Studi Kasus Audit Sistem Informasi

Audit Keamanan Sistem Informasi pada Kantor Pemerintah Kota Yogyakarta Menggunakan Cobit 5

Pemerintah Kota Yogyakarta sudah memanfaatkan teknologi informasi dan komunikasi melalui  pembangunan aplikasi-aplikasi yang mendukung pelayanan masyarakat. Aplikasi-aplikasi ini berupa situs resmi Pemerintah Kota Yogyakarta jogjakota.go.id, Penerimaan Peserta Didik Baru  (PPDB) Online, Unit Pelayanan Informasi dan Keluhan (UPIK), Layanan Pengadaan Secara Elektronik (LPSE), Bursa Kerja online, CCTV (Closed-Circuit Television) online yang bisa dimanfaatkan masyarakat untuk memantau tiga belas (13) tempat strategis di Kota Yogyakarta dan masih banyak lagi. Ini merupakan perwujudan dari salah satu misi Rencana Induk e-government Pemerintah Kota Yogyakarta, yaitu “Mewujudkan e government dalam lingkup pelayanan kepada masyarakat” (Pemerintah Kota Yogyakarta 2007a: 8). Sebagai institusi pemerintahan yang sudah memanfaatkan teknologi informasi dan komunikasi, Pemerintah Kota Yogyakarta menyadari perlunya ada standar operasional dan prosedur manajemen pengamanan sistem informasi dan telekomunikasi di lingkungan Pemerintah Kota Yogyakarta. Peraturan Walikota Yogyakarta Nomor 78 Tahun 2007 tentang Standar Operasional dan Prosedur Manajemen Pengamanan Sistem Informasi dan Komunikasi pada Pemerintah Kota Yogyakarta ditetapkan untuk dijadikan pedoman dan acuan dalam mengelola dan menggunakan perangkat serta sistem yang terkait dengan teknologi informasi dan komunikasi di lingkungan Pemerintah Kota Yogyakarta (Pemerintah Kota Yogyakarta, 2007b: 2).

Pada Laporan Ancaman Keamanan Internet (Internet Security Threat Report) yang disajikan oleh Symantec menunjukkan bahwa pada Tahun 2013, peretas (hacker) merupakan penyebab tertinggi dalam data breach, diikuti oleh pengungkapan tidak sengaja dan pencurian atau kehilangan perangkat elektronik seperti komputer jinjing (laptop), komputer, flashdisk, dan lain sebagainya (Symantec, 2014: 39). Symantec juga menyebutkan bahwa administrasi publik atau pemerintahan menjadi target utama dalam data breach pada Tahun 2013 dalam kategori Spear-Phishing (Symantec, 2014: 29). Tentunya hal ini meresahkan karena sector administrasi publik atau pemerintahan merupakan lembaga yang seharusnya kredibel dan akuntabel dalam melayani, melindungi dan menjamin kepentingan rakyat.Keamanan informasi pada era Teknologi Informasi dan Komunikasi (TIK) ini sangat penting. Kerentanan Information Exchange Environment (IEE) telah meningkat sebagai ancaman menjadi lebih luas dan rumit, maka dari itu, keamanan informasi telah menjadi masalah yang mendasaruntuk bisnis, organisasi, dan pemerintahan (Hassanzadeh et al., 2014: 98). Sudah tujuh (7) tahun berlalu sejak ditetapkannya Peraturan Walikota tentang Standar Operasional dan Prosedur Manajemen Pengamanan Sistem Informasi dan Komunikasi pada Pemerintah Kota Yogyakarta. Selama kurun waktu ini, Pemerintah Kota Yogyakarta belum pernah melaksanakan audit terhadap Keamanan Sistem Informasi. Melalui audit keamanan sistem informasi pada Pemerintah KotaYogyakarta ini diharapkan mampu mengetahui tingkat kapabilitas keamanan sistem informasi pada Pemerintah Kota Yogyakarta.

Analisa Kasus :

1. Pemerintah Kota Yogyakarta memang belum menerapkan COBIT 5 untuk Keamanan Informasi sebagai kerangka kerja untuk keamanan SI di Pemerintah Kota Yogyakarta.
2. Masih kurangnya pendokumentasian laporan, pedoman dan atau SOP (Standar Operasional Prosedur) mengenai kebijakan terkait keamanan SI di Pemerintah Kota Yogyakarta. Sehingga meski sudah melakukan beberapa prosedur terkait keamanan SI, tidak mampu memperoleh nilai maksimal dalam penilaian tingkat kapabilitas keamanan SI.
3. Skala prioritas seringkali menyebabkan beberapa kegiatan terkait keamanan SI tidak dilakukan atau cenderung dinomorsekiankan. Sebagai contoh: cenderung mengabaikan membuat laporan atau  dokumentasi sebuah proses karena adaprioritas melakukan pekerjaan lain yang saat itu lebih mendesak.

Saran :

Berdasarkan analisa kasus diatas, adapun saran-saran yang perlu dipertimbangkan Pemerintah Kota Yogyakarta khususnya Bagian TIT Setda Kota Yogyakarta untuk meningkatkan kapabilitas keamanan SI meliputi:

1. Melakukan rekomendasi yang diberikan agar minimal bisa mencapai nilai di atas 85% sampai dengan 100% pada level 1 sehingga bisa naik ke level 2. Sebab serangkaian praktik dasar dan produk kerja yang terdapat pada level 1 merupakan syarat minimal dalam kerangkakerja COBIT 5 untuk Keamanan Informasi dalam kapabilitas keamanan SI.
2. Merencanakan dan melaksanakan audit keamanan SI secara rutin yang dilakukan olehauditor independen. Atau minimal melakukan uji penetrasi (penetration test) secara rutin. Mendokumentasikan audit dan uji penetrasi tersebut secara rutin agar bisa dievaluasi dan dianalisis untuk terus memperbaiki keamanan SI Pemerintah Kota Yogyakarta.
3. Mendokumentasikan kebijakan atau membuat SOP (Standar Operasional Prosedur) untuk proses keamanan SI yang mengacu pada kerangka kerja COBIT 5 untuk Keamanan Informasi.