Acara asistensi Audit Keamanan SPBE oleh BSSN RI dilaksanakan selama dua hari yaitu pada hari Selasa-Rabu, 15 s.d 16 Oktober 2024 bertempat di Aula Sidomukti lantai 4 Inspektorat DIY, Jl. Cendana No 40 Kota Yogyakarta. Acara dilaksanakan secara penuh melalui pertemuan kelas langsung dan diikuti oleh peserta yang terdiri dari unsur internal Inspektorat DIY, Diskominfo DIY, Inspektorat dan Diskominfo se wilayah DIY. Adapun narasumber ataupun pemateri dari Badan Sandi dan Siber Negara (BSSN)
Acara dibuka oleh Inspektur DIY, Muhammad Setiadi, S.Pt., M.Acc di hari pertama pelaksanaan kegiatan. Dalam sambutan dan arahan beliau menyampaikan Pelaksanaan audit SPBE merupakan amanat Peraturan Presiden No. 95/2018 dan Peraturan Menteri Kominfo tentang Kebijakan Umum Pelaksanaan Audit TIK. Selain itu juga terdapat Peraturan Menteri PANRB No. 59/2020 tentang Pemantauan dan Evaluasi SPBE. Acara Asistensi Audit Keamanan ini diperlukan bagi Pemda dalam rangka untuk mendukung kesiapan pelaksanaan evaluasi kepatuhan dan kesesuaian penerapan keamanan SPBE. Pemda melaksanakan Audit SPBE setiap tahun, dan diharapkan acara ini bisa menjadi bekal bagi Inspektorat maupun Diskominfo selaku pengampu SPBE di masing-masing Pemda untuk dapat memenuhi indikator-indikator penilaian yang ditetapkan. Perlu dipahami bersama bahwa audit tujuannya bukan mencari kesalahan, namun mencari peluang untuk melakukan perbaikan. Dengan dilaksanakannya acara ini, semoga semakin membuka wawasan serta pengetahuan mengapa SPBE penting dilakukan untuk peningkatan kinerja, kepatuhan, pencegahan atas risiko penggunaan teknologi, dan sekaligus untuk perencanaan Pemerintah Daerah
Narasumber pertama merupakan Direktur Keamanan Siber dan Sandi Pemerintah Daerah, Deputi III BSSN. Dalam paparan disampaikan capaian penilaian SPBE pada setiap daerah di wilayah DIY. Perubahan paradigma pemakaian SPBE di masyarakat dimana sebelumnya masyarakat dalam beraktifitas lebih memanfaatkan media secara offline/langsung akan tetapi. mulai bergeser ke media dan aplikasi.
Bagaimana implementasi SPBE di tata pemerintahan daerah, perlu dipahami bahwa SPBE merupakan rumah besar bagi aplikasi-aplikasi yang diciptakan. Dimana perlu juga untuk membangun linkungan SPBE dengan memperhatikan kemungkinan risiko yang dihadapi. Siklus hidup pengelolaan keamanan SPBE merupakan siklus Plan Do Check Act (PDCA) dimana dari awal proses perencanaan, pengembangan, operasional, audit internal, perbaikan berkelanjutan serta pemantauan. BSSN telah mengatur pedoman manajenem keamanan SPBE dan standar teknis dan prosedur keamanan SPBE melalui Perturan BSSN No 4 tahun 2021. Disampaikan juga dalam paparan beliau dasar pelaksanaan audit keamanan SPBE yang merupakan bagian dari audit SPBE selain audit infrastruktur dan audit aplikasi.
Proses audit SPBE dimulai dari tahap persipan, tahap perencanaan, tahap pelaksanaan yang meiputi area manajemen, area strandar teknis, tahap pelaporan dan tahap akhir yaitu evaluasi keseluruhan. Sementara itu didalam tahap pelaksanaan sendiri terdapat evaluasi desai kontrol, evaluasi implementasi kontrol, Dalam akhir paparan beliau menekankan bahwa dalam keamanan SPBE untuk menerapkan security by design bukan security by insident/accident.
Paparan kedua diberikan oleh Dr. Lukman Nul Hakim, S.E., M.M. Beliau adalah Sandiman Ahli Madya pada Direktorat Keamanan Siber dan Sandi Pemerintah Daerah, Deputi III BSSN. Dalam awal paparan beliau menyampaikan tentang pemahaman audit keamanan SPBE yang meliputi prinsip, pemahaman, tahapan audit serta penerapan audit.
Audit merupakan sebuah proses sistematis, indenpenden dan terdokumentasi untuk mencari bukti-bukti audit dan mengevaluasi bukti-bukti tesebut secara objective (tidak subjective) untuk menentukan sejauh mana kriteria audit telah terpenuhi. Adapun prinsip-prinsip yang harus terpenuhi yaitu integritas, jujur, profesiona, menjaga kerahasiaan, independen, pendekatan berdasarkan bukti dan pendekatan berbasis risiko. Dalam pemahaman audir kemananan perlu juga diketahui ekosisten risiko yang meliputi interaksi risiko, ancaman, kerentanan, pengendalian dan prosedur. Komponen ekosistem risiko perlu dipahami untuk melindungi people, process, technology, dan data. Konteks pemahaman yang dimaksud adalah bagaimana komponen-komponen ini berintegrasi dan dapat menghasilkan praktik manajemen risiko yang lebih bermakna dan praktis.
Ancaman era SPBE meliputi ancaman terhadap sistem teknologi informasi pemerintah maupun berupa ancaman atas kepercayaan dan manipulasi opini publik semisal berita hoax atau berita palsu serta penyusupan judi online di kanal-kanal pemerintah. Prinsip keamanan SPBE yaitu: penjaminan kerahasiaan, keutuhan, ketersediaan cadangan, keaslian, kenirsangkalan
Beberapa prinsip utama audit keamanan SPBE yang menjelaskan bahwa audit bukan untuk mencari kesalahan:
- Peningkatan Kualitas, untuk mengidentifikasi area yang perlu diperbaiki dan memberikan rekomendasi agar kualitas dan keamanan sistem meningkat. Ini lebih pada mendukung proses perbaikan berkelanjutan daripada fokus pada kesalahan.
- Evaluasi Kepatuhan, menilai apakah implementasi sistem sudah sesuai dengan regulasi, standar, dan kebijakan yang berlaku, termasuk memastikan bahwa langkah-langkah keamanan sudah diterapkan dengan benar.
- Mitigasi Risiko, mengidentifikasi potensi risiko sebelum menjadi ancaman yang serius. Dengan demikian, audit membantu organisasi mengantisipasi masalah keamanan sebelum terjadi.
- Penguatan Keamanan, berfokus pada upaya memperkuat keamanan dengan mengevaluasi kontrol dan prosedur yang ada serta merekomendasikan solusi yang relevan untuk meningkatkan pertahanan sistem.
Peningkatan Akuntabilitas dan Transparansi, untuk memberikan transparansi kepada pihak-pihak terkait, memastikan bahwa proses pengelolaan teknologi informasi dan keamanan dilakukan secara akuntabel dan sesuai dengan ketentuan.
Hari kedua asistensi audit keamanan SPBE dilanjutkan dengan praktek langsung proses kerja audit keamanan SPBE dengan mengambil sampel aplikasi Sadewa Dinas Komunikasi Informatika DIY. Praktek diawali dengan menyusun rencana audit dan dilanjutkan dengan penyusunan kertas kerja sampai dengan pengambilan kesimpulan audit.
Dengan dilaksanakannya asistensi semoga semakin membuka wawasan serta pengetahuan tentang pentingnya dilakukan SPBE untuk peningkatan kinerja, kepatuhan, pencegahan atas risiko penggunaan teknologi, dan sekaligus untuk perencanaan Pemerintah Daerah.
