assessment studi kasus itb
TRANSCRIPT
ASSESSMENTINFRASTRUKTUR DAN KEAMANAN TIITBTata Kelola Enterprise( IF5135 )
Rahardian D.J. (23513xxx)Riki Afriansyah (23513125)Fajar Agung P. (23413122)Noor Alamsyah (23513124)M. Rifqi Rosyid (23513xxx)
Puti Harifia Amanah (23513xxx)
INSTITUT TEKNOLOGI BANDUNG - 2014
MAGISTER INFORMATIKAOPSI SISTEM INFORMASI
Sebagai organisasi yang memanfaatkan fungsi TI untuk mendukung kegiatan operasional, ITB harus memastikan bahwa segala hal yang berhubungan dengan TI medukung tujuan organisasi.Untuk itu diperlukan sebuah penilaian terhadap pengelolaan TI.
Domain yang akan dinilai mengenai infrastruktur dan keamanan teknologi informasi yang mana menjadi tanggung jawab Unit Sumber Daya Informasi (USDI). Pendekatan dalam penilaian ini adalah pengamatan pada pelaksanaan proses pada USDI.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Executive Summary
– Purpose of AssessmentTujuan dari penilaian ini adalah untuk mengetahui kapabilitasITB dalam melakukan proses pengelolaan teknologi informasi.
– Assessment ScopeCakupan dari penilaian ini mengenai infrastruktur dan keamanan teknologi informasi untuk memastikan bahwa infrastruktur dan keamanan teknologi informasi mendukung tujuan ITB.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Introduction
– Enterprise Unit(s)Enterprise unit yang dinilai adalah USDI.USDI berada di bawah Wakil Rektor Bidang Komunikasi, Kemitraan dan Alumni ITB. USDI merupakan unsur penunjang akademik di tingkat institut untuk memfasilitasi pengembangan ITB sebagai suatu pusat pengetahuan dan komunitas pengetahuan yang berbasis pada teknologi informasi.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
Gambar berikut ini menunjukkan strukturorganisasi ITB.
Salah satu gedung ITB
(Sumber: http:\\www.itb.ac.id.Kamus Visual ITB)
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
– Processes and Capability Levels AssessedProses yang akan dinilai ialah APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
– Processes Reviewed and Basis for Selectiondipilih 3 proses yang berkaitan dengan
pengelolaan infrastruktur dan keamanan teknologi informasi di ITB. Ketiga proses tersebut adalah :
• APO 12 – Manage Risk Deskripsi :Melakukan identifikasi, penilaian dan mengurangi resiko yang berkaitan dengan IT .Dasar pemilihan proses: Investasi IT memiliki banyak keuntungan, namun memungkinkan timbulnya resiko yang perlu dikelola agar dapat menyeimbangkan biaya dan manfaat.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
• APO 13 – Manage SecurityDeskripsi :Mendefinisikan pengoperasian dan pemantauan sistem bagi manajemen keamanan informasi.Dasar pemilihan proses :Dalam implementasi IT perlu adannya jaminan keamanan informasi dengan cara melakukan perencanaan keamanan
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
• DSS 05 - Manage Security ServicesDeskripsi :Melindungi informasi enterprise untuk mejaga tingkat resiko keamanan informasi yang dapat diterima oleh enterprise yang sesuai dengan kebijakan keamanan Dasar pemilihan proses : Sebuah enterprise perlu melakukan pengawasan untuk menjamin bahwa pelaksanaan kegiatan sesuai dengan program keamanan yang dibuat.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
– Class of AssessmentClass of Assessment yang dipilih adalah kelas 3 yang hasilnya digunakan sebagai panduan dalam peningkatan proses.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Scope
Batasan dalam penilaian kapabilitas yang dilakukan:• Standar dan metode pengukuran kapabilitas tata kelola dan manajemen teknologi informasi menggunakan kerangka kerja COBIT 5.• Proses yang dinilai hanya APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5.
• Pengumpulan bukti-bukti hanya dilakukan melalui pengamatan langsung dan studi literatur mengenai ITB
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Constraints
Penilaian dilakukan untuk mengetahui kapabilitas ITB dalam mengelola dan mengimplementasikan teknologi informasi (TI), khususnya proses pengelolaan risiko, keamanan dan layanan keamanan TI. COBIT 5 dipilih sebagai standar.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Summary of the Approach
Tabel berikut ini menunjukkan stakeholder yang terlibat dalam proses penilaian kapabilitas.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Team Members
Tanggal-tanggal penting dalam proses penilaian kapabilitas infrastruktur dan keamanan TI ITB :16 April 2014 : Proses penilaian kapabilitas dimulai17-18 April 2014 : Observasi proses19 April 2014 : Pertemuan 2 tim penilai20 Apri 2014 : Proses penilaian selesai21 April 2014 : Pelaporan hasil penilaian
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Critical Dates
Tabel berikut ini menujukkan jadwal proses penilaian yang akan dilakukan.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Assessment Schedule
• APO12 Manage RiskSecara umum, belum ada kesadaran dalam melakukan kegiatan manajemen risiko di ITB.Selama ini, dalam mengimplementasikan teknologi, pengelolaannya masih diserahkan kepada masing-masing internal fakultas. Sementara itu, di internal USDI ITB sendiri, sudah ada pengelolaan risiko.Pengelolaan ini dilakukan terhadap software dan infrastruktur teknologi informasi.
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Summary of Results and Detailed Findings
• APO13 Manage SecurityProses pengelolaan keamanan informasi sudah dilaksanakan di ITB. Hak akses dari setiap stakeholder sudah didefinisikan dan diatur sesuai dengan kebutuhan masing-masing.Sudah ada kebijakan, standar dan dokumentasi dalam penentuan hak akses ini.Namun, sistem informasi yang terdapat pada ITB memiliki sistem keamanan yang berbeda-beda dan belum terintegrasi .
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Summary of Results and Detailed Findings
• DSS05 Manage Security and Service
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Summary of Results and Detailed Findings
• AP012 Manage RiskBelum adanya kesadaran atas pengelolaan risiko yang menyeluruh pada ITB tentu saja menimbulkan berbagai potensi risiko :
1. Teknologi informasi yang digunakan tidak memberikan manfaat yang maksimal bagi perusahaan.2. Biaya implementasi TI yang dikeluarkan perusahaan tidak dihitung3. Implementasi TI pada perusahaan belum tentu sesuai dengan kebutuhan perusahaan.4. Pelaksanaan kegiatan operasional perusahaan bisa terhambat
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Risk Analysis
• AP013 Manage SecurityBerikut ini merupakan risiko yang mungkin terjadi akibat kelemahan perusahaan dalam melakukan pengelolaan keamanan:
1. Insiden keamanan infromasi yang tidak terduga dan belum pernah ditangani perusahaan bisa terjadi2. Pengguna harus mengingat berbagai macam password sehinga kesulitan dalam mengelola keamanan system.3. Tidak adanya rencana, pengklasifikasian dan prioritas solusi keamanan serta minimnya jumlah SDM bisa menimbulkan tidak tertanganinya insiden keamanan
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Risk Analysis
• DSS05 Manage Security and Service
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Risk Analysis
• AP012 Manage RiskBerdasarkan potensi risiko di atas, maka sebaiknya perusahaan melakukan tindakan sebagai berikut:
1. Mendata dan melakukan analisis risiko TI2. Membuat profil risiko3. Membuat kebijakan dan prosedur terkait manajemen risiko serta mendokumentasikannya4. Mendefinisikan dokumen yang terlibat dalam kegiatan manajemen risiko5. Mengatur peran dan tanggung jawab stakeholder6. Melaksanakan keseluruhan kegiatan manajemen risiko
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Recommendations
• AP013 Manage SecurityBerikut ini merupakan rekomendasi perbaikan yang bisa dilakukan perusahaan :
1. Membuat rencana keamanan dengan menganalisis insiden keamanan2. Membuat kebijakan dan prosedur yang jelas dan tegas terkait pengelolaan kemanan 3. Menerapkan sistem keamanan yang terintegrasi4. Membagi peran dan tanggung jawab stakeholder5. Melakukan evaluasi proses pengelolaan keamanan secara berkala
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Recommendations
• DSS05 Manage Security and Service
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG
Recommendations
Terima Kasih
MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG