MAKALAH

REVIEW
BUSINESS MODEL FOR INFORMATION SECURITY (BMIS)

Disusun Oleh:
Dita Adi Wicaksono (1341177004114/5D)
Anggra R (1341177004100/5D)
Gunawan (1241177004008/5C)

Fakultas Ilmu Komputer

Universitas Negeri Singaperbangsa Karawang
2016
 KATA PENGANTAR

Puji syukur kehadirat Allah SWT yang telah memberikan rahmat serta hidayahnya
sehingga penyusunan makalah tentang ” REVIEW BUSINESS MODEL FOR
INFORMATION SECURITY “ ini dapat diselesaikan dengan baik dan sesuai rencana.
Tujuan penulisan makalah ini adalah untuk menyelesaikan tugas mata kuliah Audit IT
Fakultas Ilmu Komputer Universitas Negeri Singaperbangsa. Kami mengucapkan terima
kasih kepada semua pihak yang telah membantu dalam penyusunan makalah ini.
Kami juga berharap agar makalah ini dapat bermanfaat bagi pembaca pada umumnya dan
penulis pada khususnya. Namun demikian, penulis menyadari bahwa makalah ini belumlah
sempurna. Dengan lapang dada dan kerendahan hati penulis bersedia untuk diberi saran dan
kritik yang bersifat membangun dan dapat memperbaiki makalah ini.

Karawang, Oktober 2016

Penuli

i
 BAB I
PENDAHULUAN

1.1 Latar Belakang

Dalam era ekonomi global risiko perusahaan selalu berubah terus
menerus, keamanan informasi telah menjadi lebih dari sebuah bisnis
penting. Perusahaan sekarang memiliki mekanisme untuk membantu
mengamankan bisnis transaksi serta infrastruktur mereka. Namun
perusahaan masih berjuang untuk bersaing dengan persyaratan peraturan,
kondisi ekonomi dan manajemen risiko. Saat ini keamanan informasi
memang masih belum dipahami di banyak organisasi.Akan tetapi beberapa
perusahaan sudah melihat keamanan informasi sebagai hal yang penting.
Keamanan informasi jika dikelola secara efektif dapat berperan dalam
membantu perusahaan memenuhi tujuan bisnis dengan meningkatkan
efisiensi dan menyelaraskan tujuan bisnis.
Saat ini teknologi IT memberikan alat yang berguna dalam
melindungi informasi,tapi itu saja bukanlah solusi. Untuk melindungi
informasi, perusahaan perlu menetapkan kebijakan keamanan informasi
yang didukung dengan standar, prosedur dan pedoman. Pedoman ini
menetapkan arah untuk program keamanan informasi dan harapan tentang
bagaimana informasi akan digunakan bersama. Program keamanan
informasi perlu memperhitungkan bagaimana organisasi dan orang-orang,
proses dan teknologi saling berinteraksi, dan juga bagaimana organisasi
pemerintahan, budaya, faktor manusia dan arsitektur saling melengkapi
untuk melindungi informasi.
Para manajer keamanan informasi telah berjuang untuk membuat
program yang selaras dengan tujuan perusahaan.Hal ini didasari karena
Perusahaan ingin mengembangkan keamanan informasi dan
mengintegrasikannya ke dalam tujuan bisnis. Kegiatan ini dipersulit oleh
kurangnya model yang menggambarkan program keamanan informasi

2
 yang efektif meliputi, bagaimana fungsinya, dan bagaimana kaitannya
dengan perusahaan dan prioritas perusahaan.

1.2 Identifikasi Permasalahan

1.Kurangnya komitmen manajemen senior untuk inisiatif keamanan
informasi
2.Pemahaman manajemen masalah keamanan informasi masih kurang
3.Perlu adanya perencanaan keamanan informasi sebelum implementasi
teknologi baru
4.Belum adanya Integrasi antara bisnis dan keamanan informasi
5.Adanya tuntutan keselarasan antara keamanan informasi dengan tujuan
organisasi

3
 BAB II
PEMBAHASAN

2.1 Makna Penting Keamanan Informasi

Keamanan harus dipahami sebagai proses peningkatan kualitas

dalam suatu organisasi, bertujuan perbaikan terus-menerus dari kinerja
organisasi. Jelas, alasan praktis utama untuk mempelajari keamanan
informasi tersebut adalah untuk mencapai tujuan yang diinginkan dan
untuk mencegah kinerja yang tidak diinginkan. Dengan kata, sistem
keamanan informasi perlu dikelola sesuai perkembangan tantangan
keamanan yang ada.

2.2 Pengenalan BMIS

BMIS merupakan Sebuah pendekatan holistik dan berorientasi

bisnis untuk mengelola keamanan informasi BMIS memeriksa keamanan
dari perspektif sistem, menciptakan sebuah lingkungan di mana keamanan
dapat dikelola secara holistik, yang memungkinkan risiko yang sebenarnya
harus ditangani.
Model Bisnis untuk Keamanan Informasi (BMIS) mulai digunakan
sebagai model untuk keamanan sistemik manajemen, yang diciptakan oleh
Dr. Laree Kiely dan Terry Benzel di USC Marshall School of Business
Institute for Critical Information Infrastructure Protection. Pada tahun
2008 ISACA mengakuisisi dari universitas tersebut guna
mengembangkan model BMIS dalam praktek keamanan informasi global.
BMIS digunakan untuk sistem keamanan informasi yang kompleks dan
dinamis.BMIS juga menggunakan pendekatan berbasis bisnis yang
mencakup pertimbangan interaksi dalam sistem,memahami masalah
konseptual yang tersembunyi dan menemukan solusi terbaik.

4
2.3 Struktur Model BMIS
Model BMIS terlihat fleksibel,berbentuk piramida 3 Dimensi yang
terdiri dari 4 unsur yang saling berhubungan dengan dilengkapi
interkoneksi dinamis. Jika salah satu bagian dari model berubah, tidak
ditangani dengan tidak tepat maka keseimbangan model berpotensi
berisiko. Interkoneksi dinamis bertindak mengerahkan kekuatan dalam
reaksi terhadap perubahan dalam perusahaan, yang memungkinkan model
untuk beradaptasi sesuai kebutuhan.

2.4 Karakteristik BMIS

 Menggunakan pendekatan berorientasi bisnis

 Dapat digunakan sebagai kerangka dalam keamanan informasi suatu

perusahaan,organisasi,negara,maupun sistem peraturan hukum

 Berfokus pada empat unsur yaitu desain strategi

organisasi,manusia,proses,dan teknologi

 Mengaktifkan keamanan informasi untuk menyelaraskan program

keamanan dari tujuan suatu bisnis perusahaan.

5
2.5 Elemen Unsur BMIS
1.Organization Design and Strategy
 Organisasi adalah jaringan orang-orang yang berinteraksi satu
sama lain untuk menuju tujuan bersama.Keamanan dibutuhkan untuk
memperbesar organisasi.
 Strategi menggambarkan tujuan dan sasaran yang ingin dicapai
dengan visi dan misi yang dimiliki.
 Desain mendefinisikan bagaimana organisasi menerapkan
strateginya

2.People
 Merepresentasikan sumber daya manusia yang terdiri dari banyak orang
dengan sikap perilaku yang berbeda.

3.Process
 Proses mencakup mekanisme untuk menyelesaikan masalah
 Menyediakan link penting untuk semua interkoneksi dinamis
 Proses didesain untuk mengidentifikasi,mengukur,mengelola dan
mengendalikan resiko

Agar berguna bagi perusahaan,setiap proses harus :

 Cocok dengan persyaratan bisnis,dan selaras dengan kebijakan
 Selalu beradaptasi dengan perubahan kebutuhan
 Selalu terdokumentasi dan dikomunikasikan dengan SDM yang tepat

4.Technology
 Unsur teknologi terdiri dari semua alat, aplikasi dan infrastrukturyang
membuat proses yang lebih efisien.
 Teknologi merupakan bagian inti dari infrastruktur perusahaan dan
komponen penting dalam mencapai misi.
2.6 Interkoneksi Dinamis

6
1.Governance (Pemerintahan)
Pemerintahan adalah kemudi dari perusahaan dan menuntut
strategis kepemimpinan. Pemerintahan menetapkan batas di mana
perusahaan beroperasi dan dilaksanakan dalam proses untuk memantau
kinerja, menjelaskan kegiatan dan mencapai kepatuhan sementara juga
menyediakan kemampuan beradaptasi dengan kondisi yang muncul.

2.Culture (Budaya)
Budaya adalah suatu pola perilaku, keyakinan, asumsi, sikap dan
cara melakukan sesuatu dalam suatu organisasi.

3.Enabling and Support

Enabling dan Support menghubungkan interkoneksi dinamis unsur
teknologi untuk elemen proses. Salah satu cara untuk membantu
memastikan bahwa orang-orang mematuhi teknis keamanan tindakan,
kebijakan dan prosedur adalah untuk membuat proses digunakan dan
mudah.

4.Emergence
Munculnya interkoneksi dinamis (antara manusia dan proses)
adalah tempat untuk memperkenalkan solusi yang mungkin seperti loop
umpan balik; keselarasan dengan proses perbaikan; dan pertimbangan isu
yang muncul dalam siklus desain sistem kehidupan.

5.Human Factors (Faktor Manusia)

Faktor manusia interkoneksi dinamis merupakan interaksi dan
kesenjangan antara teknologi dan orang-orang dimana keduanya penting
untuk suatu program keamanan informasi.

6.Architecture (Arsitektur)

7
 Sebuah arsitektur keamanan adalah enkapsulasi komprehensif dan
formal dari orang-orang, proses, kebijakan dan teknologi yang terdapat
pada suatu perusahaan.

2.7 Keuntungan menggunakan BMIS

Dapat membantu perusahaan untuk :
1.Memaksimalkan reputasi
2.Meningkatkan kesadaran budaya keamanan
3.Menyediakan komunikasi resiko yang efektif pada suatu keamanan
informasi perusahaan
4.Menyediakan ROI

2.8 Implementasi BMIS pada Industri

Salah satu tantangan terbesar dalam keamanan informasi
adalah menyelaraskan tujuan dari bidang keamanan dengan bisnis dari
perusahaan. Sering,tugas dari tim keamanan digunakan untuk kegiatan
reaktif dan taktis seperti remediasi kerentanan operasional daripada
meningkatkan strategi bisnis perusahaan. Ketidakselaras antara operasi
keamanan informasi dan bisnis strategis menghasilkan insiden kerugian
terus meningkat ke tingkat yang tidak berkelanjutan. Namun, ketika
keamanan selaras dengan tujuan bisnis suatu perusahaan, maka keamanan
informasi dapat memberikan keunggulan kompetitif,
Pada awal tahun 2005, divisi penjualan sebuah perusahaan
Fortune 50 mengalami penjualan yang turun signifikan. menurut divisi
penjualan hal itu disebabkan karena meningkatnya pasar kompetisi dan
harga tekanan dari pelanggan mereka. Menurut divisi keamanan percaya
bahwa kurangnya prosedur keamanan yang tepat berkontribusi terhadap
penurunan penjualan.kurangnya fundamental keselarasan antara fungsi
keamanan dan tenaga penjualan berkaitan dengan orang, proses, organisasi
dan teknologi, dan itu menghambat kemampuan perusahaan untuk
memenuhi penjualan dan tujuan perusahaan.

8
 Perusahaan memutuskan untuk meningkatkan peran petugas
keamanan kepala (CSO) untuk mengakomodasi tuntutan perubahan
pelanggan dan keamanan global. Kepala penjualan diganti dengan seorang
eksekutif untuk mengambil alih fungsi penjualan. Perusahaan tahu bahwa
ada masalah yang signifikan dalam kelompok penjualan, tetapi tidak
mampu untuk merubah karena kepemimpinan dan budaya masa lalu.
Sebagai bagian dari proses untuk meningkatkan keamanan penjualan kritis
dan informasi pemasaran dalam perusahaan itu, kepala penjualan dan
kemananan mensepakati bersama untuk mensponsori pelaksanaan Usaha
Model untuk Keamanan Informasi. Tantangannya yaitu berupa
menanamkan budaya keamanan yang disengaja dalam penjualan.

Proses Penyelesaian Masalah dengan BMIS

Hal pertama yang dilakukan bagian penjualan dan keamanan
yaitu menyelaraskan keamanan dengan tujuan bisnis perusahaan. Setelah
para pemimpin penjualan dan organisasi keamanan menyepakati
keselarasan tersebut, mereka mendirikan sebuah dewan strategi yang
terdiri dari anggota dari keamanan, penjualan dan tim pemasaran. Dewan
strategi didakwa dengan menyusun deskripsi tujuan masa depan dan
pernyataan prinsip.
Wawancara dengan anggota dari penjualan dan keamanan
kelompok dilakukan selama beberapa minggu. Informasi yang
dikumpulkan dari wawancara ini digunakan untuk membuat dokumen
yang menggambarkan bagaimana keamanan bisa melihat dan beroperasi di
kelompok penjualan di masa depan. Maksud dokumen ini adalah untuk
menciptakan visi bersama tentang bagaimana untuk mencapai tujuan
menjaga informasi bisnis aman sambil memastikan fleksibel dan proses
penjualan yang dinamis.

Pernyataan prinsip yang diuraikan penting untuk membimbing

keputusandan membantu menetapkan prioritas keamanan di masa depan.
Dewan didirikan untuk menentukan teknologi yang berhubungan dengan

9
 keamanan yang harus dimanfaatkan oleh bisnis untuk lebih melindungi
informasi penting dan menjaga tempat kerja yang aman. Hal ini juga
dijelaskan proses keamanan / protokol yang akan meningkatkan keamanan
informasi penting proses bisnis. Singkatnya, tujuan untuk menciptakan
perubahan pikiran dalam organisasi penjualan berkaitan dengan teknologi,
proses, orang dan organisasi-pergeseran dari budaya keamanan fungsional
ke budaya keamanan yang disengaja

Pergeseran Budaya Keamanan Fungsional ke Budaya Keamanan Yang

Disengaja
From To
Technology
 Tidak yakin tentang  Teknologi yan didasarkan
tingkat keamanan pada penilaian risikonya.
teknologi  Melihat teknologi keamanan
 Melihat teknologi yang baru sebagai sarana untuk
berhubungan dengan meningkatkan proses
keamanan sebagai hal penjualan
yang rumit untuk
diguanakan

Process
 Keamanan dibawa ketika
ada dugaan pelanggaran
 Keamanan mempertahankan
pengetahuan ahli.
 Keterlibatan keamanan dalam
perencanaan awal
 Keamanan berbagi
pengetahuan dan
keahlian,mengembangkan
kesadaran keamanan yang
lebih luas di seluruh
perusahaan.

People
 Keamanan sebagai entitas
yang memaksa kepatuhan
 Keamanan sebagai ahli
fungsional
 Keamanan sebagai mitra yang
menciptakan kesadaran dan
komitmen
 Keamanan sebagai mitra yang
mentransfer
keamananpengetahuan dan
keahlian untuk pelanggan
penjualan

Perusahaan
 Visibilitas terbatas  Menerima update reguler
atau kesadaran masalah tentang risiko potensial
keamanan  Struktur Keamanan mendukung
 Struktur Keamanan proses nya pelanggan
difokuskan pada keahlian
teknis

10
 BAB III
PENUTUP

3.1 Kesimpulan
 BMIS merupakan Sebuah pendekatan holistik dan berorientasi bisnis
untuk mengelola keamanan informasi
 Model ini mempunyai empat unsur yang saling berinteraksi satu sama lain
yaitu desai organisasi dan strategi,manusia,proses,dan teknologi.
 Model ini mempunyai interkoneksi dinamis yang dapat beradaptasi sesuai
dengan kebutuhan

11
 DAFTAR PUSTAKA

 ISACA Serving IT Governance Profesionals

 www.isaca.org/bmis

12