23. Prosiding Acis Maidy (Susulan)-OK
advertisement
Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 PERANCANGAN SISTEM MANAJEMEN SEKURITAS INFORMASI (SMSI) BERDASARKAN ISO / IEC 27001 Studi Kasus: Program Magister Manajemen Teknologi (MMT-ITS) Azis Maidy Muspa 1, Aris Tjahyanto 2 Jurusan Manaj.Tek.Informasi, MMT – ITS; [email protected] 2 Jurusan Manaj.Tek.Informasi, MMT – ITS; arist@its–sby.edu 1 ABSTRAK Pengelolaan Sistem Informasi Manajemen Akademik (SIM akademik) adalah salah satu proses di MMT-ITS yang menempatkan informasi sebagai infrastruktur penting. Didasari oleh kepentingan informasi dan terjadinya bentuk kegagalan fungsi sistem informasi ini dapat beraneka ragam, mulai dari gangguan listrik, serangan hacker, virus, pencurian data, denial of services attack (DOS), bencana alam hingga serangan teroris pada website SIM akademik menyebabkan perlunya dibuat suatu pengamanan terhadap aset informasi. Sistem Manajemen Sekuritas Informasi (SMSI) merupakan keseluruhan sistem manajemen, berdasarkan pendekatan risiko bisnis untuk memantapkan, menerapkan, menjalankan, memantau, meninjau ulang, memelihara, dan meningkatkan sekuritas informasi berdasarkan pendekatan risiko bisnis. SMSI ini dibuat dengan standar ISO 27001:2005 yang merupakan kerangka kerja untuk pengembangan atau peningkatan sekuritas informasi dalam organisasi. Hasil dari tesis ini adalah dokumentasi SMSI untuk MMT-ITS. Dokumentasi ini digunakan sebagai panduan berupa (checklist) kontrol meliputi Pedoman mutu / manual mutu, Prosedur mutu, Instruksi kerja, dan Formulir, berdasarkan ISO/IEC 27001:2005 untuk pengamanan informasi SIM akademik. SMSI juga menawarkan pemilihan kendali sekuritas yang sesuai, sebagai usaha perlindungan terhadap ancaman risiko dari proses dan aset pendukung aplikasi SIM akademik. Kata kunci: Sekuritas informasi, Sistem Manajemen Sekuritas Informasi, ISO 27001, SIM akademik. PENDAHULUAN "Informasi adalah suatu aset bisnis yang sebagaimana aset bisnis lainnya memilisi nilai esensial dan karenanya harus dilindungi sekuritasnya” [1]. Perlindugan ini dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang mungsin terjadi dan memaksimalkan keuntungan dari investasi dan kesempatan bisnis. SMSI adalah salah satu contoh pedoman yang digunakan dalam usaha pengamanan terhadap aset informasi. SMSI dapat dibangun berdasarkan beberapa framework seperti Cobit, ITIL dan ISO 27001:2005. ISO 27001:2005 adalah suatu standar internasional yang menggunakan pendekatan risiko bisnis untuk mendirikan, melaksanakan, mengawasi, meninjau ulang, merawat dan mengembangkan SMSI organisasi. Tujuan dari perancangan SMSI ini adalah untuk memastikan pemilihan kendali sekuritas yang cukup dan sesuai dalam melindungi aset informasi serta memberikan kepercayaan bagi para stakeholders. Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 METODOLOGI PENELITIAN Dalam penelitian yang akan dilakukan ini diperlukan suatu alur atau kerangka kerja yang terstruktur dan sistematis yang biasa dikenal dengan metodologi penelitian. Hal ini merupakan suatu proses yang terdiri dari beberapa tahapan yang saling terkait, dan tahapan yang satu merupakan masukan untuk tahapan selanjutnya. Hal ini bertujuan untuk mengetahui urutan dan tahapan yang akan dilakukan pada saat melakukan proses penelitian dari awal hingga akhir. Berikut adalah penjelasan dari masing-masing tahapan: Tahap Persiapan Merupakan awal dari kegiatan penelitian, dimana pada tahap ini akan terdiri dari dua bagian, yaitu: Studi Literatur Studi Literatur yang dilakukan dalam penelitian ini adalah pembelajaran literatur yang terkait dengan permasalahan yang ada, seperti pembelajaran mengenai sekuritas informasi, SMM, proses pembuatan SMSI serta standar yang digunakan dalam pembuatan SMSI. Hal lain yang dipelajari adalah ISO 27001:2005 dan ISO 17799:2005. Hal tersebut dilakukan untuk mengetahui latar belakang dan tujuan pembuatan standar tersebut sekaligus memahami klausul-klausul yang ada di dalamnya. Adapun metodologi penelitian terlihat pada gambar 1. Gambar 1. Metodologi Penelitian Identifikasi Permasalahan Pada tahapan ini akan ditinjau beberapa hal mengenai kemananan informasi. Secara umum bentuk kegagalan fungsi sistem informasi ini dapat beraneka ragam, mulai dari gangguan listrik, serangan hacker, virus, pencurian data, denial of services attack (DOS), bencana alam hingga serangan teroris. Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security adalah resiko keamanan dalam hal Privacy, Identification, Authentication, Authorization, Accountability. Sedangkan untuk SIM akademik MMT-ITS permasalahan potensial yang muncul adalah serangan virus,pencurian data, denial of services attack (DOS). Identifikasi permasalahan berguna untuk melakukan identifikasi terhadap titik-titik yang dijadikan obyek penelitian. ISBN : 978-602-97491-2-0 C-23-2 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 Tahap Pengumpulan Data dan Informasi Tahap ini digunakan untuk memahami keadaaan dan kondisi dari obyek penelitian yaitu, MMT-ITS pada umumnya dan SIM akademik pada khususnya. Metode yang digunakan dalam pengumpulan data adalah Review Dokumen hal ini berguna dalam memberikan petunjuk mengenai sistem yang ada saat ini. Bentuk dokumen yang biasa digunakan dalam review dokumen adalah[13]: Form, Laporan, dan Panduan kebijakan. Sehingga diperoleh hasil dan bentuk dari dokument yang telah review. Proses selanjutnya adalah Wawancara yang memiliki tahapan rencana umum interview seperti daftar pertanyaan dan antisipasi jawaban serta tindak lanjutnya, lalu melakukan konfirmasi pengetahuan narasumber, selain itu juga menetapkan prioritas waktu dalam melakukan wawancara, dan mempersiapkan sumber informasi diantaranya jadwal, pemberitahuan alasan interview dan area yang akan didiskusikan. Dari tahapan wawancara diharapkan dapat diperoleh informasi mengenai gambaran MMT-ITS, asetaset yang dimilisi serta informasi mengenai permasalahan yang sering terjadi dan menjadi ancaman dalam sekuritas informasi dan data baik dari sudut pandang pihak manajemen maupun staff dalam MMT-ITS. Tahap Penentuan Titik Kontrol Pernentuan titik kontrol merupakan tahapan yang penting dalam pembuatan SMSI. SMSI sendiri dibangun berdasarkan pendekatan risiko bisnis. Dalam penentuan titik kontrol terdapat dua bagian utama yaitu: Identifikasi Proses Bisnis Dalam hal ini yang akan ditinjau adalah data struktur organisasi dan deskripsi kerja masing-masing bagian atau karyawan pada SIM Akademik MMT-ITS. Serta dilakukan pemahaman secara menyeluruh mengenai organisasi, baik tujuan maupun arah organisasi. Analisa Risiko Bentuk kegagalan fungsi sistem informasi ini dapat beraneka ragam, mulai dari gangguan listrik, serangan hacker, virus, pencurian data, denial of services attack (DOS), bencana alam hingga serangan teroris yang dapat mengakibatkan kegagalan keamanan informasi dalam hal Privacy, Identification, Authentication, Authorization, Accountability. Perkembangan ini melahirkan beberapa metodologi untuk mengidentifikasi risiko kemungkinan kerusakan aset-aset pendukung proses bisnis organisasi. Secara umum terdapat dua metode identifikasi risiko (Risk Analysis), yaitu[11]: 1. Kuantitatif ; Identifikasi berdasarkan angka-angka nyata (nilai finansial) terhadap biaya pembangunan sekuritas dan besarnya kerugian yang terjadi. identifikasi kuantitatif membantu dalam menghilangkan keraguan yang meliputi estimasi waktu dan biaya serta keraguan personal. 2. Kualitatif ; identifikasi kualitatif meliputi kegiatan dan mengenali faktor risiko dilengkapi dengan perkiraan yang menjelaskan masing-masing risiko dan dampaknya. ISBN : 978-602-97491-2-0 C-23-3 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 Sistem Informasi Akademik Jaringan Server Lainnya Reputasi Keauangan Produktifitas Dampak Tinggi Ancaman Sedang Aset Kritis Rendah Probabilitas Penyalahgunaan akses - - - - M - Terlalu banyak yang mengakses - - - - L - Masuknya Virus - - - - M - Kesalahan memasukkan data - - - - M - Serangan dari luar (DoS) - - M - - - Password aplikasi di ketahui oleh pihak yang tidak berwenang Perubahan konfigurasi aplikasi oleh pihak yang tidak berwenang sehingga aplikasi tidak dapat digunakan Sharing Password Pencurian kode program Konektivitas Ketidakstabilan jaringan area lokal akan menciptakan sebuah backlog Kegagalan operasional software Listrik Padam, banjir dan kejadian eksternal yang dapat mengakibatkan penolakan akses. Membicarakan isu mengenai permasalahan ini ke area publik Konfigurasi komponen fisik jaringan oleh pihak yang tidak berkepentingan Penyadapan informasi melalui jaringan melalui router, switch, WLAN dll Rusaknya komponen fisik jaringan seperti router, switch, dll Pencurian komponen fisik jaringan seperti router, switch, dll Rusaknya modem karena kelebihan beban kerja Kesalahan dalam konfigurasi firewall (human error) Penyalahgunaan akses jaringan Penyalahgunaan akses Masuknya Virus Pencurian Server dan atau komponennya Kesalahan Konfigurasi dan perawatan Server oleh staf Password Server diketahui oleh orang lain - - M - L - - - L - M - - - - - M L - - - - - - - L L - - - - - M M - - L - - - - - - - L - - - - - L - - - - L L - - - - L - - - - - L L - - - - - L - - - - - M L L L L M - - - - L - - - L - L - ISBN : 978-602-97491-2-0 C-23-4 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 Penyadapan informasi penting dari Server melalui jaringan (Contoh : menggunakan ID guess melalui fasilitas telnet Kebakaran pada ruang server Rusaknya komponen server karena terbakar atau berkarat Rusaknya Server karena beban kerja yang terlalu tinggi Serangan hacker pada server melalui jaringan Matinya aliran listrik Lainnya Produktifitas Reputasi Keauangan Dampak Tinggi Ancaman Sedang Aset Kritis Rendah Probabilitas - - - - L - - - - M L M L M L - - - - L L - - - - L - - - - - L - Perkembangan ini melahirkan beberapa metodologi untuk mengidentifikasi risiko kemungkinan kerusakan aset-aset pendukung proses bisnis organisasi. Pembuatan Dokumentasi SMSI Organisasi menunjuk dan membentuk suatu tim pelaksana yang bertanggung jawab terhadap pembuatan, pengelolaan sampai dengan peningkatan SMSI. Pembuatan dokumentasi SMSI sendiri mengadopsi pembuatan dokumentasi SMM seperti yang ditunjukkan pada Gambar 2.2. yang merupakan isi dari dokumentasi SMSI: Pembuatan Manual Sekuritas Informasi (MSI) Merupakan langkah awal dalam pembuatan dokumentasi SMSI yang berisi komitmen organisasi terhadap penerapan sekuritas informasi dan pemenuhan persyaratan standar SMSI yang dipilih. MSI memberikan pandangan kedepan bagi organisasi mengenai kebijakan, tujuan sekuritasan informasi, sistem-sistem, prosedur dan metodologinya. Contoh hasilnya adalah MSI PENDAHULUAN merujuk pada (MSI-01), Manual ini berisi latar belakang dibuatnya SMSI pada organisasi, serta siklus yang digunakan dalam proses pembuatan dan penerapan SMSI, yaitu siklus Plan – Do – Check – Act (PDCA), Visi Dan Misi serta beberapa sasaran MMT Gambar 2. Struktur Pembuatan Dokumentasi SMSI ISBN : 978-602-97491-2-0 C-23-5 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 Pembuatan Prosedur Sekuritas Informasi (PSI) PSI berisi uraian urutan pekerjaan/langkah-langkah kegiatan yang saling terkait satu sama lain. PSI dilengkapi dengan identifikasi terhadap aktivitas-aktivitas yang bersifat kritis, dimana pendokumentasian prosedur akan menunjang pelaksanaan proses secara konsisten. Contoh hasilnya adalah PSI PENGENDALIAN DOKUMEN merujuk pada (PSI–MR–01) Prosedur ini berisi mengenai tujuan, ruang lingkup, standar yang berlaku, indikator kinerja / kriteria keberhasilan, rincian prosedur, definisi & daftar singkatan, dan dibuat untuk mengendalikan seluruh dokumen sekuritas informasi yang dipergunakan dalam penerapan SMSI. Prosedur ini bertujuan agar dokumen-dokumen sekuritas informasi adalah dokumen sekuritas informasi dengan revisi terkini, mudah didapatkan, mudah diidentifikasi dan tersedia jika diperlukan. Dokumen yang dimaksudkan adalah dokumen internal (MSI, PSI, IK, Referensi dan Formulir) serta dokumen eksternal yang meliputi Peraturan Perundang-undangan, Surat Keputusan Rektor, dan sebagainya. Pembuatan Instruksi Kerja (IK) Instruksi kerja ini berisi mengenai tujuan, instruksi kerja, catatan/rekaman sekuritas informasi dan dibuat sebagai arahan dan petunjuk pelaksana bagi pelaksana teknis. Instruksi kerja dibuat secara sederhana, praktis dan mudah untuk dipahami karena akan diimplementasikan oleh pengguna yang berada dalam posisi pelaksana. Contoh hasilnya adalah IK PEMBUATAN PASSWORD merujuk pada (IKADM-01) Instruksi ini dibuat untuk menerapkan manajemen password yang baik sehingga dapat menghasilkan password yang berkualitas dan tidak mudah ditebak sehingga fungsi dari password sendiri sebagai autentifikasi dapat tercapai. Hal ini mutlak diperlukan karena pasword merupakan sistem yang akan memastikan bahwa benar-benar pemilik saja yang diperkenankan masuk ke dalamnya. Pembuatan Formulir-formulir Merupakan dokumen berupa catatan/rekaman sebagai bukti hasil kerja proses yang ada, contohnya; daftar induk dokumen, rekaman audit internal, rekaman tinjauan manajemen dll. Contoh hasilnya DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01). Contoh hasilnya adalah DAFTAR DOKUMEN EKSTERNAL merujuk pada (FM–MR–01) Merupakan daftar yang berisi dokumen-dokumen eksternal yang mendukung pengimplementasian SMSI. Formulir ini memudahkan pengguna untuk melihat dan melakukan penelusuran dokumen eksternal, karena mengandung data historis dokumen. Tingkat dokumentasi, yang dihasilkan seperti yang di tunjukkan dalam bagan berikut ini: Pembuatan Referensi Merupakan dokumen kelengkapan SMSI yang terdiri dari dokumen struktur organisasi, uraian tugas, proses bisnis, kebijakan sekuritas informasi, laporan persiraan risiko, sasaran sekuritas informasi, rencana sekuritas informasi, daftar dokumentasi SMSI, statement of applicability, daftar contoh stempel dan rencana pengelolaan risiko. Verifikasi SMSI Tahap verifikasi SMSI dilakukan untuk mengetahui kelengkapan dokumentasi SMSI yang telah dibuat terhadap persyaratan ISO 27001:2005. Persyaratan kelengkapan dokumen terdapat pada klausul 4.3.1 ISO 27001:2005. ISBN : 978-602-97491-2-0 C-23-6 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 Gambar 3. Contoh : hasil dari pembuatan dokumentasi SMSI KESIMPULAN Penggambaran proses bisnis SIM-Akademik MMT - ITS didasarkan pada deskripsi pekerjaan (job description) bagian Pendidikan dan Kerjasama. Proses bisnis digambarkan menjadi proses utama, penunjang dan manajemen Identifikasi risiko pada proses bisnis dan aset dilakukan dengan mengidentifikasi risiko yang mungkin muncul pada aset-aset yang berkaitan dengan aplikasi SIM akademik serta kelemahan yang mengancam terjadinya risiko. Identifikasi ini akan diukur dan dinilai dengan kriteria tertentu untuk mengetahui level Pembuatan dokumentasi SMSI mengadopsi tata cara pendokumentasian SMM dengan melakukan beberapa penyesuaian terhadap ISO 27001:2005. Struktur atau tahapan pembuatan SMSI ISBN : 978-602-97491-2-0 C-23-7 Prosiding Seminar Nasional Manajemen Teknologi XIII Program Studi MMT-ITS, Surabaya 5 Pebruari 2011 DAFTAR PUSTAKA [1] Jacquelin Bisson, CISSP (Analis Keamanan Informasi, Callio Technologies) & René Saint-Germain (Direktur Utama, Callio Technologies), Mengimplementasi kebijakan keamanan dengan standar BS7799 /ISO17799 untuk pendekatan terhadap informasi keamanan yang lebih baik, White Paper, http://202.57.1.181/~download/linux_ opensource/artikel+tutorial/ general_tutorials/wp_iso_id.pdf [2] Syafrizal, Melvin. 2008. Information Security Management Sistem (ISMS) Menggunakan ISO/IEC 27001:2005. STIMIK AMIKOM YOGYAKARTA. [3] Whitmann, E. M dan Mattord, J.H. 2006. Management of Information System. Course Technology. [4] PMII Komisariat UNDIP. Pengertian Kebijakan <http://pmiikomundip.wordpress.com/2008/06/06/kebijakan-dan-kemiskinan/> [5] NIST SP 800-53, Revision 1, “Recommended Security Controls for Federal Information Systems”. 2006. [6] Plasma media. Keamanan Informasi.<http://www.plasmedia.com/secpolicy.htm> [7] Wikipedia. Keamanan Informasi <http://id.wikipedia.org/wiki/Keamanan informasi> [8 Oktober 2008 jam 13.05 WIB] [8] Ferdinand Aruan (2003), Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo) Tinjauan Terhadap ISO 17799 - Program Magister Teknik Elektro Bidang Khusus Teknologi Informasi ITB [9] Wikipedia. July 2009. Pengertian PDCA, <http://id.wikipedia.org/wiki/PDCA> [10] ISO/IEC 27001:2005, Information technology-Security techniques-Information security management system-Requirements. 15 Oktober 2005 [11] Ismiatin, Rahayu, D.D, dkk. Januari 2009. Analisis Risiko Proyek Perusahaan. < http://www.scribd.com/doc/11100389/Analisis-Resiko-Proyek-an> ISBN : 978-602-97491-2-0 C-23-8