Orasi ini membahas tentang informasi dan keamanan informasi sesuai standar internasional dan nasional. Topik utama yang dibahas adalah pentingnya informasi bagi organisasi dan negara, pengertian keamanan informasi, manajemen risiko, dan perubahan paradigma keamanan informasi dari pencegahan menjadi pencegahan dan pencapaian manfaat.

1. Orasi Ilmiah pada Wisuda Sekolah Tinggi Sandi Negara
Informasi, Keamanan, Risiko, Kendali, Sasaran Kendali dan Perubahan
Oleh:
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM
Lektor Kepala, Sekolah Teknik Elektro dan Informatika, ITB
Aula Kolonel Inf Soemarkidjo
Sekolah Tinggi Sandi Negara, Ciseeng, Bogor
10 November 2015
Yang terhormat,
Kepala Lemsaneg RI, Mayjen TNI Dr. H. Djoko Setiadi, M.Sc.
Ketua Sekolah Tinggi Sandi Negara, Hendrini, S.IP, M.M.
Para anggotaSenat dan Dosen Sekolah Tinggi Sandi Negara
Para Mahasiswa dan Seluruh Civitas Akademik STSN
Para Wisudawan Sekolah Tinggi Sandi Negara beserta keluarga
Serta hadirin sekalian yang saya hormati,
Assalamualaikumwr wb
Selamat Pagi, Salam Sejahtera untuk kita semua.
Perkenankan saya pada kesempatan ini untuk menyampaikan selamatkepada
segenap wisudawan atas keberhasilan saudara-saudara dalam menyelesaikan
studi di Sekolah Tinggi Sandi Negara, Lembaga Sandi Negara, serta memanjatkan
rasa syukur ke hadirat Allah swt atas keberhasilan saudara-saudara. Semoga ilmu
dan pengalamandi Sekolah Tinggi Sandi Negara bermanfaat bagi anda, keluarga
anda, Lembaga Sandi Negara dan bangsa Indonesia.

2. Dalam suasana bahagia dan peringatan Hari Pahlawan 10 November, saya akan
memberikan pandangan dan pelurusan pengertian Informasi dan Keamanan
Informasi serta KeamananCyber sesuai international standard ISO dan standar
nasional SNI.
InformasidanKeamanan
Informasi dalam kehidupan berorganisasi dan berbangsa secara cepat dan
menyeluruh telah semakin berpengaruh dan jauh lebih bernilai dari masa lalu.
Informasi sebagai life-line atau darah-nadi kehidupan jauh lebih cepat menjalar
menembus batas-batas fisik dan waktu. Kemampuanmengolah dan
memanfaatkaninformasi dengan jaringan dan kecepatan teknologi komputasi
terkini seharusnya merubah paradigma organisasi. Informasi seharusnya
diperlakukan seperti uang dalam kehidupan organisasidan kehidupan NKRI dalam
mencapai tujuannya. Informasi dan teknologi yang mendukung informasi lebih
baik dikawal manfaat, risiko dan sumber daya yang dipergunakan.
Manfaat informasi sebaiknya dikawal dengan Rencana Realisasi Manfaat (Benefit
Realisation Plan). Risiko informasi lebih baik dioptimasi dengan suatu Kerangka
Manajemen Risiko yang disepakati bersama dalam suatu organisasi. Demikian pula
sumber daya yang terbatas harus dioptimasi untuk mendapatkan Manfaat
terbesar dengan Risiko yang dapat diterima. (gambarslide 6 Sasaran Tata Kelola:
Value Creation)

3. Marilah kita pahami, simak dan baca definisi keamanan informasi menurut ISACA
(tayangan 7). Keamanan informasi menurut ISACA memang terkait Ketersediaan
(Availability), Kerahasian (Confidentiality), dan Keutuhan (Integrity) suatu
informasi, tetapi harus didalami dan dipahami juga sebagai pengungkit (enabler)
pencapaian tujuan organisasi dan termasuk juga tujuan suatu negara, negara
kesatuan republik Indonesia.
Demikian juga Keamanan Informasimenurut SNI ISO/IEC 27001:2013harus selaras
dengan tujuan organisasiyang secara gamblang dinyatakan dalam Klausa 4
Konteks Organisasi. Marilah kita pahami juga Keamanan Informasi dalam kerangka
pencapaian tujuan Negara Kesatuan Republik Indonesia yang tercantum dalam
pendahuluan UUD 1945 (tayangan 8).

4. Dalam perkembangan sekarang Keamanan Informasi adalah bagian utama
Keamanan Nasional dalam pencapaian tujuan NKRI.
Risiko,KendalidanSasaranKendali
Masyarakat umumnya memahamirisiko sebagai kemungkinan terjadinya sesuatu
yang negatif atau terjadi sesuatu yang dampaknya negatif. Tayangan 11 dapat
dipakai untuk menjelaskan secara sederhana Kendali Penjagaan (deterrent
control), Kendali Pencegahan (preventive control), Kendali Deteksi (detective
control) dan Kendali Perbaikan (corrective control).

5. Harapan saya, peraturan-perundangan di Indonesia agar dipahami sebagai suatu
kendali terjadinya risiko atau dampak suatu risiko terkait pencapaian tujuan
organisasi (business objective). Jika peraturan perundangan dipahami sebagai
kendali maka dengan menyatakan sasaran kendali pada setiap peraturan
perundangan, pencapaian sasaran kendali dapat dipergunakan untuk pengukuran
efektifitas peraturan perundangan tersebut.

6. Indonesia telah mempunyai kerangka kendali untuk pencapaian tujuan
Kementerian/Lembaga (K/L) Peraturan Pemerintah 80 tahun 2008 tentang Sistem
Pengendalian Intern Pemerintah (PP80/2008 SPIP). Peraturan Pemerintah ini
memakai dasar-dasarKerangka Kendali Internal COSO yang merupakan best-
practice kerangka kendali internal perusahaan-perusahaan mapandi dunia
(tayangan 12). Termasuk perusahaan yang terdaftar di bursa saham Jepang dan
Amerika Serikat. Contohnya PT Telkom Indonesia (Tbk).
Pasal 3 ayat 1 huruf a PP60/2008 adalahLingkungan Pengendalian (Environmental
Control). Hal ini menekankan pentingnya suasana kepemimpinan dalam kerangka
kendali dalam pencapaian tujuan organisasitermasuk tiga lini pertahanan dalam
risiko pencapaian tujuan organisasi.
Pasal 3 ayat 1 huruf b PP60/2008 adalahPenilaian Risiko (Control Risk
Assessment). Penilaian risiko pencapaian tujuan organisasi K/L.
K/L di Indonesia jika menerapkan PP60/2008 secara benar, dapat dipastikan K/L
tersebut sudah mempunyai dasar rancangan kendali (Control Design) yang cukup
untuk dijabarkan menjadi kendali terhadap keamanan informasi.
Salah satu cara pembagian kendali sesuai risiko adalah tayangan 13. Kendali
keamanan informasi di Indonesia banyak ditekankan pada Kendali Teknikal
(Technical Control). Pengadaan infrastruktur, pengadaan aplikasi terkait keamanan
informasi atau pembuatan arsitektur keamanan informasi lebih mudah dilakukan
terkait anggaran pemerintah. Penekanan pada penyerapan anggaran dapat
menyebabkan manfaatdan risiko sering terlupakan untuk dicermati di K/L. Kendali
dalam Keamanan Informasi ada dalam bentuk Proses, Kontrol Sosial dan juga
Kontrol Organisasidan budaya.

7. Organisasiaudit internal auditor pembuat kerangka COSO yang diadaptasi di
PP60/2008 juga mendorong pemakaian konsep Tiga Lini Pertahanan (Three Lines
of Defence), tayangan14-15. Selain itu ditekankan fungsi Lini ketiga, auditor
adalah usaha independen assurans dan internal konsulting untuk pencapaian
tujuan organisasi.
Tayangan 14 adalah contoh penerapan tiga lini pertahanan keamanan siber. Peran
lini ketiga dicontohkan pemeriksaan kendali internal, kepatuhan terhadap
keamanan siber, pembahasanrisiko secara formal dan forensik atau penyelidikan.

8. Lini kedua adalah fungsi manajemen risiko. Contoh lingkupnya adalah Business
Impact Analysis (BIA), pembuatan daftar kelemahan, risiko dan ancaman, selain itu
lini kedua berfungsi untuk mendorong kerangka manajemen risiko yang satu di
suatu organisasi.
Lini pertama adalah pihak operasi atau yang menjalankan proses bisnis utama
organisasi, diantaranya pemilik risiko atau business process owner atau juga
disebut asset owner. Lini pertama adalah pihak yang sangatmemahamirisiko dan
juga bertanggung jawab atas keberjalanan kendali yang terkait risiko tadi.
Tayangan 15, adalah contoh lain dari tiga lini pertahanan dari COBIT 5 for Risk.
Para hadirin sekalian, pada kesempatan ini saya mengajak hadirin untuk
memahamidasar manajemen risiko yang dirujuk SNI ISO/IEC 27001:2013 SMKI
yaitu SNI ISO/IEC 31000:2009 PanduanManajemen Risiko. Para penggiat
keamanan informasi, saya mengajak anda untuk memahamiprinsip pertama SNI
ISO 31000 yaitu manajemen risiko yang membuatmanfaat dan melindungan
manfaat. Jadi SNI ISO31000 secara terbuka menyatakan risiko positif selain risiko
negatif. Silakan didalami prinsip-prinsip SNI ISO 31000 jika ingin menerapkan
keamanan informasi sesuai standar internasional.

9. Terbitnya ISO/IEC 9001:2015 QualityManagementSystem yang memakai
manajemen risiko akan mempermudahpenerapan sistem manajemen. Tayangan
17 memperlihatan persamaan beberapa Standar Sistem Manajemen, antara lain
ISO9000 Kualitas, ISO27000 KeamananInformasi dan ISO14000 Lingkunganhidup
serta ISO20000 ManajemenLayanan. Perhatikan bahwa ketiga standar
mempunyai klausa 4 sampaiklausa 10 yang sama. Hal ini menunjukan bahwa
Sistem Manajemen Keamanan Informasi(SMKI) adalah standar sistem manajemen
seperti yang lain. SMKI bukan tanggung jawab bagian teknologi informasi semata,
SMKI bukan pekerjaan teknikal, SMKI adalah proses manajemen biasa. Pihak yang
berperan utama antara lain biro SDM atau biro kepegawaian, manajemen risiko
atau manajemen kualitas sebagai lini kedua pertahanan serta audit internal
sebagai lini ketiga pertahanan. Tentu saja lini pertama pertahanan adalah pemilik
proses bisnis.

10. Penerap SNI ISO/IEC 27000 SMKI diharapkan jangan terpaku hanya pada SNI
ISO/IEC 27001 Persyaratan dan SNI ISO/IEC 27002 saja, tayangan 18. Konsep dasar
SMKI dituangkan pada ISO/IEC 27000:2014, dokumen standar ini bukan hanya
kosa-kata. Demikian juga pedoman lain sudah diadopsi menjadi SNI seri SMKI.
Keamanan informasi di masa mendatang tak akan dibahas terpisah, tetapi
keamanan informasi sudah menjadi bagian semua proses bisnis (pencapaian
tujuan organisasi), seperti pembukuan atau keuangan yang harus dipahami semua
pihak yang menjalankan bisnis. Selain konteks organisasi pada SMKI, Keamanan
Informasi yang memakai SNI ISO/IEC 27001:2013 memakaikonsep risiko negatif
maupun risiko kesempatan (opportunity). Keamanan informasi yang memakaiSNI
ISO/IEC 27001:2013 selainmengendalikan pencegahan risiko negatif, juga
menemu-kenali opportunity (risiko positif).
Penerap (implementor) SNI ISO27001:2013harus dapat menerapkan kerangka
sistem manajemen yang menemu-kenali opportunity yang belum pernah terjadi.

11. Hubungan antar kerangka kendali dapat dilihat ditayangan 20.
Selanjutnya tayangan21 memperlihatkan kerangka kendali terkait keamanan.

12. Perubahan
Perubahan standar internasional ISO27001:2005menjadi ISO27001:2013 merubah
paradigma keamanan informasi dari kendali preventif menjadi kendali untuk
preventif dan juga untuk mengejar manfaatatau opportunity.

13. Kemerdekaan
Kemampuanmemegang kendali terhadap informasi yang diciptakan dan informasi
yang ada di Indonesia merupakan wahana pencapaian tujuan NKRI terutama
terhadap risiko baik negatif dan positif (kesempatan, opportunity) untuk
pencapaian tujuan NKRI.
Semoga Tuhan yang Maha Memiliki Ilmu, Maha Pencipta dan Pemelihara segenap
bangsa-bangsa, mencurahkan Petunjuk-Nya dan memberi Hikmah-Nya kepada kita
semua, sehingga kita dapat terus membuatIndonesia lebih mandiri dan lebih
merdeka.
Aamiin YRA.
Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM