Upload
others
View
15
Download
0
Embed Size (px)
Citation preview
EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC
27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM
(STUDI KASUS PERUSAHAAN XYZ)
Artikel Ilmiah
Diajukan kepada
Fakultas Teknologi Informasi
Peneliti :
Bimo Bayuaji Wicaksono (682014034)
Frederik Samuel Papilaya, S.Kom., M.Cs.
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS TEKNOLOGI INFORMASI
UNIVERSITAS KRISTEN SATYA WACANA
SALATIGA
2018
EVALUASI KEAMANAN INFORMASI BERDASARKAN ISO/IEC
27002: 2013 INFORMATION SECURITY MANAGEMENT SYSTEM
(STUDI KASUS PERUSAHAAN XYZ)
Bimo Bayuaji Wicaksono 1)
, Frederik Samuel Papilaya, S.Kom., M.Cs.2)
Program Studi Sistem Informasi, Fakultas Teknologi Informasi Universitas Kristen Satya Wacana
Jalan Diponegoro No. 52-60, Salatiga 50711, Telp: (0298) 321212, Indonesia
Email : [email protected])
Abstrak
The information security is a procedure of the process to protect the information,
equipment and facilities for producing information on the various threats of information
security incidents and maintain the continuity of a business organization. Implementation
of Information Security Management System (ISMS) can use ISO/IEC 27002 guide. In
models, the organization shall establish, implement, operate, monitor, review, maintain
and improve a documented ISMS within the context of the organization's overall business
and the risks it faces. This study aims to evaluate the implementation of information
security controls based on ISO / IEC 27002: 2013 framework. The problem is the
implementation of access control and Information security incident management in XYZ
Company. This study uses a compliance assessment is not maximized. The result is about
10% implementation of information security controls are in accordance with the
framework of ISO / IEC 27002: 2013, and approximately 90% implementation of
information security controls have not been appropriate. So,XYZ Company need to
improve the ISMS using the given recommendation to achieve max suitability.
Keyword: Evaluation, Information Security, Controls, ISO/IEC 27002:2013
Keamanan informasi adalah sekumpulan prosedur yang terdiri dari proses-proses yang
wajib ditaati untuk melindungi informasi, peralatan dan fasilitas penghasil informasi dari
berbagai ancaman insiden keamanan informasi serta menjaga kontinuitas suatu bisnis
organisasi. Pengimplementasian Sistem Manajemen Keamanan Informasi (SMKI) dapat
menggunakan panduan ISO 27002. Organisasi harus menetapkan, menerapkan,
mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan Sistem
Manajemen Keamanan Informasi terdokumentasi dalam konteks bisnis organisasi secara
keseluruhan dan risiko yang dihadapinya. Penelitian ini bertujuan untuk melakukan
evaluasi implementasi kontrol keamanan informasi berdasarkan kerangka kerja ISO/IEC
27002:2013. Permasalahannya adalah pengimplementasian kontrol akses dan manajemen
insiden keamanan informasi belum optimal di Perusahaan XYZ. Hasilnya adalah sekitar
10% implementasi kontrol keamanan informasi sudah sesuai dengan kerangka kerja
ISO/IEC 27002:2013, dan sekitar 90% implementasi kontrol keamanan informasi belum
sesuai. Kemudian Perusahaan XYZ perlu meningkatkan SMKI sesuai dengan
rekomendasi yang diberikan untuk mencapai kesesuaian maksimal.
Kata Kunci: Evaluasi, Keamanan Informasi, Kontrol, ISO/IEC 27001:2013
I . Pendahuluan
Keamanan informasi menjadi bagian penting pengembangan sistem informasi baru
yang berdampak pada risiko keamanan. Oleh karena itu, mengingat banyak cara dan
dimana ancaman dapat mengambil keuntungan dari kerentanan membahayakan system.
Untuk mengurangi risiko keamanan yang selalu diperbarui secara efektif yang
berdampak pada peningkatan resiko dengan melindungi sistem terhadap ancaman dan
keamanan, kemudian mengurangi dampak untuk sistem tersebut.
International Standard Organization (ISO) 27002: 2013 merupakan standar
internasional untuk dapat membandingkan antara lain kebijakan, proses, prosedur,
organisasi struktur, software dan hardware. Standar Internasional mengelompokkan
prasyarat keamanan informasi menjadi tiga prasyarat utama, yaitu: Information
technology, Security techniques dan Code of practice for information security controls .
yang terdiri dari 14 major division , 37 subdivision dan 114 controls[1].
Perusahaan XYZ adalah perusahaan pelopor pelaksanaan reformasi penyempurnaan
manajemen keuangan di Indonesia. Untuk mewujudkan tata kelola organisasi yang baik
(good governance) perubahan organisasi ditandai dengan menyatukan manajemen dan
sistem informasi yang tersebar di kantor unit daerah. Salah satu layanan yang dibuat oleh
Bagian Sistem Informasi dan Teknologi adalah sistem informasi perbendaharaan
menjadi komponen terbesar modernisasi pengelolaan perbendaharaan perusahaan dengan
memfasilitasi kebutuhan proses pelayanan mulai dari sisi hulu (penganggaran) hingga
hilir (penyusunan laporan keuangan perusahaan). Sistem informasi perbendaharaan
adalah sistem aplikasi yang ada di lingkungan Perusahaan XYZ dan untuk mendukung
otomatisasi sistem dari pengguna anggaran yang ada di setiap cabang dan rekan bisnis.
Meningkatnya tingkat ketergantungan pada informasi sejalan dengan resiko yang
mungkin akan menimbulkan masalah. Tahapan dalam pembuatan keamanan informasi
disusun berdasarkan pemrosesan akses ke dalam informasi, gangguan yang terjadi dan
penanganan mitigasi gangguan yang terjadi di perusahaan. Resiko yang biasa timbul yaitu
resiko keamanan informasi yang menjadi penting untuk tersedia dan digunakan.
Demikian Informasi merupakan aset yang paling penting untuk dilindungi dan diamankan
[2]. Berdasarkan ISO/IEC 27002: 2013 Information Security perusahaan dapat memilih
kontrol sesuai kebutuhan yaitu pengendalian akses dan pengendalian pengelolaan
gangguan keamanan informasi.
Penelitian ini bertujuan untuk melakukan evaluasi pengendalian akses untuk
membatasi akses, memastikan otorisasi akses pengguna dan mencegah akses pihak yang
tidak berwenang terhadap aset informasi khususnya perangkat pengolah informasi.
sedangkan pengelolaan gangguan keamanan informasi untuk memastikan kejadian dan
kelemahan keamanan informasi yang terhubung dengan sistem informasi
dikomunikasikan untuk dilakukan perbaikan, serta dilakukan pendekatan yang konsisten
dan efektif agar dapat dihindari atau tidak terulang kembali berdasarkan ISO/IEC
27002:2013 untuk meningkatkan sistem manajemen keamanan informasi di Perusahaan
XYZ. Manfaat penelitian ini untuk mendapatkan gambaran kondisi keamanan informasi
saat ini agar menjadi masukan untuk meningkatkan keamanan informasi yang sudah
terimplementasi dengan rekomendasi yang sesuai ISO 27002:2013 di perusahaan XYZ.
II. Tinjauan Pustaka
Penelitian dengan analisis atau evaluasi menggunakan kerangka kerja ISO/IEC
27002:2013 juga pernah dilakukan, yaitu evaluasi implementasi kontrol keamanan
informasi berdasarkan kerangka kerja ISO/IEC 27002:2013 dalam rangka meningkatkan
implementasi Sistem Manajemen Keamanan Informasi di Pustispan. Permasalahan yang
diangkat dalam penelitian ini adalah pengimplementasian SMKI di Pustispan baru
berjalan 1 tahun, sehingga pengimplementasian kontrol keamanan informasi belum
maksimal yang menghasilkan rekomendasi [3].
Penelitian lain tentang Audit Keamanan Informasi Menggunakan ISO 27002 Pada Data
Center PT.Gigipatra Multimedia bertujuan dapat mengetahui kelemahan - kelemahan
sistem yang menjadi penyebab permasalahan keamanan informasi yang selama ini terjadi.
Audit ini juga menghasilkan rekomendasi tentang perbaikan yang harus dilakukan untuk
meningkatkan keamanan informasi pada perusahaan, serta menjadi pertimbangan untuk
memperoleh ISMS certification dengan standar ISO 27002 pada masa mendatang,
sehingga menambah nilai tambah akan kepercayaan pelanggan terhadap PT. Giga Patra
Multimedia [4].
Hubungan dua penelitan sebelumnya dengan penelitian ini adalah menilai tingkat
pengimplementasi keamanan informasi serta menjadi pertimbangan sertifikasi SMKI ISO
27002: 2013. Persamaan lainnya yaitu ada pada penelitian yang dilakukan sama – sama
menggunakan ISO 27002: 2013 untuk mengukur tingkat kematangan keamanan
informasi, serta pada penelitian yang dilakukan Herman Affandi yang sama – sama
melakukan penelitian pada Data Center. Hal yang membedakan adalah pada penelitian
yang dilakukan Alhadi melakukan penilaian menggunakan Peraturan Kepala (Perka)
LAPAN No. 8 Tahun 2015 yang tertulis dalam pasal 159 terkait tugas dan pasal 160
terkait fungsi. Pada Pasal 159 Tugas Pustispan adalah melaksanakan pengelolaan
infrastruktur dan tata kelola teknologi informasi, pengembangan sistem informasi serta
penyusunan standar di Bidang Penerbangan dan Antariksa serta menggunakan semua
pengendalian yang tersedia pada ISO 27002;2013. Pada penelitian yang dilakukan oleh
Herman Afandi dilakukan penilaian pada pengendalian yang paling sesuai dilihat dari
tingkat kebutuhan, pengendalian yang dipilih dalam audit keamanan informasi adalah
Keamanan Sumber Daya Manusia (Pengendalian 7), Kontrol Akses (Pengendalian 9),
Keamanan Fisik Dan Lingkungan (Pengendalian 11), Manajemen Komunikasi Dan
Operasi (12). Sedangkan pada penelitian ini dilakukan penilaian pada pengendalian akses
dan pengendalian pengelolaan gangguan keamanan informasi berdasarkan ISO/IEC
27002:2013, sementara pengendalian akan dipilih sesuai dengan kebutuhan keamanan
informasi. Fokus penelitian ini adalah memberikan gambaran kondisi saat ini terkait
evaluasi implementasi pengendalian akses dan pengelolaan gangguan keamanan
informasi pada sistem manajemen keamanan informasi di Perusahaan XYZ.
Definisi Keamanan Informasi menurut ISACA (Information Systems Audit and
Control Association) adalah memastikan bahwa informasi organisasi harus dilindungi
dari pengungkapan oleh pengguna yang tidak sah (kerahasiaan), modifikasi yang salah
(integritas) dan kegagalan akses informasi ketika saat diperlukan (ketersediaan) [5].
Identifikasi risiko dilakukan untuk mengetahui seberapa besar kerugian dan risiko apa
yang akan diterima oleh organisasi jika informasi organisasi mendapat ancaman atau
gangguan keamanan yang menyebabkan gagalnya penjagaan aspek keamanan informasi
[6].
Keamanan informasi berkaitan dengan perlindungan aset yang berharga terhadap
kehilangan, pengungkapan penyalahgunaan, atau kerusakan yang mungkin terjadi upaya
dalam menjamin kelangsungan bisnis (business continuity), meminimalkan resiko bisnis
(reduce business risk) dan memaksimalkan pengembalian investasi dan peluang.
Keamanan informasi mempunyai keempat tujuan yang sangat mendasar yaitu: a)
Kerahasiaan (Confidentiality),yang berarti data dan informasi terjamin kerahasiaannya,
hanya dapat diakses pihak-pihak yang berwenang, keutuhan serta konsistensi pada sistem
data harus tetap terjaga, sehingga upaya orang yang ingin mencuri data dan informasi
akan menjadi sia-sia; b) Ketersediaan (Availability) yang berarti menjamin data tersedia
saat dibutuhkan untuk dapat mengakses informasi dan sumber daya yang otorisasi dan
menjamin haknya untuk mengakses informasi; c) Integritas (Integrity) yang berarti
menjamin konsistensi dan menjamin data sesuai dengan aslinya dan tidak dapat diubah
tanpa izin pihak yang berwenang; d) Penggunaan yang Sah (Legitimate Use) yang berarti
menjamin kepastian sumber daya tidak dapat digunakan oleh orang yang tidak berhak.
Selain aspek tersebut, terdapat klasifikasi keamanan informasi sebagai berikut: 1)
Keamanan Fisik (Physical Security), 2) Keamanan Pribadi (Personal Security), 3)
Keamanan Operasional (Operation Security), 4) Keamanan Komunikasi (Communication
Security), 5) Keamanan Jaringan (Network Security) [7].
Sebuah organisasi harus menerapkan Sistem Manajemen Keamanan Informasi untuk
menjamin keamanan aset teknologi informasi dan komunikasi (TIK). Sistem Manajemen
Keamanan Informasi adalah kumpulan dari kebijakan dan prosedur untuk mengatur data
sensitif milik organisasi secara sistematis. Tujuan dari SMKI sendiri adalah untuk
meminimalisir risiko dan menjamin kelangsungan bisnis secara proaktif untuk membatasi
dampak dari pelanggaran keamanan [8].
Pada Keputusan Menteri Keuangan nomor 479/kmk.01/2010 tentang kebijakan dan
standar sistem manajemen keamanan informasi di lingkungan kementerian keuangan
disebutkan bahwa Kebijakan dan SMKI ini digunakan sebagai pedoman dalam rangka
melindungi aset informasi Kementerian Keuangan dari berbagai bentuk ancaman baik
dari dalam maupun luar lingkungan Kementerian Keuangan, yang dilakukan secara
sengaja maupun tidak sengaja. Pengamanan dan perlindungan ini diberikan untuk
menjamin kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan
(availability) aset inforrnasi agar selalu terjaga dan terpelihara dengan baik[9].
Panduan dari ISO 27002:2013 yang digunakan dalam penelitian ini menitikberatkan
pada Access control dan Information security incident management yang menjelaskan
untuk membatasi akses terhadap fasilitas informasi dan pengolahan informasi dan
memastikan pendekatan yang konsisten dan efektif terhadap pengelolaan keamanan
informasi insiden, termasuk komunikasi mengenai kejadian keamanan dan kelemahan.
Tahap I
•masukan : visi dan misi Perusahaan XYZ
•metode : studi literatur
• keluaran : gambaran terkait objek penelitian
Tahap II
•masukan : gambaran tentang keamanan informasi
•metode : panduan ISO 27002;2013
• keluaran : daftar kontrol pada ISO 27002 yang sesuai
Tahap III
•masukan : daftar kontrol pada ISO 27002 yang sesuai ,SOP dan peraturan keamanan informasi
•metode : wawancara
• keluaran : hasil wawancara
Tahap IV
•Masukan :hasil wawancara dan control ISO 27002
•metode : komparasi kesesuaian wawancara dengan control yang terpilih
• keluaran : kesesuaian penerapan implementasi dan skor penilaian tiap daftar kontrol pengendalian akses dan pengelolaan gangguan keamanan informasi.
Tahap V
•masukan : status penerapan kontrol dan skor penilaian kontrol ISO 27002:2013
•metode : Gap Analysis
• keluaran : executive summary dan tanggapan manajemen
III. Metodologi
Penelitian ini menggunakan metode penelitian diskripsi kualitatif yang bertujuan untuk
mengungkapkan suatu masalah atau keadaan tertentu sebagaimana adanya dalam
penelitian ini. Data primer didapat dari wawancara terhadap Kepala Seksi Pengelola Data
Referensi dan Kepala Seksi Perencanaan dan Analisis Sistem Aplikasi bagian Sistem
Informasi dan Teknologi XYZ, dan data sekunder didapat dari dokumen: (1) KMK
NOMOR 512/KMK.01/2009, (2) KMK nomor 479/KMK.01/2010, (3) KMK nomor
350/KMK.01/2009, (4) Standar Operasional Prosedur Direktorat Sistem Informasi dan
Teknologi Perusahaan XYZ, (5) dokumen executive summary akan dianalisa untuk
mendapatkan gambaran kondisi Perusahaan XYZ. Objek penelitian ditentukan
berdasarkan kontrol pada ISO 27002:2013. Ruang lingkup penelitian dibatasi dengan
control Access control dan Information security incident management pada ISO
27002:2013 sebagai acuan latar belakang masalah.
Gambar 1. Tahapan penelitian.
Tahap I untuk mengetahui gambaran terkait objek penelitian sehingga yang
dibutuhkan yaitu visi dan misi Perusahaan XYZ yang berkaitan dengan pengendalian
akses dan pengelolaan gangguan keamanan informasi. Untuk mendapatkan hasil tersebut,
dilakukan proses studi literatur pada dokumen peraturan keamanan informasi Perusahaan
XYZ dan Standar Operasional Prosedur Direktorat Sistem Informasi dan Teknologi
(SIT) Perusahaan XYZ. Hasil akhir dari tahap ini yaitu gambaran tujuan organisasi dalam
pengendalian akses dan pengelolaan gangguan keamanan informasi di Perusahaan XYZ.
Tahap II untuk mengidentifikasi masalah keamanan informasi yang sudah
terimplementasi. Masukan yang diperlukan dalam tahap ini yaitu gambaran tentang
keamanan informasi. Untuk mendapatkan hasil tersebut, dilakukan proses penyelarasan
antara gambaran objek penelitian dengan ISO 27002 terkait pengendalian akses dan
pengelolaan gangguaan keamanan informasi dengan panduan ISO 27002 : 2013. Langkah
– langkah yang dilakukan yaitu memetakan kontrol pada ISO 27002:2013 yang
menyesuaikan dengan gambaran masalah pengendalian akses dan pengelolaan gangguan
keamanan informasi. Hasil tahapan ini yaitu daftar kontrol pada ISO 27002 yang sesuai.
Tahap III dimaksudkan untuk mendapatkan data yang dibutuhkan mengenai
gambaran kondisi pengendalian akses dan pengelolaan gangguan keamanan informasi
saat ini. Masukan yang diperlukan yaitu daftar kontrol pada ISO 27002 yang sesuai pada
tahap II, serta dokumen Standar Operasional Prosedur Direktorat Sistem Informasi dan
Teknologi Perusahaan XYZ , dokumen peraturan keamanan informasi Perusahaan XYZ
serta risk register Perusahaan XYZ. Langkah – langkah yang dilakukan untuk
mendapatkan hasil tersebut yaitu menentukan narasumber berdasarkan Standar
Operasional Prosedur, menyusun panduan wawancara dan melakukan wawancara kepada
narasumber. Pengambilan data dilakukan dengan melakukan wawancara kepada
Pengelola SMKI yaitu dengan teknik Focus Group Discussion (FGD). Hasil dari tahap
ini adalah berupa working paper, work product, dan best practice.
Tahap IV dimaksudkan untuk mendapatkan gambaran kondisi pengendalian
akses dan pengelolaan gangguan keamanan informasi saat ini. Masukan yang diperlukan
yaitu hasil wawancara. Langkah – langkah yang dilakukan mengacu pada kontrol ISO
27002;2013, yaitu menentukan data aktivitas penerapan saat ini dikomparasi dengan
kontrol yang disarankan pada kerangka kerja ISO/IEC 27002:2013 untuk
membandingkan kesesuaiannya. Hasil dari tahap ini yaitu kesesuaian penerapan
implementasi dan skor penilaian tiap daftar kontrol pengendalian akses dan pengelolaan
gangguan keamanan informasi.
Tahap V dimaksudkan untuk menghasilkan rekomendasi perbaikan. Masukan
yang diperlukan yaitu status penerapan kontrol dan skor penilaian kontrol ISO
27002:2013. Untuk mendapatkan hasil tersebut, langkah – langkahnya yaitu menentukan
kesesuaian penerapan saat ini kemudian dibuat rekomendasi sebagai hasil evaluasi
implementasi kontrol keamanan informasi. Hasil dari tahap ini yaitu executive summary
dan mengkomunikasikan rekomendasi serta memberikan tanggapan manajemen terkait
hasil evaluasi.
IV. Pembahasan
Tujuan penelitian ini yaitu dalam rangka melindungi kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan (availibility) aset informasi
Perusahaan XYZ dari berbagai bentuk ancaman keamanan informasi baik dari dalam
maupun luar lingkungan Perusahaan XYZ. Oleh karena itu perusahaan perlu melakukan
pengaturan pengelolaan keamanan informasi di lingkungan Perusahaan XYZ. Hal ini
sudah tercantum dalam SMKI Peraturan Perusahaan XYZ terkait pengendalian akses dan
pengelolaan gangguan keamanan informasi untuk menyelaraskan dengan Panduan ISO
27002 :2013. Setelah dilakukan observasi maka hasil yang diperoleh adalah penetapan
ruang lingkup evaluasi yaitu keamanan sistem informasi dan standar yang digunakan
adalah ISO 27002. Dari tahap identifikasi ini dihasilkan juga pemetaan kontrol keamanan
informasi. Klausul yang digunakan adalah Klausul 9 tentang Akses Kontrol dan Klausul
16 tentang Pengelolaan Gangguan Keamanan informasi.
Tabel 1. Tabel Daftar Kontrol Berdasarkan ISO 27002 : 2013
(diolah oleh penulis)
ISO ID Control Control Object
9.Access Control 9.1.1 Access control policy Kebijakan
9.1.2 Access to networks and network services Kebijakan
9.2.1 User registration and deregistration Implementasi
9.2.2 User access provisioning Implementasi
9.2.3 Management of privileged access rights Implementasi
9.2.4 Management of secret authentication information of users Implementasi
9.2.5 Review of user access rights Implementasi
9.2.6 Removal or adjustment of access rights Implementasi
9.3.1 Use of secret authentication information Implementasi
9.4.1 Information access restriction Kebijakan
9.4.2 Secure log-on procedures Prosedur
9.4.3 Password management Implementasi
9.4.4 Use of privileged utility programs Kebijakan
9.4.5 Access control to program source code Implementasi
16 Information
security incident
management
16.1.1 Responsibilities and procedures Prosedur
16.1.2 Reporting information security events Implementasi
16.1.3 Reporting information security weaknesses Implementasi
16.1.4 Assessment of and decision on information security
events
Implementasi
16.1.5 Response to information security incidents Prosedur &
Implementasi
16.1.6 Learning from information security incidents Implementasi
16.1.7 Collection of evidence Prosedur &
Implementasi
Mengetahui kondisi Perusahaan XYZ, maka perlu menentukan narasumber yang akan
memberikan informasi tersebut. Narasumber dipilih berdasarkan tugas pokok dan fungsi
pada SITP perusahaan XYZ mengenai pengendalian akses dikelola oleh Seksi Pengelola
Data Referensi dan Pengguna Sistem. Sedangkan untuk pengendalian pengelolaan
gangguan keamanan informasi dikelola oleh Seksi Perencanaan dan Analisis Sistem
Aplikasi.
Wawancara kepada narasumber dilakukan untuk mendapatkan data primer
dengan instrumen panduan wawancara yang berisi daftar aktivitas untuk semua control
ISO terpilih. Hasil wawancara berupa ada tidaknya aktivitas tersebut dalam Perusahaan
XYZ diperkuat dengan penjelasan mengenai aktivitas atau proses. Data sekunder
didapatkan dari dokumen – dokumen terkait seperti Standar Operasional Prosedur
perusahaan XYZ , Keputusan Menteri Keuangan : (1) KMK nomor 512/KMK.01/2009,
(2) KMK nomor 479/KMK.01/2010, (3) KMK nomor 350/KMK.01/2009 sebagai SMKI.
Hasil evaluasi yang didapat dari hasil wawancara dan pemeriksaaan yang
mengacu pada ISO 27002:2013 dibedakan menurut Major Control yaitu Control 9 Access
Control dan Control 16 Information Security Incident Management.
ISO control 9 - Access Control
Control 9.1.1 Access control policy mengatur tentang sebuah kebijakan harus
ditetapkan, didokumentasikan dan ditinjau secara berkala, sesuai dengan proses bisnis
dan sesuai keamanan informasi yang dibutuhkan. Berdasarkan hasil pemeriksaan yang
mengacu pada ISO/IEC 27002:2013 Poin 9.1.1 terkait access control policy diketahui
bahwa kebijakan mengenai pengendalian akses, yaitu Keputusan Menteri Keuangan
Nomor 479 Tahun 2010 tentang Kebijakan dan Standar Sistem Manajemen Keamanan
Informasi di Lingkungan Perusahaan XYZ belum konsisten dengan kebijakan klasifikasi
informasi yang sudah ditetapkan.
Control 9.1.2 Access to networks and network services mengatur pengguna
hanya diberikan akses ke jaringan dan jaringan layanan yang mana mereka sudah diberi
kewenangan untuk menggunakan. Berdasarkan hasil pemeriksaan yang mengacu pada
ISO/IEC 27002:2013 Poin 9.1.2 terkait Access to networks and network services
diketahui bahwa sudah sesuai.
Control 9.2.1 User registration and deregistration mengatur terkait pendaftaran
dan penghapusan pengguna yang prosesnya dilaksanakan untuk proses persetujuan hak
akses. Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin
9.2.1 terkait user registration and deregistration diketahui bahwa pengelolaan terkait
pendaftaran dan penghapusan pengguna belum sepenuhnya dilakukan karena kajian atas
akun secara berkala belum dilaksanakan. Saat ini telah dilakukan penggunaan akun yang
unik bagi pengguna yang akan terhubung dengan sistem informasi atau layanan.
Pemberian akses ini telah melalui proses persetujuan dari pemilik sistem dan
didokumentasikan didalam user access matrix.
Control 9.2.2 User access provisioning meninjau akses pengguna keadaan
proses harus dilaksanakan untuk menetapkan atau mencabut hak akses untuk semua
pengguna jenis untuk semua sistem dan layanan. Berdasarkan hasil pemeriksaan yang
mengacu pada ISO/IEC 27002:2013 Poin 9.2.2 terkait user access provisioning,
ditemukan bahwa arahan mengenai pemberian akses pengguna telah diatur didalam KMK
No. 479/KMK.01/2010 halaman 33. Saat ini SITP telah melaksanakan beberapa prosedur
pengelolaan akses pengguna tersebut, namun saat ini masih terdapat pegawai yang telah
pensiun menurut data pegawai, tetapi masih memiliki akses ke sistem informasi
perbendahaan dan terdapat ketidaktepatan pemberian responsibility kepada yang tidak
berwenang.
Control 9.2.3 Management of privileged access rights meninjau pengalokasian
dan penggunaan hak akses khusus harus dibatasi dan dikendalikan. Berdasarkan hasil
pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.2.3 terkait management of
privileged access rights, diketahui bahwa pengelolaan pemberian hak akses khusus belum
memadai, yakni karena belum dilakukannya kajian berkala atas kompetensi dari pemilik
hak akses khusus. Kajian perlu dilakukan agar dapat mendeteksi secara dini adanya akses
yang tidak terotorisasi. Selain itu, belum terdapat prosedur khusus yang mengatur
mengenai manajemen hak akses khusus. Prosedur ini perlu ditetapkan untuk membatasi
dan mengendalikan alokasi dan penggunaan hak akses khusus
Control 9.2.4 Management of secret authentication information of users.
Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.2.4
terkait management of secret authentication information of users, diketahui bahwa
pengelolaan terhadap kata sandi pengguna belum sepenuhnya diimplementasikan
meskipun arahan mengenai pengelolaan kata sandi pengguna telah diatur di dalam
Keputusan Menteri Keuangan Nomor 479/KMK.01/2010. Proses pemberian kata sandi
baru diawali dengan pengiriman permintaan akun sistem Perusahaan XYZ. Kemudian
Seksi Pengelola Data Referensi dan Pengguna Sistem melakukan verifikasi pengguna
yakni dengan mencocokkan antara email Perusahaan XYZ yang didaftarkan di dalam
sistem Perusahaan XYZ dengan data email pegawai di dalam address book. Setelah
proses verifikasi selesai maka user account akan diberikan kepada pengguna melalui
email internal Perusahaan XYZ, termasuk di dalamnya tata cara dalam melakukan
perubahan kata sandi pada saat pertama kali masuk ke dalam aplikasi. Pelaksanaan
mekanisme verifikasi identitas pengguna saat pemberian kata sandi perlu
didokumentasikan dalam bentuk prosedur, agar tidak ada langkah yang terlewati dalam
proses pemberian kata sandi dan proses berjalan secara konsisten.
Control 9.2.5 Review of user access rights. Berdasarkan hasil pemeriksaan yang
mengacu pada ISO/IEC 27002:2013 Poin 9.2.5 terkait review of user access rights,
ditemukan bahwa arahan mengenai kajian hak akses pengguna telah diatur dengan
ditetapkannya KMK No. 479/KMK.01/2010, lebih tepatnya pada halaman 34. Saat ini
sudah dilakukan kajian dilakukan secara ad hoc pada saat terdapat perubahan atas akses
yang diberikan. Seluruh perubahan hak akses juga akan tercatat pada log sistem.Hak
akses pengguna harus dikaji pada jangka waktu yang teratur untuk memastikan bahwa
pengguna tidak menggunakan hak aksesnya untuk hal yang tidak diperbolehkan dan
memastikan bahwa pemberian akses kepada pengguna telah sesuai dengan kewenangan
dan posisi yang dimilikinya. Namun kajian berkala ini belum dilakukan secara berkala
sesuai dengan aturan didalam KMK No. 479/KMK.01/2010.
Control 9.2.6 Removal or adjustment of access rights. Berdasarkan hasil
pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.2.6 terkait removal or
adjustment of access rights, ditemukan bahwa pengendalian hak akses belum sepenuhnya
dilakukan secara optimal. Saat ini telah dilakukan penghapusan akses baik secara fisik
maupun logikal ke fasilitas pemrosesan informasi, ketika terdapat penghentian pegawai
atau perubahan kewenangan pegawai. Penghapusan akses fisik berupa pengembalian atau
penggantian kartu akses dan kartu identitas. Namun masih ditemukan pegawai yang telah
pensiun menurut data pegawai, tetapi masih memiliki akses ke Sistem Informasi
Keuaangan XYZ. Selain itu belum terdapat dokumentasi untuk identifikasi hak perubahan
dan penghapusan hak akses pihak ketiga ketika terdapat penghentian atau perubahan
kontrak kerja
Control 9.3.1 Use of secret authentication information. Pengalokasian otentikasi
rahasia untuk informasi harus dikendalikan melalui proses resmi manajemen.
Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.3.1
terkait use of secret authentication information, ditemukan bahwa pengelolaan kata sandi
saat ini belum optimal karena belum terdapat aturan yang menjelaskan mengenai
tanggung jawab pengguna dalam pengelolalan kata sandi yang ia miliki. Selain itu
konfigurasi untuk security hardening atas kata sandi belum sepenuhnya tepat, yakni
konfigurasi kata sandi belum menggunakan karakter angka dan tanda baca. Saat ini
konfigurasi yang telah didefinisikan antara lain panjang minimal kata sandi yakni 8
karakter, penggunaan karakter uppercase dan penggunaan karakter lowercase.
Control 9.4.1 Information access restriction meninjau akses untuk informasi dan
fungsi aplikasi sistem akan dibatasi sesuai dengan kebijakan akses kontrol. Berdasarkan
hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.4.1 terkait
Information access restriction diketahui bahwa sudah sesuai.
Control 9.4.2 Secure log-on procedures meninjau kebutuhan dari kebijakan akses
kontrol, akses ke sistem dan aplikasi harus di kontrol dari keamanan prosedur log-on.
Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 9.4.2
terkait secure log-on procedures, diketahui bahwa saat ini belum terdapat prosedur log
on yang aman meskipun saat ini sudah terdapat mekanisme pengelolaan keamanan log on
yang diterapkan, seperti penguncian akun yang gagal log on berturut-turut dalam aplikasi,
yakni dengan batas usaha log in adalah 3 kali dan usaha log on yang gagal akan tercatat
didalam sistem. Selain itu sudah terdapat konfigurasi idle session timeout yakni 15 menit.
Control 9.4.3 Password management. Sistem manajemen kata sandi seharusnya
interaktif dan harus memastikan kualitas katasandi. Berdasarkan hasil pemeriksaan yang
mengacu pada ISO/IEC 27002:2013 Poin 9.4.3 terkait password management, diketahui
bahwa saat ini pengendalian kata sandi belum sepenuhnya optimal, yakni belum
diterapkannya penggunaan karakter angka (0-9) dan karakter spesial pada konfigurasi
security hardening.
Control 9.4.4 Use of privileged utility programs. Meninjau penggunaan utility
program yang mungkin mampu mengambil alih sistem dan kontrol aplikasi seharusnya
terbatas dan diawasi dengan ketat. System utility adalah sistem atau aplikasi yang
membutukan peran admin dalam menjalankan fungsinya. System utility dengan privileged
access (misal: sistem anti-virus dan sistem backup) harus dikendalikan dan diawasi untuk
memastikan bahwa administrator menjalankan sistem atau aplikasi sesuai dengan standar
yang berlaku. Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013
Poin 9.4.4 terkait use of privileged utility program, diketahui bahwa saat ini belum
terdapat kebijakan yang mengatur mengenai penggunaan system utility.
Control 9.4.5 Access control to program source code meninjau akses program
source code harus dibatasi. Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC
27002:2013 Poin 9.4.5 terkait access control to program source code, ditemukan bahwa
pengendalian akses ke dalam program source code belum dilakukan secara optimal,
seperti penyimpanan source code aplikasi EBS yang masih disimpan di dalam AP server.
Selain itu, belum terdapat log yang mencatat seluruh akses ke dalam program source
libraries. Namun saat ini sudah terdapat server khusus yang digunakan untuk menyimpan
source code sehingga pihak yang tidak berwenang tidak dapat melakukan akses ke dalam
program source libraries.
ISO control 16 - Information security incident management
Control 16.1.1 Responsibilities and procedures meninjau tanggung jawab dan
prosedur manajemen harus ditetapkan untuk memastikan dengan cepat, dan respon
terhadap kejadian keamanan informasi Berdasarkan hasil pemeriksaan yang mengacu
pada ISO/IEC 27002:2013 Poin 16.1.1 terkait information security incident, diketahui
bahwa saat ini masih terdapat beberapa aspek yang belum tercakup dalam prosedur
insiden keamanan informasi yang ada saat ini. Selain itu, prosedur tersebut juga belum
mencantumkan point of contact. Keputusan Direktur Perusahaan XYZ Nomor KEP-
435/PB/2017 tentang Standar Operasional Prosedur Direktorat Sistem Informasi dan
Teknologi Perusahaan XYZ telah mendefinisikan prosedur persiapan dan perencanaan
dalam menanggapi insiden, dan prosedur pencatatan aktivitas manajemen insiden.
Control 16.1.2 Reporting information security events meninjau kejadian
informasi keamanan yang harus dilaporkan ke yang tepat saluran manajemen dengan
cepat. Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin
16.1.2 terkait reporting information security events, diketahui bahwa saat ini telah
tersedia media untuk melaporkan kejadian atau insiden, yaitu Help desk. Namun, media
pelaporan tersebut masih belum optimal karena belum terdapat layanan keamanan
informasi pada katalog layanan pengaduan.
Control 16.1.3 Reporting information security weaknesses meninjau karyawan
dan kontraktor menggunakan sistem informasi dan layanan organisasi harus diperlukan
yang perlu diperhatikan dan melaporkan setiap pengawasan yang diduga kelemahan
informasi keamanan dalam sistem atau layanan Informasi. Berdasarkan hasil pemeriksaan
yang mengacu pada ISO/IEC 27002:2013 Poin 16.1.3 terkait reporting information
security weaknesses, diketahui bahwa saat ini pelaporan terkait keamanan informasi yang
dilakukan oleh pegawai belum optimal karena belum terdapat layanan keamanan
informasi pada katalog layanan Help desk, sehingga pegawai tidak dapat melakukan
pelaporan terkait keamanan informasi.
Control 16.1.4 Assessment of and decision on information security events
meninjau kejadian keamanan informasi harus dikaji dan harus memutuskan apakah
mereka yang digolongkan sebagai insiden keamanan informasi. Berdasarkan hasil
pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 16.1.4 terkait assessment of
and decision on information security events, diketahui bahwa saat ini penilaian dan
klasifikasi kejadian keamanan informasi belum dilakukan.
Control 16.1.5 Response to information security incidents meninjau insiden
keamanan informasi harus ditanggapi sesuai dengan prosedur yang terdokumentasikan.
Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 16.1.5
terkait response to information security incidents, diketahui bahwa saat ini masih
terdapat aspek-aspek dalam prosedur penanganan insiden keamanan informasi yang
belum terdefinisikan, yaitu terkait penanganan bukti-bukti insiden, eskalasi, serta analisis
pasca insiden. Pada Keputusan Direktur Jenderal Perbendaharaan Nomor Kep-
435/PB/2017 halaman 132 terkait Standar Operasional Prosedur Penyelesaian Insiden,
telah didefinisikan prosedur untuk melaksanakan penyelesaian insiden yang dilaporkan
oleh pengguna atau pihak lainnya. Prosedur tersebut telah mencakup penanganan insiden,
pencatatan insiden serta solusinya pada logbook, dan pemberitahuan terjadinya insiden
serta kondisi saat ini ke pihak yang membutuhkan.
Control 16.1.6 Learning from information security incidents meninjau hasil yang
diperoleh dari menganalisis dan menyelesaikan insiden keamanan informasi harus
digunakan untuk menguranginya kemungkinan atau dampak dari insiden selanjutnya.
Berdasarkan hasil pemeriksaan yang mengacu pada ISO/IEC 27002:2013 Poin 16.1.6
terkait learning from information security incidents, ditemukan bahwa saat ini proses
analisis insiden belum dilakukan dengan baik karena kuantifikasi insiden yang terjadi
belum dilakukan. Namun Service desk menangani insiden keamanan informasi dengan
terlebih dahulu melakukan pemeriksaan terkait insiden-insiden sejenis yang pernah terjadi
sebelumnya.
Control 16.1.7 Collection of evidence meninjau organisasi harus menentukan dan
menerapkan prosedur untuk identifikasi koleksi, dan preservation dari informasi yang
dapat berfungsi sebagai bukti. Berdasarkan hasil pemeriksaan yang mengacu pada
ISO/IEC 27002:2013 Poin 16.1.7 terkait collection of evidence, ditemukan bahwa saat ini
prosedur identifikasi, pengumpulan, akuisisi, dan preservasi informasi yang dapat
digunakan sebagai bukti insiden keamanan informasi belum didefinisikan. Kemudian
dapat ditemukan status penerapan kontrol dan skor penilaian dilihat dari kesesuaian
antara kontrol yang disarankan oleh ISO/IEC 27002:2013 dengan aktivitas penerapan
kontrol saat ini. Status penerapan kontrol dan skor penilaian terdiri dari 3 kategori yaitu:
(1) Sudah Sesuai mendapatkan skor 1, (2) Belum Sesuai mendapatkan skor 0,5 dan (3)
Tidak sesuai mendapatkan skor 0. Hasil status penerapan memperlihatkan bahwa semua
kategori kesesuaian terdefinisi. Daftar status penerapan kontrol dan hasil skor penilaian
dapat dilihat pada tabel berikut
Tabel 2. Status penerapan
No.
Annex Tujuan Pengendalian
Status Penerapan S
udah
Ses
uai
Bel
um
Ses
uai
Tid
ak
Ses
uai
Skor
Penilaian
9.1.1 Access control policy
√
0,5
9.1.2 Access to networks and network services √
1
9.2.1 User registration and deregistration
√
0,5
9.2.2 User access provisioning
√
0,5
9.2.3 Management of privileged access rights
√
0,5
9.2.4 Management of secret authentication information of users
√
0,5
9.2.5 Review of user access rights
√
0,5
9.2.6 Removal or adjustment of access rights
√
0,5
9.3.1 Use of secret authentication information
√
0,5
9.4.1 Information access restriction √
1
9.4.2 Secure log-on procedures
√
0,5
9.4.3 Password management
√
0,5
9.4.4 Use of privileged utility programs
√
0,5
9.4.5 Access control to program source code
√
0,5
16.1.1 Responsibilities and procedures
√
0,5
16.1.2 Reporting information security events
√
0,5
16.1.3 Reporting information security weaknesses
√
0,5
16.1.4 Assessment of and decision on information security events
√
0,5
16.1.5 Response to information security incidents
√
0,5
16.1.6 Learning from information security incidents
√
0,5
16.1.7 Collection of evidence
√
0,5
Hasil evaluasi kontrol keamanan tersebut, maka bila dibuat presentasenya, 10% kontrol
yang sudah sesuai dan 90% kontrol yang belum sesuai serta 0% yang tidak sesuai.
Sehingga untuk mencapai kesesuaian maksimal dibutuhkan perbaikan untuk
penyempurnaan pada SMKI di Perusahaan XYZ.
Rekomendasi yang dapat diberikan dari hasil evaluasi dan temuan risiko
berdasarkan dokumen Pedoman Audit Teknologi dan Petunjuk Teknis Teknologi
Informasi Perusahaan XYZ serta mengacu pada ISO 27002:2013.
Control 9.1.1 Access control policy mengenai risiko saat proses pemberian,
pengelolaan dan penghapusan akses ke dalam sistem belum dilakukan secara terstandar
sehingga terjadi inkonsistensi pelaksanaan pengelolaan akses yang berdampak pada akses
yang tidak terotorisasi ke dalam sistem[10] Rekomendasi yang diberikan adalah dengan
menyusun kebijakan pengendalian akses yang setidaknya mencakup pemberian hak akses
yang konsisten dengan kebijakan klasifikasi informasi yang sudah ditetapkan[1].
Control 9.2.1 User registration and deregistration mengenai risiko saat
pemberian akses kepada pihak yang tidak tepat berpotensi pada penyalahgunaan
wewenang dan perubahan data/informasi yang tidak terotorisasi. Rekomendasi yang
diberikan adalah dengan melakukan pemeriksaan atas kesesuaian pemberian akun secara
berkala untuk mengetahui ketidaksesuaian pemberian akses lebih dini dan dapat segera
dilakukan perbaikan (penghapusan maupun penonaktifan)[1].
Control 9.2.2 User access provisioning mengenai risiko saat pemberian akses
kepada pihak yang tidak tepat berpotensi pada penyalahgunaan wewenang dan perubahan
data atau informasi yang tidak terotorisasi [11]. Rekomendasi yang diberikan adalah
dengan melakukan kajian berkala atas pengelolaan akses pengguna agar dapat
menghindari kesalahan pemberian akses kepada pihak yang tidak berwenang[1].
Control 9.2.3 Management of privileged access rights mengenai risiko
penggunaan privileged access yang tidak sesuai dapat menyebabkan terjadinya kegagalan
atau pelanggaran pada sistem [11]. Rekomendasi yang diberikan yaitu 1) Melakukan
kajian secara berkala atas kompetensi dari pemilik hak akses khusus. 2)Menyusun
prosedur yang mengatur mengenai manajemen hak akses khusus[1].
Control 9.2.4 Management of secret authentication information of users
mengenai risiko saat kata sandi yang digunakan untuk otentikasi akses belum
dikonfigurasi sesuai dengan standar keamanan sehingga memudahkan pihak yang tidak
terotorisasi untuk mengakses sistem Perusahaan XYZ [11]. Rekomendasi yang diberikan
yaitu 1) Menetapkan mekanisme persetujuan pengguna untuk menjaga hak aksesnya
sesuai dengan ketentuan akses secara tertulis maupun secara elektronik. 2)Menyusun
prosedur untuk melakukan verifikasi sebelum pemberian kata sandi baru atau
penggantian kata sandi[1].
Control 9.2.5 Review of user access rights mengenai risiko saat pemberian hak
akses belum direviu secara konsisten sehingga tidak dapat mendeteksi adanya
pelanggaran dan penggunaan akses yang tidak terotorisasi. Rekomendasi yang diberikan
yaitu 1) Melakukan kajian hak akses pengguna sesuai aturan yang ditetapkan di dalam
KMK No. 479/KMK.01/2010 yakni paling sedikit 6 bulan sekali atau setelah terjadi
perubahan pada sistem, atau struktur organisasi. 2) Melakukan kajian hak akses khusus
sesuai aturan yang ditetapkan didalam KMK No. 479/KMK.01/2010 yakni paling sedikit
6 bulan sekali dalam jangka waktu lebih sering dibanding jangka waktu pengkajian hak
akses pengguna, maupun apabila terjadi perubahan pada sistem, atau struktur
organisasi[11].
Control 9.2.6 Removal or adjustment of access rights mengenai risiko pemberian
akses kepada pihak yang tidak tepat berpotensi pada penyalahgunaan wewenang dan
perubahan data atau informasi yang tidak terotorisasi[11]. Rekomendasi yang diberikan
yaitu 1) Melakukan penghapusan data user account atas pegawai yang telah pindah atau
mutasi atau pensiun sesaat setelah tanggal efektif terakhir bekerja yang bersangkutan
ditetapkan. 2)Melakukan dokumentasi untuk mengidentifikasi perubahan dan
penghapusan hak akses pihak ketiga ketika terdapat penghentian atau perubahan kontrak
kerja[1].
Control 9.3.1 Use of secret authentication information mengenai risiko saat kata
sandi yang digunakan untuk otentikasi akses belum dikonfigurasi sesuai dengan standar
keamanan sehingga memudahkan pihak yang tidak terotorisasi untuk mengakses sistem
Perusahaan XYZ[11]. Rekomendasi yang diberikan yaitu 1) Membuat aturan terkait
pengelolaan kata sandi dan disosialisasikan secara berkala, yang setidaknya mencakup:
a) Larangan pengguna untuk mengungkapkan atau membagikan kata sandi mereka
melalui media apapun, kepada siapapun, dan dengan cara apapun, b)Larangan pengguna
untuk menyimpan informasi kata sandi secara tidak aman (misal: menulis di kertas), c)
Himbauan yang meminta pengguna untuk melakukan perubahan kata sandi apabila telah
ada indikasi tersebarnya kata sandi, d) Larangan pengguna untuk menggunakan kata
sandi yang sama untuk tujuan bisnis dan personal; 2)Melakukan konfigurasi security
hardening pada kata sandi, seperti: a) Menggunakan karakter angka (0-9), b)
Menggunakan karakter spesial atau tanda baca[1].
Control 9.4.2 Secure log-on procedures mengenai risiko dengan prosedur log on
belum dikonfigurasi sesuai standar keamanan sehingga meningkatkan potensi akses yang
tidak terotorisasi ke dalam sistem [11]. Rekomendasi yang diberikan adalah dengan
menyusun prosedur mekanisme log on yang aman yang setidaknya mencakup 1)
Mekanisme agar tidak menampilkan sistem maupun aplikasi hingga proses log on selesai,
2 )Tampilan peringatan bahwa komputer hanya dapat diakses oleh pihak yang
terotorisasi, 3) Larangan pemberian pesan bantuan selama proses login yang akan
memudahkan pihak terotorisasi untuk masuk ke system, 4) Mekanisme validasi informasi
log on setelah seluruh data masukan berhasil dimasukkan. Apabila terdapat kesalahan,
sistem tidak boleh menunjukkan bagian mana yang benar atau salah[1].
Control 9.4.3 Password management mengenai risiko saat kata sandi yang
digunakan untuk otentikasi akses belum dikonfigurasi sesuai dengan standar keamanan
sehingga memudahkan pihak yang tidak terotorisasi untuk mengakses sistem Perusahaan
XYZ. Rekomendasi yang diberikan adalah dengan melakukan konfigurasi security
hardening pada kata sandi, seperti: 1) Menggunakan karakter angka (0-9), 2)
Menggunakan karakter spesial atau tanda baca[1].
Control 9.4.4 Use of privileged utility programs mengenai risiko dengan
kebijakan system utility dan privileged access di setiap teknologi tertentu belum
didefinisikan dengan tepat sehingga meningkatkan potensi akses yang tidak terotorisasi
ke dalam sistem dan berdampak pada gangguan keamanan informasi[11]. Rekomendasi
yang diberikan adalah dengan menyusun kebijakan terkait system utility yang setidaknya
mencakup: 1) identifikasi, otentikasi, dan otorisasi untuk utility program, 2) Pemisahan
utility program dari software aplikasi, 3) Pembatasan penggunaan utility program, 4)
Mekanisme persetujuan untuk penggunaan utility program ad hoc, 5)Mekanisme logging
untuk seluruh utility program yang digunakan, 6) Pendefinisian dan dokumentasi untuk
level otorisasi dari utility program, 7)Penghapusan dan penonaktifan seluruh utility
program yang tidak digunakan, 8) Tidak menyediakan utility program kepada pengguna
yang memiliki akses ke aplikasi[1].
Control 9.4.5 Access control to program source code mengenai risiko source
code setiap program belum disimpan dan dikonfigurasi pembatasan aksesnya dengan
tepat sehingga meningkatkan risiko perubahan aplikasi dan sistem yang berdampak pada
gangguan keamanan informasi yang berat seperti aplikasi down atau tidak dapat diakses
oleh pengguna[10]. Rekomendasi yang diberikan yaitu 1) Program source libraries
sebaiknya tidak disimpan di dalam AP Server, 2) Melakukan mekanisme otorisasi pada
saat melakukan pembaruan program source libraries maupun pemberian program source
kepada programmer, 3) Penyimpanan program listings di lingkungan yang aman[1].
Control 16.1.1 Responsibilities and procedures mengenai risiko saat gangguan
keamanan informasi tidak dideteksi dan atau ditindaklanjuti secara memadai[11].
Rekomendasi yang diberikan yaitu 1) Menyusun prosedur insiden keamanan informasi
meliputi: a)Prosedur untuk mengawasi, mendeteksi, menganalisis, dan melaporkan
insiden terkait keamanan informasi yang mencakup pengadaan form pelaporan, proses
pendisiplinan, serta proses umpan balik untuk pelapor, b) Prosedur untuk menangani
bukti-bukti forensic, c) Prosedur untuk menilai keputusan yang diambil terkait insiden
keamanan informasi, serta menilai kelemahan dari keamanan informasi, d) Prosedur
untuk tanggapan eskalasi, pemulihan dari suatu insiden, dan komunikasi kepada pihak
internal dan eksternal; 2)Prosedur yang disusun harus memiliki informasi pihak yang
melakukan prosedur, point of contact, serta kontak pihak berwajib, ataupun pihak
eksternal yang berkaitan dengan pelaku prosedur[1].
Control 16.1.2 Reporting information security events mengenai risiko saat
gangguan keamanan informasi tidak dideteksi dan/atau ditindaklanjuti secara
memadai[11]. Rekomendasi yang diberikan adalah dengan menambahkan klasifikasi
keamanan informasi pada katalog layanan Help desk. Hal-hal yang dapat dilaporkan ke
Help desk terkait keamanan informasi setidaknya mencakup: 1)Kontrol keamanan yang
tidak efektif, 2)Pelanggaran integritas informasi, kerahasiaan, atau harapan ketersediaan,
3)Human error, 4)Ketidakpatuhan pada kebijakan atau prosedur, 5) Pelanggaran
pengaturan keamanan fisik, 6) Perubahan sistem yang tidak terkendali, 7) Malfungsi pada
perangkat lunak maupun perangkat keras, 8) Pelanggaran hak akses[1].
Control 16.1.3 Reporting information security weaknesses mengenai risiko
saatgangguan keamanan informasi tidak dideteksi dan/atau ditindaklanjuti secara
memadai[11]. Rekomendasi yang diberikan adalah dengan menambahkan layanan
keamanan informasi pada katalog layanan Help desk [11].
Control 16.1.4 Assessment of and decision on information security events
mengenai risiko saat gangguan keamanan informasi tidak dideteksi dan/atau
ditindaklanjuti secara memadai [11]. Rekomendasi yang diberikan yaitu 1) Melakukan
identifikasi apakah suatu kejadian dapat diklasifikasikan sebagai insiden untuk setiap
kejadian keamanan informasi yang dilaporkan, 2) Melakukan dokumentasi terkait
penilaian dan keputusan apakah suatu kejadian menjadi insiden atau tidak[1].
Control 16.1.5 Response to information security incidents mengenai risiko
terjadi ketidaktepatan dalam penanganan gangguan keamanan informasi yang
mengakibatkan terulangnya gangguan keamanan informasi yang sama secara terus-
menerus [11]. Rekomendasi yaitu 1) Menyusun prosedur penanganan insiden keamanan
informasi yang meliputi: a)Pengumpulan bukti-bukti saat insiden keamanan informasi
terjadi, b)Pelaksanaan analisis forensik keamanan, c)Proses eskalasi; 2) Analisis pasca
insiden untuk mengidentifikasi sumber dari insiden[1].
Control 16.1.6 Learning from information security incidents mengenai risiko
terjadi ketidaktepatan dalam penanganan gangguan keamanan informasi yang
mengakibatkan terulangnya gangguan keamanan informasi yang sama secara terus-
menerus[11]. Rekomendasi menyusun panduan untuk melakukan pemantauan dan
kuantifikasi tipe, volume, dan biaya dari insiden keamanan informasi[1].
Control 16.1.7 Collection of evidence mengenai risiko terjadi ketidaktepatan
dalam penanganan gangguan keamanan informasi yang mengakibatkan terulangnya
gangguan keamanan informasi yang sama secara terus-menerus[11]. Rekomendasi
dengan menyusun prosedur perlakuan terhadap bukti insiden keamanan informasi.
Prosedur tersebut harus mempertimbangkan: 1) Chain of custody, 2) Keamanan bukti, 3)
Keselamatan personel, 4) Peran dan tanggung jawab personel yang terlihat. 5)
Kompetensi personel, 6) Dokumentasi, 7) Instruksi, 8) Batas organisasi atau
yurisdiksi[1].
Rekomendasi ini sudah di setujui oleh manajemen untuk perbaikan berdasarkan
kontrol dengan kategori belum sesuai. Studi pustaka hasil evaluasi kontrol keamanan
informasi memperlihatkan bahwa semua kategori kesesuaian terdefinisi. Untuk status
penerapan berjumlah 21 kontrol terbagi untuk status penerapan dengan kategori sesuai
berjumlah 2 kontrol dan untuk status penerapan dengan kategori belum sesuai berjumlah
19 kontrol sementara yang tidak sesuai tidak ada. Klasifikasi keamanan informasi sebagai
berikut: 1) Keamanan Fisik (Physical Security) yaitu strategi untuk mengamankan
anggota, aset fisik dan tempat kerja dari berbagai ancaman yang terjadi, 2) Keamanan
Pribadi (Personal Security) yaitu bagian dari keamanan fisik yang melindungi SDM pada
organisasi yang memiliki akses terhadap informasi, 3) Keamanan Operasional (Operation
Security) yang berfokus pada strategi untuk mengamankan kemampuan organisasi untuk
bekerja tanpa ada gangguan, 4) Keamanan Komunikasi (Communication Security) yaitu
mengamankan media komunikasi, teknologi komunikasi beserta isinya, serta kemampuan
untuk memanfaatkan untuk mencapai tujuan organisasi, 5) Keamanan Jaringan (Network
Security) yang berfokus pada pengamatan peralatan jaringan data organisasi, jaringan
beserta isinya, serta kemampuan untuk menggunakan jaringan dalam memenuhi fungsi
komunikasi data organisasi[2].
V. Kesimpulan dan Saran
Evaluasi perusahaan XYZ terhadap kontrol pengendalian akses dan pengelolaan
gangguan keamanan informasi dilakukan berdasarkan kerangka kerja ISO/IEC
27002:2013, memperlihatkan bahwa semua kategori kesesuaian terdefinisi. Untuk status
penerapan dengan kategori berjumlah 21 kontrol, sedangkan untuk status penerapan
dengan kategori sesuai berjumlah 2 kontrol, sementara itu untuk status penerapan dengan
kategori belum sesuai berjumlah 19 kontrol. Bila dibuat presentasenya, terdapat 10%
implementasi kontrol keamanan informasi sudah sesuai dengan kerangka kerja ISO/IEC
27002:2013, dan terdapat 90% implementasi kontrol keamanan informasi belum sesuai.
Penelitian yang telah dilakukan menghasilkan rekomendasi yang diberikan untuk
membenahi 19 kontrol yang belum sesuai sehingga Perusahaan XYZ yang tadinya belum
maksimal dalam implementasi kerangka kerja ISO 27002:2013 terkait pengendalian akses
dan pengendalian pengelolaan gangguan keamanan informasi. Dapat segera memperbaiki
bagian – bagian yang belum sesuai tersebut oleh karena itu dilakukan pengendalian akses
dan pengelolaan gangguan keamanan informasi di perusahaan XYZ dibutuhkan perbaikan
untuk penyempurnaan pada SMKI yang mana terkait kebijakan, Standar Operasional
Prosedur, dan dokumen penerapan serta pengawasan terkait perbaikan secara fisik.
Saran untuk penelitian selanjutnya yang perlu dievaluasi pada Perusahaan XYZ
berdasarkan kontrol ISO 27002:2013 adalah 1) Organisasi Keamanan Informasi
memastikan dalam pembentukan organisasi fungsional keamanan informasi yang
bertanggung jawab untuk mengelola keamanan informasi dan perangkat pengolah
informasi; 2) Pengelolaan Aset Informasi memastikan pengelolaan aset informasi dan
aset terkait fasilitas pemrosesan informasi di lingkungan organisasi untuk melindungi dan
menjamin keamanan aset informasi; 3) Keamanan Sumber Daya Manusia memastikan
penerapan keamanan informasi saat sebelum, selama, dan setelah pegawai maupun pihak
ketiga tidak bertugas; 4) Keamanan Fisik dan Lingkungan memastikan untuk mencegah
adanya akses fisik oleh pihak yang tidak berwenang serta meminimalkan risiko kerusakan
atas perangkat pengolah informasi yang dapat mengganggu aktivitas organisasi; 5)
Pengelolaan Komunikasi dan Operasional memastikan bahwa aktivitas operasional
organisasi berjalan secara aman dan akurat serta memastikan efektivitas dari pengelolaan
layanan komunikasi dan memastikan keamanan pertukaran informasi; 6) Keamanan
Informasi dalam Pengadaan, Pengembangan, dan Pemeliharaan Sistem Informasi sebagai
memastikan bahwa keamanan informasi terintegrasi di dalam proses akuisisi,
pengembangan, dan pemeliharaan sistem untuk meminimalkan risiko kesalahan,
kehilangan, serta modifikasi informasi oleh pihak yang tidak berwenang; 7) Keamanan
Informasi dalam Pengelolaan Kelangsungan Kegiatan memastikan keberlangsungan
operasional dan layanan bisnis pada saat keadaan darurat; 8) Pengelolaan Pihak Ketiga
panduan dalam memitigasi risiko terkait akses pihak ketiga kedalam aset organisasi; dan
9) Kepatuhan sebagai panduan untuk menghindari pelanggaran terhadap peraturan
perundangan terkait keamanan informasi..
IV. Daftar Pustaka
[1] ISO. ISO/IEC 27002:2013, 2013, Information Technology-Security
Techniques-Information Security Management Sistems-Code of Practice
for Information Security Controls,United States of America.
[2] Badan Standardisasi Nasional, 2009. “Teknologi Informasi Teknik
Keamanan Sistem Manajemen Keamanan Informasi Persyaratan”.
Jakarta: BSN, 2009.
[3] Afandi, Herman &Darmawan, Abdi, 2015, Audit Keamanan Informasi
Menggunakan ISO 27002 Pada Data Center PT.Gigipatra Multimedia,
Magister TI Institut Informatika dan Bisnis Darmajaya. Lampung.
[4] Saputra, Alhadi,2016, Evaluasi Implementasi Kontrol Keamanan
Informasi Berdasarkan Kerangka Kerja ISO/IEC 27002:2013 Di
Pustispan. Lembaga Penerbangan dan Antariksa Nasional, Jakarta.
[5] ISACA, 2012 COBIT 5 for Information Security. Illinois:ISACA, Illinois.
[6] Agustina, E.R.: Kurniati, A., 2009, Pemanfaatan Kriptografi Dalam
Mewujudkan Keamanan Informasi Pada e-Voting Di Indonesia,
SemnasIF UPN “Veteran” Yogyakarta, Yogyakarta.
[7] Sarno, Riyanarto., Iffano, Irsyat, 2009, Sistem Manajemen Keamanan
Informasi berbasis ISO 27001. Surabaya: ITS Press.
[8] Kementerian Keuangan Republik Indonesia, 2010, Keputusan Menteri
Keuangan nomor 479 tahun 2010 tentang Kebijakan Dan Standar
Sistem Manajemen Keamanan Informasi Di Lingkungan Kementerian
Keuangan. Menteri Keuangan Republik Indonesia. Jakarta.
[9] Adler, M.P, 2006, A Unified Approach To Information Security
Compliance, EDUCASE Rev. 41 (5), pp. 46–59.
[10] Agustina, E.R.: Kurniati, A., 2009, Pemanfaatan Kriptografi Dalam
Mewujudkan Keamanan Informasi Pada e-Voting Di Indonesia,
SemnasIF UPN “Veteran” Yogyakarta, Yogyakarta
[11] Inspektorat Jenderal Kementerian Keuangan Republik Indonesia, 2015,
Pedoman audit keamanan teknologi informasi, Kementerian Keuangan
Republik Indonesia. Jakarta
[12] M. Rouse, "Information Security Management System (ISMS)," 2011.
[Online].Available:http://whatis.techtarget.com/definition/informationse
curity-management-system-ISMS. [telah akses 5 Januari 2018]
[13] "Mengenal Sistem Manajemen Keamanan Informasi," Lembaga Sandi
Negara, 10 Desember 2015.[Online].
Available:http://www.lemsaneg.go.id/index.php/2015/12/10/mengenal-
sistemmanajemen-keamanan-informasi/. [telah diakses 5 januari 2018].