI
dikelola langsung oleh unit TI yang berada
dalam naungan HR & IT Department. Penerapan
TI yang telah dilakukan diantaranya adalah
dengan mengelola administrasi persuratan,
pengelolaan SDM karyawan, penggunaan
aplikasi untuk mendukung aktivitas penjualan
produk, serta penggunaan aplikasi berbagi file
internal perusahaan.
Dalam penerapan TI yang telah dilakukan,
terjadi sejumlah permasalahan terkait keamanan
data dan informasi yang disimpan dalam sistem
yang ada. Berdasarkan wawancara yang telah
dilakukan, belum adanya jaminan keamanan
terkait informasi yang disimpan dalam sistem.
Dalam hal ini, pernah terjadi serangan hacker
pada website utama perusahaan. Permasalahan
lain yang ditemukan adalah adanya perpindahan
data dari satu departemen ke departemen lainnya
melalui sistem fileshare yang dimiliki oleh
perusahaan sehingga data dan informasi
berpindah tangan ke pihak yang tidak berhak
atas informasi tersebut meskipun pada sistem
fileshare tersebut telah memiliki sistem
keamanan yang cukup baik.
Masalah keamanan informasi merupakan
hal penting dalam penyimpanan data dan
informasi untuk mencegah ancaman terhadap
sistem (Kadir, 2014). Masalah keamanan
informasi menjadi hal penting pada perusahaan
karena sebagian data yang tersimpan memilki
sifat rahasia dan boleh diketahui yang memiliki
hak akses. Berpindahnya informasi ke pihak lain
yang tidak memiliki hak akses dapat
menimbulkan kerugian bagi pemegang
informasi yang bersangkutan (Rahardjo, 1999).
Masalah keamanan informasi sudah
seharusnya menjadi perhatian oleh PT Gagas
Energi Indonesia sebagai perusahaan yang telah
menerapkan sistem dan teknologi informasi.
Semakin banyaknya sistem yang digunakan oleh
perusahaan maka semakin banyak data dan
informasi yang sebagiannya memiliki sifat
rahasia. Dalam hal ini, pengamanan informasi
tidak cukup hanya dilakukan dari sisi teknisnya
saja, tetapi juga perlu dilakukan pengukuran dari
sisi pengelolaan keamanan informasi yang
diterapkan oleh perusahaan.
Pengukuran pengelolaan keamanan
Fakultas Ilmu Komputer, Universitas Brawijaya
5927
informasi dapat dilakukan dengan berbagai cara,
kerangka kerja COBIT 5 (Control Objectives for
Information and related Technology) dapat
digunakan sebagai salah satu kerangka kerja
yang dapat digunakan untuk mengukur tata
kelola keamanan informasi. COBIT 5
memberikan panduan tata kelola dan manajemen
dari penerapan teknologi informasi dengan
menyeimbangkan manfaat dengan resiko dalam
penggunaan sumber daya teknologi informasi
untuk mencapai tujuan dari organisasi(ISACA,
2012a).
COBIT 5 mengukur tingkat pengelolaan
keamanan informasi yang diterapkan pada
perusahaan dengan menyediakan proses-proses
yang memiliki kaitan dengan pengelolaan
keamanan informasi. Proses tersebut adalah
APO13 (Manage Security) dan DSS05 (Manage
Security Services) yang merupakan proses utama
pada COBIT 5 untuk mengukur pengelolaan
keamanan informasi (ISACA, 2013). Sementara
merujuk pada penelitian Matin et.al (2017) yang
berjudul “Analisis Keamanan Data Center
Menggunakan COBIT 5”, proses lain untuk
melakukan pengukuran pada pengelolaan
keamanan informasi EDM03, APO12 dan
BAI06. Penelitian yang dilakukan oleh Matin
et.al (2017) juga menjelaskan pentingnya
melakukan keamanan informasi untuk menjaga
aset, terutama pada organisasi yang belum
melakukan evaluasi dan audit keamanan
informasi.
Penelitian lainnya yang mendukung teori
penggunaan COBIT 5 dalam hal evaluasi
pengelolaan keamanan informasi merujuk pada
penelitian dari Suminar et.al (2014) yang
menjelaskan jika COBIT 5 dapat digunakan
untuk mengetahui tata kelola keamanan
informasi pada fokus proses APO13 dan DSS05.
Penelitian tersebut memberikan rekomendasi
berupa pembuatan kebijakan untuk
mengimplementasikan standar dan prosedur
pengamanan informasi.
Secara teori, keamanan informasi adalah
usaha untuk melindungi informasi yang dimiliki
agar tidak diakses oleh yang tidak berhak untuk
mengakses informasi tersebut (Andress, 2014).
Keamanan informasi memiliki 3 aspek utama
yaitu confidentiality (kerahasiaan) yaitu usaha
perlindungan dari akses yang tidak berhak,
integrity (integritas) yaitu pencegahan data dari
perubahan oleh yang tidak memiliki hak dan
availability (ketersediaan) yaitu informasi
tersedia ketika ada pihak yang membutuhkannya
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5928

(Andress, 2014). adalah memberikan rekomendasi yang

Selain keamanan informasi, dibutuhkan didasarkan pada hasil self assessment. Tahapan
juga manajemen keamanan informasi untuk terakhir adalah menyimpukan penelitian dan
menangani keamanan dari sisi manajerial. pemberian saran untuk pengembangan
Manajemen dilakukan oleh organisasi untuk penelitian ini.
mengurangi dampak dari insiden keamanan
informasi yang tidak diinginkan (Choobineh 3. HASIL PENELITIAN
et.al, 2007). Manajemen keamanan informasi
dibutuhkan pada perusahaan untuk 3.1. Analisis RACI Chart
mengamankan aset informasi sehingga tetap RACI (Responsible, Accountable,
aman dari ancaman keamanan informasi. Consulted, Informed) chart merupakan metode
untuk memetakan peran dan tanggung jawab
2. METODOLOGI PENELITIAN dari organisasi. COBIT 5 memberikan RACI
chart dari setiap prosesnya. Terdapat 4 jenis
pemetaan pada RACI Chart yaitu Responsible
sebagai pihak yang bertanggung jawab
menjalankan atau mengerjakan sebuah proses.
Accountable yaitu seseorang yang memiliki
otoritas atau memberikan penugasan. Consulted
sebagai pihak yang memberi masukan terkait
pekerjaan. Dan Informed yaitu orang yang perlu
diinformasikan dalam pengerjaan sebuah proses.
Berdasarkan hasil analisis RACI Chart, yang
dapat membantu proses penilaian adalah pihak
Responsible dan Accountable
Pemetaan RACI Chart dilakukan dengan
mempelajari tugas dan fungsi dari struktur
organisasi yang terdapat pada PT Gagas Energi
Indonesia. Tujuannya agar dapat memetakan
peranan pada RACI Chart ke dalam peranan
pada struktur organisasi perusahaan. Tabel 1
menggambarkan pemetaan RACI Chart pada
proses APO13 pada jabatan yang terdapat pada
perusahaan
Gambar 1. Metodologi Penelitian Tabel 1. Analisis RACI Chart Proses APO13
Gambar 1 menjelaskan tahapan-tahapan Komponen Peran Jabatan
yang untuk melakukan penelitian ini. Tahapan Responsible Chief Information and
pertama dimulai dengan studi literatur dengan Information System
mencari penelitian terdahulu yang memiliki Officer Development
kemiripan masalah dengan penelitian ini. Senior Staff
Tahapan berikutnya adalah analisis RACI Chart Head IT -
dari setiap proses pada COBIT 5 dalam hal ini Administration
APO13 dan DSS05. Berikutnya adalah membuat Information -
instrumen yang digunakan untuk Security
mengumpulkan data berupa wawancara dan Manager
lembar penilaian. Tahap selanjutnya adalah Accountable Chief HR & IT
mengumpulkan data melalui observasi, lembar Information Department
penilaian dan wawancara pada pihak terkait. Security Officer Head
Tahap kelima adalah triangulasi data untuk
meningkatkan validitas data yang dikumpulkan Berdasarkan tabel 1, Chief Information
(Recker, 2013). Tahapan keenam adalah Officer dalam jabatan organisasi disebut
melakukan self assessment berdasarkan proses Information and System Development Senior
COBIT 5 yang telah dipilih. Tahapan ketujuh Staff sebagai pihak Responsible yang berhak

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
untuk mengisi lembar penilaian dokumen pada
proses APO13. Hal tersebut dikarenakan
berdasarkan berdasarkan struktur organisasi
yang ada, pihak Information and System
Development Staff memiliki tanggung jawab
yang mirip dengan definisi dari Chief
Information Officer, yaitu sebagai pihak yang
memiliki tugas untuk mengarahkan penggunaan
teknologi informasi untuk mencapai tujuan
perusahaan. Sedangkan Chief Information
Security Officer dalam jabatan organisasi disebut
sebagai HR & IT Department Head sebagai
pihak Accountable karena memiliki kemiripan
tanggung jawab pada komponen dan peranan
pada RACI Chart yaitu sebagai pihak yang
memiliki kewenangan dalam hal penerapan TI di
lingkungan perusahaan dan memiliki tanggung
jawab dalam hal keamanan informasi pada
perusahaan. Information and System
Development Senior Staff memiliki peran yang
sama dengan Chief Information Officer dalam
RACI Chart yaitu orang yang bertanggung
jawab dalam hal penanganan masalah TI pada
perusahaan. Sedangkan Chief Information
Security Officer memiliki kesamaan peran
dengan HR & IT Department Head, yaitu
sebagai orang yang memiliki kewenangan pada
organisasi untuk menjaga keamanan informasi.
Tabel 2. Analisis RACI Chart Proses DSS05
Komponen Peran Jabatan
Responsible Head IT Infrastructure and
Operations Network Senior
Staff
Information - Pada penilaian level berikutnya, dihasilkan
Security
Manager
Accountable Chief HR & IT
Information Department Head
Security
Officer
Berdasarkan Tabel 2, pihak Head IT
Operations dalam jabatan organisasi disebut
Infrastructure and Network Senior Staff sebagai
pihak Responsible yang berhak untuk mengisi
lembar penilaian dokumen pada proses DSS05
karena memiliki kemiripan tanggung jawab
dengan peranan yang terdapat pada pihak
Responsible pada peranan Head IT Operations
yaitu sebagai pihak yang melaksanakan
pekerjaan dalam hal pemeliharaan infrastruktur
TI pada perusahaan. Sedangkan Chief
Information Security Officer dalam jabatan
organisasi disebut sebagai HR & IT Department
Fakultas Ilmu Komputer, Universitas Brawijaya
5929
Head sebagai pihak Accountable. Sedangkan
pada peran lainnya tidak ditemukan jabatan yang
sesuai dengan struktur organisasi. Infrastructure
and Network Senior Staff memiliki peran yang
sama dengan Head IT Operations dalam RACI
Chart yaitu sebagai pihak yang bertanggung
jawab untuk menangani masalah infrastruktur TI
pada perusahaan. Sedangkan Chief Information
Security Officer memiliki kesamaan peran
dengan HR & IT Department Head, yaitu
sebagai pihak dengan yang bertugas dalam hal
keamanan informasi di dalam organisasi secara
umum.
3.2. Manage Security (APO13)
Menurut ISACA (2012a), APO13 adalah
sebuah proses pada COBIT 5 yang terkait
dengan pendefinisian, pengoperasian dan
pengawasan keamanan serta menjaga risiko
keamanan informasi pada tingkatan yang dapat
diterima oleh perusahaan. Proses ini memiliki
fungsi untuk menjaga dampak dari risiko
keamanan informasi agar tetap dalam tingkat
yang telah ditetapkan oleh perusahaan.
Berdasarkan hasil observasi yang telah
dilakukan, diketahui jika ketiga Base Practices
(BP) yang terdapat pada COBIT 5 proses APO13
telah diterapkan oleh pihak PT Gagas Energi
Indonesia dan menghasilkan beberapa dokumen
sebagai Work Product (WP). Dokumen yang
dihasilkan yaitu Dokumen Pedoman Tata Kelola
TI, Dokumen Prosedur Operasi, dan Dokumen
Grand Design IT.
sejumlah Generic Practices dan Generic Work
Product dalam bentuk Dokumen Pedoman Tata
Kelola TI pada bagian Prosedur Pengamanan TI
dan Dokumen Prosedur Operasi pada bagian
Prosedur serta Diagram Alir Prosedur. Penilaian
pada level berikutnya secara keseluruhan sama
seperti penilaian level 1 yang mencapai largely
achieved sehingga penilaian dapat dilanjutkan ke
tingkatan berikutnya. Penilaian yang dilakukan
berhenti pada level 3 karena pada salah satu
atribut proses yang ada pada level 3 hanya
mencapai partially achieved yaitu pada atribut
proses 3.2 (PA 3.2). Sehingga dapat disimpulkan
proses penilaian berhenti pada level 2 (Managed
Process) dengan catatan penilaian pada level 3
(Estabilished Process) atribut proses 3.1 (PA
3.1) mencapai largely achieved dan atribut
proses 3.2 (PA 3.2) mencapai partially achieved.
Sehingga berdasarkan penilaian proses yang
dilakukan karena pada level berikutnya salah
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5930

satu atribut prosesnya tidak ada yang mencapai bagian Prosedur pengamanan Software,
largely achieved (ISACA, 2013a). Penilaian Dokumen Prosedur Operasi Pengelolaan
keseluruhan pada proses APO13 digambarkan Masalah IT pada bagian Diagram Alir dan
dalam Tabel 3. prosedur pada poin pengelompokan klasifikasi
Tabel 3. Penilaian Proses APO13
masalah dan Dokumen Prosedur Operasi
Pengelolaan Hak Akses pada bagian prosedur
Level Level Level 2 Level 3 Level 4 Level 5 poin pemberian hak akses TI. Penilaian pada
0 1
proses ini berhenti pada level 3 atribut proses
PA 1.1 PA PA PA PA PA PA PA PA
kedua (PA 3.2) dengan pencapaian pada atribut
2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2 tersebut memenuhi kriteria partially achieved
dan pencapaian pada atribut proses sebelumnya
L L L L P
berada pada kriteria largely achieved. Sehingga
2 diketahui jika penilaian pada proses DSS05 tidak
mampu mencapai level berikutnya karena salah
Keterangan : (N): Not Achieved (0%-15%), (P): Partially satu atribut prosesnya tidak ada yang mencapai
Achieved (>15%-50%), (L): Largely Achieved (>50%-85%), (F):
Fully Achieved (>85%-100%) largely achieved (ISACA, 2013a). gambaran
penilaian dari proses DSS05 digambarkan dalam
Tabel 4.
Berdasarkan Tabel 3 diatas dapat
disimpulkan jika penilaian proses APO13 telah Tabel 4. Penilaian Proses DSS05
mencapai pada level 2 (Managed Process) Level Level Level 2 Level 3 Level 4 Level 5
dengan catatan penilaian pada level 3 PA 3.1 0 1
termasuk dalam kriteria Largely Achieved dan
PA 1.1 PA PA PA PA PA PA PA PA
PA 3.2 termasuk dalam kriteria Partially 2.1 2.2 3.1 3.2 4.1 4.2 5.1 5.2
Achieved. Sedangkan menurut wawancara yang
telah dilaksanakan, PT Gagas Energi Indonesia L L L L P

menginginkan pencapaian pada proses APO13 2

berada pada level 3. Dalam hal ini terjadi
kesenjangan (gap) sebesar 1 tingkat antara
proses yang tercapai dan yang diinginkan oleh
perusahaan.
Keterangan : (N): Not Achieved (0%-15%), (P): Partially
Achieved (>15%-50%), (L): Largely Achieved (>50%-85%), (F):
Fully Achieved (>85%-100%)

3.3. Manage Security Services (DSS05)
DSS05 adalah sebuah proses pada COBIT 5
dengan fokus mengelola layanan keamanan pada
organisasi untuk mempertahankan risiko
keamanan informasi berada pada batas aman
yang telah ditentukan (ISACA, 2012b). Base
Practices dan Work Product berdasarkan
penilaian proses ini adalah Dokumen Prosedur
Operasi Instalasi dan Monitoring Software,
kegiatan klasifikasi data, Log Firewall &
Antivirus, Dokumen Prosedur Operasi Hak
Akses, Dokumen Prosedur Operasi Lisensi
Software serta Dokumen Prosedur Operasi
Pengamanan TI. Selain itu, terdapat juga
pelaksanaan klasifikasi data yang telah
dilaksanakan namun belum ditemukan dokumen
tertulis yang menjelaskan klasifikasi data yang
dilakukan oleh perusahaan.
Pada penilaian level berikutnya, Generic
Practices dan Generic Work Product yang
dihasilkan yaitu berupa Dokumen Prosedur
Operasi Instalasi dan Monitoring Software pada
Tabel 4 menyimpulkan jika proses DSS05
yang dijalankan oleh PT Gagas Energi Indonesia
telah mencapai level 2 (Managed Process)
dengan catatan pada level 3 PA 3.1 mencapai
largely achieved dan pada PA 3.2 mencapai
partially achieved. Hasil wawancara yang
dilakukan menunjukkan jika pihak PT Gagas
Energi Indonesia menginginkan pencapaian
pada proses DSS05 berada pada level 3. Dalam
hal ini terjadi kesenjangan atau gap sebesar 1
level pada proses DSS05.
4. PEMBAHASAN
4.1. Manage Security (APO13)
Hasil analisis data menunjukkan jika proses
APO13 (Manage Security) berada pada level 2
(Managed Process). PT Gagas Energi Indonesia
mentargetkan pencapaian pada proses ini agar
berada pada level 3 (Estabilished Process).
Dalam hal ini, PT Gagas Energi Indonesia
menginginkan proses APO13 yang dilaksanakan

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5931

telah terimplementasikan dengan standar proses proses APO13 disimpulkan dalam Tabel 5.
yang telah didefinisikan dan telah mencapai Tabel 5. Rekomendasi Proses APO13
tujuan utama dari proses tersebut (ISACA,
2013a). Pemberian rekomendasi untuk No Rekomendasi Outcome
memperbaiki tata kelola keamanan pada proses 1 Membuat dokumen APO13-02
APO13 yang pertama adalah dengan membuat tentang studi kasus bisnis
terkait Sistem Manajemen
dokumen tentang studi kasus bisnis (business
Keamanan Informasi.
case) terkait keamanan informasi. Tujuannya 2 Membuat dokumen APO13-01,
adalah untuk meningkatkan pehamanan tertulis tentang APO13-03
stakeholder pada kebijakan keamanan informasi rekomendasi untuk
yang diterapkan di perusahaan. meningkatkan Sistem
Rekomendasi kedua yang diberikan yaitu Manajemen Keamanan
meningkatkan manajemen keamanan informasi Informasi.
dengan menerapkan standar internasional seperti 3 Melakukan audit APO13-01
ISO/IEC 27001:2013. Selain itu, diperlukan manajemen keamanan
identifikasi potensi keamanan informasi yang informasi secara
mendetail menggunakan
dapat ditingkatkan terutama pada bagian yang
standar
memiliki peranan penting dalam perusahaan. internasional/nasional
Rekomendasi ketiga yang diberikan adalah yang berlaku.
dengan melakukan audit keamanan informasi 4 Meningkatkan APO13-03
secara mendetail dan berkala menggunakan pengetahuan terkait
standar nasional/internasional yang berlaku keamanan informasi pada
seperti ISO/IEC 27001 atau standar lainnya yang seluruh pihak dalam
sejenis seperti ITIL Security Management atau perusahaan.
standar lokal seperti Indeks KAMI. 5 Melengkapi Dokumen APO13-02
Rekomendasi keempat yang diberikan Tata Kelola TI dengan
menambahkan
untuk meningkatkan proses APO13 yang
infrastruktur dan
berjalan adalah dengan meningkatkan lingkungan kerja minimal
pengetahuan keamanan informasi pada seluruh yang dibutuhkan untuk
satuan kerja untuk meningkatkan pemahaman menjalankan proses
pengguna mengenai keamanan informasi manajemen keamanan
sehingga mengurangi risiko perpindahan informasi.
informasi atau data kepada yang tidak memiliki 6 Melengkapi Dokumen APO13-02
hak. Sedangkan khusus pada satuan kerja TI Tata Kelola TI dengan
perlu ditingkatkan pengetahuannya agar dapat menambahkan kebijakan
melaksanakan pekerjaan spesifik terkait untuk melakukan
pemantauan dan pelaporan
keamanan informasi, terutama pekerjaan yang
terkait proses manajemen
memerlukan keahlian dan sertifikasi khusus. keamanan informasi yang
Rekomendasi kelima yang diberikan adalah dijalankan.
melengkapi Dokumen Pedoman Tata Kelola TI
dengan menambahkan infrastruktur dan
lingkungan kerja yang dibutuhkan untuk 4.2. Manage Security Services (DSS05)
menjalankan proses manajemen keamanan
informasi. Rekomendasi yang diperlukan untuk
Rekomendasi keenam yang diberikan meningkatkan kualitas pada proses DSS05 yang
adalah dengan mendefinisikan kebijakan untuk pertama adalah dengan melengkapi dokumen
melakukan pemantauan dan pelaporan proses mengenai evaluasi ancaman potensial keamanan
manajemen keamanan informasi berdasarkan informasi. Berdasarkan hasil evaluasi yang
kriteria yang telah ditentukan sebelumnya. dilakukan, PT Gagas Energi Indonesia belum
Kedua rekomendasi ini diberikan untuk memiliki dokumen evaluasi ancaman potensial
menyempurnakan keempat rekomendasi keamanan informasi. Dokumen evaluasi
sebelumnya agar proses APO13 yang dijalankan ancaman potensial keamanan informasi
dapat mencapai level 3 seperti yang diharapkan. berisikan daftar potensi ancaman terhadap
Keenam rekomendasi yang diberikan pada keamanan informasi yang dapat terjadi pada

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
perusahaan. Pembuatan kebijakan mengenai
ancaman potensial bertujuan untuk
meminimalisasi ancaman terkait keamanan
dengan membuat sedetail mungkin hal-hal yang
mungkin menjadi ancaman (Ibrahim dan
Koswara, 2010). Dokumen ini diperlukan
sebagai bagian dari penanggulangan terhadap
risiko keamanan informasi yang mungkin dapat
terjadi di lingkungan PT Gagas Energi
Indonesia.
Rekomendasi kedua yang diberikan adalah
melengkapi Dokumen Prosedur Operasi
Pengelolaan Hak Akses dengan menambahkan
hasil review (peninjauan ulang) terhadap
pengguna dan hak aksesnya. Rekomendasi ini
diambil berdasarkan penilaian pada level 1 yang
menunjukkan belum adanya dokumen review
terhadap pengguna dan hak aksesnya.
Peninjauan ulang terhadap hak akses dilakukan
untuk mengetahui kesesuaian hak akses yang
diberikan pada pengguna serta untuk mencegah
adanya kecurangan dan kesalahan (Xu, 2017).
Peninjauan ulang terhadap hak akses dilakukan
dengan mempertimbangkan peran pengguna
pada perusahaan (Jaferian, et al., 2014). Proses
ini perlu dilakukan setiap jangka waktu tertentu
untuk memastikan setiap satuan kerja PT Gagas
Energi Indonesia memiliki hak akses yang sesuai
dengan kebutuhannya.
Rekomendasi ketiga yang diberikan adalah
melakukan pengelolaan pada dokumen penting
dan perangkat output (keluaran) seperti laptop,
printer dan sejenisnya. Tujuannya adalah untuk
menetapkan perlindungan fisik yang sesuai pada
manajemen aset-aset TI yang bersifat sensitif
(ISACA, 2013a). Berdasarkan hasil observasi
dan penilaian yang dilakukan, pihak PT Gagas
Energi Indonesia belum sama sekali menerapkan
pengelolaan dokumen dan perangkat keluaran
yang bersifat sensitif. Pengelolaan dokumen
penting perlu dilakukan untuk mencegah
terjadinya kebocoran data dalam dokumen pada
pihak yang tidak diinginkan. Pengelolaan
dokumen dan perangkat output akan membantu
menanggulangi kebocoran data yang pernah
terjadi sebelumnya dimana data dari departemen
satu dapat berpindah tangan ke departemen lain
melalui sistem fileshare yang tersedia pada
perangkat laptop perusahaan. Perpindahan
tersebut dapat terjadi akibat belum adanya
kontrol keamanan pada perangkat keluaran
sehingga pengguna dapat melakukan copy pada
data yang terdapat pada sistem fileshare
perusahaan. Dalam hal ini diperlukan model
Fakultas Ilmu Komputer, Universitas Brawijaya
5932
arsitektur informasi untuk menghasilkan
pemilihan teknologi yang ada, sistem operasi,
jaringan, teknologi keamanan serta arsitektur
internet yang mendukung aplikasi (Yunis &
Surendro, 2009).
Rekomendasi keempat yang diberikan
adalah melakukan dokumentasi klasifikasi data.
Diketahui berdasarkan hasil observasi pada PT
Gagas Energi Indonesia telah dilakukan
klasifikasi data yang terdapat dalam sistem atau
aplikasi yang ada, tetapi belum dilakukan
pendokumentasian dalam bentuk dokumen
tertulis. Klasifikasi data dilakukan berdasarkan
tingkat sensitivitas. Dokumentasi klasifikasi
data dalam bentuk tertulis disarankan untuk
membantu menjelaskan mekanisme
pengamanan data dalam bentuk pengendalian
data yang digunakan oleh perusahaan.
Rekomendasi kelima yang diberikan adalah
melakukan pemantauan infrastruktur secara
detail pada setiap hal yang terkait keamanan
informasi. Tidak adanya kegiatan pemantauan
infrastruktur TI dapat meningkatkan berbagai
kejadian kritis dalam infrastruktur TI yang dapat
berpengaruh pada bisnis (Opsview, 2018).
Sehingga untuk meningkatkan pengelolaan
keamanan informasi khususnya pada aset
informasi maka perlu dilakukan pemantauan
pada infrastruktur TI. Secara umum, PT Gagas
Energi Indonesia telah melakukan pemantauan
infrastruktur yang memiliki kaitan dengan
keamanan informasi. Pemantauan tersebut
dilakukan dengan memantau aktivitas pengguna
pada jaringan yang ada, termasuk melakukan
pemantau pada CCTV yang ada pada setiap area
penting yang dimiliki oleh perusahaan. Namun,
dalam melakukan pengelolaan masih belum
adanya pendefinisian karakteristik risiko
keamanan informasi yang dilakukan untuk
mencatat risiko-risiko yang dapat terjadi pada
infrastruktur TI. Risiko yang mungkin terjadi
dapat berasal dari internal seperti kegagalan
jaringan, kerusakan pada hardware maupun
software, kehilangan data, virus atau risiko yang
berasal dari eksternal seperti bencana alam
(Stoneburner, et.al, 2002).
Rekomendasi keenam yang diberikan
adalah melakukan pengujian keamanan
informasi pada sistem informasi yang
diimplementasikan. Rekomendasi ini diambil
berdasarkan hasil observasi yang menemukan
jika pihak PT Gagas Energi Indonesia belum
melakukan pengujian keamanan informasi pada
sistem informasi yang diimplementasikan. Hal
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5933

ini menyebabkan belum adanya jaminan 5. KESIMPULAN DAN SARAN

keamanan dari sistem yang digunakan di
lingkungan PT Gagas Energi Indonesia. Dalam
hal ini, pengujian keamanan informasi dilakukan
dengan cara penetration test serta vulnerability
assessment. Sedangkan hasil temuan pada
perusahaan menunjukkan pengujian keamanan
informasi hanya dilakukan sebatas pada log
firewall dan antivirus perusahaan. Hal tersebut
belum dapat dikategorikan sebagai penetration
test sebab belum adanya simulasi atau percobaan
serangan untuk mengetahui celah keamanan
pada aplikasi, sistem atau jaringan (Scarfone, et
al., 2008). Sedangkan aktivitas vulnerability
assessment dan penetration test merupakan
bagian yang tidak terpisahkan sebab beberapa
aktivitas vulnerability assessment terdapat juga
pada penetration test. Hasil penetration test
digunakan untuk mengkonfirmasi hasil dari
vulnerability assessment yang dilakukan (Doshi
& Trivedi, 2015). Keenam rekomendasi yang
diberikan pada proses DSS05 disimpulkan
dalam Tabel 6.
Tabel 6. Rekomendasi Proses DSS05
No Rekomendasi Outcome
1 Membuat dokumen terkait DSS05-01,
evaluasi terhadap DSS05-02
ancaman keamanan
informasi.
2 Melengkapi Dokumen DSS05-03
Prosedur Operasi Hak
Akses dengan kebijakan
untuk review hak akses
pengguna terhadap
sumber daya informasi.
3 Melakukan pengelolaan DSS05-05
pada dokumen penting
dan perangkat output atau
keluaran seperti laptop,
printer dan sebagainya.
4 Mendokumentasikan DSS05-01
klasifikasi data dalam
bentuk dokumen atau
panduan untuk membantu
proses
5 Melakukan pemantauan DSS05-01
infrastruktur yang
memiliki kaitan dengan
keamanan informasi.
6 Melakukan penetration DSS05-04
test dan vulnerability
assessment
Fakultas Ilmu Komputer, Universitas Brawijaya
Berdasarkan hasil evaluasi tata kelola
keamanan informasi yang dilakukan pada PT
Gagas Energi Indonesia, didapatkan kesimpulan
sebagai berikut.
1. Berdasarkan hasil observasi dan wawancara,
diketahui jika proses APO13 dan DSS05
yang dijalankan oleh PT Gagas Energi
Indonesia berada pada level 2 (Managed
Process) dengan rincian pada level 1 proses
mencapai kriteria Largely Achieved,
kemudian pada level 2 PA 2.1 dan PA 2.2
masing-masing mencapai kriteria Largely
Achieved, serta pada level 3 PA 3.1
mencapai kriteria Largely Achieved dan
pada PA 3.2 mencapai kriteria Partially
Achieved.
2. Menurut hasil wawancara, pihak PT Gagas
Energi Indonesia menginginkan pada
masing-masing proses (APO13 dan DSS05)
dapat dijalankan pada level 3 (Estabilished
Process). Sedangkan hasil evaluasi yang
dilakukan menunjukkan pada proses APO13
dan DSS05 yang dijalankan berada pada
level 2 (Managed Process). Hal ini
menunjukkan terjadi kesenjangan antara
level yang dicapai dan level yang ingin
dituju sebesar 1 level.
3. Rekomendasi pada proses APO13 yang
pertama yaitu dengan mendefinisikan
dokumen mengenai studi kasus bisnis terkait
keamanan informasi. Berikutnya adalah
membuat kebijakan untuk meningkatkan
keamanan informasi yang telah diterapkan.
Ketiga, melakukan audit keamanan
informasi dengan menggunakan standar
yang berlaku secara berkala. Keempat yaitu
meningkatkan pengetahuan stakeholder
mengenai manajemen keamanan informasi
perusahaan. Rekomendasi kelima
melengkapi Dokumen Pedoman Tata Kelola
TI dengan infrastruktur dan lingkungan
kerja minimal yang dibutuhkan untuk
menjalankan proses keamanan informasi.
Rekomendasi keenam yaitu dengan
menambahkan kebijakan untuk melakukan
pemantauan dan pelaporan terkait proses
keamanan informasi.
4. Rekomendasi yang diberikan pada proses
DSS05 yaitu melengkapi dokumen
mengenai ancaman keamanan informasi.
Rekomendasi kedua adalah dengan
membuat dokumen user access review.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
Rekomendasi ketiga adalah melakukan
pengelolaan pada dokumen penting.
Rekomendasi keempat yaitu melakukan
dokumentasi klasifikasi data yang telah
dilakukan. Rekomendasi kelima yaitu
melakukan pemantauan infrastruktur secara
detail pada setiap hal yang terkait keamanan
informasi. Rekomendasi keenam yaitu
melakukan pengujian keamanan informasi
dalam bentuk penetration test dan
vulnerability assessment.
Berdasarkan penjabaran kesimpulan di atas
diberikan sejumlah saran dalam penelitian ini
untuk meningkatkan hasil diantaranya adalah
menggunakan proses lain dari COBIT 5 yang
berkaitan dengan keamanan informasi seperti
EDM03 (Ensure Risk Optimisation), APO12
(Manage Risk), BAI06 (Manage Changes).
Selain itu, penelitian selanjutnya dapat
mengembangkan penelitian ini dengan
menggunakan kerangka kerja atau standar lain
yang berkaitan dengan keamanan informasi
seperti ISO/IEC 27001, ITIL (Information
Technology Infrastructure Library) For
Information Security, ISO 31000 dan kerangka
kerja lainnya.
6. DAFTAR PUSTAKA
Andress, J., 2014. The Basics of Information
Security Understanding the
Fundamentals of InfoSec in Theory and
Practice. 2nd penyunt. Waltham:
Syngress.
Choobineh, J., Dhillon, G., Grimaila, M. R. &
Rees, J., 2007. Management of
Information Security: Challenges and
Research Directions. Communications of
the Association for Information Systems,
20(57).
Doshi, J. & Trivedi, B., 2015. Comparison of
Vulnerability Assessment and Penetration
Testing. International Journal of Applied
Information Systems (IJAIS), 8(6), pp. 51-
53.
Ibrahim, R. N. & Koswara, H., 2010. Kerangka
Kerja Manajemen Keamanan
Berdasarkan ISO 27000 Beserta
Turunannya Untuk Sistem Pada E-
Government. Jurnal Computech & Bisnis,
4(1), pp. 7-16.
ISACA, 2012a. COBIT 5 : A Business
Fakultas Ilmu Komputer, Universitas Brawijaya
5934
Framework for the Governance and
Management of Enterprise IT. Rolling
Meadows: ISACA.
ISACA, 2012b. COBIT 5 Enabling Process.
Rolling Meadows: ISACA.
ISACA, 2013a. Self-assesment Guide : Using
COBIT 5. Rolling Meadows: ISACA.
ISACA, 2013b. Transforming Cybersecurity
Using COBIT 5. Rolling Meadows:
ISACA.
Jaferian, P., Rashtian, H. & Beznosov, K., 2014.
To authorize or not authorize: helping
users review access policies in
organizations. Menlo Park, Usenix
Association.
Kadir, A., 2014. Pengenalan Sistem Informasi
Edisi Revisi. 2nd penyunt. Yogyakarta:
Penerbit Andi.
Matin, I. M. M., Arini & Wardhani, L. K., 2017.
Analisis Keamanan Informasi Data Center
Menggunakan COBIT 5. Jurnal Teknik
Informatika, 10(2), pp. 119-128.
Opsview, 2018. Why Monitoring IT
Infrastructure Is So Important. [Online]
Tersedia di:
<https://www.opsview.com/resources/inf
rastructure/blog/why-monitoring-it-
infrastructure-so-important>
[Diakses 15 Mei 2019].
Recker, J., 2013. Scientific Research in
Information Systems. Berlin: s.n.
Stoneburner, G., Goguen, A. & Feringa, A.,
2002. Risk Management Guide for
Information Technology Systems.
Gaithersburg: NIST Special Publication
800-30.
Suminar, S. & Fitroh, 2016. Evaluation of
Information Technology Governance
Using COBIT 5 Framework Focus
APO13 and DSS05 in PPIKSN-BATAN.
s.l., International Conference on Cyber
and IT Service Management (CITSM).
Xu, L., 2017. User Access Review and a UAR
Supporting Tool for Improving Manual
Access Review Process in Enterprise
Environment. [Online]
Tersedia di:
<https://pdfs.semanticscholar.org/3cf5/54
79a22c396c27265958114aa37be78c89ee.
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 5935

pdf>
[Diakses 14 Mei 2019].
Yunis, R. & Surendro, K., 2009. Perancangan
Model Enterprise Architecture Dengan
TOGAF Architecture Development
Method. Yogyakarta, Seminar Nasional
Aplikasi Teknologi Informasi 2009
(SNATI 2009) .

Fakultas Ilmu Komputer, Universitas Brawijaya