BAB I PENDAHULUAN 1.1 Latar Belakang Informasi merupakan salah satu aset perusahaan yang sangat penting. Dengan perkembangan teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamanan informasi semakin meningkat. Untuk itu perusahaan harus menerapkan kebijakan yang tepat untuk melindungi aset informasi yang dimiliki. Salah satu kebijakan yang dapat diambil oleh perusahaan untuk mengatasi gangguan keamanan informasi adalah dengan menerapkan Sistem Manajemen Keamanan Informasi (SMKI). Menurut Bundesamt für Sicherheit in der Information stechnik (BSI). 2008 ”BSI-Standard 100-1: Information Security Management Systems (ISMS)” bahwa SMKI (Sistem Manajemen Keamanan Informasi) menentukan instrumen dan metode yang digunakan manajemen harus jelas dalam pengelolaan (merencanakan, mengadopsi, menerapkan, mengawasi dan meningkatkan) tugas dan kegiatan yang ditujukan untuk mencapai keamanan informasi. Keamanan informasi secara tidak langsung menjadi salah satu perhatian bagi perusahaan jika ingin melanjutkan bisnisnya. Oleh karena itu, perlu adanya standarisasi yang diterapkan atau diimplementasikan dalam perusahaan sebagai panduan yang memberikan arahan dalam menjaga asset penting seperti informasi yang dianggap sensitive bagi perusahaan tersebut. Adapun salah satu standard manajemen keamanan informasi yang dikenal luas secara global yaitu, Standar ISO/IEC 27001/2 untuk membantu organisasi dalam 1 2 menganalisa sistem keamanan informasi. Beberapa hal penting yang patut dijadikan pertimbangan mengapa standar ISO/IEC 27001/2 dipilih karena: a. Standar ISO/IEC 27001/2 sangat fleksibel dikembangkan karena sangat tergantung dari kebutuhan organisasi, tujuan organisasi, persyaratan keamanan, proses bisnis dan jumlah pegawai dan ukuran struktur organisasi, b. Standar ISO/IEC 27001/2 menyediakan sertifikat implementasi Sistem Manajemen Keamanan Informasi SMKI yang diakui secara internasional yang disebut Information Security Management System (ISMS) certification (Sarno dan Iffano, 2009: 59). ISO/IEC 27001/2 sebenarnya merupakan suatu standar untuk melakukan risk management yang menggunakan ISO/IEC 27002 untuk panduan dari sisi security control. Pembahasan dalam penyusunan skripsi ini adalah mengenai standarisasi sistem keamanan terhadap penerapan teknologi informasi dengan judul “Pengukuran Risiko Informasi Teknologi pada PT. Street Directory Indonesia dengan Menggunakan ISO/IEC 27001/2” PT. Street Directory Indonesia merupakan perusahaan yang bergerak dibidang jasa pembuatan peta dan websites serta peta online terlengkap dan terdetil di Indonesia saat ini, khususnya untuk wilayah Jabodetabek yang dilengkapi dengan berbagai macam fitur sepert Traffic Camera, Direktori Perusahaan Indonesia, Tips atu komentar yang terintegrasi dengan Facebook. 1.2 Permasalahan Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan risiko bisnis untuk 3 pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan. Sebagai sebuah sistem, keamanan informasi harus didukung oleh keberadaan dari hal-hal berikut yang menjadi objek yang akan diteliti, antara lain: a. Kebijakan keamanan (security policy) b. Prosedur dan proses c. Akses Kontrol Masalah yang ingin diteliti, adalah : 1. Bagaimana mengidentifikasi risiko-risiko pada: a. Tindakan preventif dan kepedulian pengguna jaringan yang memanfaatkan informasi. Apakah semua permasalahan jaringan dan kejadian pelanggaran keamanan atas setiap kelemahan sistem informasi telah ”segera” dilaporkan sehingga administrator (jaringan maupun database perusahaan) akan segera mengambil langkahlangkah keamanan yang dianggap perlu. b. Apakah akses terhadap sumber daya pada jaringan sudah dikendalikan secara ketat untuk mencegah akses dari orang yang tidak berhak. c. Apakah akses terhadap sistem komputasi dan informasi serta periferalnya juga koneksi ke jaringan telah diatur dengan baik, termasuk logon pengguna. d. Apakah pengelolaan account sudah dikelola secara benar untuk menjamin bahwa hanya orang/peralatan yang diberikan otorisasi yang dapat terkoneksi ke jaringan? 4 e. Apakah semua prosedur serta proses-proses yang terkait dengan usaha-usaha pengimplementasian keamanan informasi di perusahaan sudah dijalankan dengan benar?” Misalnya prosedur permohonan ijin akses aplikasi, akses hotspot, prosedur permohonan domain account untuk staf/karyawan baru dan lain sebagainya. f. Sudahkah perusahaan melaksanakan ketentuan dimaksud dan memberikan pelatihan dan sosialisasi yang cukup bagi setiap individu untuk sadar akan pentingnya upaya menjaga keamanan informasi? g. Policy dan tindakan yang ditetapkan perusahaan dalam melindungi sistem keamanan jaringan dan informasi apakah sudah dilaksanakan dengan benar? 2. Bagaimana mengidentifikasi praktek keamanan berdasarkan kebutuhan perusahaan dan memberikan solusi untuk mengelola keamanan informasi dan meminimalisir dampak risiko yang terdapat dalam perusahaan. 1.3 Ruang Lingkup Agar penelitian ini lebih terarah, maka perlu adanya pembatasan ruang lingkup yang akan dibahas yaitu : 1. Penelitian hanya dilakukan pada divisi Teknologi Informasi di PT. Street Directory Indonesia. 2. Penelitian dilakukan pada pendukung operasional bisnis yang berhubungan dengan TI perusahaan, yang mencakup analisis risiko teknologi informasi 5 (software, infrastruktur: hardware dan jaringan) dan prosedur yang terdapat pada PT. Street Directory Indonesia. 3. Penelitian dilakukan dengan menggunakan pendekatan standar ISO 27001/2:2005 . 1.4 Tujuan dan Manfaat Tujuan yang ingin capai dalam penulisan skripsi ini adalah : 1. Mengidentifikasi risiko-risiko yang ditemukan pada permasalahan; a, b, c, d, e, f, g dan mengetahui pengelolaan terhadap keamanan teknologi informasi berdasarkan standar ISO/IEC 27001/2 : 2005. 2. Mengidentifikasi praktek keamanan dan memberikan solusi untuk mengelola keamanan informasi dan meminimalisir dampak risiko yang terdapat pada PT. Street Directory Indonesia. Manfaat dari penulisan skripsi ini adalah: 1. Memberi pemahaman mengenai pentingnya aset informasi dan bagaimana memanajemen keamanan informasi yang diperlukan oleh perusahaan. 2. Memberikan berdasarkan rekomendasi ISO pengendalian-pengendalian 27001/2:2005 yang dapat (controls) digunakan dalam mengendalikan dampak risiko yang terdapat dalam perusahaan. Karena risiko tidak dapat dihilangkan atau dimusnahkan tetapi dapat dikendalikan/diminimalisirkan dampak yang ditimbulkan. 3. Analisis dapat digunakan oleh perusahaan dalam menyempurnakan atau meningkatkan sistem manajemen keamanan informasi perusahaan. 6 1.5 Metodologi Penelitian Metode yang dipakai dalam penyusunan skripsi ini yaitu bersifat kualitatif. Teknik yang dipakai untuk melengkapi metode penelitian ini adalah: 1. Teknik Pengumpulan Data Dalam penyusunan skripsi ini, data-data yang diperlukan diperoleh dari metode pengumpulan data yaitu sebagai berikut: a. Metode Studi Pustaka Pengertian studi kepustakaan adalah Teknik pengumpulan data dengan mengadakan studi penelaahan terhadap buku-buku, literature-literatur, catatancatatan dan laporan-laporan yang ada hubungannya dengan masalah yang dipecahkan. Dalam metode ini, penulis mengumpulkan data-data yaitu berupa buku-buku yang berhubungan dengan pengukuran risiko, teknologi informasi, dan juga ISO 27001/2 dimana merupakan panduan dalam penyusunan skripsi ini serta membantu dalam memecahkan masalah dalam skripsi ini. Perpustakaan tempat penulis melakukan riset yaitu berlokasi di Perpustakaan Universitas Bina Nusantara. Selain itu penulis juga menemukan data tambahan dari sumber informasi lainnya yaitu datadata dari internet. b. Metode Studi Lapangan Pengertian studi lapangan menurut adalah studi lapangan pada hakekatnya merupakan metode untuk menemukan secara specifik dan realis tentang apa yang sedang terjadi pada suatu saat ditengah-tengah kehidupan masyarakat. 7 Dalam metode ini, cara-cara yang digunakan dalam pengumpulan data secara langsung adalah sebagai berikut: i. Wawancara Pengertian wawancara adalah proses memperoleh keterangan untuk tujuan penelitian dengan cara Tanya jawab, sambil bertatap muka antara si penanya atau pewawancara dengan penjawab atau responden dengan menggunakan alat yang dinamakan interview guide. Dalam hal ini, proses wawancara dilakukan dengan mengadakan tanya jawab secara langsung dengan manager IT (Muammar Adam S.Kom) PT. Street Directory Indonesia serta pihak yang terlibat dan berhubungan (karyawan/mantan karyawan) dengan topik skripsi ini. ii. Pengamatan (Observasi) Pengertian observasi adalah pengambilan data dengan cara terjun langsung kelapangan pada suatu kegiatan atau pekerjan yang dihadapi dengan melakukan pengamatan sehingga memperoleh kebenaran data. Penulis mengadakan observasi dengan cara terjun langsung kelapangan yaitu di PT. StreetDirectory Indonesia dan mendapatkan data mengenai kondisi lingkungan kerja serta keamanan fisik pada perusahaan. iii. Teknik Analisis Dari teknik yang ada untuk sistem manajemen keamanan informasi, maka kami memutuskan untuk menggunakan standar ISO/IEC 27001/2:2005. ISO/IEC 27001 merupakan dokumen standar Sistem Manajemen Keamanan Informasi (SMKI) atau Information Security Management Systems (ISMS) yang memberikan gambaran 8 secara umum mengenai apa saja yang seharusnya dilakukan dalam usaha pengendalian keamanan informasi yang dapat diimplementasikan di perusahaan. Sarno dan Iffano (2009: 187) mengatakan kontrol keamanan berdasarkan ISO/IEC 27001 terdiri dari 11 klausul kontrol keamanan (security control clauses), 39 objektif kontrol (control objectives) dan 133 kontrol keamanan/ kontrol (controls). Berikut langka-langkah yang dilakukan, yaitu: 1) Mendapatkan dukungan manajemen perusahaan. Manajemen perusahaan menyediakan fasilitas yang diperlukan dalam melaksanakan Sistem Keamanan Manajemen Informasi dalam perusahaan. 2) Menentukan ruang lingkup Sistem Manajemen Keamanan Informasi perusahaan. Penentuan ruang lingkup berdasarkan kebutuhan organisasi, karakteristik bisnis organisasi, lokasi dari organisasi, asset yang dimiliki oleh organisasi, teknologi informasi yang telah digunakan. 3) Melakukan pendataan dari Informasi (information inventory). Informasi apa saja yang dimiliki oleh organisasi dan seberapa pentingnya setiap informasi yang dimiliki. 4) Melakukan pengelolaan risiko (risk management). Melakukan manajemen risiko dengan tepat terhadap informasi yang dimiliki dan telah didata oleh organisasi. a) Risiko apa yang akan dihadapi oleh organisasi di dalam proses bisnisnya dalam hubungannya terhadap keamanan informasi. b) Kelemahan (Vulnerability) dan ancaman (Threat) apa terhadap informasi yang dimiliki oleh organisasi. c) Cara terbaik apa untuk menghadapi risiko jika terjadi (risk treatment) pada perusahaan. 9 d) Menentukan kontrol-kontrol keamanan apa saja yang tepat yang ada hubungannya terhadap risiko yang mungkin timbul (security control). 1.6 SISTEMATIKA PENULISAN Sistematika penulisan skripsi yang disajikan dalam penulisan skripsi ini terdiri dari lima bab dan secara garis besar dapat diuraikan sebagai berikut : BAB I PENDAHULUAN Pada bab 1 akan dibahas mengenai latar belakang penulisan, ruang lingkup penelitian, tujuan dan manfaat penelitian, metodologi yang digunakan selama penelitian yang berlangsung dan sistematika penulisan. BAB II LANDASAN TEORI Pada bab ini akan diuraikan teori-teori yang relevan yang mendasari pembuatan skripsi ini. Pada bagian ini akan dideskripsikan teori-teori yang berhubungan dengan teori teknologi informasi, sistem informasi, teori keamanan informasi, dasar manajemen keamanan informasi, dan teori pendukung lainnya. BAB III GAMBARAN UMUM PERUSAHAAN Pada bab ini akan dibahas mengenai sejarah perusahaan, visi dan misi perusahaan, struktur ogranisasi dan uraian tugas (job description/job desk), serta gambaran teknologi informasi yang ada di dalam perusahaan saat ini yang terdiri dari topologi jaringan dan aset-aset teknologi informasi. 10 BAB IV PEMBAHASAN Pada bab ini akan dibahas mengenai pengendalian-pengendalian apa saja yang dapat digunakan pada perusahaan (berdasarkan ISO/IEC 27001/2:2005) terhadap kerentanan keamanan informasi berdasarkan ditemukannya berbagai risiko yang ada di dalam perusahaan. BAB V KESIMPULAN DAN SARAN Pada bab ini akan disimpulkan hasil dari pengendalian terhadap kerentanan keamanan informasi dari penerapan teknologi informasi yang ada di perusahaan, serta memberikan saran-saran yang berupa masukan bagi keamanan teknologi informasi di perusahaan. 11 1.7 Kerangka Pikiran Penelitian : Penelitian Pengukuran Risiko Keamanan Informasi dilakukan dengan menggunakan pendekatan ISO 27001/2:2005 pada PT. Street Directory Indonesia Teori yang mendukung penelitian : - Sistem manajemen keamanan informasi o Berbagai referensi buku - ISO 27000 http://www.27000.org/iso-27001.htm - Jurnal mengenai ISO 27001/2 Proses perencanaan : - Mengidentifikasi apa saja yang menjadi kebutuhan perusahaan dalam keamanan informasi yang berdasarkan pendekatan standar ISO 27001/2:2005. - Menyesuaikan kebutuhan keamanan informasi dengan security control list yang ada pada ISO 27002. Masalah yang ingin diteliti: 1. Bagaimana mengidentifikasi risiko-risiko pada: a. Tindakan preventif dan kepedulian pengguna jaringan yang memanfaatkan informasi. b. Akses terhadap sumber daya pada jaringan c. Akses terhadap sistem komputasi dan informasi serta periferalnya d. Pengelolaan account e. Prosedur serta proses-proses yang terkait dengan usaha-usaha pengimplementasian keamanan informasi f. pelatihan dan sosialisasi g. Policy dan tindakan yang ditetapkan 2. Bagaimana mengidentifikasi praktek keamanan berdasarkan kebutuhan perusahaan dan memberikan solusi untuk mengelola keamanan informasi dan meminimalisir dampak risiko yang terdapat dalam perusahaan. Perancangan analisis: - Data yang digunakan adalah hasil dari teknik pengumpulan data dan teknik analisis - Menggunakan pendekatan standar ISO 27001/2:2005 yang memberikan pengendalian (control) dalam meningkatkan keamanan informasi yang sesuai berdasarkan kebutuhan perusahaan. Tujuan: - Mengidentifikasi risiko-risiko yang ditemukan dan bagaimana pengelolaan terhadap keamanan informasi berdasarkan standar ISO 27001/2:2005. - Mengidentifikasi praktek keamanan dan memberikan solusi yang terbaik untuk mengelola keamanan informasi dan meminimalisir dampak risiko yang terdapat pada PT. Street Directory Indonesia. Hasil : - Dokumen Kontrol berdasarkan risiko yang ditemukan berdasarkan Standar keamanan informasi berdasarkan ISO/IEC 27001/2 Gambar 1.1 Kerangka Pikiran 12