AUDIT KEAMANAN SISTEM INFORMASI ... - jurnal.stikom.edu

S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya email: 1)[email protected] 2) ... dan keamanan jaringan ...

94 downloads 944 Views 190KB Size
AUDIT KEAMANAN SISTEM INFORMASI BERDASARKAN STANDAR ISO 27001 PADA PT. BPR JATIM 1)

Fine Ermana 2)Haryanto Tanuwijaya 3)Ignatius Adrian Mastan

S1 / Jurusan Sistem Informasi, Sekolah Tinggi Manajemen Komputer & Teknik Komputer Surabaya email: 1)[email protected] 2)[email protected] 3)[email protected] Abstract: Information security management is extremely important for the head office of PT. BPR JATIM, since all report originating from branch offices throughout East Java will be sent to the center every day and network security in data transmission allows the risk of loss of confidential company data. Core Banking System operates online using the server at the vendor. However the central office still get regular reports from the branches that still have to have a data server backup and recovery. Given the importance of information, the information security police should include procedures for asset management, human resources management, physical and environmental security, logical security, operational security and information technology in information security incident handling. To find out how security information is in progress at the company, the need for security audit information system at PT. BPR JATIM to ensure that information security is implemented in accordance with the procedure. The standards used are ISO 27001 is selected because is very flexible depending on the needs of the organization developed and focused on information security management system. The result of the audit of the maturity level of the overall value of 2,90 which means that security controls are located on level 2 planned and tracked, but has approached the level 3 well defined which is the level expected by company, necessitating increased security controls that have been recommended. Keywords: audit, information security, ISO 27001, maturity level.

Manajemen keamanan informasi

menggunakan server yang ada pada vendor.

sangatlah penting bagi kantor pusat PT.

Meskipun demikian, kantor pusat tetap

BPR JATIM, karena seluruh laporan yang

mendapatkan laporan rutin bulanan yang

berasal dari kantor cabang di seluruh Jawa

berasal dari cabang sehingga tetap harus

Timur akan dikirimkan ke pusat setiap hari

memiliki server data untuk backup dan

dan keamanan jaringan dalam transmisi

recovery yang berjalan dengan baik. Mengingat pentingnya informasi,

data memungkinkan resiko kehilangan data rahasia perusahaan. Transmisi data dan

maka

informasi tersebut menggunakan jasa salah

informasi

satu Internet Service Provider (ISP) lewat

kurangnya terdapat prosedur pengelolaan

jaringan Virtual Private Network (VPN).

aset, prosedur pengelolaan sumber daya

Sistem perbankan atau Core Banking

manusia, prosedur pengamanan fisik dan

System (CBS) pada PT. BPR JATIM

lingkungan, prosedur pengamanan logical

menggunakan produk salah satu vendor

security, prosedur pengamanan operasional

Teknologi Informasi (TI) yaitu Sarana

teknologi

Transaksi

penanganan insiden dalam pengamanan

Keuangan

(SATU)

yang

kebijakan

informasi

beroperasi secara online namun masih

1

harus

tentang mencakup

informasi (Direktorat

dan

pengamanan sekurang-

prosedur

Penelitian

dan

Pengaturan Perbankan, 2007: 52). Untuk

yang terdefinisi (ICASA dalam Sarno,

itu diperlukan audit keamanan sistem

2009: 3).

informasi pada PT. BPR JATIM untuk memastikan

keamanan

informasi

Audit Sistem Informasi

diterapkan sesuai dengan prosedur. Standar

Weber

yang digunakan yaitu ISO 27001. Beberapa

mendefinisikan Audit Sistem Informasi

hal

sebagai

penting

yang

patut

dijadikan

dalam

Sarno

proses

(2009:

pengumpulan

pengevaluasian

dipilih karena dengan standar ini sangat

menentukan apakah sistem informasi dapat

fleksibel

sangat

melindungi aset, serta apakah teknologi

organisasi,

informasi yang ada telah memelihara

tujuan organisasi, persyaratan keamanan,

integritas data sehingga keduanya dapat

proses bisnis dan jumlah pegawai dan

diarahkan kepada pencapaian tujuan bisnis

ukuran struktur organisasi serta ISO 27001

secara efektif dengan menggunakan sumber

menyediakan

daya secara efektif.

tergantung

dari

karena

kebutuhan

sertifikat

implementasi

(evidence)

dan

pertimbangan mengapa standar ISO 27001 dikembangkan

bukti

28)

untuk

Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional

Keamanan Informasi

yang

Security

Keamanan Informasi adalah penjagaan

Management System (ISMS) certification

informasi dari seluruh ancaman yang

(Sarno dan Iffano, 2009: 59).

mungkin

disebut

Information

terjadi

dalam

upaya

untuk

memastikan atau menjamin kelangsungan LANDASAN TEORI

bisnis (business continuity), meminimasi

Audit

resiko bisnis (reduce business risk) dan

Audit didefinisikan sebagai proses atau

memaksimalkan

aktivitas yang sistematik, independen dan

pengembalian investasi dan peluang bisnis

terdokementasi untuk menemukan suatu

(ISO 27001 dalam Sarno dan Iffano, 2009:

bukti-bukti (audit evidence) dan dievaluasi

27).

atau

mempercepat

secara obyektif untuk menentukan apakah telah

memenuhi

kriteria

pemeriksaan

Sistem Informasi

(audit) yang ditetapkan. Tujuan dari audit

Sistem Informasi (SI) adalah suatu sistem

adalah

untuk

di

kondisi

tertentu

perusahaan

dan

memberikan yang

gambaran

berlangsung

pelaporan

dalam

suatu

mempertemukan

di

transaksi

mengenai

harian,

organisasi

kebutuhan

yang

pengolahan

mendukung

operasi,

bersifat manajerial dan kegiatan strategi

pemenuhan terhadap sekumpulan standar

2

dari suatu organisasi dan menyediakan

dampak yang ditimbulkan atas terjadinya

pihak luar tertentu dengan laporan-laporan

sesuatu

yang diperlukan (Leitch dan Davis dalam

informasi di organisasi, yang dimaksud

Jogiyanto 2005: 11).

adalah ancaman terhadap aspek keamanan

yang

informasi

standar

CIA

keamanan

(Confidentiality,

Integrity, Availability). Sehingga setiap

ISO 27001 ISO/IEC

yaitu

mengancam

27001 Sistem

Informasi

dokumen

pernyataan akan diberikan bobot sesuai

Keamanan

dengan nilai resiko yang akan terjadi

merupakan Manajemen

(SMKI)

atau

apabila tidak diterapkan.

Information

Security Management Systems (ISMS) yang memberikan mengenai

gambaran apa

saja

secara yang

umum

METODOLOGI PENELITIAN Langkah-langkah

seharusnya

pelaksanaan

audit

dilakukan dalam usaha pengimplementasian

keamanan sistem informasi mencangkup:

konsep-konsep

1. Penentuan ruang lingkup

keamanan

informasi

di

perusahaan. Sarno dan Iffano (2009: 187)

2. Pengumpulan data.

mengatakan kontrol keamanan berdasarkan

3. Pelaksanaan audit kepatutan.

ISO/IEC 27001 terdiri dari 11 klausul

4. Penentuan maturity level.

kontrol

5. Penentuan hasil audit keamanan sistem

keamanan

(security

control

informasi.

clauses), 39 objektif kontrol (control

6. Penyusunan

objectives) dan 133 kontrol keamanan/

laporan

hasil

audit

keamanan sistem informasi.

kontrol (controls).

Maturity Level

IMPLEMENTASI DAN HASIL

Penilaian maturity level mengunakan SSE-

Penentuan Ruang Lingkup Keamanan Sistem Informasi

CMM. Menurut Gunawan dan Suhono

Audit

(2006: 136), SSE-CMM adalah Capability

Ruang lingkup audit keamanan sistem

Maturity Model (CMM) untuk System

informasi

Security Engineering (SSE). CMM adalah

Indonesia (BI) dalam pedoman untuk

kerangka untuk mengembangkan proses,

menerapkan

seperti proses teknis baik informal maupun

penggunaan TI dan disesuaikan dengan

formal.

digunakan

kriteria audit yang menggunakan standar

mengadopsi dari penilaian resiko.Menurut

ISO 27001. Tabel 1 merupakan pemetaan

Sarno

dari pedoman yang digunakan terhadap

Pembobotan dan

Iffano

yang (2009:

89)

dalam

berdasarkan

peraturan

manajemen

klausul-klausul ISO 27001.

hubungannya dengan SMKI, resiko adalah

3

resiko

Bank dalam

temuan audit dan nilai tingkat kematangan tiap

kontrol

wawancara

keamanan.

diperoleh

saat

Dokumen prosedur

pembuatan pertanyaan dari pernyataan yang Tabel 1 Pemetaan Klausul ISO27001 Pedoman BI Klausul Prosedur Pengelolaan Aset 7 Prosedur Pengelolaan SDM 8 Prosedur Pengamanan Fisik 9 dan Lingkungan Prosedur Pengamanan 10 Logical Security Prosedur Pengamanan 11,12 Operasional Teknologi Informasi 13 Prosedur Penanganan

sebelumnya dibuat. Bukti-bukti dan temuan audit diperoleh saat dilakukan wawancara kepada perusahaan. Setelah didapatkan bukti-bukti dan temuan audit tersebut kemudian dievaluasi dan dianalisa lalu menentukan nilai tingkat kemampuan tiaptiap kontrol keamanan. Contoh kerangka kerja perhitungan nilai maturity level dapat dilihat pada Tabel 2,

Insiden dalam Pengamanan Informasi

untuk contoh hasil perhitungan tingkat kemampuan dapat dilihat pada Tabel 3 dan

Pelaksanaan Audit Kepatutan Penentuan Maturity Level

dan

contoh representasi hasilnya ke dalam digram radar dapat dilihat pada Gambar 1.

Pelaksanaan audit kepatutan menghasilkan dokumen wawancara, bukti-bukti audit, 8.3.2 No 1 2

Tabel 2 Contoh Kerangka Kerja Perhitungan Maturity Level Pengembalian Aset Pernyataan Bobot 0 1 2 3 4 5 Pengembalian aset pegawai telah dilakukan 1 √ sesuai kontrak pada saat berhenti kerja. Pengembalian aset pegawai telah dilakukan 1 √ sesuai kontrak pada saat dipindahkan. Total Bobot 2 Tingkat Kemampuan

Klausul

8 Manajemen Sumber Daya Manusia

Nilai 5 5 5

Tabel 3 Contoh Hasil Maturity Level Klausul 8 Manajemen SDM Tingkat Rata-rata/Objektif Objektif Kontrol Kontrol Keamanan Kemampuan Kontrol 8.1.1 Aturan dan 3,64 Tanggung Jawab 8.1 Keamanan 8.1.2 Seleksi 3,36 SDM Sebelum 3,25 8.1.3 Persyaratan Menjadi Pegawai dan Kondisi Yang 2,75 Harus Dipenuhi Oleh Pegawai 8.2 Selama 8.2.1 Tanggung 3,50 3,92 Menjadi Pegawai Jawab Manajemen 8.2.2 Pendidikan 4,25

4

dan Pelatihan Keamanan Informasi Klausul

Objektif Kontrol

Kontrol Keamanan

8.2.3 Proses Kedisiplinan 8.3.1 Tanggung Jawab 8.3 Pemberhentian Pemberhentian 8.3.2 Pengembalian atau Pemindahan Aset Pegawai 8.3.3 Penghapusan Hak Akses Maturity Level Klausul 8 8.1.1 … 5 8.3.3 … 4 8.1.2 … 3 2 1 8.3.2 … 8.1.3 … 0 8.3.1 …

Rata-rata/Objektif Kontrol

4,00 5,00 5,00

5,00

5,00 4,06

Tabel 4 Hasil Maturity Level Seluruh Klausul Klausul Maturity Level 7 1.91 8 4.06 9 2.96 10 3.54 11 2.93 12 2.94 13 1.96 Nilai Maturity Level 2.90

8.2.1 …

8.2.3 …

Tingkat Kemampuan

8.2.2 …

Gambar 1 Contoh Representasi Nilai Maturity Level Klausul 8 Manajemen SDM Penentuan dan Penyusunan Hasil Audit Sistem Informasi Hasil audit keamanan sistem informasi

Didapat representasi hasil maturity level

berupa temuan dan rekomendasi untuk

seluruh klausul pada Gambar 2 dan terlihat

perusahaan.

rekomendasi

bahwa Manajemen Aset dan Kejadian

tersebut berasal dari hasil wawancara yang

Keamanan Informasi memiliki nilai yang

dilakukan, yang sebelumnya dievaluasi dan

belum baik, sehingga harus dimanajemen

dianalisa.Laporan hasil audit yang berupa

ulang pada prosedur untuk mengelola

temuan-temuan dan rekomendasi tersebut

kontrol keamanannya.

Temuan

dan

digunakan sebagai saran untuk perbaikan kontrol keamanan. Setelah

seluruh

perhitungan

selesai

didapatkan nilai maturity level dari rata-rata keseluruhan nilai klasul yang dapat dilihat pada Tabel 4.

5

2. Beelum ada peeran penangg gung jawab khhusus

untukk

perlindunngan

aset

terrtentu. 3. Beelum ada panduan

m mekanisme

ko ontrol untukk perlindunngan pada keeamanan fisiik. Gam mbar 2 Repressentasi Hasil Maturity

4. Beelum dilaku ukan pengonntrolan dan

Level Seluruh S Klaussul Penyusunan Temu uan

peencatatan

terhadap

perubahan

fasilitas pemroosesan inform masi.

h dilakukan annalaisa dan evvaluasi dari Setelah

5. Kaaji ulang haak akses, oto orisasi hak

audit keamanan k sistem informassi pada PT. BPR JATIM J didap patkan beberaapa kondisi

kh husus

dan

alokasiny ya

yang teelah sesuai deengan kontroll

dilakukan secaara berkala.

belum

keaman nanan pada ISO 27001 yang telah ditetappkan. Beberappa kondisi terssebut yaitu:

Penyu usunan Rekomendasi

1. Terdapat aturaan mengenaii tanggung

Berdassarkan dari teemuan yang didapat d dari

wab jaw

keamaanan

inform masi

audit keamanan ssistem inform masi maka

pada

disusuun rekomendaasi guna perbaikan untuk

konntrak kerja peegawai.

kondissi-kondisi

2. Terdapat perim meter keamaanan untuk meelindungi

ru uang

yang

dookumentasi dokkumentasi

yang

mendasi tersebbut yaitu: rekom 1. Mengiidentifika M asi dengan jelas dan

terhadap

meenginventarissasi seluruh aset yang

proosedur operassi. 4. Terdapat

perusahhaan

belum sesuai denggan prosedurr. Beberapa

berisikan

fassilitas pemrossesan informaasi. 3. Terdapat

ppada

dim miliki oleh orrganisasi.

penetapan

2. Mengklarifikas M sikan

perrsyaratan bisnnis untuk konntrol akses.

dan

membuat

kebutuhan

paanduan klasiifikasi Inforrmasi agar

m informasi pada p sistem keaamanan sistem

daapat dilakukkan pengamanan yang

barru.

meemadai sesuaai dengan klassifikasinya.

5. Terdapat

Sedang gkan

peersyaratan

kondissi yang

3. Membuat M

masih perlu

prosedur

penandaan

perbaikkan yaitu:

klaasifikasi misaalnya informaasi ”rahasia”

1. Pennjadwalan peengontrolan aset belum

(m misalnya data simpanan naasabah, data

dilakukan secarra berkala dann belum ada

pribadi nasabaah), ”internal”” (misalnya

baggian atau individu i terttentu yang

peeraturan tentaang gaji pegaawai Bank)

berrtugas mengoontrol aset.

daan

6

”biasa”

(misalnya

informasi

tentang

produk

perbankan

peningkatan kontrol keamanan yang

yang

telah direkomendasikan.

ditawarkan ke masyarakat).

Kesimpulan

Saran

Berdasarkan hasil audit keamanan sistem

Beberapa saran yang dapat diberikan untuk

informasi, maka didapat kesimpulan:

pengembangan lebih lanjut yaitu:

1. Perencanaan audit keamanan sistem

1. Audit

informasi

pada

menghasilkan

keamanan

sistem

informasi

BPR

JATIM

belum menerapkan seluruh kontrol

identifikasi

ruang

keamanan yang sesuai dengan pedoman

PT.

lingkup pada pedoman Bank Indonesia

BI,

dalam menerapkan manajemen resiko

mengalami perubahan sistem sehingga

pada TI. Pengumpulan data dilakukan

masih dalam tahap pengembangan.

dengan wawancara untuk menentukan

Untuk itu diharapkan setelah seluruh

dokumen-dokumen yang diperlukan.

sistem perusahaan telah berjalan sesuai

Langkah pelaksanaan audit keamanan

dengan proses bisnis yang ada atau

sistem informasi dilakukan dengan

bahkan telah membuat prosedur sistem

pembuatan pernyataan, penentuan nilai

manajemen keamanan informasi maka

bobot,

perlu dilakukan audit keamanan sistem

pembuatan

pertanyaan

dan

karena

perusahaan

baru

saja

informasi kembali.

penentuan nilai kematangan. 2. Pelaksanaan audit keamanan sistem

2. Audit keamanan sistem informasi ini

informasi dengan pengumpulan data

menggunakan standar ISO 27001 dan

memperoleh

penilaian maturity level menggunakan

dokumen

hasil

SSE-CMM, dikarenakan ISO memang

wawancara. 3. Hasil seluruh

maturity

level

kontrol

dari

belum memiliki metode penilaian maka

keamanan

dari itu untuk pengembangan penelitian

didapat

mendapatkan nilai sebesar 2,90 yang

selanjutnya

berarti bahwa kontrol keamanan masih

maturity

berada pada level 2 planned and

perbandingan.

tracked (direncanakan dan dilacak) namun telah mendekati level 3 well defined (didefinisikan dengan baik) yang merupakan level yang diharapkan oleh perusahaan, sehingga diperlukan

7

dapat

model

lain

menggunakan untuk

bahan

Daftar Pustaka Direktorat

Penelitian

dan

Pengaturan

Perbankan.2007. Penerapan dalam Informasi

Pedoman

Manajemen

Penggunaan oleh

Bank

Resiko Teknologi Umum.

Jakarta. Bank Indonesia. Gondodiyoto, S. 2007. Audit Sistem Informasi Pendekatan COBIT. Jakarta: Mitra Wacana Media. Gunawan, H dan Suhono, R D. 2006. Studi ISO 17799:2005 Dan Systems Security Engineering Capability Maturity Model (SSE-CMM) Untuk Keamanan Aplikasi Web. Bandung: Institut Teknologi Bandung. Jogianto, H,M. 2005. Analisa dan Desain. Yogyakarta: Andi Sarno, Riyanarto. 2009. Audit Sistem & Teknologi Informasi. Surabaya: ITS Press. Sarno, R. dan Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Surabaya: ITS Press.

8