Mata kuliah : Audit
Teknologi Sistem Informasi
PEMBAHASAN
TOGAF
FRAMEWORK
TOGAF (The Open Group Architecture Framework)
merupakan salah satu framework audit IT yang memperinci metode dan tools
pendukung dalam pemngembangan suatu arsitektur perusahaan. Togaf merupakan
metode umum yang komprehensif dan juga sebuah standar terbuka dan tidak
tergantung oleh vendor maupun teknologi yang digunakan yang dapat disesuaikan
sesuai kebutuhan organisasi yang menerapkannya.
Architecture Development Method (ADM) merupakan metodologi lojik dari TOGAF yang terdiri
dari delapan fase utama untuk pengembangan dan pemeliharaan technical
architecture dari organisasi. ADM membentuk sebuah siklus yang iteratif untuk
keseluruhan proses, antar fase, dan dalam tiap fase di mana pada tiap-tiap
iterasi keputusan baru harus diambil.
Keputusan tersebut dimaksudkan untuk menentukan luas
cakupan enterprise, level kerincian, target waktu yang ingin dicapai dan asset
arsitektural yang akan digali dalam enterprise continuum. ADM merupakan metode
yang umum sehingga jika diperlukan pada prakteknya ADM dapat disesuaikan dengan
kebutuhan spesifik tertentu, misalnya digabungkan dengan framework yang lain
sehingga ADM menghasilkan arsitektur yang spesifik terhadap organisasi.
Tahapan – tahapan TOGAF ADM Framework :
1) Architecture Vision
Menentukan ruang lingkup dari arsitektur yang akan
dikembangkan, dan berisi pertanyaan – pertanyaan yang akan diajukan untuk
mendapatkan arsitektur yang ideal.
2) Business Architecture
Mendefinisikan tahap awal arsitektur bisnis, menetukan
model bisnis berdasarkan skenario bisnis.
3) Information System Architecture
Bagaimana arsitektur tersebut dikembangkan dan lebih
memfokuskan pada bagaimana data yang digunakan untuk kebutuhan proses dan
layanan.
4) Technology Architecture
Membangun arsitektur teknologi dimulai dari penentuan
jenis kandidat teknologi yang diperlukan dengan menggunakan Technology
Portofolio Catalog.
5) Opportunities and Solution
Menemukan manfaat yang diperoleh dari arsitektur
enterprise guna menentukan arsitektur yang akan diimplementasikan.
6) Migration Planning
Melakukan penilaian dan menentukan rencana migrasi
dari suatu sistem informasi.
7) Implementation Governance
Menyusun rekomendasi untuk pelaksanaan tatakelola
implementasi yang telah dilakukan.
8) Architecture Change Management
Menetapkan rencana manajemen arsitektur dengan cara
melakukan pengawasan terhadap perkembangan teknologi.
NIST
FRAMEWORK
NIST (National Institute of Standards and Technology)
Merupakan agen federal non-peraturan dalam Departemen Perdagangan AS (link eksternal). Misi NIST adalah untuk
mempromosikan inovasi AS dan daya saing
industri dengan memajukan ilmu pengetahuan pengukuran, standar, dan teknologi dengan cara yang
meningkatkan keamanan ekonomi dan meningkatkan kualitas hidup kita. Terdapat 3
proses dalam menajemen resiko yang dikeluarkan oleh NIST yaitu :
1) Risk Identification
Mendefinisikan ancaman potensial dan resiko yang
berhubungan dengan penggunaan teknologi informasi dan juga melakukan kontrol
terhadap pengurangandan penghilangan resiko. Terdapat 9 langkah yang harus
dipenuhi yaitu :
System Characterization
Melihat
batasan, fungsionalitas dan tingkat sensitifitas sistem dari sudut pandang
hardware, software, interface dan data.
Threat
Identification
Mengenali berbagai sumber yang akan
menjadi gangguan pada sistem berupa sekumpulan resiko yang mungkin terjadi
serta sumber resiko yang ddapat menimbulkan kerentanan pada sistem.
Vulnerability
Identification
Identifikasi terhadap kelemahan dan
kekurangan sistem yang terjadi menjadi ancaman terhadap sistem, yang
informasinya dapat diambil dari laporan penilaian resiko terdahulu.
Control
Analysis
Menganalisis kontrol yang telah
deterapkan atau yang akan diterapkan.
Likelihood
Determination
Digunakan untuk memperoleh nilai
kecenderungan yang mungkin terjadi atas kelemahan dari sistem.
Impact
Analysis
Menilai dampak yang terjadi terhadap
serangan atas bagian lemah dari sebuah sistem.
Risk
Determination
Menilai tingkat dari resiko yang akan
timbul pada sistem TI yang akan dilevelkan tingkat resiko tinggi, sedang, dan
rendah yang memiliki skor probabilitas level 1 untuk tinggi, 0.5 untuk sedang
dan 0.1 untuk rendah.
Control
Recomendation
Mengurangi level resiko pada sistem TI
sehingga mencapai level yang dapat diterima.
Result
Documentation
Laporan atau dokumentasi dari seluruh kegiatan
yang ada dimulai dari tahap karakteristik hingga rekomendasi kontrol.
2) Risk Mitigation
Tahap kedua dari manajemen resiko NIST melibatkan
prioritisisasi, evaluasi dan impleentasi rekomendasi dari kontrol pengurangan
resiko dari tahap sebelumnya. Metodologi sistemik yang digunakan manajemen
untuk mengurangi dampak resiko aktifitasnya adalah :
Prioritize Action
Memberi prioritas utama terhadap resiko
dan kerentanan yang terjadi pada sistem.
Evaluate
Recomended Control
Evaluasi terhadap kontrol yang direkomendasikan
dalam proses penilaian resiko sehingga diperoleh rekomendasi yang tepat untuk
meminimalisasi resiko yang mengancam sistem.
Conduct
Cost Benefit Analysis
Membantu manajemen dalam pengambilan
keputusan dan untuk mengidentifikasi kontrol biaya, serta menganalisis
keuntungan biaya.
Select
Control
Evaluasi terhadap kontrol dan analisis
biaya maka dipilih kontrol yang paling baik dari teknis dan biaya dan kontrol
yang dipilih akan diterapkan.
Assign
Responsibility
Penugasan atau pemilihan personil yang
tepat sebagain penanggung jawab terhadap kontrol yang dilaksanakan.
Develop
Safeguard Implementation Plan
Merencanakan implementasi terhadap
kontrol yang diambil sehingga membantu melancarkan proses pengurangan resiko.
Implement
Selected Control
Mengimplementasikan kontrol yang dipilih
yang akan menghasilkan pengurangan resiko.
3) Risk Evaluation
Kegiatan evaluasi resiko ini adalah kegiatan terhadap
keberlangsungan proses proses mitigasi, pada umumnya jaringan yang diterapkan
dalam organisasi akan mengalami perubahan atau pengembangan komponen hardware,
pengembanga software dan versi aplikasi yang lebih up to date.
ISO/IEC
27001:2013 FRAMEWORK
ISO 27001:2013 merupakan icon
sertifikasi seri ISO 27000 terbaru yang rilis pada tahun
2013. ISO 27001:2013 adalah sebuah dokumen
standar Sistem Manajemen Keamanan Informasi
(SMKI) atau Information Security Managemen System
(ISMS) yang memberikan gambaran secara umum mengenai apa saja yang
harus dilakukan oleh sebuah organisasi atau enterprise
dalam usaha rangka mengimplementasikan konsep konsep
keamanan informasi. standar 27001 mensyaratkan penetapan sasaran kontrol dan
kontrol — kontrol keamanan informasi meliputi 14 area pengamanan sebagai
berikut:
1) Kebijakan keamanan informasi
2) Organisasi keamanan informasi
3) Sumber daya manusia menyangkut keamanan informasi
4) Manajemen aset
5) Akses kontrol
6) Kriptographie
7) Keamanan fisik dan lingkungan
8) Keamanan operasi
9) Kemanaan Komunikasi
10) Pengadaan/akuisisi, pengembangan dan pemeliharaan
sistem informasi
11) Hubungan dengan pemasok
12) Pengelolaan insiden keamanan informasi
13) Manajemen kelangsungan usaha (business continuity
management)
14) Kepatuhan
Tujuan dan Manfaat
ISO 27001:2013 Sistem Manajemen Keamanan Informasi antara lain adalah sebagai
berikut:
1) Memastikan bahwa
Organisasi memiliki kontrol yang memadai terkait Keamanan Informasi
2) Menunjukkan Tata
Kelola yang baik dalam penanganan dan pengamanan informasi
3) Sebagai mekanisme
untuk mengukur berhasil atau tidaknya kontrol pengamanan Keamanan Informasi
4) Adanya review
independen terkait Keamanan Informasi melalui Audit berkala
5) Meminimalkan
resiko melalui proses risk assessment yang baku
6) Meningkatkan
efektivitas dan keandalan pengamanan informasi
7) Bentuk kepatuhan
terhadap regulasi, hukum, dan undang-undang terkait Keamanan Informasi
Sistem Manajemen Keamanan Informasi (SMKI) adalah cara
untuk melindungi dan mengelola informasi berdasarkan pendekatan risiko bisnis
yang sistematis, untuk menetapkan, menerapkan, mengoperasikan, memantau,
mengkaji, memelihara, dan meningkatkan keamanan informasi. Proses dalam SMKI
disusun berdasarkan resiko pendekatan bisnis untuk merencanakan (Plan),
mengimplementasikan dan mengoperasikan (Do), memonitor dan meninjau ulang
(Check) serta memelihara dan meningkatkan atau mengembangkan (Act).
1) Plan (Penetapan SMKI)
Menetapkan kebijakan, sasaran, proses dan prosedur
SMKI yang sesuai untuk pengelolaan risiko dan perbaikan keamanan informasi agar
menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara
keseluruhan.
2) Do (Penerapan danPengoperasian SMKI)
Implementasi dan operasi dari kebijakan, kontrol,
proses, dan prosedur SMKI yang telah direncanakan pada tahapan plan.
3) Check
(Pemantauan dan pengkajian SMKI)
Mengakses
dan apabila berlaku mengukur kinerjaproses terhadap kebijakan, sasaran SMKI dan
pengalaman praktis dan melaporkan hasilnya kepada manajemen untuk pengkajian.
4) Act (peningkatan dan pemeliharaan SMKI)
Mengambil tindakan korektif dan
pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau
informasi terkait lainnya, untuk mencapai perbaikan berkesinambungan dalam SMKI.
ANALISIS
PERBANDINGAN
Berdasarkan pembahasan dari ketiga framework audit IT yaitu
TOGAF (The Open Group Architecture Framework), NIST (National Institute of
Standards and Technology) dan ISO 27001:2013. Dapat disimpukan bahwa dari
ketiga framework tersebut membahas tentang audit IT perbedaanya terletak pada
ruang lingkupnya untuk framework TOGAF membahas tentang bagaimana memperinci
metode dan tools pendukung dalam pengembangan suatu arsitektur perusahaan,
untuk NIST membahas tentang bagaimana cara meningkatkan kualitas perusahaan
dengan memanajemen tingkat resiko yang dikeluarkan seminimal mungkin, dan untuk
ISO 27001:2013 membahas tentang bagaimana apa saja yang dilakukan
perusahaan dalam mengimplementasikan konsep – konsep keamanan informasi. Dari
ketiga framework tersebut memiliki tahapan – tahapan yang harus dikerjakan
dalam setiap prosesnya.
CONTOH KASUS
PT XYZ merupakan perusahaan yang bergerak di bidang
layanan pengelolaan dokumen. Proses bisnis utamanya yaitu percetakan billing
statement atau rekening koran dan penyediaan jasa kurir. Dalam menjalankan
bisnisnya, PT XYZ bekerja sama dengan beberapa bank di Indonesia (lokal) dan
bank asing, salah satunya adalah Bank ABC. Bank ABC, sebagai salah satu
pelanggan PT XYZ merupakan bank yang sudah melakukan sertifikasi ISO 27001.
Bank ABC melakukan audit keamanan informasi pada PT XYZ selama kurang lebih 2
(dua) bulan, yaitu dari bulan Februari 2012 sampai dengan bulan Maret 2012. Di
mana Bank ABC melakukan audit keamanan informasi di PT XYZ, yang meliputi
audit terhadap informasi yang diterima, informasi yang diproses, serta
informasi yang dicetak dan didistribusikan kepada pelanggan sesuai alamat
pelanggan.
Hasil audit Bank ABC berbeda dengan ekspektasi Divisi
Teknologi Informasi (TI) PT XYZ selama ini. Sesuai hasil audit keamanan
informasi tersebut, keamanan informasi PT XYZ dinilai masih lemah. Selain itu,
monitoring dan evaluasi dari pihak yang berwenang dinilai masih kurang,
sehingga kriteria keamanan informasi belum terpenuhi. Kurangnya monitoring dan
evaluasi ini menjadi salah satu penyebab masalah belum terpenuhinya kriteria
keamanan informasi di PT XYZ. Belum tercapainya kriteria keamanan informasi salah
satunya disebabkan karena belum adanya kebijakan dan prosedur keamanan
informasi komprehensif, baik yang berlaku pada tingkat operasional (teknis)
maupun manajerial.
Ekspektasi divisi TI selama ini adalah keamanan
informasi perusahaan sudah baik (aman), begitu pula dengan keamanan informasi
pelanggan. Hal ini ditunjang dari adanya kebijakan dan prosedur keamanan
informasi yang berlaku di PT XYZ. Ditinjau dari hasil audit bank tersebut,
divisi TI memutuskan melakukan audit kepatuhan keamanan informasi untuk menguji
apakah tingkat kepatuhan keamanan informasi perusahaan terhadap visi dan misi
best services terhadap pelanggan yang sudah memenuhi aspek keamanan informasi
dan menguji penga- ruhnya terhadap keamanan informasi perusahaan dan pelanggan.
Dari hasil audit kepatuhan keamanan informasi ini, nantinya didapatkan
kebijakan dan prosedur yang lemah sehingga dapat diberikan rekomendasi
kebijakan dan prosedur yang lebih komprehensif sesuai standar internasional ISO
27001.
Analisis
Kasus
Kebijakan, prosedur, instruksi, dan dokumentasi
keamanan informasi yang ada dan berlaku di PT XYZ belum dikaji ulang dan
cakupannya belum komprehensif mengatur aspek keamanan informasi dari ISO 27001/ISMS.
Salah satu domain dan kontrol objektif yang belum diterapkan atau belum diatur
dalam kebijakan, prosedur, instruksi, maupun dokumentasi adalah manajemen keberlangsungan
bisnis. Dalam tahap ini perusahaan belum memiliki langkah-langkah yang harus dilakukan
jika terjadi kebocoran informasi, padahal kebocoran informasi sekecil apapun
dapat menghilangkan kepercayaan pelanggan dan menyebabkan terhentinya keberlangsungan
bisnis perusahaan. kebijakan dan prosedur, belum dapat dikatakan best services terhadap
keamanan informasi. Kebijakan dan prosedur yang ada belum pernah dikaji lebih
lanjut dan kebijakan dan prosedur yang ada belum mencerminkan aspek keamanan
informasi dari ISO 27001/ISMS. Hal inilah yang menjadi salah satu penyebab lemahnya
keamanan informasi PT. XYZ. Rekomendasi kebijakan, prosedur, instruksi, dan
dokumentasi keamanan informasi disusun berdasarkan hasil audit keamanan informasi
sesuai domain, kontrol, dan kontrol objektif standar ISO/IEC 27001 Terdapat 67
(enam puluh tujuh) kebijakan, prosedur, instruksi, dan dokumentasi yang direkomendasikan
untuk meningkatkan keamanan informasi melalui penerapan kontrolkontrol. Untuk
menentukan skala prioritas dalam perbaikan kebijakan, prosedur, instruksi, dan
dokumentasi keamanan informasi, dapat dilakukan dengan memperhatikan 3 (tiga) prinsip
utama keamanan informasi, yaitu confidentiality, integrity dan availability.
LINK :
(diakses 22/11/2018 20:45)
(diakses 22/11/2018 21:36)
(diakses 22/11/2018 21:55)
(diakses 22/11/2018 22:16)
(diakses 22/11/2018 22:32)
No comments:
Post a Comment