Pengukuran Kesadaran Keamanan Informasi Perusahaan Finansial yang Berfokus kepada Pengukuran Tingkah Laku Sumber Daya Manusia Yudho Satrio Wirawan, SSi1. MT, Ir. Budi Rahardjo Ph.D 2 Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung Jl. Ganesha 10 Bandung 1
[email protected] 2
[email protected]
Abstrak — Faktor sumber daya manusia (SDM) adalah akar menunjukkan bahwa perkembangan kontrol manajemen permasalahan terjadinya pelanggaran keamanan, bila perusahaa n terhadap terhad ap SDM masih jauh terlambat ter lambat dibanding d ibandingkan kan dibandingkan dengan kesalahan atau kecacatan pada teknologi desain dan implementasi keamanan informasi secara teknis. yang digunakan di dalam perusahaan. Maka dari itu ada Maka dari itu dibutuhkan adanya kesadaran akan keamanan kebutuhan perusahaan untuk mengukur sejauh mana tingkat informasi SDM dalam perusahaan. kesadaran SDM, sehingga dapat menjadi dasar dalam memberikan training keamanan informasi. Dari hasil studi 1.3 Tujuan literatur, belum terdapat standar pengukuran kesadaran akan keamanan informasi. Pengukuran kesadaran keamanan informasi dilakukan terhadap dua komponen yaitu: perusahaan Makalah ini bertujuan untuk melaporkan hasil penelitian dan SDM-nya. Pengukuran kesadaran keamanan informasi terkait dengan metodologi pengukuran kesadaran keamanan perusahaan dilakukan dengan menilai tingkat kematangan informasi sumber daya manusia di perusahaan finansial. keamanan informasi berdasarkan ISO 27002:2005. Sedangkan pengukuran kesadaran keamanan informasi SDM dilakukan 1.4 Batasan Masalah dengan menilai perilaku SDM-nya, masing-masing menggunakan kuesioner sebagai alat ukurnya. Hasil pengukuran Batasan masalah dalam makalah ini adalah sebagai berikut: melalui kuesioner menunjukkan bahwa perusahaan menyadari 1. perusahaan perusaha an yang disurvei adalah perusahaan perusahaa n yang pentingnya kesadaran akan keamanan informasi, namun kesadaran keamanan informasi perusahaan ternyata tidak memanfaatkan teknologi informasi secara intensif; menjamin kesadaran keamanan informasi pada SDM-nya. 2. perusahaan perusaha an yang dij adikan stud i kasus pen elitian tesis ini Kata kunci — sumber daya manusia, kesadaran keamanan informasi, perilaku.
1. Pendahuluan
3.
4.
1.1 Definisi Keamanan informasi didefinisikan sebagai proses untuk melindungi atau memproteksi kerahasiaan ( confidentiality), integritas (integrity), ketersediaan ( availability ) data dan informasi dari ancaman kerusakan, kecelakaan, ataupun tindakan kejahatan [9]. Sedangkan kesadaran keamanan informasi adalah tingkatan pengetahuan, sikap, serta kesediaan untuk bertindak dan berperilaku sesuai kebijakan keamanan informasi secara kontinu [6], [9], [10]. 1.2 Latar Belakang Berdasarkan hasil survei Deloitte [1] dan Infosecurity [5], faktor SDM adalah akar permasalahan terbesar terjadinya pelanggaran pelangga ran keamanan bila dibandingkan dibandin gkan dengan kesalahan atau kecacatan pada teknologi yang digunakan. Hal ini
5. 6.
meminta untuk dirahasiakan identitasnya; pengukuran penguku ran kesadaran keamanan informasi dilakukan satu kali untuk dua bagian, yaitu: perusahaan dan sumber daya manusia; pengukuran penguku ran kesadaran keamanan informasi SDM hanya difokuskan pada pengukuran komponen perilaku manusia; best practice standar keamanan yang digunakan adalah ISO 27002-2005; tool yang digunakan untuk melakukan analisa statistik adalah SPSS dengan menggunakan fungsi analisis deskriptif.
2. Metodologi
Keseluruhan langkah-langkah penelitian terdiri dari beberapa tahapan berikut ini: 1) studi literatur tentang apa saja yang terkait dengan topik yang dipelajari; dipelajari; 2) mengumpulkan data secara secara kualitatif kualitatif melalui interview interview dengan pihak manajemen dan teknologi Informasi;
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
3) mengumpulkan data secara kuantitatif melalui survei kuesioner ( paper paper based survey ); 4) analisis data menggunakan tool statistik; 5) kesimpulan. Langkah-langkah tersebut dapat digambarkan sebagai berikut (Gambar 1):
yang dirasakan (sikap/attitude), dan apa yang dilakukan (perilaku/ behavior ). ). Masing-masing dimensi ini kemudian dibagi menjadi area fokus yang ingin diukur. Apabila diperlukan dapat dibagi lagi menjadi faktor yang lebih rinci, misalnya pada dimensi behavior (Gambar 2) dibedakan menjadi dua daerah fokus ( policies dan password ). ). Password dapat dipecah menjadi dua faktor: kerahasiaan dan tujuan password . Kerahasiaan password dapat dipecah menjadi sub faktor: bagaimana menuliskan password dan memberikan password kepada orang lain. Sites
Overal Awareness Level
Dimensions
Focus Area
Factors
Sub Factors
Site1 Attitude
Site2
Knowledge
Policies Write Behavior Siten
Confidentiality Password Give Purpose
Gambar 1. Metodologi penelitian Gambar 2. Ilustrasi struktur pohon
Interview terhadap pihak managerial divisi IT dan SDM dilakukan untuk menyesuaikan instrumen pengukuran Pengukuran dilakukan dengan menggunakan kuesioner untuk (kuesioner) sesuai dengan demografi perusahaan yang melihat perilaku/behavior responden berdasarkan topik meliputi: jumlah pegawai, jumlah divisi, template untuk keamanan informasi. Asumsi yang digunakan dalam pembuatan pembuata n kuesioner. kuesione r. Pada penelitian ini pihak perusahaan perusahaa n penelitian ini adalah: bersedia bekerjasama bekerjasam a untuk melakukan pengukuran penguku ran kesadaran ke sadaran 1) behavior adalah tingkah laku yang merupakan respon keamanan informasi karena sejalan dengan pekerjaan untuk dari apa yang sudah dipelajari (terkait (terkait dengan knowledge) mengaudit sistem informasi perusahaan. Setiap sumber daya atau didapatkan dari pengaruh lingkungan, budaya, etnis manusia dalam perusahaan diwajibkan untuk mengisi [4]; kuesioner sesuai dengan apa yang mereka tahu dan pahami, 2) berdasarkan berdasark an hasil riset Stephanou dan Dagada [12], karena ini bagian dari proses audit. security behavior mencerminkan knowledge yang dipelajari atau didapatkan, serta pengaruh dari A. Pengukuran Kesadaran Keamanan Informasi Perusahaan lingkungan; 3) Kruger dan Kearney [8] memberikan pembobotan Kematangan keamanan informasi perusahaan didefinisikan sebesar 50% dari seluruh komponen penilaian; sebagai ukuran kemampuan perusahaan untuk berada dalam 4) responden sudah mengetahui adanya aturan yang kondisi yang aman berdasarkan aturan dan kebijakan mengharuskan agar kebijakan keamanan informasi keamanan informasi yang digunakan [2]. Untuk mengetahui terlaksana; tingkat kematangan perusahaan terhadap keamanan informasi 5) responden berada dalam kondisi sehat jasmani dan sebagai ukuran kesadaran, digunakan dokumen ISO rohani sehingga jawaban yang diberikan adalah jawaban 27002:2005 [7]. yang valid. B. Pengukuran Kesadaran Keamanan Informasi SDM Topik kuesioner untuk menguji behavior sumber daya Pengukuran kesadaran keamanan informasi SDM menggunakan model yang dikembangkan oleh Kruger dan manusia mengacu pada [3], [6], [8], dan [13]. Topik kuesioner ini dibagi menjadi 5 bagian dapat dilihat pada Tabel 1. di Kearney [8]. Pengukuran dilakukan pada tiga dimensi yang bawah ini:
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
TABEL 1 TOPIK K UESIONER UESIONER
No 1 2 3 4 5
Topik Kuesioner Pengamanan dan manajemen password Penanganan informasi yang sensitif Rekayasa sosial Pengamanan lingkungan fisik dan kantor Respon bilamana ada insiden atau kesalahan pada prose dur, siapa ya ng harus d ihubungi
3. Hasil dan Analisa
Dari hasil pengukuran sumber daya manusia melalui kuesioner, didapatkan level kesadaran dari topik-topik keamanan informasi sebagai berikut:
Gambar 4. Tingkat kesadaran keamanan informasi berdasarkan jenis kelamin
Gambar 5. Tingkat kesadaran kesadaran keamanan informasi berdasarkan umur
Gambar 3. Tingkat kesadaran kesadaran keamanan informasi keseluruhan untuk masing-masing topik kuesioner
Trusted by over 1 million members
Try Scribd FREE for 30 days to access over 125 million titles without ads or interruptions! Start Free Trial Cancel Anytime.
kesadaran keamanan informasi lebih tinggi bila dibandingkan dengan kelompok umur yang lebih lebih muda (20 (20 s/d s/d 40). 40). Parameter yang lain yaitu tipe karyawan, karyawan full time lebih aware akan keamanan informasi bila dibandingkan dengan karyawan part time. Berdasarkan hasil analisa crosstabs: jenis kelamin, umur, divisi, dan jenis karyawan perlu dilibatkan dalam pengukuran penguku ran kesadaran keamanan informasi. Untuk menguji efektifitas alat ukur kesadaran keamanan informasi sumber daya manusia pada pengukuran selanjutnya, perlu dilakukan pengukuran penguku ran lebih dari satu kali. Pengukuran Penguku ran sebaiknya juga mengkombinasikan studi kuantitatif dan kualiltatif untuk melihat kecocokan jawaban yang diberikan melalui kuesioner dengan jawaban responden secara langsung melalui interview. Gambar 6 Tingkat kesadaran keamanan informasi berdasarkan tipe karyawan full time dan part time ) ( full dan part time)
Daftar Pustaka
Tingkat kesadaran keamanan informasi yang rendah, lebih berpotensi berpotens i untuk terjad inya pelang garan keamanan. kea manan. Dengan menggunakan uji Chi Square dalam fungsi crosstabs, didapatkan hubungan antara dua variabel berikut ini: 1) kelompok umur dengan pernyataan ‘tidak keberatan memberitahukan password kepada orang divisi IT bila diminta’; 2) kelompok umur dengan pernyataan menuliskan informasi pekerjaan di situs jejaring sosial; 3) divisi dengan pernyataan ‘menggunakan sekurangkurangnya dua password ’; ’; 4) divisi dengan pernyataan ‘secara regular membicarakan tentang bagaimana memproteksi informasi yang sensitif’; 5) divisi dengan pernyataan ‘menaruh kertas-kertas dokumen sensitif pada recycle bin untuk kertas’; 6) jenis kelamin dengan pernyataan ‘menggunakan ‘menggun akan inisial lirik lagu sebagai password ’; ’; 7) jenis kelamin dengan pernyataan pernyataa n ‘tidak menggunakan menggun akan screen saver ber- password password pada PC kantor’; 8) jenis karyawan dengan pernyataan pernyataa n ‘menulis password disebuah kertas dan meletakkan di dekat komputer’. 4. Kesimpulan
Dari hasil interview dan kuesioner perusahaan menunjukkan bahwa perusahaan perusaha an menyadari pentingnya pentingny a kesadaran akan keamanan informasi, namun kesadaran akan keamanan informasi perusahaan tidak menjamin kesadaran keamanan informasi pada sumber daya manusianya. Hal ini dapat dilihat pada topik rekayasa sosial dan topik pengamanan pengama nan lingkunga n fisik dan kantor yang memiliki tingkat kesadaran paling rendah; Pengukuran pada parameter jenis kelamin menunjukkan bahwa laki-laki lebih aware akan keamanan informasi bila dibandingkan perempuan. Sedangkan pada kelompok umur didapatkan bahwa kelompok umur 41 s/d 50 memiliki tingkat
[1]
[2]
[3]
[4] [5]
[6]
[7]
[8] [9] [10]
[11] [12]
[13]
Deloitte, Global Security Study for the Technology, Media, & Telecommunications (TMT) Industry, Raising the Bar , 2011. Tersedia : http://www.deloitte.com/assets/DcomGlobal/Local/Assets/Documents/TMT/dttl_TMT/2011/Global/Security/ Survey_High/res_191111.pdf (Dikunjungi 02/02/2012) Dzazali, S., Social Factors Influencing the Information Security Maturity of Malaysian Public Service Organization: An Empirical Analysis. ACIS Analysis. ACIS 2006 Proceedings, Proceedings , 2006. ENISA, The new users’ guide: How to raise information security awareness, awareness, 2010. Tersedia : www.enisa.europa.eu/activities/awarenessraising/deliverables/2010/new-users-guide/at_download/fullReport/The new users guide_How to raise information security awareness_FINAL.pdf (Dikunjungi awareness_FINAL.pdf (Dikunjungi 01/02/2011) Feldman, R.S., Essential of Understanding Psychology. 7th Edition. McGraw-Hill College. Boston, River Ridge,2007. Infosecurity, Information Security Breach Survey (ISBS) 2010 Technical Report , 2010. Tersedia : http://www.infosec.co.uk/files/isbs_2010_technical_report_single_pages .pdf (Dikunjungi .pdf (Dikunjungi 12/07/2011) ISF, Effective Security Awareness. Awareness . Information Security Forum, Forum, 2002. Tersedia : http://www.igt.connectingforhealth.nhs.uk/Knowledgebase/Kb/ISF documents/Effective Security Awareness 22-04-02.pdf (Dikunjungi 12/07/2011) ISO/IEC 27002-2005, Information Technology Security Techniques Code of Practice for Information Security Management. International Standards Organization, Organization, 2005. Tersedia : http://www.iso.org Kruger, H., dan Kearney, W., A prototype for assessing information security Awareness, Computer s and Security, Security, 25(4), 289 – 296, 2006. Merkow, M.S. dan Breithaupt, J., Information Security: Princip les and Practices. Practices. Upper Saddle River, New Jersey: Pearson Education, 2006. Shaw, R. S., Chen, C. C., Harris, A. L., dan Huang, H. J., The impact of information richness on information security awareness training effectiveness. effectiveness . Computer Education, 52, 92–100, 2009. SP 800-50, Building an Information Technology Security Awareness and Training Program, Program, NIST Special Publication 800-50, 2003. Stephanou, A. T., dan Dagada, R., The Impact of Information Security Awareness Training on Information Security Behaviour: the Case for Further Research. ISSA 2008 Conference, Conference , University of Johannesburg, 2008. Veseli, I., Measuring the Effectiveness of Information Security Awareness Program, Program, Master’s tesis, Gjøvik University College, 2011.
