Hasil Pencarian  ::  Simpan CSV :: Kembali

"Teknologi informasi saat ini telah berkembang dengan pesat dan membawa dampak besar pada kehidupan manusia, baik secara personal maupun organisasional. Namun, penggunaan teknologi informasi juga membawa risiko keamanan yang semakin meningkat. Dalam menghadapi risiko keamanan informasi ini, organisasi perlu membuat perlindungan dari segala risiko risiko tersebut. Dalam sistem informasi suatu organisasi perlu acuan atau guide untuk dijadikan standar dalam hal tersebut. Dalam hal sistem keamanan informasi, standar yang dipakai secara internasional adalah ISO 27001:2022. Perusahaan yang dijadikan studi kasus ini akan diberlangsungkan pengukuran tingkat kematangan pada sistem keamanan informasinya untuk mengetahui pada aspek manakah yang dapat ditingkatkan kembali. Pengukuran tingkat kematangannya menggunakan framework ISO 27001:2002. Kemudian hasil pengukuran tersebut akan dianalisa menggunakan metode PDCA untuk nantinya akan menghasilkan rekomendasi yang akan digunakan pada perusahaan studi kasus.

---

Information technology has rapidly evolved and had a significant impact on human life, both personally and organizationally. However, the use of information technology also brings increasing security risks. In dealing with these information security risks, organizations need to establish protection against all these risks. In the information system of an organization, there needs to be a reference or guide to serve as a standard in this regard. Regarding information security systems, the internationally recognized standard used is ISO 27001:2022. The company chosen as a case study will undergo a measurement of the maturity level of its information security system to identify areas that can be further improved. The measurement of maturity level will utilize the ISO 27001:2002 framework. Afterward, the results of the measurement will be analyzed using the PDCA method to generate recommendations that will be implemented in the case study company."

"Era digitalisasi memiliki dampak yang sangat signifikan yaitu berupa transformasi digital bagi banyak organisasi. Transformasi digital yang dilakukan di PT TASPEN (Persero) tidak hanya memberikan banyak kemudahan bagi peserta maupun karyawan internal Perusahaan, namun juga menimbulkan adanya potensi keamanan karena adanya penggunaan teknologi dan internet yang masif. Dalam penelitian ini, peneliti melakukan evaluasi terhadap pengelolaan keamanan informasi di PT TASPEN (Persero) menggunakan alat bantu yaitu Indeks KAMI 5.0. Selanjutnya peneliti melakukan analisis lebih lanjut dan membandingkannya dengan standar SNI ISO/IEC 27001:2022 sehingga didapatkan rekomendasi yang dapat diberikan kepada untuk meningkatkan pengelolaan keamanan informasi di perusahaan tersebut. Evaluasi pengelolaan keamanan informasi menunjukkan bahwa PT TASPEN (Persero) berada pada level sistem elektronik strategis dengan skor 822 dan status “cukup baik”. Sebagai tindak lanjut hasil evaluasi, penelitian ini menghasilkan 35 buah rekomendasi yang dapat dilakukan oleh PT TASPEN (Persero) untuk meningkatkan keamanan informasinya.

---

The era of digitization has had a significant impact, namely the digital transformation of many organizations. The digital transformation undertaken by PT TASPEN (Persero) not only provides many conveniences for participants and internal employees of the company but also raises potential security concerns due to the extensive use of technology and the internet. In this research, the researcher evaluates information security management at PT TASPEN (Persero) using the KAMI 5.0 Index as a tool. Subsequently, the researcher conducts further analysis and compares it with the SNI ISO/IEC 27001:2022 standard to provide recommendations for improving information security management in the company. The evaluation of information security management indicates that PT TASPEN (Persero) is at the level of a strategic electronic system with a score of 822 and a status of "fairly good." As a follow-up to the evaluation results, this research produces 35 recommendations that PT TASPEN (Persero) can implement to enhance its information security."

"Proses pengelolaan data dan informasi di Instansi XYZ memiliki ancaman risiko insiden keamanan informasi dan belum fokus terhadap aspek penanganan insiden keamanan informasi. Hal ini dikarenakan pemetaan ancaman, dampak dan potensi risiko insiden keamanan informasi yang ada di Instansi XYZ belum memadai dan belum tersedianya strategi dalam meningkatkan manajemen insiden keamanan informasi agar dapat membantu Instansi XYZ dalam menghadapi ancaman insiden keamanan informasi dan menjamin keamanan pelayanan data informasi instansi kepada masyarakat. Pengumpulan data dilakukan melalui wawancara dengan pejabat dilingkungan Instansi XYZ dan hasil analisis risiko didapatkan jumlah total 271 risiko yang dimiliki Instansi XYZ, dengan jumlah risiko inheren  terdapat 4 risiko dengan level tinggi, 184 risiko dengan level sedang dan 79 risiko dengan level rendah. Dalam melakukan penyusunan rekomendasi, digunakan pendekatan kesesuaian dari insiden manajemen keamanan informasi menurut SNI ISO/IEC 27035 dengan proses bisnis. Penelitian menghasilkan bahan evaluasi dan rekomendasi dalam aspek kerangka kerja yang digunakan bagi peningkatan kinerja Instansi XYZ dalam penanganan ancaman insiden keamanan informasi.

---

The process of managing data and information at the XYZ Agency has a risk of information security incidents and has not focused on aspects of handling information security incidents. This is due to the inadequate mapping of threats, impacts and potential risks of information security incidents at the XYZ Agency and the unavailability of strategies to improve information security incident management so that they can assist XYZ Agencies in dealing with the threat of information security incidents and guarantee the security of agency information data services to the public. Data collection was carried out through interviews with officials within the XYZ Agency and the results of the risk analysis obtained a total of 271 risks owned by the XYZ Agency, with the total inherent risk being 4 risks with a high level, 184 risks with a moderate level and 79 risks with a low level. In preparing the recommendations, the conformity approach of information security incident management according to SNI ISO/IEC 27035 with business processes is used. The research produced evaluation materials and recommendations in terms of the framework used to improve the performance of the XYZ Agency in handling information security incident threats."

"Pesatnya perkembangan penggunaan layanan mobile banking (m-banking) tidak hanya mempermudah berbagai aktivitas transaksi, namun juga memicu peningkatan jumlah kasus serangan keamanan dan pencurian data. Pelaku serangan keamanan memanfaatkan informasi pribadi orang lain untuk melakukan serangan rekayasa sosial (social engineering) dan mencuri data atau uang yang terdapat pada sistem m-banking korban. Penelitian ini bertujuan untuk mempelajari faktor individu yang memengaruhi information security awareness (ISA) dan bagaimana tingkat ISA tersebut akan memengaruhi intensi dalam menolak serangan social engineering. Penelitian ini menguraikan faktor individu menjadi faktor internal dan faktor eksternal. Kemudian, penelitian ini juga menggunakan theory of planned behaviour (TPB) sebagai teori psikologi yang digunakan untuk memprediksi dan menjelaskan perilaku manusia. Penelitian ini dilakukan dengan metode mix-method yang terdiri dari tiga fase penelitian. Pada fase pertama, dilakukan wawancara terbuka terhadap 18 pengguna m-banking dan analisis tematik untuk pembentukan model. Selanjutnya, fase kedua memvalidasi model penelitian secara empiris dengan menganalisis data survei dari 653 pengguna aplikasi mbanking. Data survei dianalisis dengan menggunakan Covariance-based Structural Equation Model (CB-SEM) dengan bantuan program AMOS 26. Kemudian, pada fase ketiga dilakukan validasi hasil fase kedua untuk mendukung dan memperluas analisis hasil temuan. Hasil penelitian ini menunjukkan bahwa trust, self-cognitive, information security culture, dan security education, training, and awareness (SETA) Programs berpengaruh positif terhadap ISA. ISA berpengaruh positif terhadap ketiga komponen TPB (attitude, self-efficacy, normative beliefs). Dari ketiga komponen tersebut, didapati bahwa komponen self-efficacy berpengaruh signifikan dan positif terhadap intensi pengguna m-banking untuk menghindari serangan social engineering. Hasil penelitian ini diharapkan memberikan berkontribusi bagi pengguna m-banking dalam meningkatkan kesadaran keamanan informasi dan juga bagi industri perbankan dalam meningkatkan kualitas layanan dan keamanan m-banking.

---

The rapid development of mobile banking (m-banking) not only facilitates various transaction activities, but also triggers an increase in the number of cases of security attacks and data theft. Perpetrators of security attacks utilize other people's personal information to conduct social engineering attacks and steal data or money contained in the victim's m-banking system. This research aims to study the individual factors that influence information security awareness (ISA) and how this will affect the intention to resist social engineering attacks. This research decomposes individual factors into internal factors and external factors. Then, this research also uses the theory of planned behavior (TPB) as a psychological theory used to predict and explain human behavior. This research was conducted using a mix-method research design consisting of three research phases. In the first phase, open-ended interviews with 18 m-banking users and thematic analysis for model building were conducted. Further, the second phase validated the research model empirically by analyzing survey data from 653 m-banking users. The survey data was analyzed using Covariance-based Structural Equation Model (CB-SEM) with the help of AMOS 26 program. Then, in the third phase, the results of the second phase were validated to support and expand the analysis of the findings. The results of this study indicate that trust, self-cognitive, information security culture, and security education, training, and awareness (SETA) programs have a positive effect on ISA. ISA has a positive effect on the three TPB components (attitude, self-efficacy, normative beliefs). Of the three components, it is found that the self-efficacy component has a significant and positive effect on the intention of m-banking users to avoid social engineering attacks. The results of this study are expected to contribute to m-banking users in increasing information security awareness and also for the banking industry in improving service quality and m-banking security."

"Data center merupakan salah satu komponen yang penting dalam menunjang keberhasilan bisnis perusahaan karena perannya sebagai pusat pengolahan dan penyimpanan informasi. Data center memerlukan pengamanan sistem informasi yang menyeluruh yang meliputi aspek confidentiality, integrity dan availability. Ketiga aspek tersebut terdapat dalam sebuah Sistem Manajemen Keamanan Informasi (SMKI). Salah satu standar SMKI yang diterima secara luas saat ini adalah ISO 27001. Dalam tesis ini dikembangkan kontrol dan alat bantu ukur tingkat kematangan (maturity level) SMKI pada data center berdasarkan standar ISO 27001 dengan metode COBIT 4.1. Alat bantu ukur tingkat kematangan tersebut berbentuk excel sheet, aplikasi web maupun android. Kontrol dan alat bantu ukur tersebut telah diujicobakan untuk mengukur tingkat kematangan pada tiga data center PT. XYZ dengan hasil masing-masing 3.94, 3.93 dan 3.92 dari skala 5 menurut metode COBIT 4.1. Kontrol dan alat bantu ukur dapat digunakan oleh kalangan industri untuk melakukan self assessment pada data center yang dimiliki agar diketahui tingkat kematangannya terhadap standar ISO 27001.

---

Data center is one of the important components that is needed to support the success of the company's business because of its role as a center for processing and storing information. Data centers require comprehensive security protection which includes aspects of confidentiality, integrity and availability. These three aspects are included in an Information Security Management System (ISMS). One of the widely accepted ISMS standards nowadays is ISO 27001. In this thesis, we develop controls and tools to measure maturity level of ISMS for data center based on the ISO 27001 standard and the COBIT 4.1 method. The controls and tools have been tested to measure the level of maturity in three data centers of PT XYZ. The test result of each data center has the maturity level of 3.94, 3.93 and 3.92 from a scale of 5 according to the COBIT 4.1 method. The controls and measuring tools can be used by industry to conduct self-assessments of their own data center so that its maturity levels are known in accordance with ISO 27001."

"Sistem Penyelenggaraan Berbasis Elektronik (SPBE) adalah bagian penting dari transformasi digital di instansi pemerintahan, salah satunya adalah Instansi XYZ. Meskipun era digital menawarkan banyak keuntungan akan tetapi tidak lepas dari risiko, seperti ancaman siber yang mengancam keamanan nasional. Fokus penelitian ini adalah Pusat Data dan Informasi,  sebagai satuan kerja pelaksana teknologi informasi dalam upaya meningkatkan keamanan siber di Instansi XYZ. Indeks KAMI adalah salah satu alat yang dapat digunakan untuk mengukur seberapa siap dan lengkap keamanan informasi. Ini memastikan bahwa proses peningkatan kualitas keamanan informasi dapat dilakukan dengan cepat dan efisien. Indeks KAMI v 4.2 digunakan untuk mengukur tingkat kematangan keamanan informasi, selain itu digunakan untuk mengevaluasi dan memberikan rekomendasi keamanan informasi sesuai dengan kerangka kerja SNI ISO 27001:2013 untuk Instansi XYZ. Berdasarkan data tahun 2022, hasil penilaian dari sistem elektronik Instansi XYZ masuk dalam kategori “Tinggi”. Sedangkan hasil evaluasi akhirnya mendapatkan nilai total 213 dari total 645 untuk kesiapan dan kelengkapan keamanan informasi. Nilai-nilai tersebut diperoleh dari bagian Tata Kelola 35 poin, Pengelolaan Risiko 18 poin, Kerangka Kerja Keamanan Informasi 40 poin, Pengelolaan Aset 59 poin, dan Teknologi dan Keamanan Informasi 61 poin. Dengan kata lain, Instansi XYZ masih memiliki tingkat kematangan keamanan informasi pada level I hingga I+ dengan status kesiapan "Tidak Layak". Menurut Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik, Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik diwajibkan untuk menerapkan SNI ISO 27001:2013  dan atau standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh BSSN dan standar keamanan lain yang terkait dengan keamanan siber yang ditetapkan oleh Kementerian atau Lembaga, yang penerapannya tergantung pada tingkat kategori Sistem Elektroniknya. Hasil analisis Instansi XYZ belum memiliki kebijakan sistem manajemen keamanan informasi yang ditetapkan, walau sudah menerapkan aspek teknis dibeberapa kategori. Hasil penelitian ini merekomendasikan penerapan kontrol keamanan serta penyusunan kebijakan sistem manajemen keamanan informasi dengan menggunakan kerangka kerja SNI ISO 27001:2013.  Rekomendasi ini diharapkan dapat diimplementasikan pada Instansi XYZ guna menjamin implementasi keamanan informasinya.

---

The System of Electronic-Based Organization (SPBE) is an important part of digital transformation in government agencies, one of which is XYZ Agency. Although the digital era offers many advantages, it is not free from risks, such as cyber threats that threaten national security. The focus of this research is the Data and Information Center, as the implementing work unit for information technology in an effort to improve cybersecurity at XYZ Agency. KAMI Index is one of the tools that can be used to measure how ready and complete information security is. This ensures that the process of improving the quality of information security can be done quickly and efficiently. KAMI Index v 4.2 is used to measure the maturity level of information security, besides that it is used to evaluate and provide information security recommendations in accordance with the SNI ISO 27001: 2013 framework for XYZ Agencies. Based on 2022 data, the assessment results of the XYZ Agency's electronic system fall into the "High" category. While the final evaluation results get a total score of 213 out of a total of 645 for information security readiness and completeness. These values are obtained from the Governance section 35 points, Risk Management 18 points, Information Security Framework 40 points, Asset Management 59 points, and Technology and Information Security 61 points. In other words, XYZ Institution still has an information security maturity level at level I to I+ with a readiness status of "Not Feasible". According to BSSN Regulation Number 8 of 2020 concerning Security Systems in the Implementation of Electronic Systems, Electronic System Providers that operate Electronic Systems are required to implement SNI ISO 27001: 2013 and or other security standards related to cybersecurity set by BSSN and other security standards related to cybersecurity set by Ministries or Institutions, whose application depends on the level of the Electronic System category. The results of the analysis of XYZ Institution do not yet have a defined information security management system policy, even though they have implemented technical aspects in several categories. The results of this study recommend the implementation of security controls and the preparation of an information security management system policy using the SNI ISO 27001: 2013 framework.  This recommendation is expected to be implemented at XYZ Agency to ensure the implementation of information security."

"Badan Pusat Statistik BPS adalah lembaga pemerintah non kementrian yang memiliki kewenangan melakukan kegiatan statistik berupa sensus dan survei. Tindak lanjut dari kegiatan statistik ini harus didukung oleh sistem informasi pengolahan data yang memadai. Subdit Integrasi Pengolahan Data IPD sebagai pengembang sistem informasi di BPS harus dapat melayani pengembangan sistem informasi pengolahan data, namun saat ini layanan tersebut masih belum berkualitas.Agar dapat melakukan peningkatan kualitas layanan maka kualitas layanan saat ini harus dievaluasi. Pengukuran kualitas layanan ini dengan menggunakan dimensi kualitas metode SERVQUAL yang dimodifikasi. Dimensi tersebut meliputi tangibles, reliability, responsiveness, assurance, empathy dan geographics, selanjutnya diintegrasikan dengan model Kano.Hasil dari evaluasi tersebut, dimensi Reliability dan Responsiveness mempunyai nilai gap yang paling besar. Selain itu dari 24 atribut layanan yang diukur hanya 19 atribut kualitas yang mempunyai dampak terhadap kepuasan pengguna, dimana diantaranya 15 atribut mempunyai kategori Attractive. Selanjutnya dari 19 atribut tersebut ditentukan atribut yang menjadi prioritas utama sampai dengan prioritas terakhir dalam usaha peningkatan kualitas layanan.

---

BPS Statistics Indonesia is a non ministerial government agency which has the authority to conduct statistical activities like census and survey. The follow up of these statistical activities should be supported by an adequate data processing information system. Sub Directorate of Data Processing Integration IPD as developer of information system at BPS must be able to serve development of information system of data processing, but now the service still not qualified.

In order to improve the quality of service, the current quality of service must be evaluated. Measuring the quality of this service using the quality dimension of the modified SERVQUAL method. These dimensions include tangibles, reliability, responsiveness, assurance, empathy and geographics, then integrated into Kano model.

The results of the evaluation, the dimensions of Reliability and Responsiveness have the greatest gap value. In addition, based on the measurement results of 24 attributes, only 19 attributes that impact on user satisfaction, and 15 attributes of them have category Attractive. Furthermore, of the 19 attributes are determined attributes that become the main priority up to the last priority in efforts to improve the quality of service."

"Berdasarkan Horizons Scan Report 2021 yang dikeluarkan BSI, 6 besar ancaman pada organisasi saat ini adalah pandemik, insiden kesehatan, insiden keselamatan, kegagalan TI dan telekomunikasi, serangan siber dan cuaca ekstrim. Universitas Indonesia (UI) sebagai kampus modern, komprehensif dan terbuka berusaha menjadi universitas riset terkemuka di dunia. Direktorat Sistem dan Teknologi Informasi (DSTI) sebagai pengelola layanan TI di UI memiliki tugas untuk memperkuat manajemen layanan dengan menerapkan manajemen risiko dan manajemen keamanan yang selaras dengan undang-undang dan kebijakan terkait. Masalah utama bagi DSTI sebagai layanan TI di UI adalah belum adanya dokumen-dokumen terkait manajemen risiko dan manajemen keamanan informasi yang berakibat kepada kegagalan layanan TI. Dalam tahun ini sudah terjadi empat kali kegagalan pusat data yang diakibatkan permasalahan listrik dan UPS. DSTI ingin meningkatkan layanan TI di UI dengan cara menerapkan manajemen risiko dan Business Continuity Management Sytem (BCMS). Penelitian ini bertujuan untuk melakukan analisis risiko untuk merancang Business Continuity Plan (BCP) bagi layanan TI di Universitas Indonesia. Penelitian dilakukan secara kualitatif dan kuantitatif, metode kualitatif OCTAVE dilakukan dalam menemukan daftar risiko pada aset kritikal pada layanan TI di UI. Untuk membuat peringkat daftar risiko dibutuhkan metode kuantitatif dengan menggunakan kuesioner dan perhitungan FMEA untuk mendapatkan peringkat nilai risiko. Penelitian ini memisahkan risiko aset umum dan aset sistem informasi. Untuk aset kritikal umum ditemukan 2 aset berada pada level sangat tinggi, 1 tinggi, 8 risiko berada pada level rendah dan 12 risiko berada pada level sangat rendah. Untuk aset sisteminformasi ditemukan 12 aset dengan risiko sangat tinggi, 3 menengah dan 1 rendah.

---

Based on the Horizons Scan Report 2021 by BSI, the top 6 threats to organizations today are pandemics, health incidents, safety incidents, IT and telecommunications outage, cyber attacks and extreme weather. Universitas Indonesia (UI) as a modern, comprehensive and open campus strives to become a leading research university in the world. The Directorate of Information Systems and Technology (DSTI) as the IT service manager at UI has the task of strengthening service management by implementing risk management and security management in line with relevant laws and policies. The main problem for DSTI as an IT service at UI is that there are no documents related to risk management and information security management which result in the failure of IT services. This year, there have been four data center failures due to power and UPS problems. DSTI wants to improve IT services at UI by implementing risk management and Business Continuity Management System (BCMS). This study aims to conduct a risk analysis to design a Business Continuity Plan (BCP) for IT services at the University of Indonesia. The research was conducted both qualitatively and quantitatively, the OCTAVE qualitative method was carried out in finding a list of risks on critical assets in IT services at UI. To rank the risk list, a quantitative method is needed using a questionnaire and FMEA calculations to get a risk priority number. This study separates the risk of general assets and information system assets. For critical assets, it is generally found that 2 assets are at a very high level, 1 is high, 8 risks are at a low level and 12 risks are at a very high level. for information system assets found 12 assets with very high risk, 3 medium and 1 low."

"ABSTRAK<>br>Gangguan fungsi TI pada organisasi dapat mengganggu bisnis organisasi. Oleh karena itu menjaga kualitas layanan yang tinggi dengan memaksimalkan ketersediaan layanan dan meminimalkan jumlah incident layanan TI menjadi hal yang penting. Pada kasus insiden mayor yang terjadi, penyelesaian gangguan TI yang berlangsung lama mengakibatkan terganggunya bisnis organisasi. Kecepatan memulihkan layanan setelah terjadinya gangguan tergantung pada seberapa cepat organisasi mengidentifikasi insiden dan seberapa baik disiapkan. Atas kejadian insiden mayor yang terjadi, Pimpinan tertinggi organisasi XYZ berharap adanya langkah taktis dan sistematis dalam antisipasi dan penanganan gangguan terhadap seluruh layanan TIK. Berdasarkan kondisi tersebut, tujuan penelitian ialah mengetahui faktor utama penyebab utama keterlambatan pemulihan layanan TIK yang terjadi sehingga dapat memberikan rekomendasi terhadap masalah dalam pemulihan layanan. Permasalahan pemulihan layanan dilihat dari empat faktor, yaitu Teknologi, Organisasi, Lingkungan dan Individu. Masing-masing faktor tersebut memiliki subfaktor yang didefinisikan pada penelitian sebelumnya. Untuk mengetahui masalah yang terjadi dilakukan wawancara dengan responden yang terlibat langsung serta dokumen terkait dengan pemulihan layanan. Untuk mengetahui faktor/subfaktor yang paling memengaruhi pemulihan layanan, maka dilakukan pembobotan terhadap faktor/subfaktor menggunakan teknik AHP. Hasil pembobotan faktor tertinggi ialah organisasi, sedangkan hasil pembobotan subfaktor tertinggi ialah persepsi manfaat kelangsungan bisnis. Setelah itu dilakukan penyusunan rekomendasi berdasarkan studi literatur. Hasil dari studi literature dilakukan validasi oleh organisasi melalui FGD dan pakar. Hasil penelitian memberikan rekomendasi perbaikan dari masalah yang ditemukan menggunakan pendekatan best practice ITIL.

---

ABSTRACT<>br>Impaired IT functions in organizations can disrupt the business organization. Therefore maintaining high service quality by maximizing service availability and minimizing the incident number of IT services becomes important. In the case of major incidents, resolving long standing IT disruptions results in disruption of the business organization. The speed of restoring services after the occurrence of interference depends on how quickly the organization identifies the incident and how well it is prepared. On the occurrence of major incidents, top level management of XYZ organization expects a tactical and systematic step in anticipating and handling disruptions to all ICT services. Based on these conditions, this research aim to study the main cause factors of IT disaster recovery problem that occurs so as to provide recommendations for it. IT disaster recovery problem can be identified by 4 factors, which are technology, organization, environment and individual. Each of these factors has a subfactors defined in the previous study. To find out the problem, interviews with the respondents who involved directly as well as documents related to service recovery. To know the factors subfactors that most affect the recovery of services, then weighted factor subfaktor using AHP techniques. The result of the highest weighted factor is the organization, while the highest weighted subfactor result is the perception of business continuity benefit. After that, do the preparation of recommendations based on literature study. The results of the literature study were validated by the organization through FGDs and experts. The results provide an improvement recommendation of the problems using the best practice approach of ITIL."