1. Nama : CHRISTANIA RANTUNG
NIM : 16021106061
Tata Kelola dan Audit Keamanan Jaringan
ABSTRAK
Teknologi informasi membutuhkan penanganan yang profesional karena TI memiliki resiko dan
biaya yang tidak kecil. Salah satu aspek yang menjadi bagian penting juga dalam teknologi
informasi (TI) adalah aspek keamanan. maka diperlukannya suatu analisis keamanan informasi
yang menggunakan framework COBIT 4.1. Framework COBIT 4.1 merupakan kerangka kerja
yang dapat digunakan oleh suatu instansi atau perusahaan untuk membantu mencapai tujuan
yang diinginkan. Framework COBIT 4.1 pada sub domain DS5 mempunyai kebutuhan untuk
memelihara integritas dari informasi dan untuk melindungi aset teknologi informasi (TI)
membutuhkan proses manajemen keamanan. Setelah melakukan penelitian, PT. MNC Sekuritas
mendapatkan nilai kematangan rata-rata 3 pada Domain DS5 yang berarti Defined Process.
Dengan nilai kematangan paling tinggi 4 yang jatuh di sub domain DS5.3, DS5.7, DS5.9,
DS5.10 dan DS5.11 lalu nilai kematangan paling rendah diangka 0 yaitu di DS5.6 dan DS5.8.
Berdasarkan hasil tersebut, dapat disimpulkan bahwa penerapan keamanan TI pada PT. MNC
Sekuritas sudah cukup baik meskipun masih ada beberapa bagian yang perlu ditingkatkan agar
hasil menjadi
maksimal.
Kata Kunci: Audit Keamanan, COBIT 4.1, Domain DS5.
Pendahuluan
Akademisi dan praktisi memiliki beberapa
definisi mengenai tata kelola keamanan
informasi (Rastogi dan Von Solms, 2006).
Moulton dan Cole(2003) mendefinisikan
bahwa tata kelola keamanan informasi adalah
pembentukan dan pemeliharaan lingkungan
pengendalian untuk mengelola risiko yang
berkaitan dengan kerahasiaan, integritas dan
ketersediaan informasi dan proses
pendukungnya dan sistem. Harris(2006)
mendefinisikan bahwa tata kelola keamanan
informasi adalah memastikan semua alat,
personil dan proses bisnis telah memenuhi
kebutuhan spesifik organisasi. Hal ini
membutuhkan struktur organisasi, peran dan
tanggung jawab, pengukuran kinerja,
menetapkan tugas dan mekanisme
pengawasan.
Tata kelola keamanan informasi adalah
himpunan tanggung jawab dan praktek yang
dilakukan oleh dewan dan manajemen
eksekutif dengan tujuan memberikan arahan
strategis, memastikan bahwa tujuan tercapai,
memastikan bahwa risiko dikelola secara
tepat dan memverifikasi bahwa sumber daya
perusahaan itu digunakan secara bertanggung
jawab. Tujuan utama pelaksanaan tata kelola
keamanan informasi adalah untuk
melindungi aset yang paling berharga dari
sebuah organisasi. Identifikasi asset
informasi perusahaan merupakan faktor
penentu keberhasilan untuk implementasi
yang efisien dan efektif dari keamanan
informasi di perusahaan (Institute
Governance IT, 2001; Deloitte Touche
Tohmatsu, 2003).
2. Kerangka Tata Kelola Keamanan
Informasi
Pada referensi, Rastogi dan von
Solms(2006) menjelaskan bahwa tata kelola
keamanan informasi terdiri dari struktur,
hubungan dan proses; bimbingan yang ada
yang menyediakan kerangka kerja untuk
melaksanakan tata kelola keamanan
informasi.
Dalam referensi, Analisis komparatif dari
Kerangka Tata Kelola Keamanan Informasi:
Pendekatan Sektor Publik, mengusulkan 9
kerangka untuk tata kelola keamanan
informasi untuk sektorpublik seperti A
practical guide to implement and control
Information Security Governance, siness
Software Alliance, Information security
policy: An organizational-level process
model, Information Security Governance
(Von Solms), ISACA, ISO/IEC Standards,
ITGI, NIST, dan Software Engineering
Institute. Berdasarkan saran ini, kita lebih
melihat ke dalam kerangka tata keamanan
informasi yang disebutkan yaitu:
A practical guide to implement
andcontrol Information Security
Governance
Refensi sebelumnya mengusulkan kerangka
kerja untuk melaksanakan tata kelola
keamanan informasi. Hal ini berfokus pada
memilih metrik dan indikator untuk melacak
evolusi keamanan informasi, dan juga pada
mengukur tingkat kematangan keamanan
informasi dalam organisasi. Pendekatan ini
menganggap integrasi indikator tata kelola
perusahaan, seperti Balance Scorecard,
dengan IT dan governance keamanan
praktik terbaik, seperti yang termasuk dalam
COBIT dan ISO / IEC 17799.
Business Software Alliance
Business Software Alliance
merekomendasikan mengadopsi praktik
terbaik dan prosedur standar seperti ISO
/IEC 17799 (kemudian dimasukkan
dalamISO / IEC 27000 series). Satuan Tugas
mengusulkan kerangka kerja di mana
masing-masing peran manajemen tau apa
fungsinya, bagaimana untuk mencapai
tujuan dan bagaimana mengukur dan
mengaudit kegiatan yang dilakukan.
Information security policy: An
organizational-level process model
Pada referensi (Knapp et al., 2009) berfokus
pada sisi kebijakan tata kelola keamanan
informasi. Mengikuti pendekatan yang
berbeda dari penelitian lain, menggunakan
metodologi pengumpulan data dari para ahli
keamanan dan beberapa wawancara dan
kuesioner dengan profesional keamanan.
Hasilnya adalah model kebijakan keamanan
informasi berdasarkan serangkaian proses
yang saling terkait yang dapat
diimplementasikan dalam siklus berulang.
Mirip dengan referensi pemerintahan
lainnya, mempertimbangkan dampak dari
pengaruh eksternal dan internal, serta peran
tata kelola perusahaan. Juga ada penekanan
besar pada pelatihan dan kesadaran
kebijakan dikembangkan melalui seluruh
siklus.
Information Security Governance
(VonSolms)
Pada referensi (Posthumus dan Solms,
2004), mengapa keamanan informasi harus
dianggap sebagai masalah tata kelola
perusahaan. Mereka mengusulkan kerangka
kerja keamanan informasi dengan jelas
membedakan antara tata kelola dan sisi
manajemen. Memberikan detail lebih lanjut
tentang ISG dan Informasi Manajemen
Keamanan, sebagai bagian dari tata kelola
perusahaan; dan menjelaskan tugas, peran
dan tanggung jawab setiap individu kunci
dalam sebuah organisasi.
ISACA
The Information Systems Audit and Control
Association (ISACA) telah mengusulkan, di
3. mana mereka menentukan model generik
untuk mengatasi Keamanan Informasi dalam
sebuah perusahaan.
ISO/IEC Standards
The International Organization for
Standardization (ISO) Di antaranya, ISO /
IEC 27000 series didedikasikan untuk
Sistem Informasi Manajemen Keamanan,
yang dapat digunakan oleh organisasi untuk
mengembangkan dan menerapkan kerangka
kerja untuk mengelola keamanan aset
informasi mereka dan mempersiapkan diri
untuk diterapkan pada perlindungan
informasi mereka. Standar ini memberikan
panduan untuk melindungi aset informasi
melalui mendefinisikan, mencapai,
mempertahankan, dan meningkatkan
keamanan informasi; apa yang dicapai
menerapkan kontrol yang sesuai dan
mengantisipasi risiko keamanan informasi.
ITGI
IT Governance Institute (ITGI), didirikan
pada tahun 1998 oleh ISACA berfokus pada
tata kelola TI dan topik terkait dan telah
mengembangkan COBIT (ITGI, 2007), yang
merupakan kerangka kerja untuk IT
Governance.
NIST
The National Institute of Standards and
Technology (NIST), adalah sebuah lembaga
dari Departemen Perdagangan Amerika
Serikat yang telah menerbitkan banyak
pedoman terkait dengan Keamanan
Informasi.
Software Engineering Institute
The Software Engineering Institute, dari
Carnegie Mellon University, telah
menerbitkan panduan (Allen dan Westby,
2007), sebagai bagian dari (CERT)
Computer Emergency Response Team.
Panduan ini mendefinisikan tata kelola
untuk keamanan perusahaan dan apa
karakteristik tata kelola keamanan informasi
yang efektif sehingga pembaca dapat
membedakan antara pemerintahan
keamanan yang efektif dan tidak efektif.