Pengertian dan Fungsi COBIT 5 for Information Security

By | February 23, 2014

COBIT 5 for Information Security – Informasi merupakan sumber daya utama bagi enterprise. Teknologi memegang peranan penting yang dapat meningkatkan fungsi informasi pada enterprise, sosial, publik dan lingkungan bisnis. COBIT 5 memberikan layanan kerangka kerja secara komprehensif untuk membantu pemerintah dan manajemen IT dalam sebuah perusahaan mencapai tujuan yang diharapkan. COBIT 5 for Information Security yang digambarkan pada gambar 1 merupakan bagian dari COBIT 5 secara utuh, dimana fokus pada COBIT 5 for Information Security lebih ditekankan pada keamanan informasi dan memberikan gambaran secara detil dan praktikal tentang panduan bagi para profesional keamanan informasi dan orang-orang yang merupakan bagian dari enterprise yang memiliki ketertarikan di bidang keamanan informasi. Secara umum, saya dapat mengartikan bahwa COBIT adalah sebuah framework atau kerangka kerja yang memberikan layanan kepada enterprise, baik itu sebuah perusahaan, organisasi, maupun pemerintahan dalam mengelola dan memanajemen aset atau sumber daya IT untuk mencapai tujuan enterprise tersebut.

COBIT-5-Product-Family

Gambar 1. Cobit 5 Framework

Pada COBIT 5, proses-proses seperti APO13 Manage Security, DSS04 Manage Continuity dan DSS05 Manage Security Services memberikan panduan dasar mengidentifikasi, mengoperasikan dan memonitor sistem untuk manajemen keamanan secara umum. Gambaran mengenai proses-proses tersebut dapat dilihat pada Gambar 2 berikut ini.

Proses-for-Governance-of-Enterprise-IT-on-COBIT-5

Gambar 2. Proses Manajemen IT pada COBIT 5

Tujuan utama pengembangan COBIT 5 for Information Security:

Menggambarkan keamanan informasi pada enterprise termasuk:

  • Responsibilities terhadap fungsi IT pada keamanan informasi.
  • Aspek-aspek yang akan meningkatkan efektivitas kepemimpinan dan manajemen keamanan informasi seperti struktur organisasi, aturan-aturan dan kultur.
  • Hubungan dan jaringan keamanan informasi terhadap tujuan enterprise.

Memenuhi kebutuhan enterprise untuk:

  • Menjaga risiko keamanan pada level yang berwenang dan melindungi informasi terhadap orang yang tidak berkepentingan atau tidak berwenang untuk melakukan modifikasi yang dapat mengakibatkan kekacauan.
  • Memastikan layanan dan sistem secara berkelanjutan dapat digunakan oleh internal dan eksternal stakeholders.
  • Mengikuti hukum dan peraturan yang relevan.

Sebagai tambahan, pengembangan COBIT 5 for Information Security untuk memberikan fakta bahwa keamanan informasi merupakan salah satu aspek penting dalam operasional sehari-hari pada enterprise.

Keunggulan

Menggunakan COBIT 5 for Information Secutiry memberikan sejumlah kemampuan yang berhubungan dengan keamanan informasi untuk perusahaan sehingga dapat menghasilkan manfaat perusahaan seperti:

  • Mengurangi kompleksitas dan meningkatkan efektivitas biaya karena integrasi yang lebih baik dan lebih mudah.
  • Meningkatkan kepuasan pengguna.
  • Meningkatkan integrasi keamanan informasi dalam perusahaan.
  • Menginformasikan risiko keputusan dan risk awareness.
  • Meningkatkan pencegahan, deteksi dan pemulihan.
  • Mengurangi insiden (dampak) keamanan informasi.
  • Meningkatkan dukungan untuk inovasi dan daya saing.
  • Meningkatkan pengelolaan biaya yang berhubungan dengan fungsi keamanan informasi.
  • Pemahaman yang lebih baik dari keamanan informasi.

Keamanan Informasi

Pengertian Keamanan Informasi

ISACA mendefinisikan keamanan informasi sebagai:

“Ensures that within the enterprise, information is protected against disclosure to unauthorised users (confidentiality), improper modification (integrity) and non-access when required (availability).”

  • Confidentiality berarti menjaga hak akses dan penggunaan wewenang untuk melindungi privacy dan kepemilikan informasi.
  • Integrity berarti menjaga informasi dari modifikasi atau perusakan dan termasuk memastikan bahwa informasi yang ada merupakan informasi asli dan tidak ada penolakan (non-repudiation) jika akan dilakuan pembuktian terhadap sistem.
  • Availability berarti memastikan dalam hal waktu dan kehandalan dalam mengakses dan menggunakan informasi agar selalu tersedia.

Meskipun terdapat beberapa definisi yang berbeda, definisi menurut ISACA di atas merupakan definisi dasar dari keamanan informasi yang mengakomodir aspek confidentiality, integrity dan availability (CIA). Konsep CIA sendiri merupakan konsep yang telah diakui secara global. Cobit 5 for Information Security didasari pada prinsip yang terdapat pada kerangka kerja (framework) COBIT 5 yang dapat digambarkan pada gambar 3 berikut.

Prinsip-COBIT-5

Gambar 3. Prinsip COBIT 5

Prinsip COBIT 5

Prinsip 1. Meeting Stakeholder Needs

Keberadaan sebuah perusahaan untuk menciptakan nilai kepada stakeholdernya – termasuk stakeholders untuk keamanan informasi – didasarkan pada pemeliharaan keseimbangan antara realisasi keuntungan dan optimalisasi risiko dan penggunaan sumber daya yang ada. Optimalisasi risiko dianggap paling relevan untuk keamanan informasi. Setiap perusahaan memiliki tujuan yang berbeda-beda sehingga perusahaan tersebut harus mampu menyesuaikan atau melakukan customize COBIT 5 ke konteks perusahaan yang dimiliki.

Prinsip 2. Covering the Enterprise End-to-End

COBIT 5 mengintegrasikan IT enterprise pada organisasi pemerintahan dengan cara:

  • Mengakomodasi seluruh fungsi dan proses yang terdapat pada enterprise. COBIT 5 tidak hanya fokus pada ‘fungsi IT’, namun termasuk pada pemeliharaan informasi dan teknologi terkait sebagai aset layaknya aset-aset yang terdapat pada enterprise.
  • Mengakomodasi seluruh stakeholders, fungsi dan proses yang relevan dengan keamanan informasi.

Prinsip 3. Applying a Single, Integrated Network

COBIT 5 dapat disesuaikan dengan standar dan framework lain, serta mengizinkan perusahaan untuk menggunakan standar dan framework lain sebagai lingkup manajemen kerangka kerja untuk IT enterprise. COBIT 5 for Information Security membawa pengetahuan dari versi ISACA sebelumnya seperti COBIT, BMIS, Risk IT, Val IT dengan panduan dari standar ISO/IEC 27000 yang merupakan standar ISF untuk keamanan informasi dan U.S. National Institute of Standars and Technology (NIST) SP800-53A.

Prinsip 4. Enabling a Holistic Approach

Pemerintahan dan manajemen perusahaan IT yang efektif dan efisien membutuhkan pendekatan secara holistik atau menyeluruh. COBIT 5 mendefinisikan kumpulan pemicu yang disebut enabler untuk mendukung implementasi pemerintahan yang komprehensif dan manajemen sistem perusahaan IT dan informasi. Enablers adalah faktor individual dan kolektif yang mempengaruhi sesuatu agar dapat berjalan atau bekerja. Kerangka kerja COBIT 5 mendefinisikan 7 kategori enablers yang dapat dilihat pada gambar 4 berikut.

COBIT-5-Enabler

Gambar 4. COBIT 5 Enabler

7 enablers yang digunakan pada COBIT 5 meliputi:

  1. Principles, Policies and Frameworks
  2. Processes
  3. Organisational Strucutres
  4. Culture, Ethics and Behaviour
  5. Information
  6. Services, Infrastructure and Applications
  7. People, Skills and Competencies

Prinsip 5. Separating Governance from Management

COBIT 5 dengan tegas membedakan pemerintahan dan manajemen. Kedua disiplin ini memiliki tipe aktivitas yang berbeda, membutuhkan struktur organisasi yang berbeda dan memiliki tujuan yang berbeda. COBIT 5 melihat perbedaan tersebut berdasarkan sudut pandang berikut.

Cobit-5---Separating-Governance-from-Management

Pada praktiknya, terdapat perbedaan roles dari keamanan informasi pemerintahan dan manajemen yang dapat digambarkan pada gambar 2 dimana terdapat proses-proses yang dilakukan pemerintahan dan proses-proses yang dilakukan manajemen. Masing-masing memiliki responsibilities atau tanggung jawab yang berbeda.

Penggunaan COBIT 5 Enablers pada Praktik Implementasi Keamanan Informasi

Secara umum, COBIT 5 mendefinisikan enablers ke dalam dimensi yang dapat dilihat pada gambar 5. Pendefinisian enablers dalam bentuk dimensi ini akan memberikan cara sederhana dan terstruktur agar dapat dengan mudah memanajemen interaksi yang kompleks.

COBIT-5-Enablers---Generic

Gambar 5. COBIT 5 Enablers: General

Gambaran implementasi dari ketujuh enabler (Principles, Policies and Frameworks, Processes, Organisational Strucutres, Culture, Ethics and Behaviour, Information,    Services, Infrastructure and Applications, People, Skills and Competencies) pada COBIT 5 secara umum digambarkan pada gambar 5. Aktivitas-aktivitas spesifiknya dapat dilihat pada buku panduan detil dari COBIT 5 for Information Security (Appendix A-H). Sebagai contoh, salah satu enabler pada panduan tersebut dapat dilihat pada rincian berikut.

DSS01 Manage Operations

Contoh-Detil-COBIT-5-DSS01

Roles dan Struktur Keamanan Informasi

Pada beberapa tipikal enterprise, roles dan struktur keamanan informasi dapat digambarkan pada gambar 6. Baris 1, 2 dan 3 merupakan roles dan struktur yang biasa ditemukan.

Keamanan-Informasi-Roles-dan-Struktur

Pada praktiknya, masing-masing roles/structure pada gambar 6 di atas akan memiliki:

  • Composition – Kemampuan yang harus dimiliki oleh seluruh anggota organisasi.
  • Mandate, Operating Principles, Span of Control and Authority Level
  • High-level RACI Chart – Tingkat Responsibilities, Accountable, Consulted dan Informed.
  • Inputs/Outputs

Sebagai tambahan, secara spesifik roles keamanan informasi dapat dibuat tergantung dengan kondisi enterprise. Contohnya, tipikal roles pada tim keamanan informasi adalah:

  • Administrator Keamanan Informasi
  • Arsitek Keamanan Informasi
  • Auditor Keamanan Informasi

Kesimpulan

COBIT 5 Framework merupakan kerangka kerja yang dapat digunakan sebuah organisasi, pemerintahan, perusahaan atau enterprise untuk membantu mencapai tujuan yang diingingkan. Pada COBIT 5 sendiri terdapat bagian yang khusus membahas tentang Kemanan Informasi yang dikenal dengan nama COBIT 5 for Information Security dimana dapat memberikan panduan secara komprehensif kepada perusahaan terkait aspek keamanan informasi pada sebuah perusahaan.

Referensi:

  • ISACA (2013). COBIT 5 A Business Framework for the Governance and Management of Enterprise IT.
  • ISACA (2013). COBIT 5 for Information Security.


Leave a Reply

Your email address will not be published. Required fields are marked *

Time limit is exhausted. Please reload the CAPTCHA.