24 November, 2018

Framework TOGAF, NIST dan ISO/IEC 27001



PEMBAHASAN
TOGAF FRAMEWORK
TOGAF (The Open Group Architecture Framework) merupakan salah satu framework audit IT yang memperinci metode dan tools pendukung dalam pemngembangan suatu arsitektur perusahaan. Togaf merupakan metode umum yang komprehensif dan juga sebuah standar terbuka dan tidak tergantung oleh vendor maupun teknologi yang digunakan yang dapat disesuaikan sesuai kebutuhan organisasi yang menerapkannya.
Architecture Development Method (ADM) merupakan metodologi lojik dari TOGAF yang terdiri dari delapan fase utama untuk pengembangan dan pemeliharaan technical architecture dari organisasi. ADM membentuk sebuah siklus yang iteratif untuk keseluruhan proses, antar fase, dan dalam tiap fase di mana pada tiap-tiap iterasi keputusan baru harus diambil.
Keputusan tersebut dimaksudkan untuk menentukan luas cakupan enterprise, level kerincian, target waktu yang ingin dicapai dan asset arsitektural yang akan digali dalam enterprise continuum. ADM merupakan metode yang umum sehingga jika diperlukan pada prakteknya ADM dapat disesuaikan dengan kebutuhan spesifik tertentu, misalnya digabungkan dengan framework yang lain sehingga ADM menghasilkan arsitektur yang spesifik terhadap organisasi.
Tahapan – tahapan TOGAF ADM Framework :
1)        Architecture Vision
Menentukan ruang lingkup dari arsitektur yang akan dikembangkan, dan berisi pertanyaan – pertanyaan yang akan diajukan untuk mendapatkan arsitektur yang ideal.
2)        Business Architecture
Mendefinisikan tahap awal arsitektur bisnis, menetukan model bisnis berdasarkan skenario bisnis.
3)        Information System Architecture
Bagaimana arsitektur tersebut dikembangkan dan lebih memfokuskan pada bagaimana data yang digunakan untuk kebutuhan proses dan layanan.
4)        Technology Architecture
Membangun arsitektur teknologi dimulai dari penentuan jenis kandidat teknologi yang diperlukan dengan menggunakan Technology Portofolio Catalog.
5)        Opportunities and Solution
Menemukan manfaat yang diperoleh dari arsitektur enterprise guna menentukan arsitektur yang akan diimplementasikan.
6)        Migration Planning
Melakukan penilaian dan menentukan rencana migrasi dari suatu sistem informasi.
7)        Implementation Governance
Menyusun rekomendasi untuk pelaksanaan tatakelola implementasi yang telah dilakukan.
8)        Architecture Change Management
Menetapkan rencana manajemen arsitektur dengan cara melakukan pengawasan terhadap perkembangan teknologi.

NIST FRAMEWORK
NIST (National Institute of Standards and Technology) Merupakan agen federal non-peraturan dalam Departemen Perdagangan AS  (link eksternal). Misi NIST adalah untuk mempromosikan inovasi AS dan  daya saing industri dengan memajukan ilmu pengetahuan pengukuran,  standar, dan teknologi dengan cara yang meningkatkan keamanan ekonomi dan meningkatkan kualitas hidup kita. Terdapat 3 proses dalam menajemen resiko yang dikeluarkan oleh NIST yaitu :
1)        Risk Identification
Mendefinisikan ancaman potensial dan resiko yang berhubungan dengan penggunaan teknologi informasi dan juga melakukan kontrol terhadap pengurangandan penghilangan resiko. Terdapat 9 langkah yang harus dipenuhi yaitu :
            System Characterization
Melihat batasan, fungsionalitas dan tingkat sensitifitas sistem dari sudut pandang hardware, software, interface dan data.
Threat Identification
Mengenali berbagai sumber yang akan menjadi gangguan pada sistem berupa sekumpulan resiko yang mungkin terjadi serta sumber resiko yang ddapat menimbulkan kerentanan pada sistem.
Vulnerability Identification
Identifikasi terhadap kelemahan dan kekurangan sistem yang terjadi menjadi ancaman terhadap sistem, yang informasinya dapat diambil dari laporan penilaian resiko terdahulu.
Control Analysis
Menganalisis kontrol yang telah deterapkan atau yang akan diterapkan.
Likelihood Determination
Digunakan untuk memperoleh nilai kecenderungan yang mungkin terjadi atas kelemahan dari sistem.
Impact Analysis
Menilai dampak yang terjadi terhadap serangan atas bagian lemah dari sebuah sistem.
Risk Determination
Menilai tingkat dari resiko yang akan timbul pada sistem TI yang akan dilevelkan tingkat resiko tinggi, sedang, dan rendah yang memiliki skor probabilitas level 1 untuk tinggi, 0.5 untuk sedang dan 0.1 untuk rendah.
Control Recomendation
Mengurangi level resiko pada sistem TI sehingga mencapai level yang dapat diterima.
Result Documentation
Laporan atau dokumentasi dari seluruh kegiatan yang ada dimulai dari tahap karakteristik hingga rekomendasi kontrol.
2)        Risk Mitigation
Tahap kedua dari manajemen resiko NIST melibatkan prioritisisasi, evaluasi dan impleentasi rekomendasi dari kontrol pengurangan resiko dari tahap sebelumnya. Metodologi sistemik yang digunakan manajemen untuk mengurangi dampak resiko aktifitasnya adalah :
            Prioritize Action
Memberi prioritas utama terhadap resiko dan kerentanan yang terjadi pada sistem.
Evaluate Recomended Control
Evaluasi terhadap kontrol yang direkomendasikan dalam proses penilaian resiko sehingga diperoleh rekomendasi yang tepat untuk meminimalisasi resiko yang mengancam sistem.
Conduct Cost Benefit Analysis
Membantu manajemen dalam pengambilan keputusan dan untuk mengidentifikasi kontrol biaya, serta menganalisis keuntungan biaya.
Select Control
Evaluasi terhadap kontrol dan analisis biaya maka dipilih kontrol yang paling baik dari teknis dan biaya dan kontrol yang dipilih akan diterapkan.
Assign Responsibility
Penugasan atau pemilihan personil yang tepat sebagain penanggung jawab terhadap kontrol yang dilaksanakan.
Develop Safeguard Implementation Plan
Merencanakan implementasi terhadap kontrol yang diambil sehingga membantu melancarkan proses pengurangan resiko.
Implement Selected Control
Mengimplementasikan kontrol yang dipilih yang akan menghasilkan pengurangan resiko.
3)        Risk Evaluation
Kegiatan evaluasi resiko ini adalah kegiatan terhadap keberlangsungan proses proses mitigasi, pada umumnya jaringan yang diterapkan dalam organisasi akan mengalami perubahan atau pengembangan komponen hardware, pengembanga software dan versi aplikasi yang lebih up to date.

ISO/IEC 27001:2013 FRAMEWORK
ISO  27001:2013 merupakan  icon  sertifikasi  seri ISO  27000 terbaru yang rilis pada tahun 2013.  ISO  27001:2013 adalah  sebuah dokumen  standar  Sistem  Manajemen  Keamanan Informasi  (SMKI)  atau  Information  Security Managemen  System (ISMS)  yang  memberikan gambaran secara umum mengenai apa saja yang harus  dilakukan  oleh  sebuah  organisasi atau enterprise  dalam usaha   rangka  mengimplementasikan  konsep konsep keamanan informasi. standar 27001 mensyaratkan penetapan sasaran kontrol dan kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai berikut:
1) Kebijakan keamanan informasi
2) Organisasi keamanan informasi
3) Sumber daya manusia menyangkut keamanan informasi
4) Manajemen aset
5) Akses kontrol
6) Kriptographie
7) Keamanan fisik dan lingkungan
8) Keamanan operasi
9) Kemanaan Komunikasi
10) Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
11) Hubungan dengan pemasok
12) Pengelolaan insiden keamanan informasi
13) Manajemen kelangsungan usaha (business continuity management)
14) Kepatuhan
Tujuan dan Manfaat ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain adalah sebagai berikut:
1) Memastikan bahwa Organisasi memiliki kontrol yang memadai terkait Keamanan Informasi
2) Menunjukkan Tata Kelola yang baik dalam penanganan dan pengamanan informasi
3) Sebagai mekanisme untuk mengukur berhasil atau tidaknya kontrol pengamanan Keamanan Informasi
4) Adanya review independen terkait Keamanan Informasi melalui Audit berkala
5) Meminimalkan resiko melalui proses risk assessment yang baku
6) Meningkatkan efektivitas dan keandalan pengamanan informasi
7) Bentuk kepatuhan terhadap regulasi, hukum, dan undang-undang terkait Keamanan Informasi
Sistem Manajemen Keamanan Informasi (SMKI) adalah cara untuk melindungi dan mengelola informasi berdasarkan pendekatan risiko bisnis yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara, dan meningkatkan keamanan informasi. Proses dalam SMKI disusun berdasarkan resiko pendekatan bisnis untuk merencanakan (Plan), mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang (Check) serta memelihara dan meningkatkan atau mengembangkan (Act).
1)        Plan (Penetapan SMKI)
Menetapkan kebijakan, sasaran, proses dan prosedur SMKI yang sesuai untuk pengelolaan risiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
2)        Do (Penerapan danPengoperasian SMKI)
Implementasi dan operasi dari kebijakan, kontrol, proses, dan prosedur SMKI yang telah direncanakan pada tahapan plan.
3)        Check (Pemantauan dan pengkajian SMKI)
Mengakses dan apabila berlaku mengukur kinerjaproses terhadap kebijakan, sasaran SMKI dan pengalaman praktis dan melaporkan hasilnya kepada  manajemen untuk pengkajian.
4)        Act (peningkatan dan pemeliharaan SMKI)
Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait lainnya, untuk mencapai perbaikan berkesinambungan dalam SMKI.


ANALISIS PERBANDINGAN

Berdasarkan pembahasan dari ketiga framework audit IT yaitu TOGAF (The Open Group Architecture Framework), NIST (National Institute of Standards and Technology) dan ISO  27001:2013. Dapat disimpukan bahwa dari ketiga framework tersebut membahas tentang audit IT perbedaanya terletak pada ruang lingkupnya untuk framework TOGAF membahas tentang bagaimana memperinci metode dan tools pendukung dalam pengembangan suatu arsitektur perusahaan, untuk NIST membahas tentang bagaimana cara meningkatkan kualitas perusahaan dengan memanajemen tingkat resiko yang dikeluarkan seminimal mungkin, dan untuk ISO  27001:2013 membahas tentang bagaimana apa saja yang dilakukan perusahaan dalam mengimplementasikan konsep – konsep keamanan informasi. Dari ketiga framework tersebut memiliki tahapan – tahapan yang harus dikerjakan dalam setiap prosesnya.

CONTOH KASUS
PT XYZ merupakan perusahaan yang bergerak di bidang layanan pengelolaan dokumen. Proses bisnis utamanya yaitu percetakan billing statement atau rekening koran dan penyediaan jasa kurir. Dalam menjalankan bisnisnya, PT XYZ bekerja sama dengan beberapa bank di Indonesia (lokal) dan bank asing, salah satunya adalah Bank ABC. Bank ABC, sebagai salah satu pelanggan PT XYZ merupakan bank yang sudah melakukan sertifikasi ISO 27001. Bank ABC melakukan audit keamanan informasi pada PT XYZ selama kurang lebih 2 (dua) bulan, yaitu dari bulan Februari 2012 sampai dengan bulan Maret 2012. Di mana Bank ABC melakukan audit keamanan informasi di PT XYZ, yang meliputi audit terhadap informasi yang diterima, informasi yang diproses, serta informasi yang dicetak dan didistribusikan kepada pelanggan sesuai alamat pelanggan.
Hasil audit Bank ABC berbeda dengan ekspektasi Divisi Teknologi Informasi (TI) PT XYZ selama ini. Sesuai hasil audit keamanan informasi tersebut, keamanan informasi PT XYZ dinilai masih lemah. Selain itu, monitoring dan evaluasi dari pihak yang berwenang dinilai masih kurang, sehingga kriteria keamanan informasi belum terpenuhi. Kurangnya monitoring dan evaluasi ini menjadi salah satu penyebab masalah belum terpenuhinya kriteria keamanan informasi di PT XYZ. Belum tercapainya kriteria keamanan informasi salah satunya disebabkan karena belum adanya kebijakan dan prosedur keamanan informasi komprehensif, baik yang berlaku pada tingkat operasional (teknis) maupun manajerial.
Ekspektasi divisi TI selama ini adalah keamanan informasi perusahaan sudah baik (aman), begitu pula dengan keamanan informasi pelanggan. Hal ini ditunjang dari adanya kebijakan dan prosedur keamanan informasi yang berlaku di PT XYZ. Ditinjau dari hasil audit bank tersebut, divisi TI memutuskan melakukan audit kepatuhan keamanan informasi untuk menguji apakah tingkat kepatuhan keamanan informasi perusahaan terhadap visi dan misi best services terhadap pelanggan yang sudah memenuhi aspek keamanan informasi dan menguji penga- ruhnya terhadap keamanan informasi perusahaan dan pelanggan. Dari hasil audit kepatuhan keamanan informasi ini, nantinya didapatkan kebijakan dan prosedur yang lemah sehingga dapat diberikan rekomendasi kebijakan dan prosedur yang lebih komprehensif sesuai standar internasional ISO 27001.

Analisis Kasus
Kebijakan, prosedur, instruksi, dan dokumentasi keamanan informasi yang ada dan berlaku di PT XYZ belum dikaji ulang dan cakupannya belum komprehensif mengatur aspek keamanan informasi dari ISO 27001/ISMS. Salah satu domain dan kontrol objektif yang belum diterapkan atau belum diatur dalam kebijakan, prosedur, instruksi, maupun dokumentasi adalah manajemen keberlangsungan bisnis. Dalam tahap ini perusahaan belum memiliki langkah-langkah yang harus dilakukan jika terjadi kebocoran informasi, padahal kebocoran informasi sekecil apapun dapat menghilangkan kepercayaan pelanggan dan menyebabkan terhentinya keberlangsungan bisnis perusahaan. kebijakan dan prosedur, belum dapat dikatakan best services terhadap keamanan informasi. Kebijakan dan prosedur yang ada belum pernah dikaji lebih lanjut dan kebijakan dan prosedur yang ada belum mencerminkan aspek keamanan informasi dari ISO 27001/ISMS. Hal inilah yang menjadi salah satu penyebab lemahnya keamanan informasi PT. XYZ. Rekomendasi kebijakan, prosedur, instruksi, dan dokumentasi keamanan informasi disusun berdasarkan hasil audit keamanan informasi sesuai domain, kontrol, dan kontrol objektif standar ISO/IEC 27001 Terdapat 67 (enam puluh tujuh) kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan untuk meningkatkan keamanan informasi melalui penerapan kontrolkontrol. Untuk menentukan skala prioritas dalam perbaikan kebijakan, prosedur, instruksi, dan dokumentasi keamanan informasi, dapat dilakukan dengan memperhatikan 3 (tiga) prinsip utama keamanan informasi, yaitu confidentiality, integrity dan availability.



LINK :

(diakses 22/11/2018 20:45)

(diakses 22/11/2018 21:36)

(diakses 22/11/2018 21:55)

(diakses 22/11/2018 22:16)

(diakses 22/11/2018 22:32)
0

06 November, 2018

Audit Teknologi Sistem Informasi


Pendahuluan
 

COBIT (Control Objectives for Information and related Technology) adalah suatu panduan standar praktek manajemen teknologi informasi dan sekumpulan dokumentasi best practices untuk tata kelola TI yang dapat membantu auditor, manajemen, dan pengguna untuk menjembatani pemisah (gap) antara risiko bisnis, kebutuhan pengendalian, dan permasalahan-permasalahan teknis.

Sasaran utama COBIT :
1. Menyediakan kebijakan yang jelas dan praktik2 yang baik untuk IT governance dalam organisasi tingkatan dunia.
2.  Membantu senior management memahami dan memanage resiko2 terkait dengan TI. COBIT melaksanakannya dengan menyediakan satu kerangka IT governance dan petunjuk control objective rinci untuk managemen, pemilik proses business , users, dan auditors

Kerangka kerja COBIT :
1.    Control Objectives
Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level control objectives) yang tercermin dalam 4 domain.
2.    Audit Guidlines
Berisi sebanyak 318 tujuan – tujuan pengendali rinci (detailed control objectives) untuk membantu para auditor dalam memeberikan management assurance atau saran perbaikan.
3.    Management Guidlines
Berisi arahan baik secara umum maupun spesifik mengenai apa saja yang harus dilakukan.
4.    Maturity Models
Untuk memetakan status maturity proses – proses IT.
 
Domain COBIT
1.    Plan and Organize (PO)
2.    Acquire and Implement (AI)
3.    Deliver and Support (DS)
4.    Monitor and Evaluate (ME)
 

Teori (mengenai Plan and Organize)

Plan and Organize secara umum domain ini meliputi strategi dan taktik serta identifikasi bagaimana TI dapat berkontribusi terhadap pencapaian sasaran bisnis. Domain ini dibagi ke dalam 10 fase proses yaitu : 
1.    PO1:Mendefinisikan rencana strategis TI.
2.    PO2:Mendefinisikan arsitektur informasi.
3.    PO3:Menentukan arahan teknologi.
4.    PO4:Mendefinisikan proses TI, organisasi dan keterhubungannya.
5.    PO5:Mengelola investasi TI.
6.    PO6:Mengkomunikasikan tujuan dan arahan manajemen.
7.    PO7:Mengelola sumber daya TI.
8.    PO8:Mengelola kualitas.
9.    PO9:Menaksir dan mengelola resiko TI.
10.     PO10:Mengelola proyek.
11.     PO11:Manajemen kualitas.


Pembahasan dan contoh kasus

Pada PT. Transindo Jaya Komara sudah memiliki prosedur pengelolaan teknologi informasi yang dijalankan, tetapi faktanya prosedur tersebut tidak sepenuhnya dijalankan, sehingga user biasanya melakukan secara manual. Mengetahui berbagai kendala dalam pengelolaan teknologi informasi yang dijalankan. Perusahaan menginginkan adanya suatu evaluasi tata kelola teknologi informasi untuk peningkatan mutu perusahaan, maka perlu adanya suatu metode untuk mengelola IT. Dalam hal ini, metode COBIT perlu diterapkan dalam pengelolaan perusahaan agar pengguna IT sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif serta mencegah atau meminimalisir adanya resiko terhadap penggunaan IT. Dalam hal ini saya mencoba merancang penerapan COBIT pada PT. Transindo Jaya Komara pada tahap Plan and Organize.

PO 1 Merencanakan rencana strategis IT
PT. Trasindo Jaya Komara memiliki sebuah prosedur yang digunakan untuk mengelola teknologi informasi tetapi pada faktanya prosedur tersebut tidak dijalankan dengan sempurna seperti pada pengecekan kendala dalam pengelolaan tekologi informasi masih dilakukan secara manual. Sehingga perusahaan mengiinginkan adanya suatu metode pengelolaan IT untuk mengevaluasi tata kelola teknologi informasi untuk meningkatkan mutu perusahaan.
Dalam hal ini deterapkan metode COBIT yaitu Plan and Organize agar pengelolaan teknologi informasi perusahaan dapat menyesuaikan sesuai dengan kebutuhan perusahaan dan menghasilkan kinerja yang efisien dan efektif. Rencana strategis didalam pemanfaatan teknologi informasi perusahaan ini adalah : Solusi untuk industri perdagangan dan investasi, Solusi teknologi menyeluruh dengan nilai yang tinggi, Solusi dengan kompetensi yang tinggi.


PO 2 Arsitektur Informasi

Sistem informasi antara divisi-divisi bagian pada perusahaan belum terintegrasi secara menyeluruh.

PO 3 Arah Teknologi

Penggunaan teknologi pada perusahaan masih menggunakan teknologi tradisional dan belum maksimal karena sarana dan prasarana yang belum memadai.

PO 4 Organisasi TI dan hubungan

Belum maksimalnya divisi bagian yang menangani bidang IT

PO 5 Investasi TI

Rancangan anggaran perusahaan masih belum terkonsep secara menyeluruh dan pengalokasiannya masih terbatas

PO6 Komunikasi tujuan dan arah manajemen

Koordinasi dalam pembagian produk masih belum maksimal yang berdampak pada panjangnya antrian.

PO 7 Manage SDM

Pengalokasiaan dan pembagian tugas SDM pada tinggat operasional dan manejerial masih belum tertata dengan baik dan masih belum maksimal.

PO 8 Kesesuaian dengan external requirement

Kesiapan terhadap antisipasi perkembangan teknologi informasi dan komunikasi masih kurang.

PO 9 Menilai Resiko TI
Manajemen resiko dilakukan sesuai dengan proses yang telah ditentukan perusahaan, namun belum ada standart khusus untuk mengatur kebijakan manajemen resiko tersebut. Tetapi manajemen resiko pada perusahaan ini belum disosialisasikan kepada seluruh pegawai, jadi hanya pihak terkait atau manager yang mengaturnya dan menjalankannya. Apabila terjadi kesalahan manajer yang memberitahukan secara manual kepada pegawainya.


PO 10 Manajemen Proyek

Manajemen proyek telah memenuhi kebutuhan untuk pegawai, manager, pimpinan dan stakeholders lainnya. Namun, proses pedokumentasian belum berjalan dengan baik serta pengembangan dan penggunaan teknik juga belum dilaksanakan dengan baik. Serta aplikasi dari penerapan management proyek tergantung pada kebijakan dari manager.

PO 11 Manajemen kualitas

Tenaga profesional untuk mengawasi kualitas TI masih kurang dan rendahnya apresiasi terhadap tenaga profesional yang mempengaruhi kualitas sistem.


Analsis
Didalam mengatur dan mengelola teknologi informasi PT Trasindo Jaya Komara perlu menggunakan sebuah metode COBIT yaitu plan and Organize untuk mengatasi kelemahan – kelemahan yang terdapat pada perusahaan tersebut, dan dapat meningkatkan mutu perusahaan.
Dengan menggunkan metode COBIT ini perusahaan dapat memanajemen resiko yang terstandarisasi dan peingkatan kualitas SDM dan tenaga ahli dalam perusahaan dapat terkelola dengan baik karena jika SDM nya tidak diatur dengan baik maka dapat berdampak pada mutu perusahaan tersebut dan untuk apresiasi terhadap karyawan agar dapat ditingkatkan.
Dengan menggunakan metode COBIT diharapkan PT Trasindo Jaya Komara dapat lebih baik dan terorganisir dengan baik yang dapat memberikan kenyamanan bagi semua stakeholders.


Daftar Pustaka :

https://itgid.org/cobit-5-adalah/
[Selasa 06-11-2018: Pukul 21.24]
https://dosenindonesia.wordpress.com/tag/cobit/
[Selasa 06-11-2018: Pukul 21.46]


0