Managing and Controlling 'Big Data': Using COBIT® 5 for ... SNI ISO-IEC... · Tata Kelola...

1

Sosialisasi SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM Ketua WG Tata Kelola dan Layanan TI PT35-01 Teknologi Informasi

Makasar 7 Mei 2014

Current:

• Director of Certification – CRISC & CGEIT, ISACA Indonesia Chapter • ISACA Academic Advocate at ITB • SME for Information Security Standard for ISO at ISACA HQ • Associate Professor at School of Electrical Engineering and Informatics, Institut Teknologi Bandung • Ketua WG Layanan dan Tata Kelola TI, anggota WG Keamanan Informasi serta Anggota Panitia Teknis 35-01

Program Nasional Penetapan Standar bidang Teknologi Informasi, BSN – Kominfo. Past: • Ketua Kelompok Kerja Evaluasi TIK Nasional, Dewan TIK Nasional (2007-2008) • Plt Direktur Operasi Sistem PPATK (Indonesia Financial Transaction Reports and Analysis Center, INTRAC), April

2009 – May 2011 Professional Certification:

• Professional Engineering (PE), the Principles and Practice of Electrical Engineering, College of Engineering, the University of Texas at Austin. 2000

• IRCA Information Security Management System Lead Auditor Course, 2004 • ISACA Certified Information System Auditor (CISA). CISA Number: 0540859, 2005 • Brainbench Computer Forensic, 2006 • (ISC)2 Certified Information Systems Security Professional (CISSP), No: 118113, 2007 • ISACA Certified Information Security Manager (CISM). CISM Number: 0707414, 2007 Award:

• (ISC)2 Asia Pacific Information Security Leadership Achievements (ISLA) 2011 award in category Senior Information Security Professional. http://isc2.org/ISLA

2

Sarwono Sutikno, Dr.Eng.,CISA,CISSP,CISM

Bloom’s Taxonomy of Educational Objectives

Apply

Comprehend

Remember list, recite

explain, paraphrase

calculate, solve,

determine, apply

Analyze

compare, contrast, classify,

categorize, derive, model

Synthesize

create, construct, design,

improve, produce, propose

Evaluate

judge, critique, justify,

verify, assess, recommend

Kategori Kontrol berbasis Risiko

4 Source: Transforming Cybersecurity: Using COBIT 5, ISACA, 2013

Kerangka dan Standar – tinjauan

SNI ISO

38500

COSO

PP60/

2008 COBIT 5 ITIL v2 ITIL v3

SNI ISO

20000

SNI

ISO

2700x

SNI

ISO

900x

Common

Criteria

SNI ISO

15408

board

level

managem

ent

technic

al

o Principle 1: Establish clearly understood responsibilities for IT

o Principle 2: Plan IT to best support the organization

o Principle 3: Acquire IT validly

o Principle 4: Ensure that IT performs well, whenever required

o Principle 5: Ensure IT conforms with formal rules

o Principle 6: Ensure IT use respects human factors

Principles of IT Governance

6

Source:

P.Weill & J.Ross, IT Governance, Harvard Business Press, 2004

Model lain: Pemisahan Governance dan Management

7

SNI ISO/IEC 38500:2013 Tata Kelola Teknologi Informasi

8 Source: SNI ISO/IEC 38500:2013, ISO/IEC 38500:2008, AS8015 Corporate Governance of

ICT: January 2005



ICT: January 2005

Pimpinan mengevaluasi

pemanfaatan TI saat ini dan

masa depan



ICT: January 2005

Pimpinan mengarahkan penyusunan dan pelaksanaan dari rencana dan kebijakan untuk memastikan bahwa pemanfaatan TI memenuhi tujuan bisnis.



ICT: January 2005

Pimpinan memantau kesesuaian terhadap kebijakan, dan memantau pelaksanaan dibandingkan dengan rencana

SNI ISO/IEC 38500:2013

Enam Prinsip

12

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja

Prinsip 5: Kesesuaian

Prinsip 6: Perilaku Manusia

Prinsip 1: Tanggung jawab


Enam Prinsip

13

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja




Prinsip 1: Tanggung jawab Individu dan kelompok dalam suatu organisasi memahami dan menerima tanggung jawab mereka dalam hal penyediaan dan permintaan atas TI. Mereka yang bertanggung jawab untuk melakukan berbagai tindakan juga memiliki kewenangan untuk melakukan berbagai tindakan tersebut.


Enam Prinsip

14

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja




Prinsip 2: Strategi Strategi bisnis suatu organisasi memperhitungkan kemampuan TI saat ini dan di masa depan; rencana strategis TI memenuhi kebutuhan saat ini dan berkelanjutan dari strategi bisnis organisasi.


Enam Prinsip

15

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja




Prinsip 3: Akuisisi Akuisisi TI dibuat untuk alasan yang valid, atas dasar analisis yang tepat dan berkelanjutan, dengan pengambilan keputusan yang jelas dan transparan. Terdapat keseimbangan antara manfaat, peluang, biaya, dan risiko, baik dalam jangka pendek maupun jangka panjang.


Enam Prinsip

16

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja



Prinsip 1: Tanggung jawab Prinsip 4: Kinerja TI sesuai dengan tujuan untuk mendukung organisasi, untuk menyediakan layanan, dengan tingkat layanan dan kualitas layanan yang diperlukan untuk memenuhi persyaratan bisnis saat ini dan masa yang akan datang.


Enam Prinsip

17

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja




Prinsip 5: Kesesuaian TI mematuhi semua perundangan dan peraturan yang wajib. Kebijakan dan praktik dengan jelas didefinisikan, dilaksanakan, dan ditegakkan.


Enam Prinsip

18

Prinsip 2: Strategi

Prinsip 3: Akuisisi

Prinsip 4: Kinerja




Prinsip 6: Perilaku Manusia Kebijakan, praktik, dan keputusan TI menunjukkan penghargaan terhadap Perilaku Manusia, termasuk kebutuhan saat ini dan perkembangannya dari semua 'orang dalam proses'.

Prinsip 1: Tanggung jawab Evaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pilihan untuk menetapkan tanggung jawab

sehubungan dengan pemanfaatan TI saat ini dan masa depan oleh organisasi. Dalam

mengevaluasi berbagai pilihan, para pemimpin organisasi harus berusaha untuk memastikan

pemanfaatan dan penyediaan TI yang efektif, efisien, dan layak untuk mendukung sasaran bisnis

(pencapaian sasaran organisasi) saat ini dan masa depan.

Para pemimpin organisasi harus mengevaluasi kompetensi dari mereka yang diberikan tanggung

jawab untuk mengambil keputusan tentang TI. Umumnya, mereka adalah para manajer (pejabat)

yang juga bertanggung jawab atas sasaran dan kinerja organisasi, dibantu oleh tenaga ahli TI

yang memahami nilai-nilai dan proses bisnis (pencapaian sasaran organisasi).

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa berbagai rencana dilaksanakan sesuai dengan

berbagai tanggung jawab TI yang telah ditetapkan.

Para pemimpin organisasi harus mengarahkan bahwa mereka menerima informasi yang mereka

butuhkan untuk memenuhi tanggung jawab dan akuntabilitas mereka.

Pantau

Para pemimpin organisasi harus memantau bahwa mekanisme tata kelola TI yang tepat telah

dijalankan.

Para pemimpin organisasi harus memantau bahwa mereka yang diberikan tanggung jawab menerima

dan memahami tanggung jawab mereka.

Para pemimpin organisasi harus memantau kinerja mereka yang diberi tanggung jawab dalam tata

kelola TI (misalnya, orang-orang yang duduk dalam komite pengarah atau dalam menyajikan

proposal kepada para pemimpin organisasi). 19

Prinsip 2: Strategi Evaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pengembangan TI dan proses bisnis

(pencapaian sasaran organisasi) untuk memastikan bahwa TI dapat memberikan dukungan untuk

kebutuhan bisnis (pencapaian sasaran organisasi) masa depan.

Dalam mempertimbangkan berbagai rencana dan kebijakan, para pemimpin organisasi harus

mengevaluasi berbagai kegiatan TI untuk memastikan keselarasannya dengan sasaran

organisasi dalam lingkungan yang berubah-ubah, dengan mempertimbangkan praktik yang lebih

baik dan memenuhi persyaratan dari pemangku kepentingan utama lainnya.

Arahkan

Para pemimpin organisasi harus mengarahkan penyiapan dan pemanfaatan berbagai rencana dan

kebijakan yang dapat memastikan bahwa organisasi tersebut mendapat manfaat dari

pengembangan TI.

Para pemimpin organisasi juga harus mendorong pengajuan proposal untuk pemanfaatan TI yang

inovatif yang memungkinkan organisasi untuk merespon peluang atau tantangan baru, melakukan

usaha baru atau meningkatkan proses.

Pantau

Para pemimpin organisasi harus memantau kemajuan berbagai proposal TI yang telah disetujui untuk

memastikan bahwa berbagai proposal TI tersebut dapat mencapai sasaran dalam jangka waktu

yang ditentukan dengan menggunakan sumber daya yang telah dialokasikan.

Para pemimpin organisasi harus memantau penggunaanTI untuk memastikan pencapaian berbagai

manfaat yang diinginkan

20

Prinsip 3: Akuisisi Evaluasi

Para pemimpin organisasi harus mengevaluasi berbagai pilihan TI dalam merealisasikan berbagai

proposal yang telah disetujui, menyeimbangkan risiko dengan manfaat dari investasi yang

diusulkan.

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa aset TI (sistem dan infrastruktur) diperoleh

dengan cara yang tepat, termasuk penyiapan dokumentasi yang sesuai, dengan tetap

memastikan bahwa kapabilitas yang dibutuhkan dapat dipenuhi.

Para pemimpin organisasi harus mengarahkan bahwa pengaturan pasokan (termasuk pengaturan

pasokan internal maupun eksternal) mendukung kebutuhan bisnis (pencapaian sasaran

organisasi).

Pantau

Para pemimpin organisasi harus memantau berbagai investasi TI untuk memastikan bahwa investasi

tersebut memberikan kapabilitas yang disyaratkan.

Para pemimpin organisasi harus memantau sejauh mana organisasi mereka dan para pemasok dapat

memiliki pemahaman yang sama tentang tujuan organisasi dalam melakukan akuisisi TI.

21

Prinsip 4: Kinerja Evaluasi

Para pemimpin organisasi harus mengevaluasi berbagai metode yang diusulkan oleh para

manajer (pejabat) untuk memastikan bahwa TI akan mendukung proses bisnis

(pencapaian sasaran organisasi) dengan kapabilitas dan kapasitas yang disyaratkan.

Proposal ini harus membahas kelanjutan operasional normal dari bisnis dan perlakuan

terhadap risiko yang terkait dengan pemanfaatan TI.

Para pemimpin organisasi harus mengevaluasi risiko kelanjutan operasi dari bisnis

(pencapaian sasaran organisasi) yang timbul dari kegiatan TI.

Arahkan

Para pemimpin organisasi harus memastikan alokasi sumber daya yang cukup sehingga TI

dapat memenuhi kebutuhan organisasi, sesuai dengan prioritas yang telah disetujui dan

limitasi anggaran.

Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab, untuk

memastikan bahwa TI mendukung bisnis (pencapaian sasaran organisasi), dengan data

yang benar dan mutakhir serta dilindungi dari kehilangan atau penyalahgunaan.

Pantau

Para pemimpin organisasi harus memantau sejauh mana TI mendukung bisnis (pencapaian

sasaran organisasi).

Para pemimpin organisasi harus memantau sejauh mana alokasi sumber daya dan anggaran

telah diprioritaskan sesuai dengan sasaran bisnis (pencapaian sasaran organisasi).

Para pemimpin organisasi harus memantau sejauh mana kebijakan, seperti untuk akurasi

data dan efisiensi pemanfaatan TI, diikuti dengan benar.

22

Prinsip 5: Kesesuaian Evaluasi

Para pemimpin organisasi secara berkala harus mengevaluasi sejauh mana TI memenuhi

berbagai kewajiban (peraturan perundangan, hukum kebiasaan (common law),

kontraktual), kebijakan internal, standar dan panduan profesional.

Para pemimpin organisasi secara berkala harus mengevaluasi kesesuaian internal organisasi

terhadap sistem Tata Kelola TI organisasi tersebut.

Arahkan

Para pemimpin organisasi harus mengarahkan mereka yang bertanggung jawab untuk

membentuk mekanisme berkala dan rutin untuk memastikan bahwa pemanfaatan TI

mematuhi kewajiban yang relevan (peraturan perundangan, hukum kebiasaan (common

law), kontraktual), standar dan pedoman.

Para pemimpin organisasi harus mengarahkan bahwa kebijakan ditetapkan dan ditegakkan

untuk memungkinan organisasi memenuhi kewajiban internal dalam pemanfaatan TI.

Pantau

Para pemimpin organisasi harus memantau kepatuhan dan kesesuaian TI melalui

pelaksanaan pelaporan dan audit yang tepat, memastikan bahwa kajian dilakukan tepat

waktu, komprehensif, dan sesuai untuk pelaksanaan evaluasi tingkat pemenuhan

kebutuhan bisnis (pencapaian sasaran organisasi).

Para pemimpin organisasi harus memantau kegiatan TI, termasuk penghapusan aset dan

data, untuk memastikan bahwa berbagai kewajiban terkait aspek lingkungan, privasi,

manajemen pengetahuan strategis, pemeliharaan pengetahuan organisasi dan aspek

terkait lainnya telah dipenuhi.

23


Evaluasi

Para pemimpin organisasi harus mengevaluasi kegiatan TI untuk memastikan bahwa

perilaku manusia telah diidentifikasi dan dipertimbangkan dengan tepat.

Arahkan

Para pemimpin organisasi harus mengarahkan bahwa berbagai kegiatan TI konsisten

dengan perilaku manusia yang telah diidentifikasi.

Para pemimpin organisasi harus mengarahkan bahwa berbagai risiko, peluang,

permasalahan dan pertimbangan dapat diidentifikasi dan dilaporkan oleh siapa saja

setiap saat. Berbagai risiko ini harus dikelola sesuai dengan kebijakan dan prosedur

yang telah dipublikasikan dan dieskalasi ke pengambil keputusan yang sesuai.

Pantau

Para pemimpin organisasi harus memantau berbagai kegiatan TI untuk memastikan

bahwa perilaku manusia yang diidentifikasi tetap relevan dan telah memperoleh

perhatian yang tepat.

Para pemimpin organisasi harus memantau praktik kerja untuk memastikan bahwa

mereka konsisten dengan pemanfaatan TI yang tepat.

24

Diskusi

25

Managing and Controlling 'Big Data': Using COBIT® 5 for ... SNI ISO-IEC... · Tata Kelola...

Documents

Transcript of Managing and Controlling 'Big Data': Using COBIT® 5 for ... SNI ISO-IEC... · Tata Kelola...