Assessment Studi Kasus ITB

ASSESSMENT
INFRASTRUKTUR
DAN KEAMANAN TI
ITB
Tata Kelola Enterprise
( IF5135 )

Rahardian D.J. (23513xxx)
Riki Afriansyah (23513125)
Fajar Agung P. (23413122)
Noor Alamsyah (23513124)
M. Rifqi Rosyid (23513xxx)
Puti Harifia Amanah (23513xxx)

INSTITUT TEKNOLOGI BANDUNG - 2014

MAGISTER INFORMATIKA
OPSI SISTEM INFORMASI

Sebagai organisasi yang memanfaatkan fungsi TI untuk
mendukung kegiatan operasional, ITB harus memastikan
bahwa segala hal yang berhubungan dengan TI medukung
tujuan organisasi.Untuk itu diperlukan sebuah penilaian
terhadap pengelolaan TI.

Domain yang akan dinilai mengenai infrastruktur dan
keamanan teknologi informasi yang mana menjadi
tanggung jawab Unit Sumber Daya Informasi (USDI).
Pendekatan dalam penilaian ini adalah pengamatan pada
pelaksanaan proses pada USDI.

INSTITUT TEKNOLOGI BANDUNG

Executive Summary
Purpose of Assessment
Tujuan dari penilaian ini adalah untuk mengetahui
kapabilitasITB dalam melakukan proses pengelolaan
teknologi informasi.
Assessment Scope
Cakupan dari penilaian ini mengenai infrastruktur dan
keamanan teknologi informasi untuk memastikan
bahwa infrastruktur dan keamanan teknologi informasi
mendukung tujuan ITB.


Introduction
Enterprise Unit(s)
Enterprise unit yang dinilai adalah USDI.USDI berada
di bawah Wakil Rektor Bidang Komunikasi, Kemitraan
dan Alumni ITB. USDI merupakan unsur penunjang
akademik di tingkat institut untuk memfasilitasi
pengembangan ITB sebagai suatu pusat
pengetahuan dan komunitas pengetahuan yang
berbasis pada teknologi informasi.


Assessment Scope

Gambar berikut ini
menunjukkan struktur
organisasi ITB.
Salah satu gedung ITB

(Sumber: http:\\www.itb.ac.id.Kamus Visual ITB)

Processes and Capability Levels Assessed
Proses yang akan dinilai ialah APO12 Manage Risk,
APO13 Manage Security dan DSS5 Manage Security
Service yang terdapat dalam COBIT 5.


Assessment Scope
Processes Reviewed and Basis for Selection
dipilih 3 proses yang berkaitan dengan
pengelolaan infrastruktur dan keamanan
teknologi informasi di ITB. Ketiga proses tersebut
adalah :

APO 12 Manage Risk
Deskripsi :
Melakukan identifikasi, penilaian dan mengurangi resiko
yang berkaitan dengan IT.
Dasar pemilihan proses:
Investasi IT memiliki banyak keuntungan, namun
memungkinkan timbulnya resiko yang perlu dikelola agar
dapat menyeimbangkan biaya dan manfaat.


Assessment Scope
APO 13 Manage Security
Deskripsi :
Mendefinisikan pengoperasian dan pemantauan sistem
bagi manajemen keamanan informasi.
Dasar pemilihan proses :
Dalam implementasi IT perlu adannya jaminan keamanan
informasi dengan cara melakukan perencanaan keamanan


Assessment Scope
DSS 05 - Manage Security Services
Deskripsi :
Melindungi informasi enterprise untuk mejaga tingkat
resiko keamanan informasi yang dapat diterima oleh
enterprise yang sesuai dengan kebijakan keamanan
Dasar pemilihan proses :
Sebuah enterprise perlu melakukan pengawasan untuk
menjamin bahwa pelaksanaan kegiatan sesuai dengan
program keamanan yang dibuat.


Assessment Scope
Class of Assessment
Class of Assessment yang dipilih adalah kelas 3 yang
hasilnya digunakan sebagai panduan dalam
peningkatan proses.


Assessment Scope
Batasan dalam penilaian kapabilitas yang dilakukan:
Standar dan metode pengukuran kapabilitas tata kelola
dan manajemen teknologi informasi menggunakan
kerangka kerja COBIT 5.
Proses yang dinilai hanya APO12 Manage Risk, APO13
Manage Security dan DSS5 Manage Security Service yang
terdapat dalam COBIT 5.
Pengumpulan bukti-bukti hanya dilakukan melalui
pengamatan langsung dan studi literatur mengenai ITB


Assessment Constraints
Penilaian dilakukan untuk mengetahui kapabilitas ITB
dalam mengelola dan mengimplementasikan teknologi
informasi (TI), khususnya proses pengelolaan risiko,
keamanan dan layanan keamanan TI. COBIT 5 dipilih
sebagai standar.


Summary of the Approach
Tabel berikut ini menunjukkan stakeholder yang terlibat
dalam proses penilaian kapabilitas.


Assessment Team Members
Tanggal-tanggal penting dalam proses penilaian kapabilitas
infrastruktur dan keamanan TI ITB :
16 April 2014 : Proses penilaian kapabilitas dimulai
17-18 April 2014 : Observasi proses
19 April 2014 : Pertemuan 2 tim penilai
20 Apri 2014 : Proses penilaian selesai
21 April 2014 : Pelaporan hasil penilaian


Critical Dates
Tabel berikut ini menujukkan jadwal proses penilaian yang
akan dilakukan.


Assessment Schedule
APO12 Manage Risk
Secara umum, belum ada kesadaran dalam melakukan
kegiatan manajemen risiko di ITB.Selama ini, dalam
mengimplementasikan teknologi, pengelolaannya masih
diserahkan kepada masing-masing internal fakultas.
Sementara itu, di internal USDI ITB sendiri, sudah ada
pengelolaan risiko.Pengelolaan ini dilakukan terhadap
software dan infrastruktur teknologi informasi.


Summary of Results and Detailed Findings
APO13 Manage Security
Proses pengelolaan keamanan informasi sudah
dilaksanakan di ITB. Hak akses dari setiap stakeholder
sudah didefinisikan dan diatur sesuai dengan kebutuhan
masing-masing.Sudah ada kebijakan, standar dan
dokumentasi dalam penentuan hak akses ini.Namun,
sistem informasi yang terdapat pada ITB memiliki sistem
keamanan yang berbeda-beda dan belum terintegrasi.


DSS05 Manage Security and Service


AP012 Manage Risk
Belum adanya kesadaran atas pengelolaan risiko yang
menyeluruh pada ITB tentu saja menimbulkan berbagai
potensi risiko :
1. Teknologi informasi yang digunakan tidak memberikan
manfaat yang maksimal bagi perusahaan.
2. Biaya implementasi TI yang dikeluarkan perusahaan tidak
dihitung
3. Implementasi TI pada perusahaan belum tentu sesuai
dengan kebutuhan perusahaan.
4. Pelaksanaan kegiatan operasional perusahaan bisa
terhambat


Risk Analysis
AP013 Manage Security
Berikut ini merupakan risiko yang mungkin terjadi akibat
kelemahan perusahaan dalam melakukan pengelolaan
keamanan:
1. Insiden keamanan infromasi yang tidak terduga dan
belum pernah ditangani perusahaan bisa terjadi
2. Pengguna harus mengingat berbagai macam password
sehinga kesulitan dalam mengelola keamanan system.
3. Tidak adanya rencana, pengklasifikasian dan prioritas
solusi keamanan serta minimnya jumlah SDM bisa
menimbulkan tidak tertanganinya insiden keamanan


Risk Analysis


Risk Analysis
AP012 Manage Risk
Berdasarkan potensi risiko di atas, maka sebaiknya
perusahaan melakukan tindakan sebagai berikut:
1. Mendata dan melakukan analisis risiko TI
2. Membuat profil risiko
3. Membuat kebijakan dan prosedur terkait manajemen
risiko serta mendokumentasikannya
4. Mendefinisikan dokumen yang terlibat dalam kegiatan
manajemen risiko
5. Mengatur peran dan tanggung jawab stakeholder
6. Melaksanakan keseluruhan kegiatan manajemen risiko


Recommendations
AP013 Manage Security
Berikut ini merupakan rekomendasi perbaikan yang bisa
dilakukan perusahaan :
1. Membuat rencana keamanan dengan menganalisis
insiden keamanan
2. Membuat kebijakan dan prosedur yang jelas dan tegas
terkait pengelolaan kemanan
3. Menerapkan sistem keamanan yang terintegrasi
4. Membagi peran dan tanggung jawab stakeholder
5. Melakukan evaluasi proses pengelolaan keamanan secara
berkala


Recommendations


Recommendations
Terima Kasih

Assessment Studi Kasus ITB

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Assessment Studi Kasus ITB

Uploaded by

Copyright:

Available Formats

ASSESSMENT

You might also like