Esa Fauzi (0610P001): PERENCANAAN AUDIT TEKNOLOGI INFORMASI DENGAN KERANGKA KERJA COBIT UNTUK IT SECURITY

PERENCANAAN AUDIT TEKNOLOGI INFORMASI DENGAN KERANGKA KERJA COBIT UNTUK IT SECURITY

 oleh Esa Fauzi (0610P001)

Fakultas Teknik, Jurusan Teknik Informatika S1

Universitas Widyatama

2011

(esa.fauzi@gmail.com)

 

A.   PENDAHULUAN

Sekarang ini keamanan yang efektif dari suatu sistem sangat diperlukan untuk kegiatan bisnis sehari-hari. Sistem yang aman bisa memberikan tingkat kepercayaan yang tinggi kepada pengguna sehingga bisa memberi nilai tambah dan daya guna bagi sistem itu sendiri. Pengguna akan merasa nyaman dan aman ketika berhubungan dengan sistem kita yang selanjutnya bisa menguntungkan bisnis kita.

Sistem Keamanan yang berbasis komputer meliputi berbagai macam perangkat IT yang mendukungnya, seperti keamanan yang harus diterapkan pada jaringan, software, sistem operasi, hardware, database, wbserser, dan lain-lain. Aspek yang kritis dan pokok dari masalah keamanan sistem komputer ini adalah masalah software karena kebergantungan berbagai sistem pada software sangat tinggi. Software telah menjadi penggerak utama berbagai sistem/perangkat, seperti komputer, konsol game, aplikasi bisnis, peralatan medis, pesawat terbang, mobil, handphone, dan lain-lain. Begitu banyak sistem yang bergantung kepada software sehingga apabila ditemukan cacat yang menyebabkan vulnerability pada software ketika dirilis mengakibatkan software tersebut rentan serangan dan dianggap tidak aman. Oleh karena butuh suatu mekanisme jaminan keamanan terhadap software dan apabila dirilis memang betul-betul software tersebut adalah aman. Keamanan software adalah ide perekayasaan software sehingga software tersebut tetap berfungsi dengan benar di bawah serangan jahat yang merusak.

Keamanan Desain Sistem adalah bagaimana desain sistem teknologi informasi dan komunikasi kita dapat menjaga hal-hal yang tidak diinginkan, misalnya penyusup/pengganggu dan perusak. Keamanan desain ini dapat berupa desain software aplikasi, sistem operasi, hardware, jaringan, dll. Di sini lebih ditekankan pada aspek desainnya. Sebagai contoh misalnya untuk keamanan desain software aplikasi: Aplikasi yang baik, terutama bila aplikasi tersebut multi-user, maka perlu ada autentikasi user yang login dan dicatat dalam file log untuk penelusuran kelak. Sekarang tidak hanya fasilitas login-logout ini saja, tetapi aplikasi harus lebih pintar, misalnya dengan penambahan pewaktu (timer) yang akan menghitung waktu idle (menganggur) aplikasi. Jika melewati batas waktu tertentu, maka otomatis aplikasi akan menjalankan proses logout. Berjalannya waktu, proses login-logout ini sendiri tidak melulu menggunakan nama login dan password atau dengan kartu magnetik biasa, tetapi sudah memanfaatkan teknologi biometrik. Misalnya dengan sidik jari, sidik telapak tangan, pengenalan retina, pengenalan suara, dll.

Pengamanan sistem Teknologi Informasi pada suatu organisasi menjadi salah satu faktor yang perlu diperhatikan. Pengelolaan yang baik terhadap keamanan sistem Teknologi Informasi dapat meningkatkan nilai kepercayaan internal maupun eksternal organisasi untuk memanfaatkan Teknologi Informasi sebagai pendukung kegiatan organisasi.

Untuk memastikan tingkat keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia, perlu dilakukan audit untuk mengukur tingkat Keamanan Sistem dari Teknologi Informasi yang ada. Dengan adanya audit ini diharapkan dapat dilakukan langkah-langkah perbaikan untuk meningkatkan keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia

B.   LANDASAN TEORI

Control Objectives for Information and related Technology (COBIT) adalah suatu panduan standar praktik manajemen teknologi informasi yang dimana menjadi sekumpulan dokumentasi best practices untuk IT governance yang dapat membantu auditor, manajemen dan user untuk menjembatani gap antara risiko bisnis, kebutuhan kontrol dan permasalahan-permasalahan teknis.

COBIT dikembangkan oleh IT Governance Institute, yang merupakan bagian dari Information Systems Audit and Control Association (ISACA). COBIT memberikan arahan ( guidelines ) yang berorientasi pada bisnis, dan karena itu business process owners dan manajer, termasuk juga auditor dan user, diharapkan dapat memanfaatkan guideline ini dengan sebaik-baiknya.

Lingkup kriteria informasi yang sering menjadi perhatian dalam COBIT adalah:

  • Effectiveness

Menitikberatkan pada sejauh mana efektifitas informasi dikelola dari data-data yang diproses oleh sistem informasi yang dibangun.

  • Efficiency

Menitikberatkan pada sejauh mana efisiensi investasi terhadap informasi yang diproses oleh sistem.

  • Confidentiality

Menitikberatkan pada pengelolaan kerahasiaan informasi secara hierarkis.

  • Integrity

Menitikberatkan pada integritas data/informasi dalam sistem.

  • Availability

Menitikberatkan pada ketersediaan data/informasi dalam sistem informasi.

  • Compliance

Menitikberatkan pada kesesuaian data/informasi dalam sistem informasi.

  • Reliability

Menitikberatkan pada kemampuan/ketangguhan sistem informasi dalam pengelolaan data/informasi.

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam COBIT adalah pada:

  • Applications
  • Information
  • Infrastructure
  • People

Hal yang menarik dari COBIT adalah adanya versi khusus untuk skala usaha kecil-menengah (UKM) yang disebut COBIT Quickstart.

Kerangka kerja COBIT ini terdiri atas beberapa arahan ( guidelines ), yakni:

Control Objectives: Terdiri atas 4 tujuan pengendalian tingkat-tinggi ( high-level control objectives ) yang tercermin dalam 4 domain, yaitu: planning & organization , acquisition & implementation , delivery & support , dan monitoring .

Audit Guidelines: Berisi sebanyak 318 tujuan-tujuan pengendalian yang bersifat rinci ( detailed control objectives ) untuk membantu para auditor dalam memberikan management assurance dan/atau saran perbaikan.

Management Guidelines: Berisi arahan, baik secara umum maupun spesifik, mengenai apa saja yang mesti dilakukan, terutama agar dapat menjawab pertanyaan-pertanyaan berikut:

  • Sejauh mana Anda (TI) harus bergerak, dan apakah biaya TI yang dikeluarkan sesuai dengan manfaat yang dihasilkannya.
  • Apa saja indikator untuk suatu kinerja yang bagus?
  • Apa saja faktor atau kondisi yang harus diciptakan agar dapat mencapai sukses ( critical success factors )?
  • Apa saja risiko-risiko yang timbul, apabila kita tidak mencapai sasaran yang ditentukan?
  • Bagaimana dengan perusahaan lainnya – apa yang mereka lakukan?
  • Bagaimana Anda mengukur keberhasilan dan bagaimana pula membandingkannya.

The COBIT Framework memasukkan juga hal-hal berikut ini:

  • Maturity Models – Untuk memetakan status maturity proses-proses TI (dalam skala 0 – 5) dibandingkan dengan “the best in the class in the Industry” dan juga International best practices
  • Critical Success Factors (CSFs) – Arahan implementasi bagi manajemen agar dapat melakukan kontrol atas proses TI.
  • Key Goal Indicators (KGIs) – Kinerja proses-proses TI sehubungan dengan business requirements
  • Key Performance Indicators (KPIs) – Kinerja proses-proses TI sehubungan dengan process goals  


COBIT dikembangkan sebagai suatu generally applicable and accepted standard for good Information Technology (IT) security and control practices . Istilah “ generally applicable and accepted ” digunakan secara eksplisit dalam pengertian yang sama seperti Generally Accepted Accounting Principles (GAAP).

Sedang, COBIT’s “good practices” mencerminkan konsensus antar para ahli di seluruh dunia. COBIT dapat digunakan sebagai IT Governance tools, dan juga membantu perusahaan mengoptimalkan investasi TI mereka. Hal penting lainnya, COBIT dapat juga dijadikan sebagai acuan atau referensi apabila terjadi suatu kesimpang-siuran dalam penerapan teknologi.

Suatu perencanaan Audit Sistem Informasi berbasis teknologi (audit TI) oleh Internal Auditor, dapat dimulai dengan menentukan area-area yang relevan dan berisiko paling tinggi, melalui analisa atas ke-34 proses tersebut. Sementara untuk kebutuhan penugasan tertentu, misalnya audit atas proyek TI, dapat dimulai dengan memilih proses yang relevan dari proses-proses tersebut.

Lebih lanjut, auditor dapat menggunakan Audit Guidelines sebagai tambahan materi untuk merancang prosedur audit. Singkatnya, COBIT khususnya guidelines dapat dimodifikasi dengan mudah, sesuai dengan industri, kondisi TI di Perusahaan atau organisasi Anda, atau objek khusus di lingkungan TI.

Selain dapat digunakan oleh Auditor, COBIT dapat juga digunakan oleh manajemen sebagai jembatan antara risiko-risiko TI dengan pengendalian yang dibutuhkan (IT risk management) dan juga referensi utama yang sangat membantu dalam penerapan IT Governance di perusahaan.

ITIL (Information Technology Infrastructure Library)

Sebenarnya ITIL bukan merupakan standar dalam audit TI. ITIL lebih merupakan framework/best practice bagi IT service management untuk menciptakan layanan teknologi informasi yang bermutu tinggi. ITIL terdiri atas delapan buku berseri yang disusun dan diterbitkan oleh Central Computer and Telecommunications Agency (CCTA) yang sekarang dikenal sebagai the British Office of Government Commerce (OGC). Delapan serial buku ITIL tersebut terdiri atas:

  1.  
    • Software Asset Management
    • Service Support
    • Service Delivery
    • Planning to Implement Service Management
    • ICT Infrastructure Management
    • Application Management
    • Security Management
    • Business Perspective

British Standard (BS) 15000 adalah sertifikasi keahlian/profesional yang diterbitkan oleh Pemerintah Inggris untuk manajemen TI dimana ITIL dapat digunakan sebagai panduan dalam penetapan sertifikasi. Sedangkan untuk pemusatan perhatian pada kebutuhan keamanan sistem diterbitkan sertifikasi BS 7799 yang berdasarkan pada bagian dari BS 15000.

Sertifikasi untuk IT service management terbagi atas tiga tingkat yaitu:

  1.  
    • Foundation certificate

Sertifikasi ini diberikan setelah menjalani kursus selama tiga hari dan lulus dari ujian tulis dengan model pilihan berganda. Sertifikat untuk tingkatan ini merupakan sertifikasi pertama dari tingkatan yang ada.

  1.  
    • Practitioner’s certificate

Untuk mencapai tingkatan ini diperlukan proses penilaian dan pengujian dengan mengikuti kursus, studi kasus serta ujian tulis dengan model pilihan berganda. Di tingkatan ini sertifikasi diberikan secara khusus pada bagian tertentu saja (spesialisasi).

  1.  
    • Manager’s certificate

Untuk memperoleh sertifikasi ini harus menempuh sepuluh hari pelatihan, akreditasi dari badan khusus serta lulus dari dua kali ujian tulis dalam model.

Terdapat 2 komponen operasional ITIL yaitu :

  1. Service Support (yaitu aktifitas yang dilaksanakan minimal setiap hari)
  2. Service Delivery (yaitu aktivitas yang dilaksanakan minimal setahun/kuartal/bulanan)

SERVICE SUPPORT

The Service Desk

Tujuan :

  1. Untuk melaksanakan single point of contact antara User dan IT Service Management dan memeriksa status hubungan semua customer.
  2. Menangani Incidents dan permintaan, serta memberikan arahan untuk kegiatan lain seperti Change, Problem, Configuration, Release, Service Level, and IT Service Continuity Management

Kegiatan :

  1. Menerima dan merekam semua panggilan dari user.
  2. Memberikan first-line support (menggunakan pengetahuan)
  3. Mengacu kepada second-line support bila diperlukan.
  4. Monitoring dan peningkatan peningkatan bahaya-bahaya yang terjadi.
  5. Menjaga informasi user.
  6. Memberikan ruang antara disiplin ITSM.
  7. Memberikan pengukuran  dan metrik

Lingkup kriteria informasi yang sering menjadi perhatian dalam ITIL adalah:

  1.  
    • Effectiveness
    • Efficiency
    • Confidentiality
    • Integrity
    • Availability
    • Compliance

Sedangkan fokus terhadap pengelolaan sumber daya teknologi informasi dalam ITIL identik dengan COBIT.

ISO/IEC 17799:2005 Code of Practice for Information Security Management

ISO/IEC 17799:2005 Code of Practice for Information Security Management adalah standar internasional. Tujuan utama dari penyusunan standar ini adalah penerapan keamanan informasi dalam organisasi. Framework ini diarahkan untuk mengembangkan dan memelihara standar keamanan dan praktek manajemen dalam organisasi untuk meningkatkan ketahanan (reliability) bagi keamanan informasi dalam hubungan antar organisasi.

Dalam framework ini didefinisikan 11 (sebelas) bagian besar yang dibagi dalam 132 (seratus tigapuluh dua) strategi kontrol keamanan. Standar ini lebih menekankan pada pentingnya manajemen resiko dan tidak menuntut penerapan pada setiap komponen tapi dapat memilih pada bagian-bagian yang terkait saja. Edisi pertama dari ISO/IEC 17799:2005 Code of Practice for Information Security Management diterbitkan pada tahun 2000 dan edisi keduanya terbit pada tahun 2005. Sejak edisi kedua tersebut ISO/IEC 17799:2005 Code of Practice for Information Security Management menjadi standar resmi ISO yang berdampak pada diperlukannya revisi dan pemutakhiran setiap tiga hingga lima tahun sekali.

Pada bulan April 2007, ISO memasukkan framework ini ke dalam ISO 2700x series, Information Security Management System sebagai ISO 27002. Standar tersebut dapat digolongkan dalam best practice termutakhir dalam lingkup sistem manajemen keamanan informasi. Secara langsung tidak ada sertifikasi untuk ISO/IEC 17799:2005. Namun terdapat sertifikasi yang sesuai dengan ISO/IEC 27001 (BS 7799-2). Pada standar ini terdapat perbedaan perhatian lingkup kriteria informasi dibandingkan dengan COBIT. Dimana dalam ISO/IEC 17799:2005 tidak memfokuskan pada effectiveness dan efficiency serta hanya memberikan sedikit perhatian pada reliability. Sedangkan pada pengelolaan sumber daya TI dalam ISO/IEC 17799:2005 tidak terlalu memfokuskan pada infrastructure.

 

 

C.   TUJUAN AUDIT


Pelaksanaan kegiatan kontrol dan audit menggunakan Framework COBIT pada PT. XYZ Indonesia dimaksudkan untuk menguji dan mengetahui tingkat pengelolaan keamanan sistem Teknologi Informasi yang diterapkan pada PT. XYZ Indonesia dan memberikan merekomendasikan alternatif pengembangan yang harus dilakukan untuk meningkatkan kualitas keamanan sistem, dengan batasan-batasan tujuan: 

  1. Mengelola ukuran-ukuran keamanan pada PT. XYZ Indonesia.
  2. Identifikasi, autentikasi dan akses pada PT. XYZ Indonesia.
  3. Manajemen account pemakai pada PT. XYZ Indonesia.
  4. Pengontrolan user pada account user serta identifikasi terpusat manajemen hak-hak akses.
  5. Laporan pelanggaran dan aktivitas keamanan pada PT. XYZ Indonesia.
  6. Penanganan kejadian,  pengakuan ulang, kepercayaan rekan dan otorisasi transaksi pada PT. XYZ Indonesia
  7. Proteksi pada fungsi-fungsi keamanan pada PT. XYZ Indonesia.
  8. Manajemen kunci kriptografi pada PT. XYZ Indonesia.
  9. Pencegahan, pendeteksian, dan perbaikan perangkat lunak yang tidak benar, arsitektur firewall dan hubungan dengan jaringan public serta proteksi pada nilai-nilai elektronis pada PT. XYZ Indonesia.

D.   SASARAN AUDIT

Sasaran kegiatan audit keamanan sistem Teknologi Informasi pada PT. XYZ Indonesia meliputi :
a.Pengujian tingkat keamanan.
b.Pengeloaan sistem keamanan.
c.Disasater recovery.
d.Tingkat pendidikan personil atas pengamanan.

E.   METODOLOGI

 

Tahapan metodologi yang diterapkan untuk mengetahui Kontrol Objetif Memastikan Keaman Sistem, akan dilakukan sebagai berikut :

  • Pengumpulan data, anatara lain dengan melakukan pengamatan, wawancara dan observasi sederhana terhadap organisasi untuk mendapatkan informasi yang berupa dokumentasi strategi, tujuan, struktur organisasi dan tugas, kebijakan teknologi informasi dan data penunjang lainnya.
  • Metode yang dipakai dalam pembuatan audit “Memastikan Keamanan Sistem” mengacu pada standar IT 

F.    PERENCANAAN IMPLEMENTASI AUDIT

 

Tata Kelola COBIT dengan tahapan sebagai berikut :


(1) Menemukan pemahaman tentang kebutuhan bisnis yang berkaitan dengan teknologi informasi dan risiko yang mungkin terjadi terkait dengan Keamanan Sistem [DS-5].


(2)  Melakukan evaluasi dengan menilai efektivitas control measure yang ada, atau tingkat pencapaian kontrol obyektif keamanan  sistem [DS-5]


(3) Menilai kepatuhan, dengan menjamin control measure yang telah ditetapkan  akan berjalan sebagaimana mestinya, konsisten dan berkelanjutan serta menyimpulkan kesesuaian lingkungan kontrol.


(4) Memperkirakan resiko yang mungkin terjadi karena tidak mematuhi kontrol objektif [DS-5].


(5) Memberikan Rekomendasi yang diperlukan pada hal-hal yang terkait dengan keamanan sistem [DS-5].

 

IMPLEMENTASI

a.     Memeriksa arsitektur teknologi informasi yang dapat mewadahi kebutuhan interkoneksi dengan standar transaksi yang telah berjalan, seperti : EDI (Electronic Data Interchange), Messaging (ISO, XML, SWIFT, dll), WAP dan standar lainnya.

Dari definsi CSF Teknologi secara umum, maka akan mendapatkan pemdekatan yang dilakukan untuk menilai hal kritis yang timbul dari area Keamanan Sistem [DS-5] berupa kebutuhan integrasi dan arsitektur keamanan dengan pemakaian teknologi kemanan yang layak dan memiliki standar.

  1. Seluruh rencana keamanan dikembangkan meliputi pembangunan kesadaran personil, penetapan standar dan kebijakan yang jelas, identifikasi efektifitas biaya dan pengembangan berkelanjutan serta pemberdayaan dan  monitoring
  2. Adanya kesadaran bahwa perencanaan keamanan yang baik.
  3. Manajemen dan Staff memiliki pemahaman yang cukup terhadap kebutuhan keamanan dan memiliki kesadaran dan untuk bertanggung jawab atas keamanan mereka sendiri
  4. Bagian keamanan memberikan laporan kepada senior manajemen dan bertanggung jawab untuk mengimplementasikan perencanaan keamanan
  5. Evaluasi Pihak ketiga atas arsitektur dan kebijakan keamanan dilakukan secara periodik
  6. Adanya program generator akses yang mengidentifikasi layanan keamanan.
  7. Bagian keamanan memiliki kemampuan untuk mendeteksi, merekam, meneliti, melaporkan dan malakukan tindakan yang sesuai dengan gangguan keamanan yang terjadi, dan mengurangi terjadinya gangguan dengan pengujian dan monitoring keamanan
  8. Adannya proses pengelolaan user yang terpusat dan sistem yang menyediakan identifikasi dan autorisasi user dengan cara yang efisien dan standar
  9. Proses autentifikasi user tidak membutuhkan biaya tinggi, jelas dan  mudah digunakan

b.      Mengukur Indikator Capaian Hasil yang ditetapkan kerangka COBIT dalam Key Goal Indicator (KGI) dan Key Performance Indicators

·         [70%] Tidak ada kejadian yang menyebabkan kebingungan publik

·         [90%] Adanya laporan langsung atas peristiwa ganguan keamanan.

·         [80%] Adanya kesesuaian antara hak akses dan tanggung-jawab organisasi

·         [70%] Berkurangnya jumlah implementasi-implemetasi baru, mengakibatkan penundaan atas keamanan

·         [80%] Terpenuhinya kebutuhan keamanan minimal

·         [80%] Berkurangnya jumlah insiden yang diakibatkan oleh akses yang tidak diotorisasi, kehilangan dan ketidaklengkapan informasi


Indikator Kinerja yang digunakan dibutuhkan untuk medukung tercapainya Indikator Tujuan dari DS-5 (Memanstikan Kemanan Sistem), dimana indikator tersebut telah didefinisikan dalam Framework COBIT sebagai berikut :

·         Berkurangnya Jumlah aduan, perubahan permintaan dan perbaikan yang berkaitan dengan layanan keamanan.

·         Jumlah downtime yang disebabkan oleh peristiwa yang berkaitan dengan keamanan.

·         Berkurangnya jumlah permintaan perubahan atas administrasi keamanan.

·         Meningkatnya jumlah sistem yang dilengkapi proses deteksi atas penyusupan.

·         Berkurangnya selisih waktu antara deteksi, pelaporan dan aksi atas peristiwa gangguan keamanan.

 

c.      Perhitungan Model Maturistas, dimana Model ini akan merupakan diskripsi dari posisi relatif perusahaan terhadap kondisi industri, maupun kondisi yang diinginkan kedapannya terkait dengan visi dan misi PT. XYZ Indonesia sebagai enterprise. Dari hasil audit yang diukur dengan menginterpretasikan bobot nilai jawaban terhadap jumlah pertanyaan yang mewakili kontrol obyektif pada DS-5 COBIT, diperoleh nilai indeks maturitas 3,46. skala yang didefinsikan terkait dengan maturitas pada Framework COBIT akan mengacu pada Tabel-4 berikut :

 


Tabel-4 : Skala dan Maturitas COBIT

SKALA    MATURITY
0 – 0.5    Non-Existent (Tidak ada)
0.51 – 1.5    Initial/Ad Hoc (Inisial)
1.51 – 2.5    Repeatable But Intuitive (Pengulangan Proses berdasarkan intuisi)
2.51 – 3.5    Defined Process (Proses Telah didefiniskan)
3.51 – 4.5    Managed and Measurable (Dikelola dan terukur)
4.51 – 5    Optimised (Optimaisasi)

G.   KESIMPULAN

Dari hasil perencanaan Implementasi diatas akan diperoleh data-data hasil  temuan audit. Data-data hasil temuan audit ini nantinya akan dibagi  menjadi ringkasan-ringkasan yang dimasukkan ke dalam kategori berikut :

·         Temuan Audit yang sifatnya kondisi maupun pernyataan, misalnya:
a. Belum pernah terjadi serangan dari luar terhadap security sistem jaringan
b. Belum pernah terjadi indisipliner staff pengelola keamanan sistem yang berakibat fatal pada berlangsungnya operasional sistem.  

 

·         Temuan audit yang membutuhkan perhatian dengan segera, rekomendasi dari area permasalahan misalnya akan berupa:

1.         Penting adanya evalusi Hak akses user secara priodik dengan teratur dan dilakukan direview evaluasi bahwa hak akses tersebut masih relevan dengan kebutuhan organisasi, dimana pada PT. XYZ telah dilakukan, namun frekuensi per periodenya belum ditetapkan dengan jelas

2.         Belum digunakan teknik kriptografi sistem aplikasi yang dikembangkan, sehingga akan menciptakan potensi lubang keamanan sistem yang cukup signifikan.

·         Temuan Audit yang telah dilakukan namum, dapat dioptimalisasikan aktivitasnya, bagi terciptanya Tata Kelola IT pada PT. XYZ Indonesia dengan lebih baik, misalnya :

1.         Adanya evaluasi sistem keamanan oleh pihak ketiga sekitar 4 per periode.

2.         Bagian keamanan jaringan secara aktif melakukan deteksi atas penyalahgunaan akses.

3.         Setiap transaksi tercatat dalam log file yang terkelola baik dan terpusat.

4.         Telah ada mekanisme peringatan terhadap user yang terdeteksi melakukan percobaan akses di luar otoritasnya.

Dari hasil Temuan kemudian akan dibuat rekomendasi-rekomendasi yang dibuat untuk pembenahan Infrastruktur keamanan IT pada PT XYZ ini. Rekomendasi-rekomendasi ini nantinya bisa dibagi menjadi :

Rekomendasi Mempertahankan Aktifitas, seperti :

  • Adanya evaluasi pihak ketiga atas arsitektur keamanan jaringan yang telah dilakukan secara periodik [4x  dalam setahun ]
  • Adanya pengamanan khusus atas transaksi tertentu yag hanya dapat dilakukan pada terminal-terminal tertentu saja dengan sistem user yang telah dilakukan pengelolaan secara terpusat
  • Adanya upgrade berkala pada sistem keamanan yang digunakan.
  • Telah digunakannya sistem firewall yang melindungi jaringan internal dengan jaringan publik dan adanya pengaman akses jaringan secara hardware (dengan dilakukan pendaftaran mac address untuk host yang diijinkan terkoneksi dalam jaringan).

Rekomendasi Meningkatkan Aktifitas Dengan Manajerial Yang Lebih Baik, seperti:

  • Traning mengenai keamanan sistem untuk semua personil PT. XYZ Indonesia harus selalu ditingkatkan [Rekomensai Usulan Proyek Peningkatan SDM]
  • Sebaiknya dilakukan review dan validasi ulang secara berkala terhadap account user untuk meningkatkan integritas akses.
  • Transaksi-transaksi penting hendaknya dilengkapi dengan konsep/teknik digital signature. [Rekomendasi Usulan Proyek Infrastruktur dan Autorisasi Modern]
  • Perlunya peningkatan pengelolaan user jaringan sehingga seluruh komputer menggunakan otorisasi terpusat, sehingga tidak ada lagi istilah supporting komputer yang d
    apat di install bebas tanpa otorisasi dari admin jaringan.
  • Review atas hak akses user secara periodik untuk memastikan hak akses yang diberikan selalu sesuai dengan kebutuhan organisasi (tidak hanya bersifat insindental).

Rekomendasi yang bersifat investasi dan pembernahan infrastruktur, seperti :

  • Peningkatan Sistem Keamanan Teknologi Informasi dengan memanfaatkan teknologi biometrik, dynamic passwaord maupun teknologi pengamanan terkini lainnya.
  • Sebaiknya pengamanan (password) sistem aplikasi menggunakan teknik enkripsi/kriptografi.

DAFTAR PUSTAKA

·         COBIT 4.0, Control Objectives, Management Guidelines and Maturity Models. IT Governance Institut. 2005

·         Fitrianah, Devi dan Yudho Giri Sucahyo.. AUDIT SISTEM INFORMASI/TEKNOLOGI INFORMASI DENGAN KERANGKA KERJA COBIT UNTUK EVALUASI MANAJEMEN TEKNOLOGI INFORMASI DI UNIVERSITAS XYZ. Fakultas Ilmu Komputer, Universitas Mercu Buana, Indonesia

 

·         Sasongko, Nanang. PENGUKURAN KINERJA TEKNOLOGI INFORMASI MENGGUNAKAN FRAMEWORK COBIT VERSI. 4.1, PING TEST DAN CAAT PADA PT.BANK X Tbk. DI BANDUNG. Jurursan Akuntansi Fakultas .Ekonomi Universitas Jenderal Achmad Yani (UNJANI) Cimahi, Bandung

 

 

Website :

 

·         http://iwanpolines.blogspot.com/2011/06/penerapan-tata-kelola-area-keamanan.html [5 Desember 2011]

·         http://www.isaca.org/Knowledge-Center/cobit/Pages/Security-Audit-and-Control-Solutions.aspx       [5 Desember 2011]

·         http://youyung.blogspot.com/2007/09/sistem-keamanan.html  [ 5 Desember 2011]

·         http://ahmadhanafi.wordpress.com/2007/12/03/audit-it-standar-cobit/   [ 5 Desember 2011]

·         http://sisteminfomasi.blogspot.com/2010/03/audit-sistem-informasi-dengan.html  [ 5 Desember 2011]

 

[youtube http://www.youtube.com/watch?v=oZfsc0oJaOo&w=600&h=400]


Media Sosial (Social Media) vs Manajemen Pengetahuan (Knowledge Management)

Di permukaan, media sosial dan manajemen pengetahuan (KM) tampaknya sangat mirip. Keduanya melibatkan orang-orang yang menggunakan teknologi untuk mengakses informasi. Keduanya membutuhkan individu untuk menciptakan informasi yang dimaksudkan untuk berbagi. Keduanya mengaku mendukung kolaborasi.

Tapi ada perbedaan yang mendasar.

  • Manajemen Pengetahuan adalah apa yang manajemen perusahaan katakan perlu diketahui, berdasarkan apa yang mereka anggap penting.
  • Sosial media adalah bagaimana rekan-rekan saya menunjukkan apa yang mereka anggap penting, berdasarkan pengalaman mereka dan dengan cara yang saya nilai sendiri.

Definisi ini mungkin terdengar lugas, dan bias untuk media sosial, dan sampai batas tertentu ini adalah kenyataan. Pengetahuan harus seperti air – bebas mengalir dan meresap ke bawah dan seluruh organisasi, mengisi celah-celah, mengambangkan ide yang baik ke atas dan mengangkat semua perahu pengetahuan.

Tapi, sebenarnya, apakah kenyataan dari “Knowledge Management (KM)”?

KM, dalam praktek, mencerminkan sebuah pandangan hirarkis pengetahuan agar sesuai dengan tampilan hirarki organisasi. Ya, pengetahuan bisa berasal di mana saja dalam organisasi, tetapi disalurkan dan dikumpulkan ke dalam sistem basis pengetahuan  di mana hal itu didistribusikan melalui serangkaian standar saluran, proses dan protokol.

Sosial media “terlihat” benar-benar kacau bila dibandingkan. Tidak ada indeks yang telah ditetapkan, tidak ada pencipta pengetahuan berkualifikasi, tidak ada manajer pengetahuan dan seolah-olah tidak ada sedikitpun struktur. Bilamana sebuah organisasi memiliki atap, talang dan tadah untuk menangkap pengetahuan, sebuah organisasi media sosial, memungkinkan “hujan” jatuh langsung ke rumah, sehingga genangan air terjadi di manapun mereka terbentuk. Itu sangat berantakan. Dan organisasi membenci kekacauan.

 Tidak mengherankan, ketika para eksekutif, manajer pengetahuan dan perusahaan perangkat lunak berusaha untuk menawarkan alat, proses dan pendekatan untuk menjinakkan media sosial. Dan akhirnya kita percaya, “Kita tidak bisa memiliki karyawan, pelanggan, pemasok dan orang lain membuat informasi mereka sendiri, membentuk pendapat mereka sendiri dan mengekspresikan tanpa memikirkan dampak pada merek, pegawai, dan pelanggan kami. Kita perlu mengelola manajemen pengetahuan.. “

Ini adalah sikap yang salah untuk satu alasan sederhana: orang tidak berhenti berbicara tentang Anda. Tenaga kerja , pelanggan, pemasok, pesaing dll, akan berbicara tentang Anda kapanpun, dimanapun dan bagaimanapun mereka inginkan. Bahkan seblum jaman “World Wide Web“, percakapan ini sudah terjadi.


Kita sudah jauh melewati waktu untuk mengontrol pengetahuan; sekarang saatnya untuk melibatkan banyak orang.

Para pemimpin bisnis mengakui bahwa keterlibatan adalah cara terbaik untuk mengumpulkan nilai dari pengetahuan yang dipertukarkan di media sosial – dan tidak dengan mencari cara untuk mengontrol media sosial dengan teknik KM tradisional. Hal ini hanya mengarah kepada pendekatan “menyediakan dan berdoa (provide & pray)”, dan kita telah melihat “media sosial sebagai generasi berikutnya KM” menjadi upaya gagal untuk menghasilkan pengetahuan.


Jadi bagaimana organisasi mendapatkan nilai dan manfaat dari media sosial, terutama dalam situasi di mana mereka tidak berhasil dengan KM? Jawabannya terletak pada pandangan baru kolaborasi: Kolaborasi Massal.

Kolaborasi massal terdiri dari tiga hal:  Teknologi sosial media, tujuan yang menarik dan fokus pada pembentukan komunitas.

  1. Teknologi Sosial Media  menyediakan saluran dan sarana bagi orang untuk berbagi pengetahuan, wawasan dan pengalaman dengan persyaratan mereka. Ini juga menyediakan cara bagi individu untuk melihat dan mengevaluasi bahwa pengetahuan didasarkan pada penilaian orang lain.
  2. Tujuan Yang Menarik adalah alasan orang berpartisipasi dan menyumbangkan ide, pengalaman dan pengetahuan. Mereka secara pribadi terlibat di dalam media sosial karena mereka menghargai dan mengidentifikasi tujuan. Mereka melakukannya karena mereka ingin, bukan sebagai bagian dari pekerjaan mereka.
  3. Pembentukan Komunitas terjadi di media sosial. Komunitas KM menyiratkan pandangan hirarkis pengetahuan dan sering ditentukan oleh klasifikasi pekerjaan atau didorong berdasarkan tugas pekerjaan. Partisipasi menjadi “diresepkan”, menciptakan jenis “kewajiban menyenangkan”. Sosial media memungkinkan komunitas untuk muncul sebagai properti dari tujuan dan partisipasi dalam menggunakan alat berbagi pengetahuan. Lentur dan kurangnya struktur menciptakan ruang bagi komunitas aktif dan inovatif.

Penciptaan kolaborasi massal melibatkan lebih dari sekedar membangun teknologi dan memberitahu orang-orang untuk berpartisipasi. Ini memerlukan visi, strategi dan tindakan manajemen. Intinya adalah bahwa walaupun mungkin tampak sama, media sosial dan KM tidak sama. Mengenali perbedaan adalah langkah penting mendapatkan nilai dari keduanya dan menghindari hambatandalam impementasi.

Sumber dari: http://blogs.hbr.org/cs/2011/10/social_media_versus_knowledge.html

[youtube http://www.youtube.com/watch?v=kJ15irk6hbE&w=640&h=450]

Artikel terkait:

Mengapa Steve Jobs Berikutnya Akan Di Bidang Energi, Bukan Teknologi Informasi

oleh CHRISTOPHER MIMS Technology Review – MIT Published 2011/08/30 (http://www.technologyreview.com/blog/mimssbits/27121/?p1=blogs)
Melihat sekeliling kita, apa masalah utama yang kita hadapi, dalam cara apapun kesempatan apa yang menyerupai era awal PC? Hanya ada satu: energi.
Perjuangan untuk membuat komputer dapat digunakan oleh pengguna sehari-hari sudah selesai dilakukan. Anak Balita saya bahkan bisa mengetikkan dua kata dan dia sudah dapat menavigasi YouTube pada iPad. Kita semua bisa melihat makna hal ini: Apple menang, baris perintah pada komputer hilang, dan masa depan komputasi akan dibentuk untuk kebutuhan kita, bukan sebaliknya. Steve Jobs melakukannya.
Sekarang kita harus menerapkan kejeniusan untuk masalah dunia yang paling mendesak. Sesuatu yang mewakili ancaman yang luar biasa terhadap lingkungan dan fihak-fihak yang sudah mengorbankan standar hidup kita.
Sangat penting untuk memahami bahwa Jobs, Gates dan semua jenius lain  di zaman mereka – waktu kelahiran komputer pribadi sebagai hobi sampai sekarang, yang lebih pendek daripada satu generasi hidup manusia – tidak hanya luar biasa. Mereka juga hidup di waktu yang luar biasa, sehingga memiliki kesempatan untuk menciptakan peluang bagi diri mereka sendiri yang akan menjadi industri dunia yang paling transformatif.
Berikut adalah alasan bahwa mengapa Steve Jobs berikutnya – memang, harus – muncul di bidang energi.
1. Masalah komputer pribadi sudah “dipecahkan” – Itu sekarang hanya sekedar “alat”.
Ketika produk komputer sudah mencapai tahap ini, dengan inovasi menjadi keharusan inkremental. Sebuah Mobil adalah analogi yang baik. Kendaraan listrik, proses perakitan, dan otomatisasi penuh pabrik mobil – tapi itu semua masih sebuah mobil .
2. Energi adalah masalah yang mendesak berikutnya.
Jika kita tidak memecahkan energi melalui kombinasi efisiensi, mendistribusikan pembangkitan, mekanisme pendanaan baru, teknologi baru dan apa pun yang kita bisa lakukan, perekonomian kita bisa runtuh (dalam jangka pendek) dan planet ini akan “tidak ramah lagi dan bermusuhan” kepada penduduk bumi seperti apa yang diproyeksikan (pada akhir abad ini).
Jobs berkata kepada orang-orang di tim Apple bahwa mereka akan mengubah dunia, dan mereka percaya padanya. Tidak ada industri lain di mana seorang insinyur atau ilmuwan bisa memiliki dampak begitu besar sekarang.
3. Penggemar ada di bidang ini, dan memberikan mereka akses ke teknologi yang lebih baik akan mempercepat pengembangan dan adopsi inovasinya.
Komputer Apple pertama kali digunakan adalah trik Steve Wozniak  untuk mengesankan teman-temannya di klub komputer rakitan – hanya kemudian mereka melakukannya menjadi sebuah bisnis. Itu mirip di mana banyak teknologi energi saat ini, khususnya energi surya dan “Smart Meter” (Pengukur Listrik Pintar) . Agar teknologi tersebut bisa lepas landas, harus ada fihak/populasi pengadopsi awal (Early Adopter) yang melihat potensinya dan bersedia untuk mengambil kesempatan menggunakannya. Memang, mereka harus “menjadi sedikit gila”. Di bidang Energi penuh dengan orang-orang seperti itu, dan kenaikan harga bahan bakar yang tinggi ditambah kerawanan pasokannya akan membawa lebih banyak lagi dari mereka masuk ke bidang ini.
4. Masalah pada titik ini adalah desain, komersialisasi, pemasaran, dan sekali lagi desain, desain dan desain.
Mengapa Google, Microsoft dan Cisco semua baru-baru mengundurkan diri dari bidang manajemen energi rumah? Mungkin karena tidak satupun dari mereka bisa menemukan cara untuk membuat teknologi yang dapat diakses. Sebuah survei terbaru dari IBM menunjukkan bahwa orang tidak tahu apa-apa tentang listrik, sehingga “Smart Meter” (Pengukur Listrik Pintar) kebanyakan dari kita tidak tahu apa fungsinya.
Teknologi energi sukses bila dapat “plug and play“, WYSIWYG (Apa yang kamu lihat, apa yang kamu dapatkan), dan bahkan mungkin menginspirasi seseorang untuk menyebutnya “sebuah kegilaan.” Hal itu “harus berfungsi,” seperti iPhone atau Mac OS X. Itu akan menciptakan setiap “bit polarisasi” seperti Apple, karena akan mengabarkan semua keberanian untuk memecahkan masalah dan akan mendorong “Geeks” dan “orang aneh” itu mencoba menciptakan sesuatu.
Teknologi Energi yang benar benar manjur tidak hanya akan terlihat keren karena beberapa desainer industri meletakkannya pada kemasan atau memiliki kampanye iklan yang menarik, namun memiliki semua hal yang dibutuhkan, karena didalamnya ada “DNA“, yang mendorong perfeksionis untuk menemukan cara menjawab kebutuhan dan keinginan pengguna energi serta membuat solusinya  .
Desainer Teknologi seperti ini tidak menggunakan “kelompok fokus” (Focus Group) karena mereka pada akhirnya hanya menangani selera mereka sendiri. Mereka termasuk Steve Jobs, Nintendo Miyamoto, dan puluhan orang lain yang namanya kita tidak tahu, tetapi telah mengisi hidup kita dengan penemuan-penemuan ikonik mulai dari “kamera Flip” sampai klip kertas. Banyak inovasi akan lahir di abad 21, tetapi hanya orang yang bisa benar-benar transformatif, yang bisa menimbulkan sesuatu yang bisa menggantikan Apple sebagai perusahaan terbesar di dunia, dan itu akan di bidang energi.
[youtube http://www.youtube.com/watch?v=mKTLmpQQejc&w=640&h=410]
Related articles,
courtesy of Zemanta: