assessment studi kasus itb

ASSESSMENTINFRASTRUKTUR DAN KEAMANAN TIITBTata Kelola Enterprise( IF5135 )

Rahardian D.J. (23513xxx)Riki Afriansyah (23513125)Fajar Agung P. (23413122)Noor Alamsyah (23513124)M. Rifqi Rosyid (23513xxx)

Puti Harifia Amanah (23513xxx)

INSTITUT TEKNOLOGI BANDUNG - 2014

MAGISTER INFORMATIKAOPSI SISTEM INFORMASI

Sebagai organisasi yang memanfaatkan fungsi TI untuk mendukung kegiatan operasional, ITB harus memastikan bahwa segala hal yang berhubungan dengan TI medukung tujuan organisasi.Untuk itu diperlukan sebuah penilaian terhadap pengelolaan TI.

Domain yang akan dinilai mengenai infrastruktur dan keamanan teknologi informasi yang mana menjadi tanggung jawab Unit Sumber Daya Informasi (USDI). Pendekatan dalam penilaian ini adalah pengamatan pada pelaksanaan proses pada USDI.

MAGISTER INFORMATIKAOPSI SISTEM INFORMASIINSTITUT TEKNOLOGI BANDUNG

Executive Summary

– Purpose of AssessmentTujuan dari penilaian ini adalah untuk mengetahui kapabilitasITB dalam melakukan proses pengelolaan teknologi informasi.

– Assessment ScopeCakupan dari penilaian ini mengenai infrastruktur dan keamanan teknologi informasi untuk memastikan bahwa infrastruktur dan keamanan teknologi informasi mendukung tujuan ITB.


Introduction

– Enterprise Unit(s)Enterprise unit yang dinilai adalah USDI.USDI berada di bawah Wakil Rektor Bidang Komunikasi, Kemitraan dan Alumni ITB. USDI merupakan unsur penunjang akademik di tingkat institut untuk memfasilitasi pengembangan ITB sebagai suatu pusat pengetahuan dan komunitas pengetahuan yang berbasis pada teknologi informasi.


Assessment Scope

Gambar berikut ini menunjukkan strukturorganisasi ITB.

Salah satu gedung ITB

(Sumber: http:\\www.itb.ac.id.Kamus Visual ITB)


– Processes and Capability Levels AssessedProses yang akan dinilai ialah APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5.


Assessment Scope

– Processes Reviewed and Basis for Selectiondipilih 3 proses yang berkaitan dengan

pengelolaan infrastruktur dan keamanan teknologi informasi di ITB. Ketiga proses tersebut adalah :

• APO 12 – Manage Risk Deskripsi :Melakukan identifikasi, penilaian dan mengurangi resiko yang berkaitan dengan IT .Dasar pemilihan proses: Investasi IT memiliki banyak keuntungan, namun memungkinkan timbulnya resiko yang perlu dikelola agar dapat menyeimbangkan biaya dan manfaat.


Assessment Scope

• APO 13 – Manage SecurityDeskripsi :Mendefinisikan pengoperasian dan pemantauan sistem bagi manajemen keamanan informasi.Dasar pemilihan proses :Dalam implementasi IT perlu adannya jaminan keamanan informasi dengan cara melakukan perencanaan keamanan


Assessment Scope

• DSS 05 - Manage Security ServicesDeskripsi :Melindungi informasi enterprise untuk mejaga tingkat resiko keamanan informasi yang dapat diterima oleh enterprise yang sesuai dengan kebijakan keamanan Dasar pemilihan proses : Sebuah enterprise perlu melakukan pengawasan untuk menjamin bahwa pelaksanaan kegiatan sesuai dengan program keamanan yang dibuat.


Assessment Scope

– Class of AssessmentClass of Assessment yang dipilih adalah kelas 3 yang hasilnya digunakan sebagai panduan dalam peningkatan proses.


Assessment Scope

Batasan dalam penilaian kapabilitas yang dilakukan:• Standar dan metode pengukuran kapabilitas tata kelola dan manajemen teknologi informasi menggunakan kerangka kerja COBIT 5.• Proses yang dinilai hanya APO12 Manage Risk, APO13 Manage Security dan DSS5 Manage Security Service yang terdapat dalam COBIT 5.

• Pengumpulan bukti-bukti hanya dilakukan melalui pengamatan langsung dan studi literatur mengenai ITB


Assessment Constraints

Penilaian dilakukan untuk mengetahui kapabilitas ITB dalam mengelola dan mengimplementasikan teknologi informasi (TI), khususnya proses pengelolaan risiko, keamanan dan layanan keamanan TI. COBIT 5 dipilih sebagai standar.


Summary of the Approach

Tabel berikut ini menunjukkan stakeholder yang terlibat dalam proses penilaian kapabilitas.


Assessment Team Members

Tanggal-tanggal penting dalam proses penilaian kapabilitas infrastruktur dan keamanan TI ITB :16 April 2014 : Proses penilaian kapabilitas dimulai17-18 April 2014 : Observasi proses19 April 2014 : Pertemuan 2 tim penilai20 Apri 2014 : Proses penilaian selesai21 April 2014 : Pelaporan hasil penilaian


Critical Dates

Tabel berikut ini menujukkan jadwal proses penilaian yang akan dilakukan.


Assessment Schedule

• APO12 Manage RiskSecara umum, belum ada kesadaran dalam melakukan kegiatan manajemen risiko di ITB.Selama ini, dalam mengimplementasikan teknologi, pengelolaannya masih diserahkan kepada masing-masing internal fakultas. Sementara itu, di internal USDI ITB sendiri, sudah ada pengelolaan risiko.Pengelolaan ini dilakukan terhadap software dan infrastruktur teknologi informasi.


Summary of Results and Detailed Findings

• APO13 Manage SecurityProses pengelolaan keamanan informasi sudah dilaksanakan di ITB. Hak akses dari setiap stakeholder sudah didefinisikan dan diatur sesuai dengan kebutuhan masing-masing.Sudah ada kebijakan, standar dan dokumentasi dalam penentuan hak akses ini.Namun, sistem informasi yang terdapat pada ITB memiliki sistem keamanan yang berbeda-beda dan belum terintegrasi .



• DSS05 Manage Security and Service



• AP012 Manage RiskBelum adanya kesadaran atas pengelolaan risiko yang menyeluruh pada ITB tentu saja menimbulkan berbagai potensi risiko :

1. Teknologi informasi yang digunakan tidak memberikan manfaat yang maksimal bagi perusahaan.2. Biaya implementasi TI yang dikeluarkan perusahaan tidak dihitung3. Implementasi TI pada perusahaan belum tentu sesuai dengan kebutuhan perusahaan.4. Pelaksanaan kegiatan operasional perusahaan bisa terhambat


Risk Analysis

• AP013 Manage SecurityBerikut ini merupakan risiko yang mungkin terjadi akibat kelemahan perusahaan dalam melakukan pengelolaan keamanan:

1. Insiden keamanan infromasi yang tidak terduga dan belum pernah ditangani perusahaan bisa terjadi2. Pengguna harus mengingat berbagai macam password sehinga kesulitan dalam mengelola keamanan system.3. Tidak adanya rencana, pengklasifikasian dan prioritas solusi keamanan serta minimnya jumlah SDM bisa menimbulkan tidak tertanganinya insiden keamanan


Risk Analysis



Risk Analysis

• AP012 Manage RiskBerdasarkan potensi risiko di atas, maka sebaiknya perusahaan melakukan tindakan sebagai berikut:

1. Mendata dan melakukan analisis risiko TI2. Membuat profil risiko3. Membuat kebijakan dan prosedur terkait manajemen risiko serta mendokumentasikannya4. Mendefinisikan dokumen yang terlibat dalam kegiatan manajemen risiko5. Mengatur peran dan tanggung jawab stakeholder6. Melaksanakan keseluruhan kegiatan manajemen risiko


Recommendations

• AP013 Manage SecurityBerikut ini merupakan rekomendasi perbaikan yang bisa dilakukan perusahaan :

1. Membuat rencana keamanan dengan menganalisis insiden keamanan2. Membuat kebijakan dan prosedur yang jelas dan tegas terkait pengelolaan kemanan 3. Menerapkan sistem keamanan yang terintegrasi4. Membagi peran dan tanggung jawab stakeholder5. Melakukan evaluasi proses pengelolaan keamanan secara berkala


Recommendations



Recommendations

Terima Kasih


assessment studi kasus itb

Documents