Analisis Keamanan Informasi Ina-geoportal untuk Pemenuhan Standar ISO/IEC 27001:2013

Abstract

Ancaman terhadap keamanan informasi semakin meningkat seiring dengan pemanfaatan dan perkembangan teknologi informasi di segala aspek. Di Indonesia terlihat dari semakin meningkatnya serangan siber yang terjadi, berdasarkan laporan monitoring keamanan siber yang dipublikasikan oleh Badan Siber dan Sandi Negara (BSSN). Indikasi adanya serangan siber di Indonesia diantaranya berupa anomali trafik, insiden web defacement dan kebocoran data. Ina-geoportal adalah salah satu sistem informasi Badan Informasi Geospasial (BIG) yang telah dinyatakan oleh BSSN sebagai sistem elektronik strategis pada tahun 2022. Menurut Peraturan Menteri Komunikasi dan Informatika Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi (SMPI), sistem elektronik strategis adalah sistem elektronik yang berdampak serius terhadap kepentingan umum, pelayanan publik, kelancaran penyelenggaraan negara, atau pertahanan dan keamanan negara. Dimana dalam peraturan yang sama, penyelenggara sistem elektronik strategis diwajibkan menerapkan dan memperoleh sertifikat ISO/IEC 27001. BIG hingga saat ini telah menerapkan dan memperoleh sertifikat ISO/IEC 27001:2013 untuk lingkup Physical and Network Facility sejak tahun 2018 sampai dengan 2023. ISO/IEC 27001:2013 tentang Information Security Management Systems (ISMS) merupakan kerangka kerja yang menjelaskan bagaimana menerapkan dan mengelola ISMS. Namun lingkup penerapan saat ini belum mencakup seluruh aspek dari Ina-Geoportal. Untuk memenuhi tuntutan regulasi dalam menerapkan standar ISO/IEC 27001 pada Ina-geoportal, dilakukan gap analysis. Gap analysis dilakukan untuk mengetahui sejauh mana standar tersebut diterapkan pada Ina-geoportal dan tindakan apa saja yang perlu dilakukan untuk memenuhi standar tersebut. Gap analysis dilakukan pada persyaratan standar yang ada pada klausul utama dan klausul kontrol keamanan informasi yang ditetapkan di BIG. Metode yang digunakan adalah studi dokumen, observasi dan wawancara narasumber di Pusat Pengelolaan dan Penyebarluasan Informasi Geospasial (Pusat PPIG). ISMS mengelola keamanan informasi melalui pendekatan risiko bisnis, dimana asesmen risiko merupakan tahapan terpenting dalam mewujudkannya. Asesmen risiko merupakan salah satu persyaratan pada standar, untuk mengidentifikasi risiko apa saja yang dapat mengancam keamanan informasi. Asesmen risiko Ina-geoportal dalam penelitian ini menggunakan Standar ISO/IEC 27005:2018 tentang Information Security Risk Management (ISRM). Tahapan asesmen risiko pada ISO/IEC 27005:2018 terdiri dari identifikasi risiko, analisis risiko dan evaluasi risiko. Kriteria yang digunakan dalam proses asesmen risiko Ina-geoportal merujuk pada Pedoman Pengelolaan dan Penilaian Risiko BIG Nomor 003/PDM/BTIK/10/2022. Metode yang digunakan dalam asesmen risiko adalah studi dokumen, observasi dan wawancara narasumber di Pusat PPIG. Hasil gap analysis menunjukan bahwa mayoritas persyaratan standar masih perlu dipenuhi. Dari total 26 persyaratan, hanya 6 persyaratan yang sudah terpenuhi, yaitu klausul leadership and commitment, policy, organizational roles, responsibility, and authorities, resource, awareness, dan communication, dengan persentase penerapan sebesar 23%. Dari 114 kontrol keamanan informasi yang ada pada standar, BIG hanya menerapkan 108 kontrol dan telah terpenuhi pada lingkup Ina-geoportal sebanyak 80 kontrol atau sekitar 74%. Klausul kontrol yang telah terpenuhi seluruhnya, diantaranya adalah klausul kontrol information security policies, human resource security, dan information security incident management. Sedangkan klausul kontrol yang penerapannya < 50% adalah klausul operation security dan information security aspects of business continuity management. Minimnya pemenuhan persyaratan standar pada Ina-geoportal disebabkan oleh belum ditetapkannya Ina-geoportal kedalam ruang lingkup penerapan ISO/IEC 27001:2013 di BIG. Sehingga aktivitas dan dokumentasi yang diperlukan untuk memenuhi standar belum dilakukan secara komprehensif. Sedangkan tingginya persentase penerapan kontrol keamanan pada Ina-geoportal dikarenakan beberapa kontrol telah diterapkan dan tidak semua kontrol berkaitan dengan area aplikasi sehingga telah terpenuhi pada lingkup penerapan saat ini. Rekomendasi disusun berdasarkan hasil gap analysis dan ketentuan dalam standar. Terdapat 20 rekomendasi yang disusun untuk pemenuhan persyaratan standar diantaranya adalah menentukan isu internal/eksternal, melakukan asesmen risiko, dan melakukan internal audit. Sedangkan untuk penerapan kontrol keamanan informasi terdapat 28 rekomendasi, diantaranya adalah melakukan backup aplikasi, melakukan vulnerability assessment secara berkala, dan melakukan pemisahan antara lingkungan development, testing, dan production. Dari hasil asesmen risiko diperoleh 28 aset, 15 ancaman, dan 16 kerentanan yang berkaitan dengan Ina-geoportal. Dari hasil identifikasi tersebut diperoleh 32 risiko yang relevan dengan Ina-geoportal dengan tingkat risiko bervariasi antara rendah, sedang dan tinggi. Mayoritas risiko Ina-geoportal memiliki tingkat risiko tinggi dengan persentase mencapai 75% atau sebanyak 24 risiko, diantaranya adalah risiko kegagalan peralatan, kebocoran data, dan malfungsi perangkat lunak. Risiko terbanyak memiliki ancaman terkait malfungsi perangkat lunak dengan jumlah risiko sebanyak 12 risiko. Berdasarkan kriteria penerimaan risiko BIG ada 29 risiko (24 risiko tinggi dan 5 risiko sedang) yang harus dilakukan mitigasi oleh BIG. Hal tersebut menunjukan bahwa Ina-geoportal memiliki permasalahan terkait keamanan informasi yang cukup signifikan. Sehingga penerapan ISO/IEC 27001 pada Ina-geoportal menjadi sangat penting dilakukan BIG. Penerapan standar tersebut bertujuan untuk memenuhi tuntutan regulasi dan untuk melindungi Ina-geoportal dari risiko keamanan informasi yang dapat mengganggu layanan dan proses bisnis BIG saat ini.