perancangan enterprise security architecture melalui integrasi arsitektur keamanan informasi dengan...
TRANSCRIPT
PERANCANGAN ENTERPRISE SECURITY ARCHITECTURE MELALUI
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Disusun Dalam Rangka memenuhi Tugas Akhir
Mata Kuliah II5166 Keamanan Informasi Lanjut
Oleh: NOVIANTO BUDI KURNIAWAN
NIM: 23512176
Program Studi Pasca Sarjana Informatika Sekolah Teknik Elektro dan Informasi
Institut Teknologi Bandung 2013
i
DAFTAR ISI
DAFTAR ISI .......................................................................................................................... i
DAFTAR TABEL ................................................................................................................. ii
DAFTAR GAMBAR ............................................................................................................ iii
I. PENDAHULUAN ........................................................................................................... 1
II. KAJIAN ARSITEKTUR ............................................................................................... 2
A. ENTERPRISE ARCHITECTURE ............................................................................. 2
B. ARSITEKTUR KEAMANAN (SABSA) .................................................................. 3
1. SABSA Model – Lapisan Arsitektur SABSA ......................................................... 3
2. SABSA Lifecycle .................................................................................................... 3
C. INTEGRASI SABSA-TOGAF ................................................................................... 4
1. Aturan Integrasi ...................................................................................................... 4
2. Pilar Integrasi TOGAF-SABSA ............................................................................. 4
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM ................................................ 5
III. STUDI KASUS INTEGRASI ...................................................................................... 5
A. STUDI KASUS .......................................................................................................... 5
B. TAHAPAN PENGINTEGRASIAN ........................................................................... 5
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA) .................... 8
IV. KESIMPULAN DAN SARAN .................................................................................. 12
DAFTAR PUSTAKA .......................................................................................................... 13
ii
DAFTAR TABEL
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture) ................................ 3
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM ................................... 6
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1) ............................... 7
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2) ..................................................... 7
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3) ............................................... 8
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4) ............................. 8
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer) ........ 9
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer) ..... 10
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer) ........... 11
iii
DAFTAR GAMBAR
Gambar 1. SABSA Lifecycle (John Sherwood, 2009) ........................................................... 4
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009) .... 5
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik .......... 9
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture .................................... 11
Gambar 5. Model Akhir Integrasi Proses ISMS .................................................................. 12
1
PERANCANGAN ENTERPRISE SECURITY ARCHITECTURE MELALUI
INTEGRASI ARSITEKTUR KEAMANAN INFORMASI DENGAN
ENTERPRISE ARCHITECTURE (SABSA DAN TOGAF 9.1)
Studi Kasus : Direktorat Diseminasi Badan Pusat Statistik
Novianto Budi Kurniawan (NIM. 23512176)
Program Studi Pasca Sarjana Informatika STEI Institut Teknologi Bandung (ITB)
Abstraksi - Keamanan merupakan faktor pertimbangan yang sangat penting dalam
arsitektur organisasi pemerintahan saat ini. Pada level perusahaan/organisasi (enterprise),
keamanan informasi memegang peranan yang sangat penting untuk mendukung tahapan
pengembangan dan penyelarasan arsitektur keamanan sistem dan teknologi informasi
dengan arsitektur proses bisnis. Paper ini membahas perancangan Enterprise Security
Architecture melalui pengintegrasian arsitektur keamanan informasi kedalam Enterprise
Architecture secara sinergis untuk meningkatkan keamanan data dan informasi. Untuk
implementasi dari Enterprise Architecture akan menggunakan TOGAF Versi 9.1,
sedangkan untuk arsitektur keamanan informasi akan menggunakan framework SABSA.
I. PENDAHULUAN
Keamanan merupakan faktor pertimbangan yang sangat penting dalam arsitektur
organisasi pemerintahan saat ini. Para pemangku kebijakan organisasi (stakeholder) harus
responsif terhadap isu-isu keamanan yang ada seiring dengan meningkatnya
ketergantungan arsitektur bisnis organisasi terhadap Teknologi Informasi (TI) [6]. Isu-isu
keamanan tersebut dapat mempengaruhi perencanaan TI, desain sistem informasi,
operasional kegiatan, dan tata kelola TI itu sendiri. Kegagalan dalam mengatasi ancaman
keamanan tersebut akan mengganggu kemampuan organisasi pemerintah untuk
menjalankan visi dan misinya.
Badan Pusat Statistik (BPS) selaku organisasi pemerintahan yang menghasilkan
produk berupa data dan informasi statistik memiliki banyak aset yang digunakan untuk
mencapai tujuan bisnisnya [2], mulai dari sumber daya manusia, data dan informasi,
aplikasi, sampai pada arsitektur teknologi komputer (hardware dan software), dimana
masing-masing aset tersebut membutuhkan pengamanan (security requirement) yang
handal dari berbagai resiko dan ancaman. Pada level enterprise, keamanan informasi
memegang peranan yang sangat penting untuk mendukung tahapan pengembangan serta
penyelarasan arsitektur keamanan sistem dan teknologi informasi dengan arsitektur proses
bisnis di organisasi BPS demi meningkatkan keamanan data dan informasi statistik.
2
Sebagai sebuah enterprise yang sangat bergantung pada teknologi informasi
dengan pengembangan kinerja proses bisnis yang cepat (agile), maka BPS perlu membuat
cetak biru (blueprint) pengembangan dan pengelolaan teknologi informasi sebagai acuan,
panduan dan rencana yang jelas bagi perencanaan serta pengembangan arsitektur BPS
secara keseluruhan, yaitu melalui perancangan sebuah Enterprise Architecture. Menurut
Gartner [2], implementasi dari EA lebih memfokuskan pada penyelarasan antara strategi
bisnis dengan teknologi informasi, sehingga terkadang (bahkan seringkali) melupakan
tingkat keamanan (security) dari arsitektur itu sendiri.
Paper ini membahas konsep perancangan Enterprise Security Architecture (ESA)
Badan Pusat Statistik melalui pengintegrasian arsitektur keamanan informasi kedalam
Enterprise Architecture secara sinergis untuk meningkatkan keamanan data dan informasi
statistik, sehingga tujuan bisnis BPS dapat tercapai. Untuk implementasi dari Enterprise
Architecture akan menggunakan The Open Group Architecture Framework (TOGAF)
Versi 9.1, sedangkan untuk arsitektur keamanan informasi akan menggunakan framework
dari SABSA (Sherwood Applied Business Security Architecture). Hasil dari paper ini
adalah matriks pemetaan (mapping) antara artefak keamanan informasi SABSA dengan
arsitektur TOGAF serta rancangan model konseptual ESA hasil integrasi SABSA dengan
TOGAF.
II. KAJIAN ARSITEKTUR
A. ENTERPRISE ARCHITECTURE
Enterprise Architecture (EA) adalah sebuah cara untuk membuat tampilan abstrak
dari sebuah perusahaan (enterprise) atau organisasi yang membantu dalam membuat
perencanaan dan keputusan yang lebih baik [3]. Menurut IBM [5], ruang lingkup dari EA
itu tidak hanya terpaku pada perencanaan strategis bisnis perusahaan saja, melainkan
bagaimana menyelaraskan strategi bisnis dengan IT perusahaan tersebut. Lingkup EA tidak
hanya sebatas pada perencanaan teknologi saja, melainkan mencakup perencanaan
strategis sebagai pendorong utama bagi perusahaan dan perencanaan bisnis kebutuhan
sumber daya perusahaan [1]. Berdasarkan definisi tersebut, maka dapat dihasilkan formula
sederhana dari EA, yang melibatkan Strategi (S), Bisnis (B) dan Teknologi (T) :
TOGAF (The Open Group’s Architecture Framework) merupakan sebuah
framework EA yang dikembangkan oleh The Open Group sejak tahun 1995 sampai
EA = S + B + T
3
sekarang [12]. TOGAF ini menyediakan metode dan tools yang digunakan untuk
membangun, mengelola dan mengimplementasikan serta pengembangan dan pemeliharaan
Enterprise Architecture. TOGAF memberikan metode yang detail bagaimana membangun,
mengelola serta mengimplementasikan Enterprise Architecture dengan menggunakan
Architecture Development Method (ADM). Metode ADM ini digunakan sebagai panduan
untuk merencanakan, merancang, mengembangkan dan mengimplementasikan EA.
B. ARSITEKTUR KEAMANAN (SABSA)
SABSA (Sherwood Applied Business Security Architecture) merupakan sebuah
metodologi untuk mengembangkan kerangka keamanan informasi (information security)
yang memberikan jaminan dan solusi infrastruktur keamanan dalam mendukung inisiatif
bisnis pada perusahaan [9]. SABSA adalah arsitektur bisnis yang berorientasi pada solusi
keamanan informasi dengan ide dasar bahwa arsitektur keamanan dirancang untuk
memfasilitasi strategi bisnis tersebut [10]. Hal ini sejalan dengan konsep dari EA TOGAF
dimana strategi bisnis merupakan fokus utama didalam perencanaan arsitektur dan
penyelerasan strategi bisnis dengan tujuan perusahaan [11].
1. SABSA Model – Lapisan Arsitektur SABSA
Model SABSA memiliki 6 (enam) lapisan (layer) yang merepresentasikan sudut
pandang (view) masing-masing peran struktur organisasi saat di-mapping ke dalam lapisan
arsitektur security. Tabel 1 memperlihatkan arsitektur security yang dapat diaplikasikan
kemasing-masing sudut pandang (view) layer tersebut [10].
Tabel 1. Sudut Pandang Arsitektur Keamanan (Security Architecture) Layer View Layer Architecture View
Layer 1 Business View Contextual Security Architecture
Layer 2 Architect’s View Conceptual Security Architecture
Layer 3 Designer’s View Logical Security Architecture
Layer 4 Builder’s View Physical Security Architecture
Layer 5 Tradesman’s View Component Security Architecture
Layer 6 Service Manager’s View Security Service Management Architecture
2. SABSA Lifecycle
Dalam SABSA Lifecycle (Gambar 1), pengembangan arsitektur security pada
lapisan contextual dan conceptual dikelompokkan dalam tahapan Strategi & Perencanaan
(Strategy & Planning). Selanjutnya, tahapan Desain (Design) mencakup lapisan logical,
physical, component, dan security service management. Tahapan ketiga dan keempat
adalah Impelentasi (Implement) serta Pengelolaan & Pengukuran (Manage & Measure).
4
Gambar 1. SABSA Lifecycle (John Sherwood, 2009)
C. INTEGRASI SABSA-TOGAF
1. Aturan Integrasi
SABSA dan TOGAF secara filosofis memiliki persamaan prinsip yang sangat
mirip, yaitu dari sisi pemfokusan bisnis dan memiliki visi arsitektur sebagai sebuah cetak
biru perusahaan (enterprise blueprint). Pada penulisan paper ini, proses integrasi kedua
framework ini dibatasi pada beberapa aturan sebagai berikut [4]:
1. Ketika artefak yang sama muncul pada level arsitektur yang berbeda, level abstraksi
yang digunakan untuk pemetaan (mapping) adalah level arsitektur yang tertinggi.
Melalui cara ini, proses integrasi akan terus fokus pada level perusahaan (enterprise)
sehingga dapat sejalan dengan arsitektur SABSA.
2. Proses mapping dibuat secara praktis dan terstruktur dalam bentuk matriks tabel,
sehingga hasilnya dapat dipahami secara jelas oleh unit organisasi yang akan
menggunakan desain arsitektur tersebut.
3. Ruang lingkup integrasi terbatas pada elemen dan konsep artefak yang paling penting
dan berguna.
2. Pilar Integrasi TOGAF-SABSA
Integrasi TOGAF-SABSA didasarkan pada tiga pilar :
1. Pemilihan langkah-langkah keamanan (security measures) didasarkan pada
manajemen resiko dimana pendekatan SABSA dalam implementasi manajemen resiko
didasarkan pada perspektif kebutuhan bisnis (business need).
2. Requirement Management memegang peran sentral dalam pengembangan arsitektur
TOGAF. TOGAF mengintegrasikan pendekatan kebutuhan atribut bisnis SABSA
untuk menyediakan teknik yang kuat dalam membangun arsitektur security [11].
3. Proses integrasi dalam paper ini adalah dengan melakukan proses pemetaan (mapping)
dan permodelan artefak arsitektur security SABSA yang relevan dengan setiap fase
dari TOGAF-ADM.
5
3. Integrasi SABSA Lifecycle dengan TOGAF-ADM
Gambar 2 memperlihatkan ilustrasi integrasi SABSA lifecycle kedalam TOGAF-
ADM, dimana masing-masing fase pada ADM dikelompokkan kedalam masing-masing
tahapan lifecycle pada SABSA. ADM mencakup komponen-komponen artefak (block dan
buliding) yang dihasilkan pada setiap fase, sedangkan SABSA mencakup artefak security
yang secara relevan akan dipetakan (mapping) sesuai dengan fase-fase ADM tersebut [10].
Gambar 2. Integrasi SABSA Lifecycle kedalam TOGAF-ADM (John Sherwood, 2009)
III. STUDI KASUS INTEGRASI
A. STUDI KASUS
Studi Kasus yang dilakukan pada penulisan paper ini adalah Direktorat Diseminasi
Statistik BPS, merupakan unit organisasi BPS dibawah Deputi Bidang Metodologi dan
Informasi Statistik yang mempunyai tugas, fungsi dan peran sebagai pelaksana teknis
utama dalam pelaksanaan Pilar Reformasi Birokrasi Peningkatan Kualitas Pelayanan
Publik [2]. Diseminasi Statistik merupakan unit kerja BPS yang berperan sebagai “pintu
gerbang” keluar masuknya data dan informasi statistik yang mencerminkan perwajahan
produk dan pelayanan Badan Pusat Statistik.
B. TAHAPAN PENGINTEGRASIAN
Berikut ini langkah-langkah (steps) yang dilakukan untuk mengintegrasikan
SABSA kedalam TOGAF-ADM :
• Step 1 : Mendefinisikan artefak security SABSA yang diintegrasikan ke fase ADM.
• Step 2 : Melakukan pemetaan (mapping) SABSA Lifecycle dengan TOGAF ADM
TOGAF® and SABSA® Integration
www.opengroup.org A Wh i t e P ap e r P u b l i s h ed b y Th e O p e n Gr o u p 30
SABSADesignPhase
SABSAStrategy
&PlanningPhase
SABSAImplement
Phase
SABSAManage
& Measure
Figure 13: SABSA Lifecycle Phases Mapped to the TOGAF ADM
This helicopter view of both process models identifies possible overlapping areas.
Architecture scope and abstraction layers
When trying to map a SABSA security artifact to a particular ADM phase, differences in abstraction level definitions lead to discussion. For example, an access control policy is usually produced at the Information Systems Architectures phase (Phase C) of a solution architecture, but in an enterprise architecture, this is too much detail and left to the Implementation Governance phase (Phase G). How do we cope with this?
Formally, the TOGAF ADM should only be applied at the enterprise level. TOGAF defines the Strategy – Segment – Capability concept to narrow down the scope of the enterprise. The framework is not equipped for solution architectures. The phase that comes closest to a solution architecture is Phase E: Opportunities & Solutions of a capability architecture, but this produces a roadmap rather than an implementation design or plan. The actual design of specific technical solutions is out of scope for TOGAF.
In practical applications, however, TOGAF often mixes enterprise and solution architectures. The TOGAF ADM may be applied at different enterprise layers but also at the solution level. In fact, in TOGAF 9 a capability can be at enterprise level as well as solution level, depending on the scope of the project. This sometimes leads to ambiguities in the scoping of a TOGAF-based enterprise architecture design.
6
untuk setiap artefak security SABSA terhadap setiap fase ADM (Tabel 2).
• Step 3 : Mendefinisikan detail output mapping dari artefak security yang dibutuhkan
oleh setiap fase ADM (Tabel 3.1, Tabel 3.2, Tabel 3.3. dan Tabel 3.4).
• Step 4 : Mengintegrasikan hasil mapping kedalam model format Enterprise Security
Architecture (Gambar 3).
• Step 5 : Membuat model integrasi ISMS (Information Security Management System)
ke dalam EA (Gambar 4).
• Step 6 : Membuat model akhir ESA : integrasi proses ISMS (Gambar 5).
Tabel 2. Matriks Mapping SABSA Lifecycle dengan TOGAF ADM
SAB
SA L
ifecy
cle
Fase TOGAF-ADM Artefak Security SABSA
Strategy & Planning
Phase (P1)
(P1=P+A)
Preliminary (Pr)
(Pr1+Pr2+Pr3+Pr4+Pr5)
Pr1. Business Drivers
Pr2. Security Principles
Pr3. Key Risk Areas
Pr4. Risk Appetite
Pr5. Security Resource Plan
A. Architecture Vision (A1) A1. Securtity Stakeholders
Design Phase(P2)
(P2= B+C+D)
B. Business Architecture
(B1+B2+B3+B4+B5+B6+B7+B8)
B1. Business Risk Model
B2. Law and Regulation
B3. Control Frameworks
B4. Security Domain Model
B5. Trust Framework
B6. Security Organization
B7. Security Policy Architecture
C. Information System Architecture
(C1+C2+C3)
C1. Security Services Catalog
C2. Classification of Services
C3. Security Rules, Practices and
Procedures
D. Technology Architecture
(D1+D2)
D1. Security Rules, Practices and
Procedures
D2. Security Standards
Implement Phase (P3)
(P3 = E+F+G)
E. Opportunities and Solutions E1. Treatment Risk Assestments
F. Migration Planning F1. Security Risk Assestments
G. Implementation Governance
(G1+G2+G3)
G1. Security Managements
G2. Security Audits
G3. Security Awareness
Manage & Measure
Phase (P4)
(P4 = H)
H. Architecture Change Development
(H1+H2)
H1. Risk Managements
H2. Security Architecture
Governances
7
Tabel 3.1. Output Hasil Mapping pada Fase Strategy & Planning (P1)
Stra
tegy
and
Pla
nnin
g (P
1)
Artefak Output hasil mapping
Pr1 1. Taxonomy of Business Assets (Visi, Misi, Strategi dan Tujuan BPS).
2. Inventory of Operational Processes (SOP Kegiatan Direktorat Diseminasi Statistik BPS).
3. Organisational Structure (Struktur Organisasi BPS & Direktorat Diseminasi Statistik BPS).
4. Business Dependences (Tujuan Bisnis dan Relasinya dengan Direktorat Lainnya).
5. Inventory of Building, Sites and Territories (Gedung, Ruangan dan Peta Lokasi Organisasi).
Pr2 1. Prinsip-prinsip security diimplementasikan ke dalam Enterprise Architecture dengan
menggunakan ISO 27001 ISMS (Information Security Management System).
2. Menggunakan standar information security : control based standards (ISO 17779).
Pr3 1. Opportunities and Threats Inventory (Daftar ancaman dan resiko keamanan).
2. Arsitektur manajemen resiko keamanan di masing-masing unit organisasi (Diseminasi).
Pr4 Control Objectives and Policy Architecture (Kebijakan strategis dalam mengantisipasi resiko
keamanan pada arsitektur perusahaan).
Pr5 Daftar sumber daya keamanan (security-resources) yang diperlukan untuk memberikan unsur
keamanan terhadap arsitektur perusahaan.
A1 Daftar semua stakeholder (termasuk yang berhubungan dengan keamanan) untuk menyetujui
arsitektur keamanan (Kepala BPS, Deputi MIS, Direktur Diseminasi Statistik dan Kasubdit).
Tabel 3.2. Output Hasil Mapping pada Fase Design (P2)
Des
ign
(P2)
Artefak Output hasil mapping
B1 Model Resiko Bisnis Perusahaan : memperlihatkan daftar resiko keamanan informasi yang
selaras dengan resiko bisnis perusahaan (enterprise).
B2 1. Risk Management Rules and Procedures (SOP dan aturan dalam manajemen resiko).
2. Peraturan Kepala BPS mengenai arsitektur bisnis perusahaan.
B3 1. Process Mapping Framework (Pemetaan proses monitoring dan evaluasi kegiatan).
2. Enablement & Control Objectives.
B4 1. Kerangka dan konsep dari Security Domain.
2. Domain Maps (Definisi domain security untuk internal dan eksternal perusahaan).
B5 Entity & Trust Framework (Kerangka model security yang dipercaya dengan skema entitas).
B6 Struktur organisasi keamanan perusahaan yang bertanggung jawab dalam menangani
manajemen resiko keamanan dan information security (security risks).
B7 Mencakup beberapa aspek security : physical & information security serta business continuity.
B8 Daftar katalog layanan business yang berelasi dengan keamanan arsitektur perusahaan.
C1 Daftar katalog layanan arsitektur SI yang berelasi dengan keamanan arsitektur (ICT).
C2 Information Assets & Services, Host Platforms, Layout & Networks, dan Access Control System.
C3 Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan.
D1 Dokumentasi panduan dan petunjuk mengenai prosedur (SOP) dan peraturan keamanan,
khususnya yang berkaitan dengan arsitektur teknologi.
D2 Standar keamanan umum (general), TLS dan SAML.
8
Tabel 3.3. Output Hasil Mapping pada Fase Implement (P3)
Impl
emen
t (P3
) Artefak Output hasil mapping
E1 STAT-QAF : kerangka jaminan kualitas implementasi desain arsitektur melalui tools statistik.
F1 SIX SIGMA : kerangka jaminan kualitas implementasi desain security architecture.
G1 1. Implementasi tata kelola keamanan (security roles and responsibilities).
2. Penetapan indikator kinerja keamanan dan manajemen resiko (security key performance and
risk indicators).
G2 1. Review konfigurasi sistem keamanan untuk melihat keselarasan dengan desain perencanaan.
2. Laporan hasil pemeriksaan (audit) desain, pengembangan, dan pelaksanaan arsitektur
keamanan terhadap tujuan bisnis, kebijakan keamanan, dan tujuan pengendalian.
3. Functional & non-functional testing, termasuk testing keamanan, kinerja, dan pemeliharaan.
G3 Pelatihan (trainning) kepada para pegawai di unit organisasi BPS mengenai kesadaran dan
pemahaman terhadap komponen dan subsistem arsitektur keamanan yang akan diterapkan.
Tabel 3.4. Output Hasil Mapping pada Fase Manage and Measure (P4)
Man
age
and
Mea
sure
(P4)
Artefak Output hasil mapping
H1 1. Risk Management Tools & Standards, meliputi tool analisis resiko, daftar resiko yang telah
didaftar, monitoring resiko dan tools laporan manajemen resiko.
2. Operational Risk Management, meliputi jaminan antisipasi resiko, monitoring antisipasi
resiko dan manajemen resiko serta laporan kegiatan perlakuan (treatment) terhadap resiko
yang dihadapi oleh Direktorat Diseminasi Statistik BPS.
H2 1. Keputusan mengenai perubahan-perubahan yang harus dilakukan dalam lingkup arsitektur
perusahaan/organisasi sekarang sebagai akibat dari implementasi arsitektur keamanan
2. Perubahan kebutuhan organisasi (requirement) untuk memenuhi standar keamanan yang
diintegrasikan kedalam arsitektur enterprise (EA).
C. PERMODELAN ENTERPRISE SECURITY ARCHITECTURE (ESA)
Langkah selanjutnya adalah membuat model format arsitektur keamanan organisasi
Direktorat Diseminasi Statistik BPS berdasarkan poin-point (output) hasil mapping antara
artefak security SABSA dengan komponen-komponen dalam TOGAF-ADM. Dalam paper
ini, penulis membatasi model format Enterprise Security Architecture (ESA) tersebut
hanya dalam 3 (tiga) layer teratas, yaitu Contextual Layer, Conceptual Layer dan Logical
Layer (Gambar 6). Struktur layout rancangan model format ESA adalah sebagai berikut :
• Contextual Layer => Viewpoints AND Business Driver
• Conceptual Layer => Business Attribute AND Control Objectives
• Logical Layer => Measures
• Conceptual AND Logical Layer => [People, Data, Application, Network, Platform,
Physical & Organization]
9
Gambar 3. Format Enterprise Security Architecture Direktorat Diseminasi Statistik
Berikut ini penjelasan ringkas mengenai artefak security, komponen dan deskripsi
aktifitas pada format Enterprise Security Architecture Direktorat Diseminasi Statistik BPS
untuk setiap layer tersebut (Tabel 4.1, Tabel 4.2 dan Tabel 4.3).
1. Contextual Layer
Tabel 4.1. Deskripsi Aktifitas untuk Komponen Artefak Security (Contextual Layer) Artefak Security Komponen Artefak Deskripsi Aktifitas
Business Viewpoint Business Assets
(=>Security Requirement)
1. Identifikasi kebutuhan bisnis untuk
keamanan informasi.
2. Memanfaatkan aset bisnis sebagai value
untuk mendukung kebutuhan bisnis terhadap
keamanan informasi.
3. Identifikasi persyaratan keamanan untuk
menjamin kontinuitas operasional bisnis.
Con
cept
ual L
ayer
L
ogic
al L
ayer
People
Data
Application
Network
Platform
Organization
Physical
Con
text
ual L
ayer
Viewpoints
Customer Data Business owner Business assets Unit ICT
SOP
Struktur Organisasi
Business Driver
Business Risk Model Business Process Analysis
Business Attribute
Access-controlled Available Authenticated Confidential
Trustworthy
Integrity-Assured
Maintainability Usability Authorised Measured
Auditable
Flexibly Secure
Control Objectives
Data Quality Risk Management Information Security Policy Architecture
Hight Trust
Baseline : Information Security Assurance
Measures
Security Strategies
Security Standards
Security Patterns, Blueprints, Design Rules, Templates
Security Services & Generic Services
Security Products and Tools
Secu
rity
Arc
hite
ctur
e Li
fecy
cle
10
4. Identifikasi persyaratan keamanan untuk
system assurance.
Business Driver Business Risk Model
(=>Risk Assessment)
Penilaian risiko harus dilakukan oleh organisasi
saat menghadapi resiko bisnis dan memiliki
respon keamanan terhadap berbagai
kemungkinan resiko keamanan yang ditemui,
meliputi beberapa area : brand protection, fraud
protection, loss prevention, business continuity,
confidence of stakeholders dan operational risk.
Business Process Analysis
(=>Security for business
process)
Melakukan analisis dan identifikasi terhadap
persyaratan keamanan yang didorong (driven)
oleh business process, meliputi :
1. Interaksi business, memerlukan identifikasi
dan otentikasi entitas dari business process.
2. Komunikasi business antar process.
2. Conceptual Layer
Tabel 4.2. Deskripsi Aktifitas untuk Komponen Artefak Security (Conceptual Layer) Artefak Security Komponen Artefak Deskripsi Aktifitas
Business Attribut
Profile
Atribut security yang harus
diimplementasikan (BAP)
kedalam business assets
1. Identifikasi business assets yang
membutuhkan proteksi keamanan.
2. Mapping atribut security (SABSA) kedalam
business drivers, meliputi :
• Access-control
• Availability
• Authenticated
• Confidential
• Integrity
• Trustworthy
• Maintainability
• Usability
• Authorised
• Measured
• Flexible Secure
• Auditable
Control Objectives Security Audits dan
Assurance Level
(=>Information Security
Assurance)
Menggunakan tujuan pengendalian (control
objectives) untuk mengkonseptualkan strategi
mitigasi dalam upaya mengatasi resiko business
yang muncul.
Control objectives yang didefinisikan disini
adalah :
• Data Quality
• Risk Management
• Information Security
• Policy
• High
Trust
11
3. Logical Layer
Tabel 4.3. Deskripsi Aktifitas untuk Komponen Artefak Security (Logical Layer) Artefak Security Komponen Artefak Deskripsi Aktifitas
Measures Security Strategies
Security Standards
Security Patterns
Security Services
Security Products & Tools
1. Identifikasi strategi untuk kebijakan
keamanan dan arsitekturnya.
2. Identifikasi pengukuran standar keamanan
arsitektur dengan melihat tingkat
kematangan arsitektur.
3. Identifikasi pengukuran layanan security
pada seluruh entitas yang terlibat pada
arsitektur keamanan organisasi.
Langkah selanjutnya (Step 5) adalah membuat model konseptual integrasi
Information Security Management System (ISMS) kedalam ADM TOGAF (Gambar 4)
berdasarkan artefak-artefak hasil identifikasi yang dilakukan pada step sebelumnya. Pada
tahapan ini, penulis membatasi integrasi tersebut hanya pada 4 (empat) fase ADM saja,
yaitu Strategy, Business, Information System dan Technology.
Gambar 4. Model Integrasi ISMS dengan Enterprise Architecture
12
Langkah terakhir (Step 6) adalah membuat model konseptual akhir dari integrasi
proses ISMS kedalam EA sebagai satu kesatuan proses bisnis yang saling mendukung
(Gambar 5). Pada tahapan ini, penulis mengintegrasikan artefak security (ISMS) sebagai
core business didalam EA Direktorat Diseminasi Statistik BPS.
Gambar 5. Model Akhir Integrasi Proses ISMS
IV. KESIMPULAN DAN SARAN
Enterprise Security Architecture mengintegrasikan arsitektur keamanan (security)
kedalam semua lapisan arsitektur perusahaan (Enterprise Architecture) untuk
menyelaraskan arsitektur antara bisnis dengan keamanan. Paper ini mengidentifikasikan
artefak-artefak dari arsitektur keamanan yang bisa dipetakan (mapping) kedalam setiap
komponen EA (Fase ADM) untuk menghasilkan sebuah model konseptual integrasi ISMS
yang dapat menjamin keselarasan tujuan bisnis organisasi (enterprise) dengan arsitektur
keamanan. Dalam paper ini penulis menunjukkan bagaimana ISMS dapat diintegrasikan
pada setiap layer untuk menjamin keselarasan dengan tujuan bisnis organisasi.
Studi kasus pada Direktorat Diseminasi Statistik BPS memperlihatkan bahwa
arsitektur keamanan SABSA dapat diintegrasikan secara sinergis dengan arsitektur
organisasi (EA TOGAF) untuk menghasilkan sebuah Enterprise Security Architecture
yang baik. Untuk meningkatkan arsitektur tersebut, penulis menyarankan kepada pimpinan
BPS untuk berpartisipasi dalam pengembangan ESA sehingga informasi mengenai proses
bisnis dan komponen-komponen yang ada didalamnya dapat digali lebih mendalam.
13
DAFTAR PUSTAKA
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12]
Bernard, Scott A, An Introduction to Enterprise Architecture, Second Edition, Blomington, USA, Author House, May 2005. BPS, Peraturan Kepala Badan Pusat Statistik Nomor 7 Tahun 2008 tentang Organisasi dan Tata Kerja Badan Pusat Statistik, 2008. Gartner, “Enterprise Architecture (EA) ,” Defining IT-Glossary [Online]. Available : (http://www.gartner.com/it-glossary/enterprise-architecture-ea/). Diakses pada tanggal 17 Mei 2013. Hensel, V., Lemke-Rust, K., "On an Integration of an Information Security Management System into an Enterprise Architecture," Database and Expert Systems Applications (DEXA), 2010 Workshop on, pp.354,358, Aug. 30, 2010-Sept. 3, 2010. Jensen, Claus T., Ian Charters, Jim Amsden, et all., “Leveraging SOA, BPM and EA for Strategic Business and IT Alignment,” United States : IBM, December 2008. John, D., Robert Crosslin, Debra Dennie, A Practical Approach to Integrating Information Security into Federal Enterprise Architecture, United States : Logistics Management Institute, October 2002. Naidoo, Chinthal K., Fitting an Information Security Architecture To An Enterprise Architecture, Johannesburg, South Africa : The University Of Johannesburg, November 2007. Oda, S.M., Huirong Fu, Ye Zhu, "Enterprise information security architecture a review of frameworks, methodology, and case studies," Computer Science and Information Technology, 2009. ICCSIT 2009. 2nd IEEE International Conference on, pp.333,337, 8-11 Aug. 2009. SABSA, “SABSA Framework for Security Service Management,“ [Online]. Available : (http://www.sabsa.org/the-sabsa-method/sabsa-ssm.aspx). Diakses pada tanggal 18 Mei 2013. Sherwood, John, Andrew Clark, David Lynas, Enterprise Security Architecture, London, UK : SABSA Institute, 2009. The Open Group, TOGAF® and SABSA® Integration : How SABSA and TOGAF complement each other to create better architectures, San Fransisco, United States : The Open Group and SABSA Institute, October 2011. The Open Group, 2013, “The Open Group Architecture Framework (TOGAF) Version 9.1,“ [Online]. Available : (http://www.opengroup.org/togaf/). Diakses pada tanggal 17 Mei 2013.