UTS SUSULANAUDIT SISTEMStandar Pengelolaan di Dunia IT
Disusun oleh:
Nama: Yoga PratamaNIM: 12650014
PROGRAM STUDI TEKNIK INFORMATIKAFAKULTAS SAINS DAN
TEKNOLOGIUNIVERSITAS ISLAM NEGERI SUNAN KALIJAGA
YOGYAKARTA2014/2015
PENDAHULUAN
A. Latar BelakangBerkembangnya dunia teknologi sekarang,
menimbulkan persaingan yang ketat perusahaan IT satu dengan lainnya
dalam mempertahankan fungsi bisnis mereka. Untuk mempertahankan hal
tersebut, tiap perusahaan akan menentukan teknologi yang akan
membantu mereka da lam beroperasi. Akan tetapi, teknologi yang
digunakan bukanlah sesuatu yang mudah untuk dicapai, dibutuhkan
pengesahan atau pengalaman dalam mengoperasikan teknologi tersebut.
Hal ini menyebabkan diadakannya sebuah standar penilaian pada
teknologi informasi.Dengan adanya standardisasi, organisasi dapat
berkembang dengan lebih terarah. Semua anggota organisasi mulai
dari programmer, analis, tester, manajer dan direktur mengetahui
apa jobdesk masing-masing pribadi. Apa yang harus disediakan bagi
pihak lain dan juga apa yang bisa diharapkan dari divisi lain.
Dengan demikian, tidak banyak usaha yang sia-sia karena
miss-communication atau kurangnya koordinasi. Sayangnya, dunia
enterpreneur IT di Indonesia masih jarang yang memperhatikan
standardisasi ini, karena adanya beberapa faktor misalnya, tidak
mengerti Inggris, standar luar negeri tidak cocok untuk kondisi
lokal, standar hanya organisasi merasa monoton dan membosankan.
B. Rumusan Masalah1. Bagaimana cara kerja COBIT?2. Bagaimana
cara kerja ISO/IEC 27002?3. Bagaimana cara kerja CMMI?
C. TujuanDengan adanya standar pengelolaan pada bidang teknologi
informasi, setiap bagian-bagian penting perusahaan dapat
berkoordinasi dengan baik sehingga mengakibatkan tujuan perusahaan
dapat berjalan dengan lancar.
PEMBAHASAN
A. COBIT1. Pengertian CobitControl Objective for Information and
related Technology, disingkat COBIT adalah suatu panduan standar
praktik manajemen teknologi informasi. Adalah sekumpulan
dokumentasi best practice untuk IT Governance yang dapat membantu
auditor, pengguna (user), dan manajemen, untuk menjembatani gap
antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis
IT. COBIT merupakan standar yang dinilai paling lengkap dan
menyeluruh sebagai FrameWork IT audit karena dikembangkan secara
berkelanjutan oleh lembaga swadaya profesional auditor yang
tersebar di hampir seluruh negara. Dimana di setiap negara dibangun
chapter yang dapat mengelola para profesional tersebut. Cobit
Adalah satu metodologi yang memberikan kerangka dasar dalam
menciptakan sebuah Teknologi Informasi yang sesuai dengan kebutuhan
organisasi dengan tetap memperhatikan faktor faktor lain yang
berpengaruh. Cobit Adalah suatu panduan standar praktik manajemen
teknologi informasi. Standar COBIT dikeluarkan oleh IT Governance
Institute yang merupakan bagian dari ISACA (Information Systems
Audit and Control Association).COBIT memiliki 4 cakupan domain,
yaitu :a. Perencanaan dan organisasi (Planning and Organisation)b.
Pengadaan dan implementasi (Acquisition and Implementation)c.
Pengantaran dan dukungan (Delivery and Support)d. Pengawasan dan
evaluasi (Monitoring)
Domain 1 : Planning and OrganisationDomain ini mencakup strategi
dan taktik yang menyangkut identifikasi tentang bagaimana TI dapat
memberikan kontribusi terbaik dalam pencapaian tujuan bisnis
organisasi sehingga terbentuk sebuah organisasi yang baik dengan
infrastruktur teknologi yang baik pula.Langkah-langkah:a.
Menetapkan rencana stratejik TIb. Menetapkan hubungan dan
organisasi TIc. Mengkomunikasikan arah dan tujuan manajemend.
Mengelola sumberdaya manusiae. Memastikan pemenuhan keperluan pihak
eksternalf. Menaksir risiko
Domain 2 : Acquisition and ImplementationUntuk mewujudkan
strategi TI, solusi TI perlu diidentifikasi, dibangun atau
diperoleh dan kemudian diimplementasikan dan diintegrasikan dalam
proses bisnis.Langkah-langkah :a. Mengidentifikasi solusi
terotomatisasib. Mendapatkan dan memelihara infrastruktur
teknologic. Mengembangkan dan memelihara prosedurd. Memasang dan
mengakui sisteme. Mengelola perubahan
Domain 3 : Delivery and SupportDomain ini berhubungan dengan
penyampaian layanan yang diinginkan, yang terdiri dari operasi pada
security dan aspek kesinambungan bisnis sampai dengan pengadaan
training.Langkah-langkah :a. Menetapkan dan mengelola tingkat
pelayananb. Mengelola pelayanan kepada pihak lainc. Memastikan
pelayanan yang kontinyud. Memastikan keamanan sisteme. Mengelola
konfigurasi/susunanf. Mengelola datag. Mengelola fasilitas
Domain 4 : MonitoringSemua proses TI perlu dinilai secara
teratur dan berkala bagaimana kualitas dan kesesuaiannya dengan
kebutuhan kontrol.Langkah-langkah:a. Memonitor proses menaksir
kecukupan pengendalian internalb. Mendapatkan kepastian yang
independenMaksud utama COBIT ialah menyediakan kebijakan yang jelas
dan good practice untuk IT governance, membantu manajemen senior
dalam memahami dan mengelola resiko-resiko yang berhubungan dengan
IT. COBIT mendukung tata kelola TI dengan menyediakan kerangka
kerja untuk mengatur keselarasan TI dengan bisnis. Selain itu,
kerangka kerja juga memastikan bahwa TI memungkinkan bisnis,
memaksimalkan keuntungan, resiko TI dikelola secara tepat, dan
sumber daya TI digunakan secara bertanggung jawab. COBIT
menyediakan kerangka IT governance dan petunjuk control objective
yang detail untuk manajemen, pemilik proses bisnis, user dan
auditor.Pada dasarnya COBIT dikembangkan untuk membantu memenuhi
berbagai kebutuhan manajemen terhadap informasi dengan menjembatani
kesenjangan antara resiko bisnis, kontrol dan masalah teknik. COBIT
dapat menyediakan seperangkat praktek yang dapat diterima pada
umumnya karena dapat membantu para direktur, eksekutif dan manager
meningkatkan nilai IT dan mengecilkan resiko.Untuk menpersiapkan
proses manajemen dan bisnis dengan model TI governance yang
membantu dalam memahami dan memgelola resiko yang berhubungan
dengan TI.
2. Kerangka Kerja COBITKerangka kerja COBIT terdiri atas
beberapa arahan/pedoman, yakni:a. Control ObjectivesTerdiri atas 4
tujuan pengendalian tingkat-tinggi (high-level control objectives)
yang terbagi dalam 4 domain, yaitu : Planning & Organization ,
Acquisition & Implementation , Delivery & Support , dan
Monitoring & Evaluation.b. Audit GuidelinesBerisi sebanyak 318
tujuan-tujuan pengendalian yang bersifat rinci (detailed control
objectives) untuk membantu para auditor dalam memberikan management
assurance dan/atau saran perbaikan.c. Management GuidelinesBerisi
arahan, baik secara umum maupun spesifik, mengenai apa saja yang
mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan
berikut:i. Sejauh mana TI harus bergerak atau digunakan, dan apakah
biaya TI yang dikeluarkan sesuai dengan manfaat yang
dihasilkannya.ii. Apa saja indikator untuk suatu kinerja yang
bagus.iii. Apa saja faktor atau kondisi yang harus diciptakan agar
dapat mencapai sukses ( critical success factors ).iv. Apa saja
risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang
ditentukan.v. Bagaimana dengan perusahaan lainnya, apa yang mereka
lakukan.vi. Bagaimana mengukur keberhasilan dan bagaimana pula
membandingkannya.
3. Manfaat dan Pengguna COBITSecara manajerial target pengguna
COBIT dan manfaatnya adalah :a. Direktur dan EksekutifUntuk
memastikan manajemen mengikuti dan mengimplementasikan strategi
searah dan sejalan dengan TI.b. Manajemeni. Untuk mengambil
keputusan investasi TI.ii. Untuk keseimbangan resiko dan kontrol
investasi.iii. Untuk benchmark lingkungan TI sekarang dan masa
depan.c. PenggunaUntuk memperoleh jaminan keamanan dan control
produk dan jasa yang dibutuhkan secara internal maupun eksternal.d.
Auditorsi. Untuk memperkuat opini untuk manajemen dalam control
internal.ii. Untuk memberikan saran pada control minimum yang
diperlukan.
B. ISO/IEC 270021. Pengertian ISO/IEC 27002ISO/IEC 27002 adalah
suatu standar keamanan informasi yang diterbitkan oleh ISO dan IEC
pertama kali dengan nama ISO/IEC 17799:2005 yang berubah menjadi
ISO/IEC 27002 pada Juli 2007 untuk menyesuaikan dengan penamaan
seri standar ISO/IEC 27000. Nama lengkapnya adalah ISO/IEC
27002:2007 - Information technology - Security techniques - Code of
practice for information security management. Versi pertama standar
ini, ISO/IEC 17799, merupakan adaptasi dari standar BS
7799-1:1999.
ISO/IEC 27002 memberikan rekomendasi praktik terbaik untuk
sistem manajemen keamanan informasi (ISMS, information security
management system) yang didefinisikan oleh standar ini dalam
konteks C-I-A: confidentiality (kerahasiaan), integrity
(integritas), dan availabity (ketersediaan).
2. Kerangka Kerja ISO/IEC 27002a. Kebijakan Pengamanan (Security
Policy), mengarahkan visi dan misi manajemen agar kelangsungan
organisasi dapat dipertahankan dengan mengamankan dan menjaga
integritas/keutuhan data/informasi penting yang dimiliki oleh
perusahaan.Kebijakan pengamanan sangat diperlukan mengingat
banyaknya masalah-masalah non teknis seperti penggunaan password
oleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan
dalam menjalankan sistem keamanan informasi. Kebijakan pengamanan
ini meliputi aspek infratruktur dan regulasi keamanan informasi.Hal
pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan
inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi
yang melibatkan semua departemen, sehingga peraturan yang akan
dibuat tersebut dapat diterima oleh semua pihak. Setelah itu
rancangan peraturan tersebut diajukan ke pihak direksi untuk
mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan
baik.b. Pengendalian Akses Sistem (System Access Control),
mengendalikan/membatasi akses user terhadap informasi-informasi
dengan cara mengatur kewenangannya, termasuk pengendalian secara
mobile-computing ataupun tele-networking. Mengontrol tata cara
akses terhadap informasi dan sumber daya yang ada yang meliputi
berbagai aspek seperti :i. Persyaratan bisnis untuk kendali
akses.ii. Pengelolaan akses user (User Access Management)iii.
Kesadaran keamanan informasi (User Responsibilitiesiv. Kendali
akses ke jaringan (Network Access Control)v. Kendali akses terhadap
sistem operasi (Operating System Access Control)vi. Pengelolaan
akses terhadap aplikasi (Application Access Management)vii.
Pengawasan dan penggunaan akses sistem (Monitoring System Access
and Use)viii. Mobile Computing dan Telenetworking.c. Pengelolaan
Komunikasi dan Kegiatan (Communication and Operations Management),
menyediakan perlindungan terhadap infrastruktur sistem informasi
melalui perawatan dan pemeriksaan berkala, serta memastikan
ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan
guna menghindari kesalahan operasional. Pengaturan tentang alur
komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu
:i. Prosedur dan tanggung jawab operasionalii. Perencanaan dan
penerimaan sistemiii. Perlindungan terhadap software jahat
(malicious software)iv. Housekeepingv. Pengelolaan Networkvi.
Pengamanan dan Pemeliharaan Mediavii. Pertukaran informasi dan
software.d. Pengembangan dan Pemeliharaan Sistem (System
Development and Maintenance), memastikan bahwa sistem operasi
maupun aplikasi yang baru diimplementasikan mampu bersinergi
melalui verifikasi dan validasi.Penelitian untuk pengembangan dan
pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan
pengamanan sistem; Pengamanan sistem aplikasi; Penerapan
Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan
dan proses pendukungnya.e. Pengamanan Fisik dan Lingkungan
(Physical and Environmental Security), mencegah kehilangan dan/atau
kerusakan data yang diakibatkan oleh lingkungan secara fisik,
termasuk bencana alam dan pencurian data yang tersimpan dalam media
penyimpanan atau dalam fasilitas penyimpan informasi yang
lain.Pengamanan fisik dan lingkungan ini meliputi aspek :
Pengamanan area tempat informasi disimpan; Pengamanan alat dan
peralatan yang berhubungan dengan informasi yang akan dilindungi;
dan Pengendalian secara umum terhadap lingkungan dan hardware
informasi.f. Penyesuaian (Compliance), memastikan implementasi
kebijakan-kebijakan keamanan selaras dengan peraturan dan
perundangan yang berlaku, termasuk perjanjian kontrak melalui audit
sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk
prosedur dan peraturan, yaitu :i. Penyesuaian dengan persyaratan
legalii. Peninjauan kembali kebijakan pengamanan dan penyesuaian
secara teknisiii. Pertimbangan dan audit sistem.g. Keamanan
personel/sumber daya manusia (Personnel Security), upaya
pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang
akibat kesalahan manusia (human error), manipulasi data dalam
pengoperasian sistem serta aplikasi oleh user. Kegiatan yang
dilakukan diantaranya adalah pelatihan-pelatihan mengenai kesadaran
informasi (security awareness) agar setiap user mampu menjaga
keamanan data dan informasi dalam lingkup kerja
masing-masing.Personnel Security meliputi berbagai aspek, yaitu :i.
Security in Job Definition and Resourcingii.
Pelatihan-pelatihaniii. Responding to Security Incidens and
Malfunction.h. Organisasi Keamanan (Security Organization),
memelihara keamanan informasi secara global pada suatu organisasi
atau instansi, memelihara dan menjaga keutuhan sistem informasi
internal terhadap ancaman pihak eksternal, termasuk pengendalian
terhadap pengolahan informasi yang dilakukan oleh pihak ketiga
(outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan
pengendalian akses pihak ketiga dan Outsourcingi. Klasifikasi dan
pengendalian aset (Asset Classification and Control), memberikan
perlindungan terhadap aset perusahaan yang berupa aset informasi
berdasarkan tingkat perlindungan yang telah ditentukan.
Perlindungan aset ini meliputi accountability for Asset dan
klasifikasi informasi.j. Pengelolaan Kelangsungan Usaha (Business
Continuity Management), siaga terhadap resiko yang mungkin timbul
didalam aktivitas lingkungan bisnis yang bisa mengakibatkan major
failure atau resiko kegagalan sistem utama ataupun disaster atau
kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan
pengelolaan untuk kelangsungan proses bisnis, dengan
mempertimbangkan semua aspek dari business continuity
management.
Membangun dan menjaga keamanan sistem manajemen informasi akan
terasa jauh lebih mudah dan sederhana dibandingkan dengan
memperbaiki sistem yang telah terdisintegrasi. Penerapan standar
ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi
bila didukung oleh kerangka kerja manajemen yang baik dan
terstruktur serta pengukuran kinerja sistem keamanan informasi,
sehingga sistem informasi akan bekerja lebih efektif dan
efisien.
C. CMMI1. Pengertian CMMICapability Maturity Model Integration
(CMMI) merupakan suatu model pendekatan dalam penilaian skala
kematangan dan kemampuan sebuah organisasi perangkat lunak. CMMI
pada awalnya dikenal sebagai Capability Maturity Model (CMM) yang
dikembangkan oleh Software Enginnering Institute di Pittsburgh pada
tahun 1987. Namun perkembangan selanjutnya CMM menjadi CMMI. CMMI
mendukung proses penilaian secara bertingkat. Penilaiannya tersebut
berdasarkan kuisioner dan dikembangkan secara khusus untuk
perangkat lunak yang juga mendukung peningkatan proses.CMMI adalah
suatu pendekatan perbaikan proses yang memberikan unsurunsur
penting proses efektif bagi organisasi. Praktik-praktik terbaik
dipublikasikan dalam dokumen-dokumen yang disebut model, yang
masing-masing ditujukan untuk berbagai bidang yang berbeda.CMMI
memiliki 4 aturan yang dapat disesuaikan menurut organisasi IT,
yakni System Engineering (SE), Software Engineering (SW),
Integrated Product Process Development (IPPD) dan Supplier Sourcing
(SS). CMMI terdiri dari practices Dalam rangkaian practices ini ada
rambu-rambu atau rekomendasi yang diikuti. Practices dalam CMMI
dibagi menjadi dua, yaitu Generic Practices (GP) Specific Practices
(SP). Bila kita sudah mengimplementasikan practices dengan sempurna
kita dianggap sudah memenuhi Goals. Sama seperti practices, ada
Generic (GG) dan Specific Goals (SG). SG dan SP dikelompokkan
menjadi Process Area (PA).
Process Area yang ada sebagai berikut
Saat ini terdapat dua bidang minat yang dicakup oleh model CMMI:
development (pengembangan) dan acquisition (akuisisi). Versi
terkini CMMI adalah versi 1.2 dengan dua model yang tersedia yaitu
CMMI-DEV (CMMI for Development) yang dirilis pada Agustus 2006 dan
ditujukan untuk proses pengembangan produk dan jasa, serta CMMI-ACQ
(CMMI for Acquisition) yang dirilis pada November 2007 dan
ditujukan untuk manajemen rantai suplai, akuisisi, serta proses
outsourcing di pemerintah dan industri.CMMI menangani jalan yang
harus ditempuh suatu organisasi untuk bisa mengelola proses yang
terpetakan dengan baik, yang memiliki tahapan terdefinisi baik.
Asumsi yang berlaku di sini adalah bahwa dalam organisasi yang
matang, dimungkinkan untuk mengukur dan mengaitkan antara kualitas
produk dan kualitas proses.Terlepas model mana yang dipilih oleh
suatu organisasi, praktik-praktik terbaik CMMI harus disesuaikan
oleh masing-masing organisasi tergantung pada sasaran bisnisnya.
Organisasi tidak dapat memperoleh sertifikasi CMMI, melainkan
dinilai dan diberi peringkat 1-5. Hasil pemeringkatan penilaian ini
dapat dipublikasikan jika dirilis oleh organisasi
penilainya.Maturity Level di CMMI ada 5, mulai dari yang terendah
Maturity Level 1 hingga Maturity Level 5. Setiap Maturity Level
memiliki seperangkat Process Area yaitu Generic Practices (GP) dan
Specific Practices (SP) yg harus dipenuhi agar perusahaan berhak
menggunakan titel Maturity Level tersebut. Sebagai contoh, bila
perusahaan ingin lulus Maturity Level-2, maka perusahaan harus
mengimplementasikan 7 process area. Untuk mencapai Maturity
Level-3, perusahaan harus mengimplementasikan 7 process area dari
Maturity Level-2 ditambah dengan 11 process area dari Maturity
Level-3. Demikian seterusnya, sehingga Maturity Level-5 yang sudah
mengimplementasikan 22 process area.
2. Klasifikasi CMMI
a. Maturity level 1 InitializedPada ML1 ini proses biasanya
berbentuk ad hoc. Sukses pada level ini didasarkan pada kerja keras
dan kompetensi yang tinggi orang-orang yang ada di dalam organisasi
tersebut atau dapat juga dikatakan perusahaan ini belum menjalankan
tujuan dan sasaran yang telah didefinisikan oleh CMMI.b. Maturity
level 2 ManagedPada ML2 ini sebuah organisasi telah mencapai
seluruh specific dan generic goals pada Level 2. Semua pekerjaan
yang berhubungan dengan dengan proses-proses yang terjadi saling
menyesuaikan diri agar dapat diambil kebijakan. Setiap orang yang
berada pada proses ini dapat mengakses sumber daya yang cukup untuk
mengerjakan tugas masing-masing. Setiap orang terlibat aktif pada
proses yang membutuhkan. Setiap aktivitas dan hasil pekerjaan
berupa memonitor, mengontrol, meninjau, serta mengevaluasi untuk
kekonsistenan pada deskripsi yang telah diberikan.c. Maturity level
3 DefinedPada ML3 ini sebuah organisasi telah mencapai seluruh
specific dan generic goals pada Level 2 dan Level 3. Proses dilihat
dengan terjadinya penyesuaian dari kumpulan proses standar sebuah
organisasi menurut pedoman-pedoman pada organisasi tersebut,
menyokong hasil kerja, mengukur, dan proses menambah informasi lain
menjadi milik organisasi.d. Maturity level 4 Quantitatively
ManagedPada ML4 ini, sebuah organisasi telah mencapai seluruh
specific dan generic goals yang ada pada Level 2, 3, dan 4. Proses
yang terjadi dapat terkontrol dan ditambah menggunakan
ukuran-ukuran dan taksiran kuantitatif. Sasaran kuantitatif untuk
kualitas dan kinerja proses ditetapkan dam digunakan sebagai
kreteria dalam manajemen proses.
e. Maturity level 5 OptimizingPada ML5 ini suatu organisasi
telah mencapai seluruh specific dan generic goals yang ada di Level
2, 3, 4, dan 5. ML5 fokus kepada peningkatan proses secara
berkesinambungan melalui inovasi teknologi.
KESIMPULAN
COBIT adalah fondasi yang berguna untuk membangun suatu
lingkungan pengendalian yang berbasis TI. Cakupannya luas, cukup
fleksibel bila berintegrasi dengan lingkungan pengendalian bisnis,
databasenya dapat dibagi, dan prosedurnya manual. Sangat mungkin
untuk membangun complete toolkit untuk mengimplementasikan
lingkungan pengendalian berbasis TI.ISO/IEC 27002 sangat berguna
dalam menilai sebuah keamanan sistem. Keamanan data/informasi
secara langsung maupun tidak langsung dapat mempertahankan
kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of
investment dan bahkan memberikan peluang bisnis semakin besar.
Semakin banyak informasi perusahaan yang disimpan, dikelola dan
digunakan secara bersama, akan semakin besar pula resiko terjadinya
kerusakan, kehilangan atau tereksposnya data/informasi ke pihak
lain yang tidak berhak.Dalam menentukan level CMMI sebuah
perusahaan IT, diperlukan adanya GP dan SP yang telah ditetapkan
dari PA setiap level. CMMI membantu sebuah perusahaan IT untuk
membangun langkah maju dengan lebih baik, dengan adanya pembagian
level kedewasaan maka perusahaan juga dapat mengukur seberapa jauh
mereka sudah melangkah dan apa yang bisa menjadi salah satu jaminan
bagi mereka dalam menawarkan produknya kepada customer
