Professional Documents
Culture Documents
A181-188 Adi S Terbaru
A181-188 Adi S Terbaru
Adi Supriyatna1
1
Jurusan Manajemen Informatika, AMIK BSI Karawang
e-mail :adi.asp@bsi.ac.id
ABSTRACT
Information is one of the most important assets of the company. With the development of
information technology very rapidly, the possibility of disruption Information security is also increasing.
Security issues is one important aspect of an information system, security is often placed at the bottom
of the list are considered to be important. This study was conducted to analyze and measure the security
level of information on academic information system, because the current data that is processed is still
very vulnerable to attack or vandalism committed by people who are not responsible nor caused by
system failures. The method used in this study are divided into two types of sample selection and data
collection. Meanwhile, to measure the level of security, in this study using the standard BS-7799 which
consists of 11 clauses are used as a basis to create a list of questions and SSE-CMM is used for the
assessment of the level of maturity. The results of this study are based on calculations that have been
done, it can be obtained that information security level of academic information system is located on
level 3 is below the average level 1 which means that the current information security on academic
information system still needs to be improved. However there are some clauses that have a value above
3 that clause 6th and 7th clause which means it meets the standards of BS-7799.
Kata kunci : Academic Information System, BS-7799 Standard, Information Security, SSE-CMM.
PENDAHULUAN
Informasi merupakan salah satu aset perusahaan yang sangat penting. Dengan berkembangnya
teknologi informasi yang sangat pesat, kemungkinan terjadinya gangguan keamaan informasi juga
semakin meningkat. Masalah keamanan merupakan salah satu aspek penting dalam penggunaan sistem
informasi, seringkali keamanan ditempatkan pada urutan terakhir dalam daftar yang dianggap penting.
Saat ini sangat dibutuhkan sebuah sistem keamanan sistem informasi yang baik untuk menjaga
informasi yang dimiliki oleh perusahaan, meskipun pada kenyataannya belum ada sebuah keamanan
sistem informasi yang sempurna karena selalu saja ada celah atau cara untuk menembus keamanan
sebuah sistem informasi.
Standard BS-7799 merupakan standard internasional yang menyediakan petunjuk dan kontrol
untuk mengatur keamanan sistem informasi. Keamanan informasi didefinisikan sebagai perlindungan
kerahasiaan, integritas dan ketersediaan yang dapat dicapai dengan menerapkan kontrol berupa
kebijakan, praktek, dan prosedur.
Penelitian ini dilakukan untuk melakukan kajian terhadap tingkat keamanan sistem informasi
akademik yang digunakan oleh salah satu perguruan tinggi swasta di jakarta. Karena saat ini data yang
diolah masih sangat rentan oleh penyerangan atau perusakan yang dilakukan oleh orang yang tidak
bertanggung jawab maupun yang disebabkan oleh kegagalan sistem.
Keamanan informasi merupakan suatu hal yang wajib diperhatikan. Masalah tersebut penting
karena jika informasi dapat diakses oleh orang yang tidak bertanggung jawab maka keakuratan
informasi tersebut akan diragukan bahkan bisa menjadi informasi yang menyesatkan. Berikut ini adalah
beberapa rumusan masalah yang didapatkan dalam penelitian apakah sistem keamanan pada sistem
informasi akademik yang digunakan sudah sesuai dengan standard dan sejauh mana kesiapan sistem
informasi akademik dalam penerapan standar keamanan informasi. Selain itu Bagaimanakah peranan
standarisasi keamanan sistem informasi dalam menjaga informasi yang tersimpan dari berbagai ancaman
yang ada .
Tujuan dari penelitian ini adalah untuk mendapatkan hasil pengukuran yang akurat dalam hal
keamanan informasi pada sistem informasi akademik dan meningkatkan kualitas keamanan informasi
sesuai dengan standard BS 7799. Selain itu untuk mengetahui tingkat kematangan sistem keamanan
yang digunakan pada sistem informasi akademik. Diharapkan hasilnya dapat digunakan sebagai bahan
pertimbangan dalam rangka menyusun langkah-langkah perbaikan manajemen keamanan sistem
informasi.
Menurut Simanungkalit (2009, p.6), Keamanan Informasi adalah perlindungan informasi dari
berbagai macam ancaman agar menjamin kelanjutan usaha / bisnis, mengurangi resiko bisnis dan
meningkatkan return of investment dan peluang bisnis. Keamanan sistem informasi merupakan suatu
kegiatan perlindungan atau pencegahan terhadap gangguan penyalahgunaan informasi yang dilakukan
oleh orang-orang yang tidak bertanggung jawab terhadap jalannya suatu sistem.
Menurut HARR dalam Simanungkalit (2009, p.6) keamanan informasi meliputi perlindungan
terhadap tiga aspek, yaitu Kerahasiaan (Confidentiality), Integritas (Integrity) dan Ketersediaan
(Availability). Ketiga aspek tersebut dikenal dengan CIA Triad dan menjadi prinsip dasar keamanan
informasi (Gambar 1).
Information Security Management System (ISMS) atau Sistem Manajemen Keamanan Informasi
menyediakan pendekatan sistematis dalam mengatur informasi yang sensitif agar dapat melindunginya
yang meliputi pegawai, prose-proses dan sistem informasi. Menurut BSI (2002, p.4) ISMS merupakan
bagian dari sistem manajemen secara keseluruhan berdasarkan pendekatan resiko bisnis untuk
membangun, melaksanakan, beroperasi, memantau, mempertahankan dan meningkatkan keamanan
informasi. Konsep kunci dari ISMS adalah agar organisasi/perusahaan merancang, menerapkan dan
memelihara rangkaian yang berkaitan dari proses dan sistem untuk secara efektif mengelola
aksesibilitas informasi, kemudian memastikan confidentiality, integrity dan availability dari aset-aset
informasi dan meminimalkan resiko-resiko sistem keamanan informasi.
Latar belakang disusunnya standard BS-7799 untuk manajemen keamanan sistem informasi adalah
karena diperlukannya suatu cara bagaimana data atau informasi tersebut dikelola, dipelihara dan diekspos.
Awalnya BS-7799 adalah standar internasional yang menyediakan petunjuk dan kontrol untuk mengatur
keamanan informasi. BS-7799 mendefinisikan 133 buah kontrol keamanan yang terstruktur dan
dikelompokkan menjadi 11 klausa untuk memudahkan dalam mengidentifikasi hal-hal yang dibutuhkan
untuk mengamankan aset informasi perusahaan. Berikut ini adalah 11 klausa yang terdapat dalam standard
BS-7799: 1.Security Policy (Kebijakan Keamanan). 2.Organization of Information Security
(Pengorganisasian Keamanan Informasi) . 3.Asset Management (Pengelolaan Aset). 4.Human Resource
Security (Pengamanan Sumber Daya Manusia). 5.Physical and Enviromental Security
(Pengamanan Fisik dan Lingkungan). 6.Communications and Operations Management (Manajemen
Komunikasi dan Operasi). 7.Access Control (Pengontrolan Akses). 8.Information Systems Acquisition,
Development and Maintenance (Akuisisi Sistem Informasi, Pengembangan dan Pemeliharaan).
9.Incident Management (Pengelolaan Insiden). 10.Bussiness Continuity Management (Manajemen
Kelangsungan Bisnis). 11.Compliance (Kepatuhan).
SSE-CMM menjelaskan karakteristik penting dari suatu proses rekayasa keamanan organisasi
yang harus ada untuk memastikan teknik keamanan yang baik dengan tidak menganjurkan proses
tertentu atau berurutan, namun mengambil praktek secara umum yang diamati dalam industri. Model
ini merupakan standar untuk mempraktekkan rekayasa keamaman yang meliputi: 1.Siklus hidup secara
keseluruhan termasuk pengembangan, pengoperasian dan kegiatan pemulihan kembali. 2. Organisasi
keseluruhan termasuk pengelolaan, pengorganiasian dan kegiatan rekayasa. 3.Prilaku berinteraksi
dengan disiplin lain, seperti sistem, perangkat lunak, perangkat keras, faktor manusia, rekayasa
pengujian, pengelolaan sistem, operasi dan pemeliharaan.4.Berinteraksi dengan organisasi lain
termasuk pengambil alihan, pengelolaan manajemen, sertifikasi, akreditasi dan evaluasi.
Model SSE-CMM memberikan gambaran menyeluruh tentang prinsip-prinsip dan arsitektur
yang didasarkan SSE- CMM, gambaran eksekutif dari model, saran untuk pengggunaan model yang
tepat, praktek-praktek yang termasuk dalam model, dan deskripsi atribut dari model. Metode penilaian
SSE-CMM menjelaskan proses dan alat untuk mengevaluasi kemampuan teknik keamanan informasi.
Ruang lingkup SSE-CMM meliputi beberapa hal yaitu: 1.SSE-CMM ditujukan untuk kegiatan
rekayasa keamanan yang meliputi produk yang terpercaya atau siklus hidup keamanan sistem, termasuk
definisi konsep, analisa kebutuhan, perancangan, pengembangan, integrasi, instalasi, operasi, perawatan
dan pengawasan. 2.SSE-CMM diterapkan untuk mengamankan pengembang produk, keamanan
pengembang sistem dan integrator dan organisasi yang menyediakan jasa keamanan dan rekayasa
keamanan. 3.SSE-CMM diterapkan untuk semua jenis dan ukuran rekayasa keamanan organisasi, seperti
komersial, pemerintahan dan akademisi.
Untuk mengidentifikasi sejauh mana perusahaan/organisasi telah memenuhi standard
keamanan informasi yang baik, dapat menggunakan kerangka identifikasi yang direpresentasikan dalam
sebuah tingkat kematangan yang memiliki tingkat pengelompokkan kapabilitas perusahaan.
Range Keterangan
0 – 0.50 Non-Existent
0.51 – 1.50 Initial/Ad Hoc
1.51 – 2.50 Repeatable But Invinitive
2.51 – 3.50 Defined Process
3.51 – 4.50 Managed and Measurable
4.51 – 5.00 Optimized
Sumber : ITGI (2007, p.18)
METODE PENELITIAN
Dalam penelitian ini metode yang digunakan adalah metode penelitian kualitatif, data yang
diperoleh berdasarkan hasil penyebaran kuesioner yang diberikan kepada responden.
1. Pemilihan Sampel
a. Populasi
Populasi menurut Sugiyono (2007, p.80) adalah wilayah generalisasi yang terdiri atas obyek/subyek
yang mempunyai kualitas dan karakteristik tertentu yang ditetapkan oleh peneliti untuk dipelajari
dan kemudian ditarik kesimpulannya. Populasi dalam penelitian ini yaitu staf yang menggunakan
sistem informasi akademik di bagian akademik yang berjumlah 7 orang.
b. Responden Penelitian
Penentuan jumlah sampel dari populasi tertentu yang dikembangkan dari Isaac dan Michael, untuk
jumlah populasi 10 jumlah anggota sampel sebenarnya hanya 9,56 tetapi dibulatkan menjadi 10
(Sugiyono, 2007, p.88). Teknik pengambilan sampel yang digunakan adalah purposive sampling,
dimana sampel dipilih oleh peneliti dalam penelitian ini adalah orang yang ahli dalam bidang
tersebut. Teknik ini digunakan karena responden yang dipilih merupakan orang yang memang
bergelut di bidangnya, yaitu pengguna sistem informasi akademik.
2. Metode Pengumpulan Data
Data yang diperoleh dalam penelitian ini terbagi menjadi dua macam yaitu data primer yang
merupakan data utama penelitian dan data sekunder yang merupakan data pendukung penelitian.
a. Data primer, merupakan data utama yang digunakan dalam penelitian yang diperoleh melalui
observasi, wawancara dan survei. Pada penyebaran kuesioner penulis membuat daftar pertanyaan
berdasarkan standard yang terdapat pada BS-7799 tentang petunjuk pelaksanaan manajemen
keamanan informasi yang terdiri dari 11 kriteria atau klausa.
b. Data sekunder yang digunakan dalam penelitian ini diperoleh melalui literatur atau studi pustaka
seperti buku, jurnal, prosiding dan laman. Selain itu penulis juga menggunakan dokumentasi data
yang berkaitan dengan pengolahan data yang dilakukan sistem informasi akademik yang sesuai
dengan topik penelitian.
3. Instrumentasi
Instrumen penelitian menurut Sandjaja (2006, p139) merupakan alat yang digunakan untuk
mengukur variabel dalam rangka pengumpulan data. Instrumen yang digunakan dalam penelitian ini
adalah dengan menyebarkan kuesioner. Kuesioner yang diambil dari 11 klausa yang terdapat pada
BS-7799 yang sudah dibuat sedemikian rupa sehingga jawaban dari kuisioner tersebut setelah diolah
menggunakan Maturity Level untuk mendapatkan nilai hasil tingkat kematangan keamanan sistem
informasi akademik. Skala yang digunakan dalam kuesioner adalah skala Guttman, dimana pilihan
jawaban yang disediakan yaitu jawaban Ya dan Tidak.
4. Teknik Analisis Data
Gambar 2. Skema Pengolahan Data Kualitatif
Teknik analisis data yang digunakan pada penelitian ini adalah analisis kualitatif yang merupakan
bentuk analisis yang sering digunakan untuk pendekatan penelitian yang menggunakan studi
kasus. Analisis kualitatif melibatkan pengamatan yang lengkap. Menurut Miles dan Huberman
dalam Sugiyono (2008, p.337), menyebutkan ada tiga langkah pengolahan data kualitatif, yakni
reduksi data (data reduction), penyajian data (data display), dan penarikan kesimpulan
(conclusion drawing and verification) . Dalam pelaksanaannya reduksi data, penyajian data, dan
penarikan kesimpulan/verifikasi, merupakan sebuah langkah yang sangat luwes, dalam arti tidak
terikat oleh batasan kronologis. Secara keseluruhan langkah-langkah tersebut saling berhubungan
selama dan sesudah pengumpulan data, sehingga model dari Miles dan Huberman disebut juga
sebagai Model Interaktif.
PEMBAHASAN
Hasil Perhitungan Data
Data yang diperoleh berasal dari penyebaran daftar pertanyaan kepada para pengguna sistem
informasi akademik yang berjumlah 7 orang sesuai dengan standard BS-7799, kemudian data tersebut
diolah dengan menggunakan SSE-CMM untuk mendapatkan nilai tingkat kematangan keamanan
informasi. Skala yang digunakan dalam kuesioner ini menggunakan skala Guttman, dimana dalam
jawaban kuesioner disediakan dua pilihan yaitu pilihan jawaban Ya dan Pilihan jawaban Tidak. Dalam
perhitungannya, jawaban Y (Ya) dikonversi menjadi nilai 1, dan jawaban T (Tidak) dikonversi menjadi
nilai 0. Penelitian dengan menggunakan skala Guttman dilakukan bila ingin mendapatkan jawaban yang
tegas teradap suatu permasalahan yang ditanyakan (Sugiyono, 2007, p.96). Setelah semua hasil
kuesioner dimasukkan dalam tabel, kemudian dihitung tingkat kematangan tiap proses dalam masing-
masing klausa untuk setiap responden. Hasil maturity level tiap klausa dari 7 responden kemudian dicari
rata-ratanya, dan hasil rata-rata tersebut akan menjadi nilai maturity level atau tingkat kematangan
keamanan informasi.
Nilai maturity diperoleh dari hasil rata-rata jawaban responden terhadap masing -masing klausa
yang terdapat pada standar BS-7799, sedangkan Expected Maturity menunjukkan tingkat standar
maturity yang ada di Indonesia yaitu pada tingkat ketiga (Gambar 3). Tabel 2 menunjukkan hasil
perhitungan kuesioner untuk mendapatkan tingkat kematangan keamanan informasi sistem informasi
akademik.
Dari hasil perhitungan tingkat kematangan keamanan informasi, dimana tingkat kematangan
yang menjadi acuan dalam penelitian ini adalah pada level 3 (Define). Berdasarkan hasil perhitungan
yang telah dilakukan maka dapat diperoleh bahwa tingkat kematangan keamanan informasi sistem
informasi akademik adalah berada pada rata-rata level 1 berarti bahwa saat ini keamanan informasi
sistem informasi akademik masih perlu diperbaiki karena masih berada di bawah level 3. Namun ada
beberapa klausa yang memiliki nilai di atas 3 yaitu klausa ke-6, klausa ke-7 dan klausa ke-8 yang berarti
sudah memenuhi standar BS-7799.
KESIMPULAN
Berdasarkan hasil penelitian dan pengolahan data yang berkaitan dengan keamanan informasi
pada sistem informasi akademik, dapat diambil beberapa kesimpulan sebagai berikut:
1. Tingkat kematangan keamanan informasi pada sistem informasi akademik rata-rata masih berada di
tingkat kesatu (Initial/ad hoc) yaitu pada klausa Kebijakan Keamanan, Pengorganisasian Keamanan
Informasi, Klasifikasi Aset dan Kontrol, Keamanan Personil / Sumber Daya Manusia, Manajemen
Insiden Keamanan Informasi, Aspek keamanan Informasi Keberlangsungan Bisnis. Untuk klausa
keamanan fisik dan lingkungan dan klausa kepatuhan berada pada tingkat kedua (Repeatable but
invinite), Klausa pengembangan sistem dan pemeliharaan dan klausa kontrol akses berada di tingkat
keempat (Managed and measurable). Sedangkan klausa manajemen komunikasi dan operasi berada
pada tingkat kelima (Optimized).
2. Penerapan standarisasi keamanan informasi pada sistem informasi akademik berdasarkan BS-7799
masih belum siap karena dari 11 klausa yang ditetapkan, hanya tiga klausa saja yang baru memenuhi
standar tingkat kematangan yaitu klausa kontrol akses, pengembangan sistem dan pemeliharaan dan
klausa manajemen komuikasi dan operasi.
3. Peranan Standar BS-7799 dalam menjaga informasi yang tersimpan adalah sebagai acuan dalam
melakukan kontrol keamanan sistem informasi berdasarkan resiko, peraturan, hukum dan undang-
undang serta prinsip, tujuan dan kebutuhan informasi pada sistem informasi akademik.
DAFTAR PUSTAKA
Bundesamt Fur Sicherheit in der Informationstechnik (BSI). (2008). BSI-Standard 100-1 Information
Security Management Systems (ISMS). Bonn.
IT Governance Institute. (2005). COBIT 4.0.
Sandjaja, B & Albertus Heriyanto. (2006). Panduan Penelitian. Jakarta. Prestasi Pustaka Publisher.
Simanungkalit, S.Juliandry. (2009). Perancangan Manajemen Keamanan Sistem Informasi Studi
Kasus Depkominfo. Tesis. Jakarta. Fakultas Ilmu Komputer Program Studi Magister
Teknologi Informasi UI.
Sugiyono. (2007). Metode Penelitian Kuantitatif, Kualitatif dan R & D. Bandung. CV.Alfabeta.
________. (2008). Metode Penelitian Pendidikan Pendekatan Kuantitatif, Kualitatif dan R & D.
Bandung. CV.Alfabeta.