COBIT 5

MARSELIUS AGUS DHION - 2173028

 COBIT 5
COBIT 5 adalah evolusi dari COBIT 4.1, dimana merupakan kerangka kerja yang digunakan dalam
proses audit. COBIT ini digunakan untuk tata kelola dan manajemen teknologi informasi dalam
perusahaan (IT governance framework), serta sekumpulan alat yang membantu manajer dalam
mengatasi kesenjangan antara kebutuhan pengendalian, masalah teknis, dan risiko bisnis.
COBIT 5 ini juga dikembangkan oleh IT Governance Institute (ITGI) yang merupakan bagian dari
Information Systems Audit and Control Association (ISACA), COBIT 5 memungkinkan perusahaan
untuk mengelola teknologi informasi secara holistik, menyeluruh dari ujung ke ujung, dan
bertanggung jawab atas seluruh aspek fungsi teknologi informasi.
COBIT 5 juga menawarkan dukungan untuk stakeholder internal dan eksternal, dengan cakupan global
yang bermanfaat bagi berbagai jenis perusahaan, termasuk komersial, nirlaba, dan sektor publik.

2
5 PRINSIP PADA COBIT 5

1. Prinsip Pertama : Menemukan kebutuhan stakeholder

2. Prinsip Kedua : Mencakup ujung ke ujung enterprise
3. Prinsip Ketiga : Mengaplikasikan yang tunggal, mengintegrasikan framework
4. Prinsip Keempat : Mengaktifkan pendekatan holistic
5. Prinsip Kelima : Memisahkan tata kelola dengan manajemen

3
 SEJARAH COBIT 5
COBIT versi pertama diterbitkan pada tahun 1996 untuk auditor keuangan.
Versi kedua pada tahun 1998 dimana mencakup area diluar audit keuangan.
Versi 3 dan 4, dirilis pada tahun 2000-an, dengan menyertakan pedoman manajemen lebih lanjut seputar cyber security.
Kemudian, secara bertahap ISACA merilis COBIT 4.1, COBIT 5, dan yang terbaru versi COBIT 2019.

4
DASAR KERANGKA KERJA COBIT
Kerangka kerja COBIT mendukung kebutuhan bisnis dengan memanfaatkan kombinasi aplikasi, sumber daya, dan proses TI secara
efektif. Siklus pelaksanaan Tata Kelola TI dalam Organisasi terdiri atas dua hal yaitu Design dan Implementation.

Mendefinisikan hasil yang dapat dicapai dengan

Mendefinisi aturan atau panduan dalam menjalankan tata menerapkan prosedur pengendalian untuk setiap aktivitas-
kelola TI di organisasi, seperti: aktivitas TI tertentu serta menghasilkan produk kerja yang
dipersyaratkan.
• Prosedur
• Praktik
• Kebijakan IMPLEMENTATION
• Struktur Organisasi TI

5
 Evaluate, Direct and Monitor (EDM):
Proses ini menangani tata kelola pemangku kepentingan, pengoptimalan risiko, dan sumber
daya. Ini mencakup evaluasi pilihan strategis, memberikan arahan kepada TI, dan memantau
COBIT CORE MODEL (DOMAIN) hasilnya

Align, Plan and Organize (APO)

Menyediakan arahan untuk pengiriman solusi dan pemberian layanan. Domain ini
mencakup strategi, identifikasi cara terbaik untuk mencapai tujuan bisnis, serta
perencanaan, komunikasi, dan manajemen visi strategis dari berbagai perspektif.

Build, Acquire and Implement (BAI):

Menyediakan solusi dan mengubahnya menjadi layanan. Ini mencakup identifikasi,
pengembangan, atau akuisisi solusi IT, serta implementasi dan integrasi ke dalam proses
bisnis. Pemeliharaan sistem juga termasuk untuk memastikan bahwa solusi terus memenuhi
tujuan bisnis.
Deliver, Service and Support (DSS):
Fokus pada pengiriman dan pemeliharaan layanan yang dibutuhkan. Ini mencakup
pemberian layanan, manajemen keamanan dan kontinuitas, dukungan pengguna, dan
pengelolaan data dan fasilitas operasional.

Monitor, Evaluate and Assess (MEA):

Memantau semua proses untuk memastikan kepatuhan dan kualitas. Semua proses TI dinilai
secara teratur untuk memastikan kepatuhan terhadap persyaratan pengendalian,
manajemen keamanan, dan kepatuhan terhadap kebijakan, standar, dan prosedur.

6
COBIT CORE MODEL (SUBDOMAIN)

7
SUBDOMAIN DSS05
Subdomain yang berhubungan dengan Keamanan Sistem Informasi adalah Domain DSS05.

No Sub Domain

DSS05.01 Protect against malware

DSS05.02 Manage network and connectivity security
DSS05.03 Manage endpoint security
DSS05.04 Manage user identity and logical access
DSS05.05 Manage physical access to IT assets
DSS05.06 Manage sensitive documents and output devices
DSS05.07 Monitor the infrastructure for security-related events

8
SUBDOMAIN APO13
Subdomain yang berhubungan dengan Keamanan Sistem Informasi adalah Domain APO13.

No Sub Domain

APO13.01 Establish and maintain an information security management system (ISMS)

APO13.02 Define and manage an information security risk treatment
APO13.03 Monitor and review the ISMS

9
 CONTOH PENERAPAN COBIT UNTUK
KEAMANAN SISTEM INFORMASI PADA PT. XYZ

Pada slide selanjutnya merupakan penerapan COBIT untuk Keamanan Sistem Informasi pada PT.
XYZ. Khususnya menggunakan domain DSS05 dan APO13, dimana terdapat tingkat kapabilitas dari
masing-masing domain tersebut.

Dimana data yang didapatkan dari dua jenis sumber, yaitu:

• Data Primer
➔Didapat langsung melalui hasil kuesioner dari beberapa responden dan hasil wawancara.
• Data Sekunder
➔Didapat secara tidak langsung atau melalui perantara

9
PENENTUAN NILAI TINGKAT KAPABILITAS

Rumus Tingkat Kapabilitas:

(0∗𝐿0)+(1∗𝐿1)+(2∗𝐿2)+(3∗𝐿3)+(4∗𝐿4)+(5∗𝐿5)/JP

Ket:
• L0 = Level 0, dst…
• JP = Jumlah Subdomain

9
 HASIL ANALISA BERDASARKAN DOMAIN DSS05

No TOPIC 02 Rata-rata Tingkat Kapabilitas

DSS05.01 Protect against malware 1

DSS05.02 Manage network and connectivity security 3
DSS05.03 Manage endpoint security 4
DSS05.04 Manage user identity and logical access 4
DSS05.05 Manage physical access to IT assets 2
DSS05.05 Manage sensitive documents and output devices 1
DSS05.07 Monitor the infrastructure for security-related events 1
Tingkat Kapabilitas 2.28

Tingkat kapabilitas dari penilaian terhadap responden yang telah diwawancarai selaku kepada departemen IT PT XYZpada
domainDSS05 rata-rata beradapada level 2 yang berarti proses telah mencakup perencaraan, monitoring, penyesuaian

9
 HASIL ANALISA BERDASARKAN DOMAIN APO13

No TOPIC 02 Rata-rata Tingkat Kapabilitas

Establish and maintain an information security management
APO13.01 0
system (ISMS)
APO13.02 Define and manage an information security risk treatment 0
APO13.03 Monitor and review the ISMS 0
Tingkat Kapabilitas 0

Hasil yang didapat pada domain APO13 memiliki level 0.

Artinya domain ini belum dijalankan atau diterapkan di PT. XYZ

9
 KESIMPULAN PENERAPAN DOMAIN DSS05 & APO13 UNTUK
KEAMANAN SISTEM INFORMASI PADA PT. XYZ

1. Keamanan sistem informasi di kampus PT XYZ telah dinilai berada pada level 2 berdasarkan analisis menggunakan standar COBIT 5
domain DSS05. Pada level ini, keamanan sistem informasi berhasil diimplementasikan sesuai dengan perencanaan, pemantauan,
dan penyesuaian yang dilakukan untuk menjaga keamanannya.
2. Menurut standar domain APO13, implementasi keamanan sistem informasi di kampus belum terlaksana karena hasil wawancara
menunjukkan bahwa tingkat pencapaian berada pada level nol.
3. Terdapat perbedaan kapabilitas antara tingkat implementasi saat ini dan harapan yang ada di PT XYZ. Hal ini disebabkan karena
tingkat kapabilitas yang tercapai berdasarkan domain DSS05 adalah level 2, sedangkan yang diharapkan adalah level 3.
4. Menurut standar domain APO13, terdapat kesenjangan yang signifikan karena implementasi standar keamanan sistem informasi
belum terlaksana atau belum sesuai dengan yang diharapkan dalam domain tersebut.

9
FRAMEWORK LAIN YANG DAPAT DIGUNAKAN

15
SUMBER PUSTAKA

• Apa itu COBIT dan Bagaimana Perannya dalam Tata Kelola TI di Organisasi?

• ANALISA KEAMANAN SISTEM INFORMASI MENGGUNAKAN FRAMEWORK COBIT 5 DENGAN

DOMAIN DSS05DAN APO13DI PT XYZ

• Analisis Keamanan Sistem Informasi Berdasarkan Framework COBIT 5 Menggunakan

Capability Maturity Model Integration (CMMI)

• Penerapan COBIT-5 Domain DSS01 dan DSS05 Untuk Mengukur Kualitas Tata Kelola Sistem
di KSPPS BMT Unit 068-Sampit

16