37 | P a g e
PENGUKURAN MATURITY LEVEL CONTROL OBJECTIVE KE-5
DOMAIN DELIVERY AND SUPPORT : ENSURING SYSTEM
SECURITY MENGGUNAKAN FRAMEWORK COBIT 4.1
Andhy Permadi
Prodi Sistem Informasi Universitas Islam Negeri Sunan Ampel Surabaya,
Jl. Ahmad Yani 117 Surabaya
andhy@uinsby.ac.id
Abstrak
Penelitian ini berfokus pada tata usaha sebagai pusat pengolahan data elektronik (PDE) di SMKN 24
dengan tujuan untuk menilai pengendalian umum apakah mampu memenuhi tujuannya dan
melakukan pemetaan terhadap tahap audit TI beserta keamanannya yang kemudian diaplikasikan
pada sebuah organisasi yang bergerak dibidang pendidikan, yaitu SMKN 24 Jakarta untuk melihat
kinerja TI yang ada. Kerangka kerja yang digunakan sebagai acuan adalah framework CobIT 4.1
pada Control Objective ke-5 dari Domain Delivery and Support (DS), Ensuring System Security
(Memastikan Keamanan Sistem) untuk menjamin integritas informasi di PDE. Bukti (evidence)
digunakan untuk menentukan apakah data yang diaudit sesuai dengan kriteria dan tujuan audit
dengan cara : peninjauan terhadap struktur organisasi, wawancara kepada personel yang tepat dan
pengisian kuesioner. Penentuan Maturity level (tingkat kedewasaan), merupakan bagian dari
pengujian kepatutan terhadap aktivitas yang ada atau dilakukan di tiap proses TI berdasarkan
kerangka kerja COBIT sesuai dengan tingkatan levelnya.
Kata Kunci: audit TI, CobIT 4.1, Domain Delivery and Support (DS), Ensuring System Security.
Abstract
This research is focused on Administration as electronic data processing centerat SMKN 24 Jakarta,
in order to assess whether it is able to meet its goals and to perform mapping toward IT audit and its
security.Framework used as a reference is Cobit 4.1 on Control Objective no.5 from DomainDelivery
and Support (DS), Ensuring Security System to ensure the integrity of information at PDE. Evidence
is used to determine whether the data to be audited is in accordance with the criteria and the purpose
of audit by: organizational structurereview, appropriate personnel interview and questionnaire
filling.The determination of maturity level is part of proprietytesting on the existing activitiesor
executed in each of IT process, based on COBIT framework inaptly its level.
Keywords: audit TI, CobIT 4.1, Domain Delivery and Support (DS), Ensuring System Security.
1. PENDAHULUAN
Sekolah Menengah Kejuruan Negeri 24
Jakarta beralamat di jalan bambu hitam, kelurahan
bambu apus, kecamatan cipayung, Jakarta timur.
Memiliki dua kelompok keahlian yaitu, Pariwisata
(Akomodasi Perhotelan, Jasa Boga, Busana
Butik), dan Teknologi Informasi & Komunikasi
(Rekayasa Perangkat Lunak).
Berdirinya program keahlian RPL pada
tahun 2004 memberikan banyak pengaruh
terhadap penerapan ICT bagi proses kegiatan
belajar mengajar (KBM), diantaranya :
Pengisian perangkat pembelajaran seperti,
Silabus dan rencana pelaksanaan
pembelajaran (RPP) sudah ada softcopy-nya,
sehingga setiap guru mengisi perangkat
pembelajaran sesuai dengan jurusannya dari
masing-masing kelas dikomputer sekolah
atau notebook pribadi.
penggunaan media pembelajaran berbasis IT,
dengan menggunakan notebook yang berisi
modul mata pelajaran, dan dengan
menggunakan proyektor untuk
menampilkannya dilayar, sehingga bisa
dilihat seluruh siswa dikelas.
Semua manajemen sekolah di tata usaha
(TU) sudah meninggalkan mesin tik
(manual), menjadi pengolahan data
elektronik (PDE) yang terintegrasi.
Saat ini SMKN 24 memiliki dua lab. Komputer,
satu lab. KKPI, dan sebuah server yang berisi
38 | P a g e
beberapa database sekolah. Meningkatnya
pengelolaan teknologi informasi (TI) pada
kegiatan sekolah, maka harus ada audit sistem
informasi atau teknologi informasi, yang berfokus
pada keamanan sistem dan manajemen data di TU
bidang PDE, untuk menilai apakah pengendalian
umum mampu memenuhi tujuannya.
Metodologi yang digunakan diantaranya adalah
wawancara dan pengisian kuesioner terhadap user
yang kesehariannya mengelola PDE di SMKN 24
ini dan dengan menggunakan framework COBIT
4.1 diharapkan mendapatkan evidence, namun
tidak semua langkah yang ada didalam framework
tersebut dilaksanakan keseluruhannya, dengan
alasan mengurangi pengulangan aktivitas, maka
tetap berpegang pada aturan-aturan yang bersifat
umum yang telah ditetapkan oleh IT Assurance
Guide [3].
2. METODE PENELITIAN
CobIT dianggap sebagai kerangka kerja yang
tepat untuk dipakai dalam melakukan proses audit
pengelolaan TI yang ada di PDE tata usaha (TU)
SMKN 24, karena CobIT menyediakan standar
dalam kerangka kerja domain yang terdiri dari
sekumpulan proses TI yang merepresentasikan
aktivitas yang dapat dikendalikan dan terstruktur.
Sehingga cocok diterapkan di TU yang berfokus
pada tata kelola TI-nya, saat ini masih sebagai
kontrol dari proses bisnis.
Aktivitas teknologi informasi dalam CobIT
didefinisikan kedalam model proses yang generik
dan dikelompokkan dalam 4 Domain dan 34 High
Level Control Objectives. Framework CobIT
secara keseluruhan dapat dilihat pada gambar
berikut. Melalui gambar tersebut dapat dilihat
model proses CobIT yang terdiri dari 4 Domain
dan 34 macam proses [1].
Gambar 2.1. Ilustrasi Konsep CobIT Framework
[2]
2.1 Teknik Pengumpulan Data
Dengan mengimplementasikan framework
CobIT 4.1 pada Control Objective ke-5 dari
Domain Delivery and Support (DS), Ensuring
System Security (Memastikan Keamanan Sistem)
[5] untuk menjamin integritas informasi di PDE
TU SMKN 24 dan dengan beberapa metode
sebagai berikut :
a) Wawancara dan diskusi
Wawancara dilakukan dengan
mengadakan tanya jawab secara
langsung kepada pihak yang berwenang
yaitu Ibu Sri Nuryani, BA, selaku Kabag.
tata usaha (TU) Sekolah Menengah
Kejuruan Negeri 24 Jakarta.
b) Observasi
Observasi dilakukan dengan mengamati
keseharian para pegawai di lingkungan
TU bidang PDE Sekolah Menengah
Kejuruan Negeri 24 Jakarta.
c) Dokumentasi
Dokumentasi merupakan pengumpulan
data dan pencarian data yang mendukung
permasalahan dengan jalan menyalin
laporan-laporan, dan catatan-catatan
yang berkaitan dengan masalah yang
dibahas termasuk mengisi checklist
berdasarkan hasil wawancara.
2.2 Identifikasi Resiko Keamanan
Identifikasi resiko keamanan dibuat dalam
bentuk tabel yakni tabel 1.1.
Tabel 1.1
Identifikasi Resiko Keamanan
39 | P a g e
Tabel 1.2
Checklist yang digunakan dalam Wawancara
40 | P a g e
3. HASIL DAN PEMBAHASAN
Hasil observasi lapangan dan wawancara
yang dilakukan oleh peneliti adalah pengelolaan
teknologi informasi pada aspek DS 5 terkait
dengan memastikan system keamanan TI yaitu:
3.1 Penerapan sistem keamanan pada sistem
informasi manajemen sekolah dilakukan
dengan cara, user dalam menggunakan hak
aksesnya dibatasi dengan security matrix
dimana semua pengguna komputer
menerima otorisasinya berdasarkan role.
Role yang diberikan disesuaikan dengan
kebutuhan pengguna sesuai dengan job
description tiap-tiap pengguna komputer.
Role ini dimaksudkan untuk membatasi apa
saja yang dapat dilakukan oleh program-
program tersebut. Pengaksesan Sistem
Aplikasihanya dapat dilakukan oleh orang-
orang yang terotorisasi dan diberi wewenang
untuk mengakses. Misalnya, data apa yang
dapat diakses, data mana yang hanya dapat
dilihat, ditambah, diubah atau dihapus,
apabila pengaturan role ini tidak tepat, maka
akan banyak pihak-pihak yang tidak
berwenang dapat mengakses data tertentu,
sehingga jika itu terjadi maka keyakinan
akan integritas data akan menjadi berkurang
dan juga akan terjadi banyak perubahan-
perubahan data yang tidak diinginkan.
3.2 Setiap user login menggunakan password,
dengan kombinasi angka dan huruf,
password yang dimasukan tidak terlihat dan
secara otomatisakan lock user apabila
terjadi 3 kali kesalahan login yang
dilakukan oleh user , sistem aplikasi
menampilkan pesan jika verifikasi login
tidak valid dan yang dapat membuka
kembali lock user adalah Administrator
sehingga dengan adanya pembatasan sistem
kesalahan dalam penginputan login akses ini
akan mempersulit bagi orang-orang yang
tidak memiliki otoritas untuk mengakses ke
sistem aplikasi. Penggunaan password
bertujuan untuk mencegah kepada pihak-
pihak yang tidak mempunyai hak akses atas
aplikasi dan data-data dalam PDE.
3.3 Untuk melindungi akses dari luar, digunakan
VPN (virtual private network), dimana untuk
login lewat internet, maka user akan
memasukkan password untuk melakukan
akses.
3.4 Untuk mengantisipasi perkembangan virus
telah dipasanganti virus pada setiap
komputer yang update signature nya setiap
ada virus baru, virus internasional
dipergunakan antivirus Kespersky 2010 yang
update secara otomatis dan virus lokal
dipergunakan antivirus Smadav Pro yang
update secara otomatis ketikat erhubung
internet.
3.5 Untuk keamanan aset-aset fisik, dalam tata
usaha (TU) disediakan 2 buah pemadam
kebakaran yang diletakkan masing-masing
pada bagian PDE dan bagian Kepegawaian,
hal ini dilakukan jika sewaktu-waktu ada
kebakaran yang mungkin disebabkan oleh
hubungan arus listrik pendek atau akibat
yang lain.
3.6 Bidang PDE beroperasi 8 jam setiap harinya
(kecuali hari minggu/hari libur),
dimonitoring seorang administrator yang
memiliki staff TI sebanyak tiga orang yang
kompeten dibidangnya, sehingga komputer
PDE selalu ada pengawasan.
3.7 PDE menggunakan Uninterupable Power
Supply (UPS) yang digunakan untuk
menstabilkan tegangan listrik, UPS ini juga
berfungsi sebagai pengamanan data apabila
listrik mati mendadak, UPS dapat bertahan
kurang lebih 3 jam, sehingga dalam jangka
waktu tersebut Administrator dapat
melakukan back up data sekolah untuk
disimpan di tempat yang lebih aman dan
melakukan shut down sesuai dengan
prosedur.
3.8 Untuk pencegahan kerusakan perangkat
keras, PDE melakukan kontrak pemeliharaan
dengan pihak ketiga dimana pekerjaan
pemeliharaan dilakukan oleh pihak ketiga 2
kali setahun yaitu bulan November dan
bulan April yang pelaksanaannya ditetapkan
oleh sekolah, apabila hardware ada masalah
41 | P a g e
pihak ketiga menyediakan pelayanan 24 jam
dan pihak ketiga menjamin dapat
menyelesaikan perbaikan masing-masing
hardware dalam jangka waktu paling lama
3x24 jam, sedangkan untuk software,
perusahaan membeli software yang
berlisensi sehingga jelas legalitasnya.
Berikut tabel hasil kuesioner DS5-Menjamin
Keamanan Sistem.
Tabel 1.3
Level 0 – Non Existent
Tabel 1.4
Level 1 – Initial Ad-hoc
Tabel 1.5
Level 2 – Repeatable but Intuitive
Tabel 1.6
Level 3 – Define Process
Tabel 1.7
Level 4 – Manage and Measurable
Tabel 1.8
Level 5 – Optimised
42 | P a g e
Tabel 1.9
Penentuan Maturity Level (Tingkat Kedewasaan)
Dari hasil perhitungan checklist seperti yang
terlihat dari tabel diatas. Sekolah Menengah
Kejuruan Negeri 24 Jakarta termasuk dalam
kategori Maturity Level 2 yaitu Repeatable but
Intuitive.
Level 2 (Repeatable but Intuitive) adalah ketika
tanggung jawab dan penanggung jawab keamanan
TI ditentukan dalam koordinator keamanan TI,
walaupun manajemen otoritasnya terbatas.
Kesadaran akan kebutuhan keamanan terpecah
dan terbatas. Walaupun informasi terkait dengan
keamanan diproduksi oleh sistem, namun tidak
dianalisis. Layanan dari pihak ketiga mungkin
tidak memenuhi kebutuhan keamanan perusahaan
secara spesifik. Kebijakan keamanan sedang
dikembangkan tetapi keahlian dan perakatan tidak
mencukupi. Pelaporan keamanan TI tidak
lengkap, cenderung membingungkan atau tidak
berhubungan. Pelatihan keamanan tersedia namun
dilakukan umumnya karena inisiatif individu.
Keamanan TI terutama terlihat sebagai tanggung
jawab dan area TI sementara bisnis tidak melihat
keamanan TI dalam areanya.
4. KESIMPULAAN
Keamanan Teknologi Informasi di
Pengolahan Data Elektronik (PDE) SMK Negeri
24 Jakarta berdasarkan domain Delivery and
Support (DS) Control Objective Ensuring System
Security telah mencapai Maturity Level 2
(Repeatable but Intuitive).
Untuk level Sekolah, ini sudah cukup
termasuk kategori cukup optimal, hal ini dapat
dilihat dari adanya pembatasan hak akses user
yang didasarkan pada job description masing-
masing pegawai, setiap user login menggunakan
password dengan kombinasi angka dan huruf,
password yang dimasukan tidak terlihat dan
secara otomatis akan lock user apabila terjadi 3
kali kesalahan login yang dilakukan oleh user
[4].
DAFTAR PUSTAKA
[1] Sarno, Riyanarto. 2009. Audit Sistem &
Teknologi Informasi. Edisi Pertama.
Surabaya: ITS Press.
[2] IT Governance Institute. 2007. COBIT 4.1.
USA: IT Governance Institute.
[3] IT Assurance Guide: Using COBIT, Chicago,
2007.
[4] Mcleod, R dan Schell, G.P.2007.
Management Information System. Prentice
Hall.
[5] IT Governance Institute. COBIT 4.0:
Chicago, 2007.
43 | P a g e