42570-Article Text-69075-2-10-20221219
42570-Article Text-69075-2-10-20221219
2
rahadianbisma@unesa.ac.id
Abstrak— PT.SPINDO,Tbk merupakan sebuah perusahaan berbagai ancaman yaitu multi-tenant, kehilangan data,
dengan kapasitas produksi terbesar di Indonesia sebagai kehilangan kontrol, proteksi data dan privasi, serta penurunan
penghasil pipa baja. Sebagai perusahaan dengan aktivitas performa [3].
produksi besar, PT.SPINDO,Tbk ingin menerapkan layanan Ancaman dalam penerapan cloud computing sebagian
mail server berbasis cloud computing untuk memudahkan
besar terkait pada lingkup keamanan informasi. Karena
komunikasi namun tetap secara professional. Layanan cloud
computing menjadi layanan yang paling diminati oleh
adanya ancaman tersebut menimbulkan keraguan terhadap
perusahaan karena memberikan kemudahan dan kenyamanan penerapan cloud computing pada perusahaan berskala besar
diakses dimana saja melalui jaringan internet serta dapat seperti PT.SPINDO,Tbk. Berdasarkan permasalahan
menghemat biaya infrastruktur TIK. Namun, disamping keraguan penerapan layanan cloud computing karena
kemudahan dan kenyamanan yang disediakan layanan cloud berbagai ancaman keamanan informasi yang dapat terjadi
computing terdapat berbagai macam ancaman antara lain multi- dibutuhkan perencanaan tata kelola keamanan informasi yang
tenant, kehilangan data, kehilangan kontrol, proteksi data dan baik. Perencanaan tata kelola keamanan informasi yang baik
privasi, serta penurunan performa. Ancaman dalam penerapan menjadi aspek yang perlu diperhatikan dalam penerapan
cloud computing sebagian besar terkait pada lingkup keamanan
cloud computing karena informasi termasuk aset yang sangat
informasi. Permasalahan tersebut dapat diatasi dengan
perencanaan tata kelola keamanan informasi yang baik.
penting bagi keberlangsungan perusahaan. Tata kelola
Perencanaan tata kelola keamanan informasi pada penelitian ini keamanan informasi didefinisikan sebagai suatu sistem yang
menggunakan SNI ISO 27001:2013 sebagai acuan kontrol mengatur dan mengarahkan segala aktivitas terkait keamanan
keamanan informasi. Penelitian ini menggunakan metode informasi di sebuah organisasi [4].
OCTAVE dengan pendekatan evaluasi risiko terhadap aspek Penggunaan framework tata kelola keamanan informasi
CIA. Hasil penelitian berupa perencanaan kebijakan dan dapat dijadikan pilihan untuk menciptakan kombinasi yang
prosedur yang diperlukan untuk menjaga keamanan informasi sesuai dalam menjaga keamanan informasi. Framework yang
dalam penerapan layanan berbasis cloud computing. dapat digunakan sebagai pedoman dalam perancangan tata
kelola keamanan informasi terdapat beragam jenis
Kata Kunci— tata kelola keamanan informasi, ISO 27001:2013, diantaranya ISO 27001, COSO, COBIT, dan lain sebagainya.
analisa risiko, metode octave. Masing-masing framework tersebut memiliki fungsi,
kelemahan dan kelebihan masing-masing, berikut
I. PENDAHULUAN
perinciannya [5];
Penggunaan cloud computing pada saat ini merupakan
sebuah evolusi dari teknologi informasi yang memberikan TABEL I PERBEDAAN STANDAR KEAMANAN INFORMASI
kemudahan dan kenyamanan dalam menyediakan layanan ISO 27001:2013 COBIT 5 COSO
maupun produk sesuai permintaan pengguna yang dapat Fungsi Membangun dan Menyediakan Kerangka
memelihara sebuah pengendalian
diakses dimana saja melalui jaringan internet. Sehingga, sistem framework yang yang bersifat
penggunaan cloud computing menjadi layanan yang paling manajemen berfokus internal untuk
diminati oleh perusahaan. PT.SPINDO,Tbk merupakan keamanan terhadap praktik memberikan
merupakan sebuah perusahaan dengan kapasitas produksi informasi guna dalam jaminan mengenai
melindungi aset manajemen pencapaian
terbesar di Indonesia sebagai penghasil pipa baja [1]. Sebagai informasi yang teknologih tujuani dalam
perusahaan dengan aktivitas produksi besar, PT.SPINDO,Tbk dapat diterapkan informasi efektivitas dan
ingin menerapkan layanan mail server berbasis cloud secara fleksibel efisiensi operasi
computing untuk memudahkan komunikasi namun tetap Lingkup 10 klausul 5 domain 5 komponen
Area 14 kontrol area 37 proses 20 proses
secara professional. Mail server sendiri merupakan layanan 35 kontrol
internet atau server berbasis cloud computing yang berfungsi objektif
seperti email [2]. Kelayakan pertukaran informasi melalui 114 kontrol
layanan mail server berbasis cloud computing perlu diatasi keamanan
informasi
terlebih dahulu sebelum dilakukan penerapan dikarenakan
dalam penerapan layanan berbasis cloud computing terdapat Kelebihan Dapat diterapkan Dapat Membantu
46
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
48
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
49
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
50
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
Untuk dapat mengetahui letak level resiko pada matriks Kategori Daftar Level Referensi
maka diperlukan perhitungan nilai resiko menurut metode Aset Aset Resiko Kontrol/Annex A
OCTAVE dengan rumus [10]: A.9.1.1 Kebijakan
Server Medium kontrol akses
NR = NAxBIAxNT. A.11.2.4 Kontrol
pemeliharaan
Hardware peralatan
Berikut hasil perhitungan nilai resiko yang dilakukan pada A.12.2.1 Kontrol
masing-masing aset: PC Low terhadap malware
A.12.3.1 Backup
TABEL VII IDENTIFIKASI NILAI DAN LEVEL RISIKO informasi
Kategori Daftar Nilai Level Router Medium A.9.1.1 Kebijakan
NA BIA NT Switch Medium kontrol akses
Aset Aset Risiko Resiko
Access A.9.1.2 Akses ke
Server 12 4 0,41 19,68 Medium Medium jaringan dan layanan
Hardware Point
PC 5 3 0,49 7,35 Low Modem Medium jaringan
Router 9 3 0,51 13,77 Medium A.11.2.3 Keamanan
Switch 9 3 0,51 13,77 Medium Network kabel
Network Access Point 9 3 0,51 13,77 Medium A.11.2.4 Kontrol
Modem 8 3 0,54 12,96 Medium Kabel pemeliharaan
Low peralatan
Kabel LAN 8 1 0,53 4,24 Low LAN
Software Linux 9 2 0,40 7,2 Low A.13.1.1 Kontrol
Data 11 2 0,44 9,68 Low jaringan
Information A.13.1.2 Keamanan
Kepegawaian
51
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
52
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
53
JINACS: Volume 03 Nomor 01, 2021
(Journal of Informatics and Computer Science) ISSN : 2686-2220
54