SMKI (Sistem Manajemen Keamanan Informasi)

SMKI (Sistem Manajemen Keamanan Informasi)

SMKI atau ISMS (information Management System) merupakan sistem manajemen yang diterapkan perusahaan untuk mengamankan asset informasi terhadap ancaman yang mungkin terjadi. ISMS diprogram untuk melindungi asset informasi dari seluruh gangguan keamanan. SMKI mengadopsi dari PDCA.

PDCA () yaitu siklus peningkatan proses yang berkesinambungan atau secara terus menerus seperti lingkaran yang tidak ada akhirnya.

4 point PDCA yang diterapkan untuk proses SMKI

1. Plan : Menetapkan kebijakan, sasaran, proses dan prosedur SMKI yang sesuai untuk pengolahan resiko dan perbaikan keamanan informasi agar menghasilkan hasil yang sesuai dengan kebijakan dan sasaran organisasi secara keseluruhan.
2. DO    : Menerapkan dan mengoperasikan kebijakan , pengendalian, proses dan prosedur SMKI.
3. Check : Mengakses dan mengukur kinerja proses terhadap kebijakan, sasaran SMKI dan melaporkan hasilnya kepada manajemen untuk pengkajian.
4. Act : Mengambil tindakan korektif dan pencegahan berdasarkan hasil internal audit SMKI dan tinjauan manajemen atau informasi terkait untuk mencapai perbaikan berkesinambungan.

Tujuan Keamanan Informasi

3 sasaran utama yaitu :

1. Kerahasian     : Menjamin untuk melindungi data pribadi seperti alamat, riwayat penyakit seseorang.

2.  Ketersedian    : Menjamin ketersediaan data yang diperlukan apabila diperlukan.

3. Integritas        : Menjamin data data yang tersedia akurat dar sumber yang terpercaya tidak dapat diubah tanpa persetujuan yang bersangkutan.

Manajemen Keamanan Informasi

Manajemen keamanan informasi  diterapkan agar informasi yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan layanan yang terbaik kepada pelanggan. ISM terdiri dari empat langkah: 

1. Identifikasi : Mengidentifikasi resiko apa saja yang terjadi pada perusahaan.

2. Defini : Mendefinisikan resiko yang dialami perusahaan

3. Penetapan Kebijakan : Menetapkan langkah dan kebijakan yang diambil untuk mengatasi resiko yang dialami perusahaan.

4. Menerapkan controls : Menerapkan kebijakan yang sudah diambil untuk mengatasi resiko yang terjadi di perusahaan.

Standar Keamanan Sistem Informasi

Frameworks 

SMKI merupakan kerangka kerja untuk mengatasi atau mengendalikan pada Risk Manajemen.

CobIT

CobIT

COBIT (Control Objectives for Information and Related Technology)  adalah  sekumpulan data penerapan terbaik untuk IT Governance yang membantu auditor, pengguna (user), dan manajemen, untuk menjembatani antara risiko bisnis, kebutuhan control dan masalah-masalah teknis IT.

1. Menyediakan kebijakan yang jelas dan praktik yang baik untuk IT governance dalam organisasi tingkat dunia.
2. Membantu memanajemen, memahami dan memanajemen resiko yang terkait dengan TI dengan menyediakan satu kerangka IT governance dan petunjuk control objektive rinci untuk management, pemilik proses business, user dan auditors.

Tujuan CobIT

1. Membantu menemukan berbagai kebutuhan manajemen yang terkait TI. seperti membantu manajemen dalam pengambilan keputusan, mendukung pencapaian tujuan bisnis.
2. Mengoptimalkan investasi TI menyediakan ukuran atau kriteria ketika terjadi penyelewengan atau penyimpangan. Seperti meminimalisasikan adanya tindak kecurangan yang merugikan perusahaan yangg bersangkutan.

Kerangka Kerja CobIT

1. Control Objektives

Terdiri atas 4 tujuan pengendalian tingkat tinggi (high level  control objectives) yang tercermin dalam 4 domain, yaitu :  planning &  organization, acquisition & implementation,  delivery & support, dan  monitoring.

2.  Audit Guidelines

Berisi sebanyak 318 tujuan-tujuan pengendali rinci (detailed  control objectives) untuk membantu para auditor dalam  memberikan  management assurance atau saran perbaikan. 

3. Management Guidelines 

 Berisi arahan baik secara umum maupun spesifik mengenai apa  saja  yang mesti dilakukan, seperti : apa saja indicator untuk  suatu kinerja  yang bagus, apa saja resiko yang timbul, dan  lain-lain.  

4. Maturity Models

 Untuk memetakan status maturity proses-proses IT (dalam skala  0 –  5).

2. Cobit Quickstart

COBIT Quickstart didasarkan pada pilihan tujuan proses dan kontrol COBIT 4.1. Mencakup seperangkat proses-proses dan praktek manajemen yang terbatas. Quickstart juga menyediakan versi sederhana dari Responsible, Accountable, Consulted dan Informed (RACI). Perusahaan dapat menggunakannya sebagai baseline tanpa modifikasi, atau menggunakannya sebagai titik awal untuk membangun praktik manajemen dan teknik pengukuran yang lebih rinci COBIT membantu menjembatani kesenjangan antara risiko bisnis, kebutuhan kontrol dan masalah teknis.

3. Cobit Component
Organisasi tergantung pada data yang dapat dipercaya dan tepat waktu dan informasi. Komponen COBIT menyediakan kerangka kerja yang komprehensif untuk memberikan nilai sambil mengelola risiko dan kontrol atas data dan informasi.

4. Cobit and IT Governance

COBIT berfokus pada peningkatan tata kelola TI dalam organisasi. COBIT memberikan kerangka untuk mengelola dan mengendalikan kegiatan TI dan mendukung lima syarat untuk kerangka kontrol

1. Fokus Bisnis

• COBIT mencapai fokus bisnis yang lebih tajam dengan menyelaraskan TI dengan tujuan bisnis. 
• Pengukuran kinerja TI harus fokus pada kontribusi TI untuk memungkinkan dan memperluas strategi bisnis. 
• COBIT, didukung oleh sesuai bisnis yang berfokus pada metrik, dapat memastikan bahwa fokus utama adalah nilai pengiriman dan keunggulan teknis tidak sebagai tujuan itu sendiri.   

2. Proses Orientasi

• Ketika organisasi menerapkan COBIT, fokus mereka lebih berorientasi proses.
• Insiden dan masalah tidak lagi mengalihkan perhatian dari proses.
• Pengecualian dapat didefinisikan secara jelas sebagai bagian dari proses standar. 
• Dengan kepemilikan proses didefinisikan, dilimpahkan dan diterima, organisasi adalah lebih mampu untuk mempertahankan kontrol melalui periode perubahan yang cepat atau krisis organisasi

5. Cobit Framework
Sebagai kontrol dan kerangka kerja tata kelola TI, COBIT berfokus pada dua bidang utama:

• Menyediakan informasi yang diperlukan untuk mendukung tujuan bisnis dan persyaratan 
• Mengobati informasi sebagai hasil dari aplikasi gabungan TI terkait sumber daya yang perlu dikelola oleh proses TI .

6. Cobit Cube

Kerangka kerja COBIT menjelaskan bagaimana proses TI menyampaikan informasi bahwa kebutuhan bisnis untuk mencapai tujuannya. Untuk mengendalikan pengiriman ini, COBIT menyediakan tiga komponen utama, masing-masing membentuk dimensi kubus COBIT. 

IMPLEMENTASI TATA KELOLA TI

Framework Tata Kelola TI

Rekomendasi Framework Tata Kelola TI

Framework atau kerangka kerja tata kelola TI yang sering digunakan untuk implementasi TI antaralain : 

1. Strategi Alignment

a. Selalu melakukan keselarasan dalam bekerja sama, yang dapat mencegah adanya konflik dalam organisasi. Seperti bola 1 yang bergulir dengan beriringan artinya saling mendudkung dalam mencapai tujuan yang sama, begitupula dengan tata kelola perlu adanya keselarasan, saling bahu membahu dalam mencapai tujuan perusahaan atau organisasi. Lain halnya dengan bola 2 yang menunjukan ketidak selarasan  yang menimbulkan konflik sehingga tujuan perusahaan sulit diwujudkan.

b. Memastikan staf atau karyawan, produk, proses dan sistem mendukung tujuan- tujuan bisnis atau organisasi.

c. Memastikan TI dan Bisnis saling berhubungan atau terhubung (dalam hal strategi, proses dan infrastuktur) untuk mencapai tujuan bisnis dengan baik.

Keuntungan Strategi Alignment

a. Tujuan tercapai dengan mengunakan sumberdaya organisasi lebih efisien (waktu dan biaya). Tujuan tercapai dengan efektif dan efisien sehingga tidak membuang- buang banyak waktu.

b. Organisasi dapat bergerak maju lebih mudah pada jalur yang tepat (menuju tujuan organisasi). Organisasi berkembang lebih mudah sesuai strategi yang direncanakan.

IT Strategi Alignment dapat dilakukan mengunakan

1.  SAM
2. COBIT
3. BSC/ IT- BSC

1. SAM (Strategi Alignment Model) Merupakan keselarasan strategis antara bisni den TI adalah sebuah proses serta tujuan untuk mencapai keungulan kompetitif melalalui pengembangan dan mempertahankan hubungan timbal balik antara bisnis dan TI.

2. COBIT (Control Objective for Information and related Technology) dikeluarkan dan di susun pada 1996 oleh IT Governance Institue bagian dari ISACA (Information System Audit and Control Assocation).

CobIT merupakan kerangka panduan tata kelola TI atau toolset pendukung yang digunakan untuk menjebatani antara kebutuhan dan teknis pelaksanaan pemenuhan kebutuhan pada organisasi. CobIT sangat baik untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses organisasi dari sisi penerapan IT.
(Sumber : http://sitirahmaprawitisari.blogspot.co.id/p/cobit-control-objectives-for.html).

CobIT adalah standar internasional dalam pengarahan dan kendali teknologi informasi pada organisasi atau perusahaan. CobIT mempunyai standar- standar untuk mengukur tingkat proses tata kelola TI.

5 Area Fokus Tata Kelola

5 Area fokus bagaimana untuk mengoptimalkan sumber daya TI.

1. Strategic Alighment  : Merumuskan bagaimana keseimbangan antara strategis tata kelola dengan tujuan perusahaan atau organisasi, baik dalam hal strategis langkah awal yg diambil, proses yang dilalui maupun alat atau software yang digunakan.

2. Value Delivery : TI mampu merelisasikan atau menyampaikannya manfaat dari TI itu sendiri yang menjadi janji perusahaan. TI yang diterapkan pada perusahaan benar- benar bermanfaat dan memberikan keuntungan bagi perusahaan.

3. Risk Management : Pengenalan, peneglompokan, dan pengukuran mampu menekan dan mengendalikan resiko, baik itu waktu maupun biaya yang menjadi merugikan perusahaan.

4. Resource Management : memastikan sumberdaya yang digunakan efektif dan efisien. memonitoring dan mengevaluasi pengeluaran (output) dan proses yang harus dilakukan terlebih dahulu dan tidak harus dilakukan.

5. Performance Meansurement :  pengukuran kerja dan perkembangan TI baik itu dari penerapan, strategi yang digunakan dan sumber daya yang dipakai.

1. Stategi Alightment

2. Value Delivery

3. Risk Management

4. Resource Management

5. Performance Meansurement 

Tata Kelola Teknologi Informasi

1. Mengapa perlunya Tata kelola Informasi?

a. Ketergantungan Organisasi pada informasi dan pengetahuan yang semakin meningkat.

Seiring berkembangnya informasi dan pengetahuan semakin meningkat mendorong suatu perusahaan atau organisasi untuk mempelajari tata kelola dan menerapkannya pada perusahaan atau organisasi tersebut. Contoh : Dengan adanya informasi dan pengetahuan yang semakin meningkat kini pembelian tiket pesawat, kereta dan cek in pada hotel hanya perlu tersambung dengan internet maka sudah bisa memesan tiket atau cek in, jadi tidak perlu lagi datang langsung ke perusahaan tersebut.

b. Peningkatan Peran TI.

Dengan adanya TI dapat membantu atau mengantikan peran manusia sehingga lebih efektif lagi dalam mengambil dan menentukan keputusan bagi perusahaan atau organisasi. Contoh : KRS pada UNDA, memberikan keputusan bagi dosen dengan ketentuan tertentu, seperti menyusun KRS ingin mengambil SKS lebih maka harus dengan ketentuan yang berlaku.

c. TI sebagai senjata bersaing yang ampuh. TI mampu menciptakan aplikasi- aplikasi yang beguna bagi suatu perusahaan atau organisasi hingga menjadi senjata yang ampuh handal bagi perusahaan tersebut dengan memberikan kelebihan- kelebihan bagi para penggunanya dari pada perusahaan lain yang memiliki aplikasi yang standar saja. Contoh : Dengan adanya fitur soal pertanya yang dijawab dengan waktu tertentu pada Edmodo membuatnya lebih digunakan dari pada elerning, karena dengan adanya waktu pengerjaan soal tertentu tersebut dapat dengan cepat mengetahui siapa saja mahasiswa yang tidak mengerjakan soal dan siapa saja yang terlambat mengerjakan soal, sehingga Edmodo merupakan senjata yang ampuh bagi perusahaan yang membuatnya dalam pesaingannya.

2. Apa itu Tata Kelola Informasi?
a. Tanggung Jawab Bersama. Dimana semua lapisan elemen- elemen yang terdapat pada perusahaan atau organisasi harus besama- sama bertanggung jawab mengenai apa saja yang terjadi pada TI informasi, di diskusikan hingga dapat diatasi permasalahannya.
b. Strategi TI untuk mendukung tujuan Organisasi. TI harus mampu mendukung dan pendukung bagi suatu perusahaan atau organisasi, dengan adanya E- learning sudah mendukung aktifitas kampus dalam KRS dan pembelajaran.
c. Implementasi Strategi TI. Strategi atau rencana TI dipastikan harus terimplementasi dengan baik pada suatu perusahaan atau organisasi. Seperti E- lerning yang terimplementasi pada UNDA.
d. Struktur Organisasi TI. Susunan atau urutan yang harus dilakukan pada TI harus sesuai.
e. Kejelasan pada struktur organisasi, apa saja yang harus dilakukan terlebih dahu strategi atau langkah apa yang pertama kali harus diambil.

3. TI adalah :
a. Mengarahkan (direct) TI mampu mengarahkan apa langkah yang harus dilakukan untuk mewujudkan tujuan perusahaan.
b. Mengukur (measure) TI dapat menjadi alat ukur kesuksesan dan keberhasilan suatu perusahaan atau organisasi dalam persaingan hingga TI tesebut berkembang.
c. Mengevaluasi (evaluate) TI dapat menjadi alat untuk megevaluasi sejauh mana perusahaan atau organisasi tersebut mengalami perkembangannya.
d. Sumber daya TI. Sumber daya TI diperlukan untuk mendukung pencapaian dan tujuan perusahaan atau organisasi.

4. Sumber Daya TI :
a. Uang/ Modal : Sangat diperlukan apalagi bagi sebuah perusahaan atau organisasi untuk menjalankan TI, karena tanpa adanya Uang/ Modal TI tidak dapat menjalankna tujuan perusahaan (membeli hardware).
b. Perangkat Keras (Hardware) : Ini sangat diperlukan tanpa adanya  Hardware TI hanya nama saja tidak dapat menjanakan fungsinya.
c. Perangkat Lunak (Software) : Tanpa adanya Software hardware tidak dapat membuat aplikasi yang menjadi tujuan perusahaannya. Oleh sebab itu software sangat diperlukan.
d. Informasi : dengan adanya informasi maka perusahaan dapat membuat atau mengembangkan aplikasi sesuai dibutuhkan pengunanya atau pemakai.

5. Prinsip Tata Kelola

AUDIT SISTEM INFORMASI

Apa itu Audit Sistem Informasi ??

Audit Sistem Informasi adalah suatu proses pengumpulan dan penilaian bukti- bukti yang dilakukan secara berkala pada sistem komputer  atau entitas yang digunakan perusahaan untuk meningkatkan pengamanan aset yang dimiliki sistem tersebut, dapat mendorong pencapaian tujuan dari perusahaan tersebut secara cepat dan mengunakan sumber daya secara tepat.

Mengapa perlunya mempelajari Audit Sistem Informasi??

Seiring berkembangnya teknologi yang sudah menjadi kebutuhan sehari- hari terutama bagi perusahaan maka sangat perlu mempelajari dan mengkaji mengenai Audit Sistem Informasi karena yaitu :

1. Untuk memaksimalkan manfaat dan kinerja sistem komputer yang digunakan

2. Mendorong pencapaian tujuan organisasi secara cepat dan tepat

3. Untuk menguji kelayakan atau tidaknya suatu sistem komputer tersebut digunakan pada organisasi atau perusahaan tersebut

4. Untuk pengendalian terhadap masalah- masalah yang terjadi pada sistem komputer tersebut

5. Mengetahui seberapa besar manfaat dan keuntungan yang didapatkan dari sistem komputer yang digunakan

6. Untuk mengamankan aset- aset atau data- data yang dimiliki perusahaan

7. Menjaga konsistensi dan prinsip- prinsip data seperti kelengkapan, sehat dan jujur, ke murnian dan ketelitian perusahaan.