Blog

Aplikasi Informatika dan Indeks Keamanan Informasi

Kebutuhan, permintaan, permasalahan dan ekspektasi dalam urusan pemerintahan pada cakupan Aplikasi Informatika dan Keamanan Informasi merupakan sebuah keniscayaan. Dengan penelitian ini, diharapkan akan terkaji hal-hal pokok yang bersinggungan antara Aplikasi Informatika dan Indeks Keamanan Informasi. Metodologi yang digunakan dalam pengembangan tulisan ini adalah kuantitatif-deskriptif, di mana dari jumlah sumber yang ada, dilakukan pengembangan yang deskriptif terkait hal-hal yang bersinggungan dengan tujuan pengembangan karya tulisnya. Stakeholder yang terkait dengan pemerintah terkait kata kunci Aplikasi Informatika dan Indeks Keamanan Informasi yakni pemerintah (G2G), Swasta (G2B) dan Publik (G2S). Layanan terkait Indeks Keamanan Informasi hingga tulisan ini disusun tersedia melalui aplikasi IKAMI V5 berbasis spreadsheet. Atas keluasan cakupan IKAMI dan Aplikasi Informatika, maka titik temu antar urusan akan bermuara pada kata kunci “Aplikasi”, “Sistem Informasi” yang terdapat pada aplikasi IKAMI V5. Layanan Indeks Keamanan Informasi merupakan layanan yang menjembatani antara Indeks Keamanan Informasi dan hal-hal yang menjadi cakupan Indeks Keamanan Informasi. Di antara benefit yang dapat diberikan layanan Indeks Keamanan Informasi terhadap hal-hal yang menjadi cakupannya yakni kejelasan standar Indikator Keamanan Informasi terkait hal-hal yang menjadi cakupannya dan hal-hal yang dapat diukur terkait dengan Indeks Keamanan Informasi.

 

1. Pendahuluan

Kebutuhan, permintaan, permasalahan dan ekspektasi dalam urusan pemerintahan pada cakupan Aplikasi Informatika dan Keamanan Informasi merupakan sebuah keniscayaan. Hal tersebut didasari atas kemudahan yang dirasakan atas transformasi digital yang menyentuh aspek layanan publik dan layanan administrasi pemerintahan melalui aplikasi yang merupakan implementasi atas teknologi data. Hal lain yang mendasari yakni fakta-fakta seputar ancaman-ancaman dan teror-teror siber yang menjadi polemik sebab tidak ada atau jarang sekali ditemukan penegakan hukum terhadap pelaku-pelaku kriminal siber. Sehingga tidak menyisakan rasa aman terhadap stakeholder yang mungkin telah memiliki aneka lapisan keamanan, sebab pelaku-pelakunya sendiri masih dapat menghirup udara bebas di luar dari penjara, lengkap dengan ingatan-ingatan yang mereka miliki terkait bagaimana menemukan jalan dan melakukan eksploitasi terhadap sistem elektronik pemerintahan.

 

Atas kemudahan dari layanan aplikasi dan kondisi penegakan hukum atas tindak kriminal siber, maka dari bukti pencarian yang dapat anda temukan per tanggal 17 Juni 2024 dengan kata kunci “slot gacor go id”, “togel go id”, “judi online go id ” dan kesesuaiannya dengan jumlah warta berita untuk tuntasnya penegakan hukum masing-masing kasus, kita dapat menarik kesimpulan bahwa hukum dan stakeholder penegakannya belum siap untuk dapat diharapkan, tidak ada opsi offensive. Tersisa opsi defensif yang dapat diharapkan yakni aktor penanganan insiden siber dan aktor terkait keamanan informasi melalui mekanisme diseminasi kepada para pengelola teknis aplikasi.

 

Bagaimana para pengelola teknis aplikasi mampu memiliki kapasitas seorang attacker, agar celah kerentanan yang tersedia lebih dahulu ditemukan oleh pengelola teknis itu sendiri untuk dimitigasi, daripada terlebih dahulu ditemukan attacker untuk dilakukan eksploitasi dan kembali ke kehidupannya tanpa adanya penegakan hukum apapun? Itu merupakan pertanyaan kunci terkait bagaimana penyelenggaraan sistem elektronik cenderung lebih relevan terhadap kebebasan aktor kriminal siber.

 

Dengan penelitian ini, diharapkan akan terkaji hal-hal pokok yang bersinggungan antara Aplikasi Informatika dan Indeks Keamanan Informasi.

 

1.1 Definisi Aplikasi Informatika

Berdasarkan kamus besar bahasa indonesia, Aplikasi dapat berarti^[1]

• karya hias dalam seni jahit-menjahit dengan menempelkan (menjahitkan) guntingan-guntingan kain yang dibentuk seperti bunga (buah, binatang, dan sebagainya) pada kain lain sebagai hiasan;

• tambahan: dalam beberapa fakultas diadakan kursus -- bahasa Inggris;

• penggunaan; penerapan;

• lamaran; permohonan; pendaftaran: ia mendapatkan formulir -- di cabang bank terdekat;

• program komputer atau perangkat lunak yang didesain untuk mengerjakan tugas tertentu.

 

Berdasarkan kamus besar bahasa indonesia, Informatika dapat berarti^[2]

• ilmu tentang pengumpulan, klasifikasi, penyimpanan, pengeluaran, dan penyebaran pengetahuan yang direkam;

• hal-hal yang berkaitan dengan informasi; usaha dalam bidang informasi: kami bergerak dalam berbagai usaha, seperti konstruksi dan --.

 

Dari definisi tersebut di atas, maka aplikasi informatika mengacu kepada pengertian

• program komputer atau perangkat lunak yang didesain untuk mengerjakan tugas tertentu yang memiliki pola prilaku atau melingkupi proses pengumpulan, klasifikasi, penyimpanan, pengeluaran, dan penyebaran pengetahuan yang direkam, atau melingkupi hal-hal yang berkaitan dengan informasi.

 

1.2 Definisi Indeks Keamanan Informasi

Berdasarkan kamus besar bahasa indonesia, Indeks dapat berarti^[3]

• daftar kata atau istilah penting yang terdapat dalam buku cetakan (biasanya pada bagian akhir buku) tersusun menurut abjad yang memberikan informasi mengenai halaman tempat kata atau istilah itu ditemukan;

• daftar harga sekarang dibandingkan dengan harga sebelumnya menurut persentase untuk mengetahui turun naiknya harga barang: -- biaya hidup di Jakarta setiap tahun naik;

• Kom (artikel) daftar berita penting hari itu (dalam majalah, surat kabar) yang dimuat di halaman depan;

• Ling rasio antara dua unsur kebahasaan tertentu yang mungkin menjadi ukuran suatu ciri tertentu; penunjuk.

 

Berdasarkan kamus besar bahasa indonesia, Keamanan dapat berarti^[4]

• keadaan aman; ketenteraman: polisi bertugas menjaga (memelihara) ~ dan ketertiban.

 

Berdasarkan kamus besar bahasa indonesia, Informasi dapat berarti^[5]

• penerangan;

• pemberitahuan; kabar atau berita tentang sesuatu;

• Ling keseluruhan makna yang menunjang amanat yang terlihat dalam bagian-bagian amanat itu.

 

Dari definisi tersebut di atas, maka indeks keamanan informasi mengacu kepada pengertian

• unsur-unsur tertentu dalam bentuk kata-kata atau istilah yang dapat dijadikan alat ukur pada cakupan keamanan informasi.

 

2. Metodologi dan Data

Metodologi yang digunakan dalam pengembangan tulisan ini adalah kuantitatif-deskriptif, di mana informasi dari jumlah sumber yang ada, dilakukan pengembangan yang deskriptif terkait hal-hal yang bersinggungan dengan tujuan pengembangan karya tulisnya.

 

Berkenaan dengan entitas yang tertulis pada bagian judul, maka data akan bersumber dari dasar hukum dan literatur berkenaan dengan teknis Aplikasi Informatika dan Indeks Keamanan Informasi.

 

Adapun data terkait sumber hukum yakni sebagai berikut:

1. Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2020 Tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik.

2. Peraturan Badan Siber dan Sandi Negara Nomor 4 Tahun 2021 Tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik.

3. Peraturan Badan Siber dan Sandi Negara Nomor 9 Tahun 2021 Tentang Perubahan atas Peraturan Badan Siber dan Sandi Negara Nomor 8 Tahun 2021 Tentang Penyelenggaraan Penilaian Kesiapan Penerapan SNI ISO/IEC 27001 Menggunakan Indeks Keamanan Informasi.

 

3. Hasil dan Pembahasan

3.1 Hasil

Dari situs resmi IKAMI (indeks-kami.bssn.go.id) didapati aplikasi IKAMI yang hingga tulisan ini disusun, telah mencapai versi 5. Secara top-down, pada aplikasi tersebut, didapati Indikator Indeks Keamanan Informasi yang mengandung kata kunci ”Aplikasi” atau “Sistem Informasi” berbentuk pertanyaan-pertanyaan, mencakup namun tidak terbatas kepada:

1. Apakah jaringan komunikasi disegmentasi sesuai dengan kepentingannya (pembagian instansi/ perusahaan, kebutuhan aplikasi, jalur akses khusus, dll)?

2. Apakah tersedia konfigurasi standar untuk keamanan sistem bagi keseluruhan aset jaringan, sistem dan aplikasi, yang dimutakhirkan sesuai perkembangan (standar industri yang berlaku) dan kebutuhan?

3. Apakah tersedia proses pengelolaan konfigurasi perangkat komputasi (server, perangkat jaringan, sistem operasi dan aplikasi) yang diterapkan secara konsisten?

4. Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/ keutuhan konfigurasi?

5. Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dirancang untuk memastikan ketersediaan (rancangan redundan) sesuai kebutuhan/ persyaratan yang ada?

6. Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dimonitor untuk memastikan ketersediaan kapasitas yang cukup untuk kebutuhan yang ada dan efektifitas keamanannya?

7. Apakah setiap perubahan dalam sistem informasi secara otomatis terekam di dalam log?

8. Apakah semua log dianalisa secara berkala untuk memastikan akurasi, validitas dan kelengkapan isinya (untuk kepentingan jejak audit dan forensik)?

   "[Catatan Periksa] Minimal yang harus di log adalah sbb : 1. outbound and inbound trafik jaringan; 2. Akses terhadap sistem, server, perangkat jaringan, aplikasi kritis; 3. penggunaan file sistem dan konfigurasi jaringan; 4. dari perangkat keamaanan [sp]

9. Apakah semua sistem dan aplikasi secara otomatis mendukung dan menerapkan penggantian password secara otomatis, termasuk menon-aktifkan password, mengatur kompleksitas/ panjangnya dan penggunaan kembali password lama?

10. Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login, dan penarikan akses?

11. Apakah keseluruhan jaringan, sistem dan aplikasi sudah menggunakan mekanisme sinkronisasi waktu yang akurat, sesuai dengan standar yang ada?

12. Apakah instansi/ perusahaan anda sudah menetapkan prinsip pengembangan aplikasi yang aman (secure coding) yang digunakan untuk pengembangan aplikasi secara internal (in-house) maupun yang melibatkan pihak eksternal? misal: menggunakan standar OWASP 10

13. Apakah setiap aplikasi yang ada memiliki spesifikasi dan fungsi keamanan yang diverifikasi/ validasi pada saat proses pengembangan dan uji coba?

14. Apakah instansi/ perusahaan anda secara rutin menganalisa dan memperbaiki jika ditemukenali ancaman baru (misal adanya laporan kelemahan dan/ atau teknik exploit baru) yang berdampak pada keamanan sistem aplikasi?

 

Adapun status dari indikator terdiri dari 4 (empat) opsi, antara lain sebagai berikut:

1. Tidak Dilakukan

2. Dalam Perencanaan

3. Dalam Penerapan/ Diterapkan Sebagian

4. Diterapkan Secara Menyeluruh

 

Sementara itu secara bottom up, dalam dalam konteks insiden dan permasalahan siber yang menjadi tren atau sering muncul, maka dominasi insiden dan permasalahan siber pada pemerintahan mengacu kepada malware dan kontrol akses.

 

3.2 Pembahasan

Berdasarkan data-data di atas, maka kita akan mendapati bahwa secara top down, Indeks Keamanan Informasi yang optimal dalam cakupan Aplikasi Informatika akan mengacu kepada implementasi teknis dari keilmuan kekomputeran pada setiap masing-masing indikator Indeks Keamanan Informasi yang mengandung kata kunci ”Aplikasi” atau ”Sistem Informasi” hingga status menjadi ”Diterapkan Secara Menyeluruh” mengisi nilai dari kolom Status pada tiap-tiap indikatornya.

 

Sementara secara bottom up, kondisi keamanan informasi akan menjadi optimal apabila stakeholder yang memiliki tugas dan fungsi pada cakupan penanganan insiden keamanan siber dan keamanan informasi, telah mengedukasi para pengelola teknis sistem elektronik untuk melakukan hal yang sama dengan attacker dalam membobol sistem elektroniknya masing-masing pada mode development, agar para pengelola teknis mengetahui bagaimana pola pikir attacker bekerja, agar mengetahui celah keamanan apa saja yang terbuka pada sistem yang masing-masing kelola, agar mengerti bagaimana cara attacker mengirimkan paket data malware melalui layer dan jalur yang mana, sehingga dapat memitigasi risiko tersebut, siapa dan apa yang menyebabkan kontrol akses ke VPS menjadi terkendala. Bagaimana menegakkan hukum atas segala tindakan kriminal siber.

 

Indikator-indikator dalam kaitan antara aplikasi informatika dan indeks keamanan akan dikupas secara ringkas dengan mengacu kepada kata kunci dan clue terkait penanganan teknis yang melingkupinya:

 

Pertanyaan 1.

Apakah jaringan komunikasi disegmentasi sesuai dengan kepentingannya (pembagian instansi/ perusahaan, kebutuhan aplikasi, jalur akses khusus, dll)?

Interpretasi:

Kata kunci yang menjadi poin utama yakni jaringan, segmentasi, otorisasi. Sedangkan hal-hal yang menjadi ekspektasi dari pertanyaan di atas yakni pengguna telah terklasifikasikan ke dalam peran tertentu. Peran-peran yang tidak bersifat publik dalam hal akses, diberikan otorisasi khusus, baik otorisasi dalam hal instansi, kebutuhan aplikasi maupun jalur akses. Terapannya dapat berbentuk [Networking] IP Table/ Firewall, Whitelist IP, Whitelist Mac Address, Subneting dengan prefix yang sempit, VPN; [App] Pemberian authentication untuk layanan administrasi, pemberian authorization untuk role dan atau instansi yang berbeda.

Dokumen [App]:

RACI/ role/ proposal/ laporan pengembangan (tabel/ diagram terkait peran).

 

Pertanyaan 2.

Apakah tersedia konfigurasi standar untuk keamanan sistem bagi keseluruhan aset jaringan, sistem dan aplikasi, yang dimutakhirkan sesuai perkembangan (standar industri yang berlaku) dan kebutuhan?

Interpretasi:

Kata kunci yang menjadi poin utama yakni standarisasi konfigurasi inklusif, aset jaringan, sistem dan aplikasi, termutakhirkan. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah ketersedian dokumen standarisasi konfigurasi induk untuk aset jaringan, sistem dan aplikasi, yang mana dirilis pada versi berbeda apabila ada pemutakhiran pada konteks atau bagian parsialnya. Perubahan dapat dilandaskan kepada perkembangan teknologi/ zaman, dan dapat juga didasari kebutuhan. Setelah standarisasi tersedia, maka tersedia pula sumber daya minimum untuk implementasi standar konfigurasi yang telah dibuat. Eksklusifitas standar mungkin terjadi untuk instansi tertentu dan kondisi pada waktu tertentu. Maka pembuatan standar akan mengacu kepada akademisi atau praktisi dengan kapasitas analisis kebutuhan keamanan informasi dan kapasitas dokumentasi.

Dokumen [app]:

Pedoman standar konfigurasi keamanan sistem elektronik.

 

Pertanyaan 3.

Apakah tersedia proses pengelolaan konfigurasi perangkat komputasi (server, perangkat jaringan, sistem operasi dan aplikasi) yang diterapkan secara konsisten?

Interpretasi:

Kata kunci yang menjadi poin utama yakni SOP, pengelolaan konfigurasi, perangkat komputasi, konsisten. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah ketersediaan SOP berkenaan pengelolaan konfigurasi perangkat komputasi, baik infrastruktur maupun aplikasi dan penerapannya dengan konsisten. Pembuatan SOP mengacu kepada stakeholder pembuatan SOP Teknis terkait perangkat komputasi.

Dokumen [App]:

SOP Pengelolaan Konfigurasi Perangkat Komputasi.

 

Pertanyaan 4.

Apakah jaringan, sistem dan aplikasi yang digunakan secara rutin dipindai untuk mengidentifikasi kemungkinan adanya celah kelemahan atau perubahan/ keutuhan konfigurasi?

Interpretasi:

Kata kunci yang menjadi poin utama yakni pemindaian, penjadwalan, identifikasi, celah kerentanan, integritas konfigurasi. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah ekspektasi pada pertanyaan sebelumnya telah terpenuhi dalam cakupan konfigurasi pemindaian, telah ada SOP yang menetapkan standar penjadwalan pemindaian, adapun sasaran pemindaian yakni celah kerentanan (vulnerability) dan perubahan keutuhan konfigurasi (integrity). Hal yang menjadi kunci dari kegiatan ini adalah objektif celah kerentanan dan pendeteksian kesesuaian konfigurasi teraktual dengan konfigurasi standar.

Dokumen [App]:

SOP Pemindaian Kerentanan dan Perubahan Konfigurasi, Laporan Pemindaian Kerentanan dan Perubahan Konfigurasi.

 

Pertanyaan 5.

Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dirancang untuk memastikan ketersediaan (rancangan redundan) sesuai kebutuhan/ persyaratan yang ada?

Interpretasi:

Kata kunci yang menjadi poin utama yakni redudansi. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah analisa kebutuhan telah dilakukan berkenaan ketersediaan layanan. Apakah kebutuhan dan demand mengacu pada ketersediaan pusat data tier tertentu? Apakah CRUD behavior dari aplikasi harus full time dengan dasar traffic yang tinggi dan tidak memiliki peak time? Maka setelah analisis kebutuhan dilakukan dan mendapatkan suatu hipotesis yang mengacu pada tier tertentu dari pusat data dan behavior tertentu dari aplikasi, maka rancangan redudansi infrastruktur dan sistem pada tahap tersebut seharusnya telah sesuai dengan kebutuhan atau demand. Dokumen yang diperlukan pada poin ini adalah dokumen analisis kebutuhan pengguna infrastruktur dan aplikasi dalam cakupan redudansi sistem, dan dokumen rancangan redudansi infrastruktur dan aplikasi yang sesuai dengan hipotesis analisis kebutuhan redudansi pengguna infrastruktur dan aplikasi.

Dokumen [App]:

Dokumen Analisis Kebutuhan Sumber Daya TIK, Dokumen Rancangan Redudansi.

 

Pertanyaan 6.

Apakah keseluruhan infrastruktur jaringan, sistem dan aplikasi dimonitor untuk memastikan ketersediaan kapasitas yang cukup untuk kebutuhan yang ada dan efektivitas keamanannya?

Interpretasi:

Kata kunci yang menjadi poin utama yakni monitoring, kapasitas, efektifitas keamanannya. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah tersedia terlebih dahulu hasil analisis kebutuhan kapasitas pengguna infrastruktur dan aplikasi. Idealnya perangkat diganti secara berkala, apakah tahunan (terkait cost, budget & lisensi), tiga dan lima tahunan (masa pakai barang entri level hingga ke atas). Maka dari jumlah tahun perkiraan masa pakai perangkat dapat diperkirakan kebutuhan kapasitas dari riwayat pertumbuhan penggunaan kapasitas yang telah lalu. Dapat juga ditentukan penambahan waktu dari waktu pergantian perangkat yang seharusnya untuk rencana jumlah ketersediaan kapasitas cadangan/ tak terduga. Apabila telah ada perencanaan ketersediaan dan penggunaan kapasitas yang mencukupi, maka monitoring diperlukan untuk memeriksa apakah ketersediaan kapasitas untuk keberlangsungan operasi masih dalam ambang batas yang diperkirakan/ direncanakan. Efektifitas keamanan dipengaruhi oleh bagaimana isu dan tren ancaman siber dikumpulkan oleh stakeholder dengan tugas dan fungsi terkait keamanan siber, bagaimana ketersediaan dokumen literasi digital terkait mitigasi risikonya untuk dikonsumsi oleh setiap instansi dan pengelola teknis yang terkait dengan isu dan tren ancaman siber tersebut.

Dokumen [App]:

Dokumen Analisis Kebutuhan Sumber Daya TIK, SOP Monitoring Ketersediaan Kapasitas Piranti TIK, Laporan Monitoring Ketersediaan Kapasitas Piranti TIK, Rekapitulasi Isu dan Tren Ancaman Siber Teraktual, Pedoman Teknis Mitigasi Risiko Isu dan Tren Ancaman Siber Teraktual.

 

Pertanyaan 7.

Apakah setiap perubahan dalam sistem informasi secara otomatis terekam di dalam log?

Interpretasi:

Kata kunci yang menjadi poin utama yakni manajemen perubahan, log. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah tersedianya dokumen log yang berisi perubahan-perubahan dalam sistem informasi secara otomatis, baik itu file dengan ekstensi *.log, maupun log pada database.

Dokumen [App]:

SOP Manajemen Log Perubahan Data dan Sistem Elektronik. Laporan Manajemen Log Perubahan Data dan Sistem Elektronik.

 

 

Pertanyaan 8.

Apakah semua log dianalisa secara berkala untuk memastikan akurasi, validitas dan kelengkapan isinya (untuk kepentingan jejak audit dan forensik)?

"[Catatan Periksa] Minimal yang harus di log adalah sbb:

• outbound and inbound trafik jaringan;

• akses terhadap sistem, server, perangkat jaringan, aplikasi kritis;

• penggunaan file sistem dan konfigurasi jaringan;

• dari perangkat keamaanan [sp]

Interpretasi:

Kata kunci yang menjadi poin utama yakni analisis log, validitas log, keutuhan isi log, audit, forensik. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah standarisasi metode analisis log yang terjadwal serta implementasinya dengan sasaran akurasi, validitas dan kelengkapan isinya.

Dokumen [App]:

SOP dan Panduan Analisis Log Sistem Elektronik, Laporan Analisis Log Sistem Elektronik.

 

Pertanyaan 9.

Apakah semua sistem dan aplikasi secara otomatis mendukung dan menerapkan penggantian password secara otomatis, termasuk menon-aktifkan password, mengatur kompleksitas/ panjangnya dan penggunaan kembali password lama?

Interpretasi:

Kata kunci yang menjadi poin utama yakni manajemen sandi/ persandian. Hal-hal yang menjadi ekspektasi dari pertanyaan ini dapat berarti tersedianya fitur ganti password dengan pengisian otomatis dengan kekuatan/ kompleksitas/ panjang password tertentu, tersedianya fitur non-aktifkan password, tersedianya fitur penggunaan kembali password lama.

Dokumen [App]:

Panduan Standar Pengembangan Fitur Password pada Perangkat Lunak Berbasis Web dan Mobile, Laporan Pengembangan Perangkat Lunak.

 

Pertanyaan 10.

Apakah sistem dan aplikasi yang digunakan sudah menerapkan pembatasan waktu akses termasuk otomatisasi proses timeouts, lockout setelah kegagalan login, dan penarikan akses?

Interpretasi:

Kata kunci yang menjadi poin utama yakni session. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah tersedianya fitur pembatasan waktu session pada panjang idle time tertentu, otomasi log out pada session yang telah mencapai time out, limitasi kegagalan login pada bilangan tertentu, lockout setelah kegagalan login bilangan tertentu, serta penarikan akses authentication.

Dokumen [App]:

Panduan Standar Pengembangan Fitur Session pada Perangkat Lunak Berbasis Web dan Mobile, Laporan Pengembangan Perangkat Lunak.

 

Pertanyaan 11.

Apakah keseluruhan jaringan, sistem dan aplikasi sudah menggunakan mekanisme sinkronisasi waktu yang akurat, sesuai dengan standar yang ada?

Interpretasi:

Kata kunci yang menjadi poin utama yakni standar, singkronisasi, waktu. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah tersedianya standarisasi singkronisasi waktu yang sesuai dengan kondisi waktu teraktual, serta implementasi standarisasi waktu yang singkron dengan kondisi waktu teraktual.

Dokumen [App]:

Panduan Standar Konfigurasi dan Implementasi Singkronisasi Waktu pada Sistem Elektronik Berbasis Web dan Mobile, Laporan Konfigurasi Sistem Elektronik.

 

Pertanyaan 12.

Apakah instansi/ perusahaan anda sudah menetapkan prinsip pengembangan aplikasi yang aman (secure coding) yang digunakan untuk pengembangan aplikasi secara internal (in-house) maupun yang melibatkan pihak eksternal? misal: menggunakan standar OWASP 10.

Interpretasi:

Kata kunci yang menjadi poin utama yakni panduan, secure coding, OWASP 10. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah mitigasi risiko atas ancaman keamanan web yang mencakup namun tidak terbatas kepada: Injection, Broken Authentication, Sensitive Data Exposure, XML External Entities, Broken Access Control, Security Misconfiguration, Cross-Site Scripting, Insecure Deserialization, Using Components with Known Vulnerabilities, Isuficcient Logging & Monitoring.

Dokumen [App]:

Panduan Standar Secure Development dengan OWASP 10. Laporan Pengembangan Perangkat Lunak.

 

Pertanyaan 13.

Apakah setiap aplikasi yang ada, memiliki spesifikasi dan fungsi keamanan yang diverifikasi/ validasi pada saat proses pengembangan dan uji coba?

Interpretasi:

Kata kunci yang menjadi poin utama yakni spesifikasi, fungsi keamanan, verifikasi/ validasi, development, testing. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah pada tahap pengembangan dan uji coba, spesifikasi diverifikasi oleh verifikator atau divalidasi oleh validator, juga fungsi keamanannya diverifikasi oleh verifikator atau divalidasi oleh validator.

Dokumen [App]:

SOP Verifikasi/ Validasi Spesifikasi dan Fungsi Keamanan Sistem Elektronik pada Tahap Pengembangan dan Uji Coba, Laporan Verifikasi/ Validasi Spesifikasi dan Fungsi Keamanan Sistem Elektronik pada Tahap Pengembangan dan Uji Coba.

 

Pertanyaan 14.

Apakah instansi/ perusahaan anda secara rutin menganalisa dan memperbaiki jika ditemukenali ancaman baru (misal adanya laporan kelemahan dan/ atau teknik exploit baru) yang berdampak pada keamanan sistem aplikasi?

Interpretasi:

Kata kunci yang menjadi poin utama yakni deteksi, analisis dan perbaikan sistem. Hal-hal yang menjadi ekspektasi dari pertanyaan ini adalah hasil deteksi, analisis dan perbaikan dalam kaitannya sebagai tindak lanjut atas vulnerability, eksploitasi dan risiko keamanan aplikasi lainnya.

Dokumen [App]:

Panduan Analisis dan Perbaikan Vulnerability & Threat Keamanan pada Aplikasi, Laporan Analisis dan Perbaikan Vulnerability & Threat Keamanan pada Aplikasi.

 

4. Kesimpulan

Hal-hal pokok yang bersinggungan antara Aplikasi Informatika dan Indeks Keamanan Informasi pada tingkat Kabupaten/ Kota mengacu kepada Aplikasi dengan layanan Indeks Keamanan Informasi yang tersedia panduan dan pendampingannya pada cabang masing-masing Kabupaten/ Kota. Layanan tersebut memerlukan kontribusi aktif domain kegiatan penanganan insiden siber, minimal pada hari dan jam kerja, dan idealnya real-time 24/7.

 

Layanan Indeks Keamanan Informasi merupakan layanan yang menjembatani antara Indeks Keamanan Informasi dan hal-hal yang menjadi cakupan Indeks Keamanan Informasi. Di antara benefit yang dapat diberikan layanan Indeks Keamanan Informasi terhadap hal-hal yang menjadi cakupannya yakni kejelasan standar Indikator Keamanan Informasi terkait hal-hal yang menjadi cakupannya dan hal-hal yang dapat diukur terkait dengan Indeks Keamanan Informasi. Hasil pengukuran tersebut bermanfaat untuk membantu penentu keputusan untuk menentukan mana yang perlu dibenahi, mana yang perlu ditingkatkan, dan mana yang perlu dipertahankan.

 

Adapun aplikasi Indeks Keamanan Informasi yang terbaharukan akan mengacu kepada aplikasi bagi pakai berbentuk spreadsheet yang tersedia pada situs resmi dari Indeks-KAMI BSSN.

 

Kondisi Indeks Keamanan Informasi mengarah kepada optimum apabila status dari indikator indeks keamanan informasi mendekati kepada status “Diterapkan Secara Menyeluruh”.

 

Untuk mencapai kondisi Indeks Keamanan Informasi memiliki status “Diterapkan Secara Menyeluruh” maka pada masing-masing butir Indeks Kemanan Informasi perlu mencapai “Diterapkan Secara Menyeluruh”.

 

Adapun untuk mencapai stabilitas operasi, maka stakholder terkait pengelolaan teknis sistem elektronik perlu melakukan sekurang-kurangnya dua pengujian, yang pertama yakni blackbox testing oleh pengembang sistem informasi terkait bagaimana perforrma sistem elektronik pada kondisi normal, sedang yang kedua yakni penetretion testing oleh stakeholder keamanan sistem informasi, apakah sistem telah mencapai kecukupan berkenaan mitigasi celah kerentanan. Cukup atau tidak cukupnya dapat dipengaruhi dari mutu sinergi antara stakeholder pengembang dan stakeholder keamanan informasi. Bilamana sinergi memadai, maka akan ada arah penyelesaian untuk setiap permasalahan celah kerentanan yang tersedia pada sistem elektronik. Namun bilamana tidak ada sinergi, maka kebutuhan akan penetretion testing akan mengacu kepada panduan dan pendampingan keamanan siber dari stakeholder penanganan insiden siber dan keamanan informasi kepada tiap-tiap pengelola teknis dari sistem elektronik pada masing-masing Kabupaten/ Kota.

 

Pertanyaan kunci yang memiliki relevansi terhadap dampak positif yang mungkin terjadi pada cakupan bahasan di atas akan mengacu pada hal-hal berikut:

• apakah telah ada stakeholder penanganan insiden siber dan stakeholder keamanan informasi yang berlandaskan kepada dasar hukum, bukan berdasarkan aspek kerahasiaan dari kekuatan dan kekuasaan tertentu (ilegal)?

• apakah stakeholder keamanan informasi dan stakeholder penanganan insiden siber telah memiliki struktur yang jelas dan memadai (struktur yang terpenuhi unsur-unsur penyusun minimumnya untuk dapat beroperasi)?

• apakah stakeholder keamanan informasi telah memiliki panduan dan entitas dengan kompetensi untuk pendampingan kepada stakeholder pengelola teknis sistem elektronik?

• apakah stakeholder penanganan insiden siber telah memiliki panduan penetretion testing/ ethical hacking yang dapat digeneralisir pada tingkat Kabupaten/ Kota? Apakah pada struktur telah terdapat SDM TIK dengan kompetensi untuk pendampingan penetretion testing/ ethical hacking?

• apabila tidak ada SDM spesialis penetretion testing tersedia atau kuantitas ketersediaannya tidak mencukupi untuk kebutuhan penetretion testing aplikasi pada tingkat Kabupaten/ Kota, apa strategi yang dapat dilakukan stakeholder penanganan insiden siber untuk dapat berbagi beban penetretion testing dan menggandakan kompetensinya kepada tiap-tiap pengelola teknis sistem elektronik? Tak terkecuali kompetensi untuk memitigasi celah-celah kerentanan yang umum ditemukan pada sistem elektronik berbasis web dan mobile yang belum dioptimalisasi ketahanan sibernya.

• apakah stakeholder penanganan insiden siber dan stakeholder penanganan insiden siber telah memiliki domainnya masing-masing untuk menyampaikan informasi-informasi sesuai dengan cakupan urusannya yang diperlukan atau mengedukasi pihak internal maupun eksternal pemerintahan yang terkait dengan cakupan urusan tersebut. agar ada efektifitas dan efisiensi penyebaran informasi kepada pengelola teknis sistem elektronik?

 

 

Daftar Referensi

[1] KBBI, KEMENDIKBUD. 2016. “APLIKASI”. Diakses melalui https://kbbi.kemdikbud.go.id/entri/aplikasi pada hari Senin, 17 Juni 2024 Pukul 13:50 WITA.

[2] KBBI, KEMENDIKBUD. 2016. “INFORMATIKA”. Diakses melalui https://kbbi.kemdikbud.go.id/entri/informatika pada hari Senin, 17 Juni 2024 Pukul 13:52 WITA.

[3] KBBI, KEMENDIKBUD. 2016. “INDEKS”. Diakses melalui https://kbbi.kemdikbud.go.id/entri/indeks pada hari Senin, 17 Juni 2024 Pukul 13:53 WITA.

[4] KBBI, KEMENDIKBUD. 2016. “KEAMANAN”. Diakses melalui https://kbbi.kemdikbud.go.id/entri/keamanan pada hari Senin, 17 Juni 2024 Pukul 13:54 WITA.

[5] KBBI, KEMENDIKBUD. 2016. “INFORMASI”. Diakses melalui https://kbbi.kemdikbud.go.id/entri/informasi pada hari Senin, 17 Juni 2024 Pukul 13:55 WITA.