ANALISA PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA

ANALISA PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

KELOMPOK 105 Irma I. Ibrahim (7203012106) Wisnu P. Prabowo (7203012289) Tommy Lukman (720301227Y)

MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONESIA © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 1

DAFTAR ISI

BAB I Pendahuluan

4

1.1 Profil Perusahaan

4

1.2 Visi dan Misi Perusahaan

4

1.3 Struktur Organisasi Perusahaan

5

1.4 Topologi Jaringan

7

1.5 Denah Kantor

8

BAB II Praktek-Praktek Manajemen Keamanan

9

2.1 Dasar Teori

9

2.1.1 Keamanan Sistem Informasi

9

2.1.2 Pengelompokkan Informasi

10

2.1.3 Kebijakan Keamanan

13

2.1.4 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

14

2.1.5 Manajemen Resiko

15

2.2 Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi Maju Bersama

15

2.2.1 Pengelompokan Informasi

15

2.2.2 Kebijakan Keamanan

20

2.2.3 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

22

BAB III Sistem Kendali Akses

23

3.1 Dasar Teori

23

3.2 Analisa dan Rekomendasi

23

BAB IV Keamanan Telekomunikasi dan Jaringan

28

4.1 Dasar Teori

28


30

BAB V Kriptografi

34

5.1 Dasar Teori

34


35

BAB VI Arsitektur dan Model-Model Keamanan

37

6.1 Dasar Teori

37


38

© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 2

BAB VII Keamanan Operasi-Operasi

39

7.1 Dasar Teori

39


39

BAB VIII Pengembangan Aplikasi dan Sistem

41

8.1 Dasar Teori

41


41

BAB IX Business Continuity Planning dan Disaster Recovery Planning

43

9.1 Dasar Teori

43


43

BAB X Hukum, Investigasi, dan Etika

46

10.1 Dasar Teori

46


47

BAB XI Keamanan Fisik

48

11.1 Dasar Teori

48


49

BAB XII Audit dan Assurance

51

12.1 Dasar Teori

51


52

BAB XIII Kesimpulan

54

Daftar Pustaka

55


BAB I PENDAHULUAN

1.1Profil Perusahaan PT. Asuransi Maju Bersama merupakan sebuah perusahaan asuransi jiwa dan kesehatan. Perusahaan ini berdiri pada tahun 1998, berawal dari 15 orang karyawan dengan modal 100 juta, dan berkonsentrasi untuk melayani klien di Jakarta saja. Dengan kondisi saat ini, PT. Asuransi Maju Bersama berkembang dengan sangat pesat, dan di tahun 2005 ini pegawainya sudah mencapai 50 orang dan mulai mengembangkan usahanya sampai ke Pulau Jawa. Berdasarkan data tahun 2003, PT. Asuransi Maju Bersama memiliki lebih dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih dari Rp 10 Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp 233,8 juta (tumbuh 15,6 %). 1.2Visi dan Misi Perusahaan PT. Asuransi Maju Bersama memiliki Nilai-Nilai Utama Perusahaan, Budaya Perusahaan, Misi dan Visi Perusahaan, sebagai berikut: Nilai-Nilai Utama Perusahaan: Siapapun pelanggan kami dan apapun yang mereka kerjakan, kami dapat menyesuaikan dengan kebutuhan mereka. Karena tujuan kami menjadi perusahaan asuransi jiwa pilihan di Indonesia, kami berkomitmen untuk memberikan produk-produk yang inovative dan pelayanan yang sesuai dengan kebutuhan pelanggan melalui para agen professional kami. Nilai nilai utama kami yaitu Integritas, Inisiatif dan Rasa Keikutsertaan yang akan ditanamkan kepada setiap karyawan dan agen untuk menjadi dasar dalam bertindak. Budaya perusahaan: Kami akan mengamalkan Misi kami dan menjunjung tinggi Nilai-Nilai Utama kami melalui: Integritas, Inisiatif dan Rasa Keikutsertaan yang tinggi kepada pelanggan dan pekerjaan kami dengan Inovatif dan Proaktif


Visi perusahaan: Berkomitment memberikan perlindungan finansial untuk setiap pelanggan kami. Dikenal karena kesempurnaan dalam pelayanan dan memegang teguh sikap integritas, Inisiatif dan rasa keikutsertaan dalam setiap langkah penyelenggaraan bisnis. Misi perusahaan: Menjadi Perusahaan Asuransi Jiwa pilihan di Indonesia, yang dikenal karena produkproduk yang berkualitas, pelayanan pelanggan yang tak kenal henti berdasarkan pada nilai-nilai utama kami dan saluran distribusi yang efektif. 1.3Struktur Organisasi Perusahaan Puncak organisasi PT Asuransi Maju Bersama diduduki oleh beberapa komisaris utama dan pembina sebagai penanam saham atau investor. Kemudian di bawahnya diikuti oleh direktur utama sebagai penanggung jawab perusahaan yang membawahi ketua umum, sekretariat, dan ketua-ketua teknis dan non-teknis. Masing-masing ketua membawahi beberapa kepala departemen dan staf. Struktur organisasi PT Asuransi Maju Bersama dapat dilihat pada Gambar 1.1 berikut. Tabel 1.1 menjelaskan posisi dan jabatan masing-masing personil sesuai dengan bagiannya.

Gambar 1. 1 Struktur Organisasi


DIVISI

NAMA

TUGAS/JABATAN

President Director

A01

President director

Director Operation and

A02

Director

Technology

A03

Head of Optech

A04

Head of NBU

A05

Supervisor

A06

Consultant

A07

Staff

A08

Head of CS/Claim

A09

Staff

A10

Staff

A11

Head of IT

A12

System administrator

A13

Data support

A14

Help desk

A15

Head of IS

A16

Programmer

A17

Programmer

A18

Head of actuary

A19

Staff

A20

Staff

A21

Head of finance

A22

Accounting supervisor

A23

Cashier

A24

Finance staff

A25

Premium collector

A26

Finance staff

A27

OSD staff

A28

Office boy

A29

Office boy

A30

Office boy

A31

Office boy

A32

Office boy

A33

Office boy

A34

Security guard

A35

Security guard

A36

Head of marketing

A37

Head of ADS

A38

ADS staff

A39

Head of bancassurance

A40

Bancassurance staff

A41

Marketing support supervisor

A42

Marketing support staff

ACTUARY

FINANCE

Marketing


DIVISI

CCC

HR

NAMA

TUGAS/JABATAN

A43

Marketing & promotion supervisor

A44

Marketing support staff

A45

Graphic designer

A46

Research & product staff

A47

Bancassurance staff

A48

Head of CCC

A49

Secretary

A50

Receptionist

A51

Head of HRD

A52

HRD staff

A53

HRD staff

Tabel 1 1 Matriks Karyawan

1.4Topologi Jaringan Gambar 1.2 menunjukkan topologi LAN yang dimiliki PT Asuransi Maju Bersama.

Gambar 1. 2 Topologi Jaringan


1.5Denah Kantor

ACTUARY

A03

A06

A09

A21

A11

A22

A15

A53

HRD

A20

OPREATION & TECHNOLOGY

A52

A 27

A18

FINANCE

A 26

A19

A51

A2 3

Gambar 1.3 menunjukkan denah kantor PT Asuransi Maju Bersama.

PRESIDENT DIRECTOR A04

A05

A06

A08 A25

A13

A42 A4 7

A01

A12

PANTRY

RO O

A49

FI

A48

MARKETING

A16

LL IN G

CCC

A 41

M

A40

A39

A02

A37

MARKETING STAFF

A38

IT STAFF

A24 A36

A4 6

DIRECTOR

A44

A14

A17

A45

A43

A50 RECEPTIONIST

Gambar 1. 3 Denah Kantor


BAB II PRAKTEK-PRAKTEK MANAJEMEN KEAMANAN

2.1Dasar Teori 2.1.1Keamanan Sistem Informasi Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan, standar-standar, pedoman-pedoman, dan prosedur-prosedur. Ia mendefinisikan praktekpraktek manajemen klasifikasi data dan manajemen resiko. Ia juga membahas masalah confidentiality (kerahasiaan), integrity (integritas), dan availibility (ketersediaan) dengan cara mengidentifikasi ancaman-ancaman, mengelompokkan aset-aset organisasi, dan menilai vulnerabilities (bentuk jamak dari vulnerability yang berarti bersifat mudah untuk diserang)

mereka

sehingga

kendali-kendali

keamanan

yang

efektif

dapat

diimplementasikan. Di dalam domain Keamanan Sistem informasi dikenal tiga buah konsep yakni Confidentiality, Integrity, dan Availibility (C.I.A.), seperti yang ditunjukkan oleh Gambar 2.1. Ketiga konsep ini mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh kendali-kendali keamanan informasi, dan upaya-upaya perlindungan, serta semua ancaman-ancaman, vulnerabilities, dan proses keamanan mengacu pada ukuran CIA. Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan hak-hak jaringan.

Confidentiality

Integrity

Availability Gambar 2.1 C.I.A Triad


Integrity. Konsep integrity menjamin bahwa: §

Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang tidak sah.

§

Modifikasi-modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau proses yang sah.

§

Data bersifat konsisten baik secara internal maupun eksernal; dengan kata lain, bahwa informasi internal bersifat konsisten di antara semua subentitas dan bahwa informasi internal bersifat konsisten dengan situasi eksternal dan di dunia nyata. Availability. Konsep availability menjamin bahwa akses terhadap data atau

sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai. Dengan kata lain, availability menjamin bahwa sistem selalu “up and running” bila dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia. Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampakdampak dari ancaman-ancaman keamanan dan vulnerabilities ke suatu tingkat yang dapat ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah organisasi dan besarnya peluang terjadinya ancaman. Proses yang menganalisa skenario ancaman dan menghasilkan nilai representatif dari perkiraan kehilangan potensial disebut Analisa Resiko. 2.1.2Pengelompokkan Informasi Informasi dapat menimbulkan dampak global pada bisnis organisasi, tidak hanya pada unit bisnis atau tingkat lini operasi. Tujuan dari pengelompokan informasi adalah untuk meningkatkan confidentiality, integrity, dan availability dan untuk meminimalisasi resiko-resiko organisasi. Sebagai tambahan, dengan berfokus pada mekanismemekanisme proteksi dan kendali-kendali pada area informasi yang paling membutuhkan akan diperoleh rasio biaya-manfaat yang lebih efisien. Di dalam domain keamanan sistem informasi, pengelompokan informasi digunakan untuk mencegah penyingkapan yang tidak sah terhadap informasi dan dampak dari hilangnya confidentiality. Pengelompokan informasi dapat juga digunakan untuk mematuhi peraturan-peraturan pemerintah, atau untuk menjaga daya kompetitif organisasi di dalam pasar yang penuh persaingan. Di samping tujuan-tujuan di atas, pengelompokan informasi juga memberi manfaat © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 10

sebagai berikut: §

Mendemonstrasikan

komitmen

sebuah

organisasi

dalam

upaya

perlindungan

keamanan. §

Membantu mengidentifikasi informasi mana yang paling sensitif atau vital bagi sebuah organisasi.

§

Mendukung prinsip C.I.A.

§

Membantu mengidentifikasi proteksi-proteksi mana saja yang sesuai dengan informasi tertentu.

§

Mungkin diperlukan untuk kebutuhan regulasi, compliance, atau legal. Informasi yang dihasilkan atau diproses sebuah organisasi harus dikelompokkan

sesuai dengan sensitivitas organisasi terhadap kehilangan atau penyingkapan informasi tersebut. Pemilik-pemilik data bertanggung jawab mendefinisikan tingkat sensitivitas data. Pendekatan ini memungkinkan kendali-kendali keamanan diimplementasikan secara tepat sesuai dengan skema pengelompokan. Istilah-istilah klasifikasi berikut umum digunakan di dalam sektor swasta: 1. Public (publik). Semua informasi perusahaan yang tidak termasuk ke dalam kategorikategori selanjutnya dapat dianggap sebagai public. Informasi ini mungkin sebaiknya tidak disingkap. Namun apabila terjadi penyingkapan diperkirakan tidak akan menimbulkan dampak yang serius terhadap perusahaan. 2. Sensitive (sensitif). Informasi yang memerlukan tingkat pengelompokan lebih tinggi dari data normal. Informasi ini dilindungi dari hilangnya confidentiality dan integrity akibat perubahan yang tidak sah. 3. Private (pribadi). Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk penggunaan perusahaan saja. Penyingkapan terhadap informasi ini dapat berdampak buruk terhadap perusahaan atau pegawai-pegawainya. Sebagai contoh, tingkat gaji dan informasi medis dianggap informasi yang pribadi. 4. Confidential (rahasia). Informasi yang dianggap sangat sensitif dan dimaksudkan untuk untuk penggunaan perusahaan saja. Penyingkapan yang tidak sah dapat berdampak serius dan negatif terhadap perusahaan. Sebagai contoh, informasi mengenai pengembangan produk baru, rahasia-rahasia dagang, dan negosiasi merger dianggap informasi rahasia. Kriteria-kriteria berikut digunakan untuk menentukan pengelompokan sebuah obyek informasi: 1. Nilai. Nilai merupakan kriteria nomor satu yang umum digunakan. Jika suatu informasi © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 11

bernilai

bagi

sebuah

organisasi

atau

pesaing-pesaingnya,

maka

ia

perlu

dikelompokkan. 2. Usia. Pengelompokan informasi dapat diturunkan jika nilai informasi tersebut berkurang seiring berjalannya waktu. 3. Waktu guna. Jika informasi dibuat menjadi kadaluwarsa karena informasi baru, perubahan substansial di dalam perusahaan, atau alasan-alasan lain, informasi tersebut dapat tidak dikelompokkan lagi. 4. Asosiasi pribadi. Jika informasi secara pribadi diasosiasikan dengan individu-individu tertentu atau dilindungi oleh hukum privasi, ia perlu dikelompokkan. Misalnya, informasi penyelidikan yang mengungkap nama-nama informan mungkin perlu dikelompokkan. Langkah-langkah pembuatan sistem pengelompokan adalah sebagai berikut: 1. Identifikasi administrator atau pemelihara. 2. Tentukan kriteria bagaimana cara pengelompokan dan beri tanda ke tiap informasi. 3. Kelompokkan data berdasarkan pemilik, yang tunduk pada peninjauan seorang pengawas. 4. Tentukan

dan

buat

dokumentasi

tiap

pengecualian

terhadap

kebijakan

pengelompokan. 5. Tentukan kendali-kendali yang akan diterapkan ke tiap tingkat pengelompokan. 6. Tentukan prosedur-prosedur terminasi untuk mendeklasifikasi informasi atau untuk memindahkan pemeliharaan informasi ke pihak lain. 7. Buat program kesadaran perusahaan akan kendali-kendali pengelompokan. Berikut

adalah

peran-peran

dari

semua

partisipan

di

dalam

program

pengelompokan informasi: 1. Pemilik. Seorang pemilik informasi dapat berupa seorang eksekutif atau manajer di dalam organisasi. Orang ini bertanggung jawab terhadap aset informasi yang harus dilindungi. Pemilik memiliki tanggung jawab korporat final terhadap perlindungan data. Sedangkan fungsi sehari-hari dari perlindungan data berada di tangan pemelihara data. Tanggung jawab pemilik data adalah sebagai berikut: §

Membuat keputusan awal tentang tingkat pengelompokan yang diperlukan suatu informasi, yang berdasarkan kebutuhan-kebutuhan bisnis dalam perlindungan data.

§

Meninjau ulang penentuan klasifikasi secara periodik dan membuat perubahan sesuai dengan perubahan kebutuhan bisnis.

§

Menyerahkan tanggung jawab perlindungan data kepada pemelihara data.


2. Pemelihara (Custodian). Pemilik informasi menyerahkan tanggung jawab perlindungan data kepada pemelihara data. Umumnya staf IT melaksanakan peran ini. Tugas-tugas pemelihara data adalah sebagai berikut: §

Menjalankan proses-proses backup dan secara rutin menguji validitas dari data yang di-backup.

§

Melakukan pemulihan data dari backup bila diperlukan.

§

Menjaga data-data tersebut sesuai dengan kebijakan pengelompokan informasi yang telah dibuat.

3. Pemakai. Pemakai adalah setiap orang (operator, pegawai, atau pihak luar) yang secara rutin menggunakan informasi sebagai bagian dari pekerjaannya. Orang ini dapat dianggap sebagai konsumen data, yakni seseorang yang membutuhkan akses harian ke suatu informasi untuk menjalankan tugas-tugasnya. Berikut adalah hal-hal penting sehubungan dengan pemakai: §

Pemakai-pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan dalam sebuah kebijakan keamanan organisasi, dan mereka harus mematuhi pedoman-pedoman cara penggunaan yang dikeluarkan.

§

Pemakai-pemakai harus menjaga baik-baik keamanan dari informasi selama melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam kebijakan pemakaian informasi korporat). Mereka harus mencegah terjadinya “open view”, yakni terbukanya informasi sehingga dapat diakses oleh orang yang tak berhak.

§

Pemakai-pemakai harus menggunakan sumber daya komputer perusahaan hanya untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.

2.1.3Kebijakan Keamanan Kebijakan dapat berarti banyak di dalam dunia keamanan informasi. Sebagai contoh, terdapat kebijakan keamanan di dalam firewall, yang mengacu kepada informasi access control dan daftar routing. Sedangkan standar-standar, prosedur-prosedur, dan pedoman-pedoman juga disebut sebagai kebijakan-kebijakan dalam konteks keamanan informasi yang lebih besar. Berikut adalah jenis-jenis dari kebijakan: 1. Pernyataan kebijakan manajemen senior. Merupakan pernyataan kebijakan umum dan tingkat tinggi, yang mengandung elemen-elemen sebagai berikut: §

Sebuah pernyataan tentang pentingnya sumber daya komputer terhadap model bisnis.


§

Sebuah pernyataan tentang dukungan untuk keamanan informasi di seluruh perusahaan.

§

Sebuah komitmen untuk menyetujui dan mengatur definisi standar-standar, prosedur-prosedur, dan pedoman-pedoman tingkat rendah.

2. Regulasi (Regulatory). Merupakan kebijakan-kebijakan keamanan yang harus diimplementasi oleh perusahaan akibat peraturan pemerintah. Tujuan dari regulasi adalah sebagai berikut: •

Untuk menjamin bahwa perusahaan yang terkait mengikuti prosedur-prosedur standar atau best practices operasi di dalam industrinya.

•

Untuk memberikan keyakinan kepada sebuah organisasi bahwa ia telah mengikuti standar dan kebijakan industri yang telah diakui.

3. Advisory. Merupakan kebijakan keamanan yang tidak harus dipatuhi namun sangat disarankan, mungkin dengan konsekuensi serius seperti pemecatan, surat peringatan, dan lain-lain. Sebuah perusahaan dengan kebijakan seperti ini menginginkan agar sebagian besar pegawai menganggapnya kewajiban. Sebagian besar kebijakan masuk dalam kategori ini. 4. Informatif. Merupakan kebijakan yang ada untuk memberikan informasi kepada pembaca internal maupun eksternal. 2.1.4Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur Standar-standar, pedoman-pedoman, dan prosedur-prosedur merupakan elemen dari implementasi kebijakan yang mengandung detil aktual dari kebijakan, seperti bagaimana kebijakan seharusnya diimplementasikan dan standar-standar dan prosedurprosedur apa saja yang seharusnya digunakan. Mereka diterbitkan ke seluruh organisasi melalui buku-buku petunjuk, intranet, buku-buku panduan, dan kelas-kelas pelatihan. Penting untuk diketahui bahwa standar-standar, pedoman-pedoman, dan prosedurprosedur merupakan dokumen-dokumen yang terpisah namun berhubungan dengan kebijakan-kebijakan umum (terutama pernyataan tingkat manajemen senior). Berikut adalah penjelasan dari masing-masing elemen: 1. Standar. Standar menetapkan penggunaan teknologi-teknologi spesifik dalam cara yang seragam. Standarisasi terhadap prosedur operasi ini dapat menguntungkan sebuah organisasi dengan menetapkan metodologi-metodologi seragam yang digunakan untuk kendali-kendali keamanan. Standar umumnya merupakan kewajiban dan diimplementasi di seluruh organisasi untuk keseragaman. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 14

2. Pedoman. Pedoman serupa dengan standar – mereka merujuk kepada metodologi dalam mengamankan sistem, namun pedoman hanya berisi tindakan-tindakan yang sifatnya disarankan dan bukan merupakan kewajiban 3. Prosedur. Prosedur mengandung langkah-langkah detil yang perlu dilakukan untuk menjalankan tugas tertentu. Prosedur merupakan kegiatan-kegiatan detil yang harus diikuti seorang personil. Prosedur termasuk dalam tingkat terendah di dalam rantai kebijakan. Tujuannya adalah untuk menyediakan langkah-langkah detil untuk mengimplementasi kebijakan-kebijakan, standar-standar, dan pedoman-pedoman yang telah dibuat sebelumnya. 2.1.5Manajemen Resiko Fungsi utama manajemen resiko adalah untuk memperkecil resiko hingga mencapai tingkat yang dapat diterima oleh sebuah organisasi. Manajemen resiko dapat diartikan sebagai identifikasi, analisa, kendali, dan minimalisasi kerugian akibat suatu peristiwa. Identifikasi resiko memerlukan definisi tentang elemen-elemen dasar berikut: §

Ancaman aktual

§

Kemungkinan konsekuensi-konsekuensi dari ancaman yang diketahui.

§

Peluang frekuensi terjadinya suatu ancaman.

§

Tingkat keyakinan kita bahwa suatu ancaman akan terjadi. Proses manajemen resiko memiliki beberapa elemen sebagai berikut:

1. Analisa

Resiko,

termasuk

analisa

biaya-manfaat

terhadap

suatu

tindakan

perlindungan. 2. Implementasi, peninjauan ulang, dan memelihara tindakan perlindungan. 2.2Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi Maju Bersama 2.2.1Pengelompokan Informasi Saat ini di PT Asuransi Maju Bersama sama sekali belum dilakukan pendefinisian terhadap

informasi secara

formal. Untuk

itu maka penulis

merekomendasikan

pendefinisian aset informasi yang dimiliki perusahaan tersebut. Langkah pertama adalah mengidentifikasikan aset-aset informasi yang dimiliki. Selanjutnya adalah mengidentifikasi administrator atau pemelihara masing-masing informasi tersebut. Berikut adalah aset-aset ICT milik PT Asuransi Maju Bersama yang berhasil © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 15

diidentifikasi: Aset tangible, terdiri dari a) 4 server HP b) 2 server berbasis PC c) 1 Tape backup drive HP d) 2 UPS APC e) 1 Cable modem f) 45 buah PC g) 1 printer dot matrix Epson LQ-2180 h) 1 printer dot matrix Epson LX-300 i) 2 printer laser HP 2300 j) 1 printer laser HP 6P k) 2 printer laser HP 1010 l) 6 printer bubble jet HP 690C m) 2 print server D-Link n) 1 print server HP JetDirect o) 2 scanner HP p) 1 PABX q) 45 pesawat telepon Aset intangible, terdiri dari a) 6 license Windows 2000 Server b) 45 license Windows XP Professional c) Informasi pemegang polis d) Informasi keuangan e) Informasi kepegawaian f) Informasi agen asuransi g) Informasi produk asuransi h) Informasi cadangan asuransi i) Informasi topologi jaringan j) Informasi source code aplikasi asuransi k) Informasi alamat dan password e-mail Internet Tidak semua informasi dipelihara oleh Departemen IT. Ada beberapa data yang dipelihara oleh departemen yang bersangkutan, dan bahkan ada yang dipelihara oleh © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 16

pihak vendor. Untuk lebih jelasnya dapat dilihat di Tabel 2.1. Langkah selanjutnya adalah menentukan kriteria pengelompokan. Pengelompokan dilakukan dengan menggunakan istilah-istilah dan nilai-nilai yang telah dijelaskan di bagian sebelumnya. Tabel 2.1 menunjukkan penandaan dari setiap informasi yang ada di dalam perusahaan.

No.

Nama Informasi

Klasifikasi

Pemilik

Pemelihar a Pengemba ng aplikasi

Pemakai

1

Basis data keuangan

Confidential

Divisi Finance

2

Basis data kepegawaian

Confidential

Divisi Human Capital

Pengemba ng aplikasi

Divisi Human Capital dan pegawai yang bersangkutan

3

Basis data pemegang polis

Confidential

Manajeme n

IT

Divisi Operasi, Divisi Marketing, Divisi Finance, dan pemegang polis yang bersangkutan

4

Basis data agen asuransi

Confidential

Manajeme n

IT

5

Definisi produk asuransi

Confidential

Divisi Aktuaria

Divisi Aktuaria

6

Cadangan Asuransi

Confidential

Divisi Aktuaria

Divisi Aktuaria

7

Alamat dan password email perusahaan

Confidential

8

Source code aplikasi

Confidential

9

Topologi jaringan

Confidential

Manajeme n Manajeme n IT

Divisi Finance

Divisi Operasi, Divisi Marketing, Divisi Finance, dan agen yang bersangkutan Divisi Aktuaria dan Divisi Operasi

IT

Pemegang e-mail yang bersangkutan

IS

Departemen IS

IT

IT

Tabel 2 1 Pengelompokan Informasi

Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam PT Asuransi Maju Bersama: 1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui berapa margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas data harus dijaga karena berhubungan dengan penagihan kepada pemegang polis dan vendor; apabila integritas data terganggu maka kredibilitas perusahaan dapat terganggu. Ketersediaan data juga penting karena penagihan harus dilakukan tepat waktunya untuk menjaga arus cash flow perusahaan. 2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji, penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi tersebut. 3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas informasi ini akan dapat merugikan baik pemegang polis maupun perusahaan. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 17

4. Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan baik agen asuransi maupun perusahaan. 5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing. 6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan kesehatan finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk mendiskreditkan perusahaan. 7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh ke pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha perusahaan yang umumnya bersifat rahasia dapat diketahui. 8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka akan sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk pengembangan aplikasi tersebut. 9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan melakukan akses ilegal ke dalamnya. Setelah mengidentifikasi aset informasi yang dimiliki perusahaan beserta penilaiannya, langkah berikutnya adalah mengidentifikasi ancaman-ancaman potensial yang mungkin dapat mengganggu confidentiality, integrity, dan availability dari informasiinformasi tersebut. Tabel 2.2 menunjukkan ancaman-ancaman potensial yang berhasil diidentifikasi.

Threat Agent Virus

Vulnerability Tidak ada software antivirus, atau antivirus tidak terupdate dengan rutin

Kemungkinan hasil dari resiko Infeksi virus, hilangnya data, kerusakan pada komputer

Hacker

Ketidaksempurnaan software firewall yang digunakan dan tidak termonitornya firewall tersebut.

Akses ilegal terhadap data penting perusahaan

Pemakai

Tidak digunakannya enkripsi dalam pengiriman e-mail Miskonfigurasi operating system

Kebakaran

Tidak memadainya sistem pemadam kebakaran

Internal User

Kelemahan pada sistem audit

Terganggunya integrasi data

Terputusnya akses Pencurian

Tidak adanya koneksi Internet cadangan

Terganggunya proses bisnis perusahaan yang berhubungan dengan pihak luar Kerugian akibat jatuhnya informasi rahasia perusahaan ke tangan pesaing Pencurian data perusahaan

Kontraktor

Kurangnya informasi latar belakang dari pegawai perusahaan Lemahnya kontrol terhadap kontraktor

Akses ilegal terhadap data penting perusahaan, kerusakan pada komputer Kerusakan pada komputer dan teknologi informasi lainnya, termasuk data di dalamnya

Tabel 2 2 Ancaman dan Dampaknya


Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut: 1. Pencegahan. Tindakan pencegahan dilakukan dengan cara: •

Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.

•

Pembelian perangkat keras firewall.

•

Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall secara rutin.

•

Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.

•

Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.

•

Pemakai tidak diberikan hak akses administrator di PC-nya.

•

Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan komputer dan elektronik lainnya.

•

Penggunaan akses Internet dial-up sebagai cadangan.

•

Memperketat proses pemeriksaan latar belakang calon pegawai.

•

Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan memerlukannya.

•

Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk dibawa keluar dari perusahaan.

•

Dibuat prosedur keamanan yang berlaku di dalam perusahaan.

•

Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang benar.

•

Penerapan rencana disaster recovery dan business continuity.

2. Deteksi. Tindakan deteksi dilakukan dengan cara: §

Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk menghindari terjadinya kegagalan perangkat keras.

§

Melakukan pemeriksaan komputer secara rutin terhadap virus.

§

Melakukan pemeriksaan terhadap backup yang dihasilkan.

3. Represi. Tindakan Represi dilakukan dengan cara: §

Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan Access Control List, MAC address, dan Virtual LAN.

§

Melakukan pembatasan akses internet hanya untuk bagian yang memang harus berhubungan dengan pihak di luar perusahaan.

4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 19

yang benar. 5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar masalah tersebut tidak terulang kembali. 2.2.2Kebijakan Keamanan Saat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah kebijakan IT perusahaan tersebut: 1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab seluruh staff untuk menjaga kerahasiaan data nasabah. 2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan oleh perusahaan. 3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server. 4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec. 5. Seluruh Komputer harus mengaktifkan ‘screen saver’ untuk menghindarkan dari pemakai yang tidak berhak. 6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang dihasilkan tidak tersanggah (non repudiation) 7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery. Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di implementasikan. Backup Strategy sudah mencakup rencana backup harian. 8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui oleh Kepala Divisi Optec. 9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun disetujui oleh Kepala Divisi Optec dan Presiden Direktur. 10. Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh Kepala Divisi Optec dan disetujui oleh Presiden Direktur. 11. Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 20

12. Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus User-ID serta merubah hak akses. 13. Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7 (tujuh) password yang sebelumnya. 14. User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan User-ID-nya. 15. Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh ‘system owner’ sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji ulang dan didokumentasikan oleh ‘system owner’. 16. Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di perusahaan. 17. Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu kunjungan. 18. Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus dihentikan sesaat setelah pekerjaan diselesaikan. 19. ‘Disaster Recovery Plan’ harus di tes setiap tahun. 20. Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan dan atas persetujuan dari ‘Board Of Director’. 21. Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali telah mendapatkan persetujuan secara tertulis dari Kepala Divisi. 22. Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus. 23. Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of Director. 24. IT berkewajiban memastikan ‘Data Network’ aman dan terlindungi dari akses oleh © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 21

pihak yang tidak diberi ijin. 25. Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada Kepala Divisi Optec dan Board Of Director. 26. Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan

seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan

perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha. 27. Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan kebijakan ini, harus mendapatkan persetujuan dari Board Of Director. 2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standarstandar, pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan pengamanan

aset

Teknologi

Informasi.

Untuk

itu

penulis

merekomendasikan

pembuatannya dengan disetujui dan disponsori oleh board of director kemudian disosialisasikan ke seluruh pegawai.


BAB III SISTEM KENDALI AKSES

3.1Dasar Teori Sistem Kendali Akses adalah suatu fitur dari keamanan yang mengendalikan bagaimana pemakai dan sistem dapat berinteraksi dan berkomunikasi dengan sistem dan sumber daya yang lain. Sistem Kendali Akses melindungi sistem dan sumber daya dari akses pihak yang tidak berkepentingan. Sistem Kendali Akses juga memberikan tingkatan otorisasi tertentu kepada pihak yang telah di otentifikasi untuk menggunakan sumber daya yang ada. Untuk itu diperlukan administrasi dari kendali akses. Aspek administrasi dari kendali akses ditangani oleh dukungan TI internal perusahaan. Apabila diperlukan dan disetujui oleh pihak manajemen, maka dukungan TI dapat berkonsultasi dan meminta pendapat dari praktisi di bidang keamanan TI. Adapun Tugas-tugas administrasi dari kendali akses adalah sebagai berikut: 1. Menambahkan control list pada suatu resource. 2. Meng-update control list pada suatu resource. 3. Menghapus hak akses pada suatu resource. 3.2Analisa dan Rekomendasi Saat ini pada PT. Adiperkasa Distribusindo terdapat lima sistem yang dibatasi penggunaannya, yaitu sistem domain Windows 2000, sistem proxy Wingate, sistem asuransi GEL, sistem keuangan FIT, dan sistem sumber daya manusia HR. Akses terhadap sistem-sistem tersebut dibatasi hanya pada divisi yang menggunakan sistem tersebut. Sistem kendali akses yang digunakan adalah dengan menggunakan password, dan khusus untuk sistem sumber daya manusia HR menggunakan pemindaian sidik jari. Di samping itu, PT Asuransi Maju Bersama menggunakan metode file-sharing untuk hal-hal sebagai berikut: 1. Menjalankan aplikasi asuransi individunya. 2. Berbagi informasi, misalnya informasi pemegang polis dan klaim yang diajukan, di antara sesama pegawai dalam satu departemen atau antar departemen yang membutuhkan. 3. Berbagi-pakai printer. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 23

Matriks dari kendali akses untuk file sharing dapat dilihat pada Tabel 3.1. SHARED FOLDER DAN LOKASINYA shared folder untuk shared folder untuk Gel_Ind fungsi internal tiap fungsi antar departemen (Application departemen (PC staf (PC staf departemenserver 1) departemen terkait) departemen terkait)

NAMA

TUGAS/ JABATAN

Master (Proxy server)

A03

Head of Optech

N/A

N/A

*

**

A04

Head of NBU

N/A

R/W

*

**

A05

Supervisor

N/A

R/W

*

**

A06

Consultant

N/A

N/A

*

**

A07

Staff

N/A

R/W

*

**

A08

Head of CS/Claim

N/A

R/W

*

**

A09

Staff

N/A

R/W

*

**

A10

Staff

R/W

R/W

*

**

A11

Head of IT

R/W

R/W

*

**

A12


N/A

R/W

*

**

A13

Data support

R/W

R/W

*

**

A14

Help desk

N/A

R/W

*

**

A15

Head of IS

N/A

N/A

*

**

A16

Programmer

N/A

N/A

*

**

A17

Programmer

N/A

N/A

*

**

A18

Head of actuary

N/A

R/W

*

**

A19

Staff

N/A

R/W

*

**

A20

Staff

N/A

R/W

*

**

A21

Head of finance

N/A

R/W

*

**

N/A

N/A

*

**

N/A

R/W

*

**

N/A

R/W

*

**

N/A

R/W

*

**

A22 A23 A24 A25

Accounting supervisor Cashier Finance staff

Premium collector


SHARED FOLDER DAN LOKASINYA shared folder untuk shared folder untuk Gel_Ind fungsi internal tiap fungsi antar departemen (Application departemen (PC staf (PC staf departemenserver 1) departemen terkait) departemen terkait)

NAMA

TUGAS/ JABATAN


A26

Finance staff

N/A

R/W

*

**

A27

OSD staff

N/A

N/A

*

**

A28

Office boy

N/A

N/A

*

**

A29

Office boy

N/A

N/A

*

**

A30

Office boy

N/A

N/A

*

**

A31

Office boy

N/A

N/A

*

**

A32

Office boy

N/A

N/A

*

**

A33

Office boy

N/A

N/A

*

**

A34

Security guard

N/A

N/A

*

**

A35

Security guard

N/A

N/A

*

**

A36

Head of marketing

N/A

N/A

*

**

A37

Head of ADS

N/A

N/A

*

**

A38

ADS staff

N/A

N/A

*

**

A39

Head of bancassurance

N/A

N/A

*

**

N/A

N/A

*

**

N/A

R/W

*

**

N/A

R/W

*

**

N/A

R

*

**

N/A

R/W

*

**

N/A

N/A

*

**

N/A

N/A

*

**

A40 A41 A42

Bancassurance staff Marketing support supervisor Marketing support staff Marketing &

A43

promotion supervisor

A44

A45

A46

Marketing support staff Graphic designer Research & product staff


TUGAS/ JABATAN

NAMA

A47

Bancassurance staff


SHARED FOLDER DAN LOKASINYA shared folder untuk shared folder untuk Gel_Ind fungsi internal tiap fungsi antar departemen (Application departemen (PC staf (PC staf departemenserver 1) departemen terkait) departemen terkait)

N/A

N/A

*

**

A48

Head of CCC

N/A

N/A

*

**

A49

Secretary

N/A

N/A

*

**

A50

Receptionist

N/A

N/A

*

**

A51

Head of HRD

N/A

N/A

*

**

A52

HRD staff

N/A

N/A

*

**

A53

HRD staff

N/A

N/A

*

**

Keterangan:

*

R/W untuk anggota dept. terkait, N/A untuk dept. Lain

**

R/W untuk anggota dept. terkait, R untuk dept. Lain Tabel 3.1 matriks Kendali Akses File Sharing

Sedangkan matriks dari kendali akses untuk print sharing dapat dilihat pada tabel berikut:

NAMA TUGAS/JABATAN

LQ-2180 T

LASERJET 2300 Y

PRINTER LX-300 LASERJET 6P Y Y

DESKJET 690C Y

A01

President Director

A02

Director

T

Y

Y

Y

Y

A03

Head of Optech

T

Y

Y

Y

Y

Head of NBU

T

Y

Y

Y

Y

A05

Supervisor

T

Y

Y

Y

Y

A06

Consultant

T

Y

Y

Y

Y

A07

Staff

Y

Y

Y

Y

Y

A08

Head of CS/Claim

T

Y

Y

Y

Y

Staff

T

Y

Y

Y

Y

A10

Staff

T

Y

Y

Y

Y

A11

Head of IT

T

Y

Y

Y

Y

A12


Y

Y

Y

Y

Y

A13

Data support

T

Y

Y

Y

Y

Help desk

Y

Y

Y

Y

Y

A15

Head of IS

T

Y

Y

Y

Y

A16

Programmer

T

Y

Y

Y

Y

A17

Programmer

T

Y

Y

Y

Y

A18

Head of actuary

T

Y

Y

Y

Y

A19

Staff

T

Y

Y

Y

Y

Staff

T

Y

Y

Y

Y

Head of finance

T

Y

Y

Y

Y

A04

A09

A14

A20 A21


A22

Accounting supervisor

T

Y

Y

Y

Y

A23

Cashier

T

Y

Y

Y

Y

A24

Finance staff

T

Y

Y

Y

Y

Premium collector

Y

Y

Y

Y

Y

A26

Finance staff

T

Y

Y

Y

Y

A27

OSD staff

T

Y

Y

Y

Y

A28

Office boy

T

Y

Y

Y

Y

A29

Office boy

T

Y

Y

Y

Y

A30

Office boy

T

Y

Y

Y

Y

Office boy

T

Y

Y

Y

Y

A32

Office boy

T

Y

Y

Y

Y

A33

Office boy

T

Y

Y

Y

Y

A34

Security guard

T

Y

Y

Y

Y

A35

Security guard

T

Y

Y

Y

Y

Head of marketing

T

Y

Y

Y

Y

A37

Head of ADS

T

Y

Y

Y

Y

A38

ADS staff Head of bancassurance

T

Y

Y

Y

Y

T

Y

Y

Y

Y

A40

Bancassurance staff Marketing support

T

Y

Y

Y

Y

A41

supervisor Marketing support

T

Y

Y

Y

Y

A42

staff Marketing &

T

Y

Y

Y

Y

A43

promotion supervisor Marketing support

T

Y

Y

Y

Y

A44

staff

T

Y

Y

Y

Y

A45

Graphic designer Research & product

T

Y

Y

Y

Y

A46

staff

T

Y

Y

Y

Y

A47

Bancassurance staff

T

Y

Y

Y

Y

A48

Head of CCC

T

Y

Y

Y

Y

A49

Secretary

T

Y

Y

Y

Y

A50

Receptionist

T

Y

Y

Y

Y

A51

Head of HRD

T

Y

Y

Y

Y

A52

HRD staff

T

Y

Y

Y

Y

HRD staff

T

Y

Y

Y

Y

A25

A31

A36

A39

A53

Tabel 3.2 Matriks Kendali Akses Print Sharing

Dengan melihat kedua matriks di atas dapat disimpulkan bahwa PT Asuransi Maju bersama telah memiliki kendali akses yang cukup baik.


BAB IV KEAMANAN TELEKOMUNIKASI DAN JARINGAN

4.1Dasar Teori Sehubungan dengan keamanan telekomunikasi dan jaringan, ada beberapa hal yang perlu untuk diperhatikan, yaitu: 1. Keamanan komunikasi dan jaringan sehubungan dengan pengiriman suara, data, multimedia, dan faximili dalam suatu local area, wide area, dan remote access. 2. Teknik pengamanan komunikasi untuk mencegah, mengetahui, dan memperbaiki kesalahan sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi melalui jaringan dapat terpelihara. 3. Internet/intranet/extranet sehubungan dengan firewalls, routers, gateways, dan berbagai protocols. 4. Teknik dan manajemen keamanan komunikasi, yang meliputi pencegahan, pelacakan, dan perbaikan kesalahan, sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi melalui jaringan dapat terpelihara. Berikut beberapa konsep manajemen keamanan komunikasi dan jaringan yang sebaiknya diperhatikan: 1. The C.I.A triad, meliputi Confidential, Integrity, dan Availability. 1.1 Confidential. Bertujuan untuk menjaga kerahasiaan dari isi data. Untuk mencapai tujuan tersebut ada beberapa hal yang dapat dilakukan, yaitu: •

Network security protocols

•

Network authentication services

•

Data encryption services

1.2 Integrity. Merupakan jaminan bahwa pesan yang dikirim dan yang diterima merupakan pesan yang sama, dalam arti lengkap. Beberapa hal yang dapat digunakan, yaitu: •

Firewall services

•

Communications security management

•

Intrusion detection services

1.3 Availability. Memastikan bahwa koneksi yang dibutuhkan akan selalu tersedia kapan saja dibutuhkan. Beberapa hal yang dapat digunakan, yaitu: • Back up and redundant disk system © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 28

•

Acceptable logins and operation process performance

•

Reliable and interoperable security process and network security mechanisms

2. Remote access manajemen, Merupakan manajemen elemen teknologi yang digunakan untuk remote computing, yang meliputi: 2.1 Dial up, async, and remote internet connectivity 2.2 Securing enterprise and telecommuting remote connectivity 2.3 Remote user management issues 3. Intrusion detection and response, terdiri dari dua konsep, yaitu: 3.1 Intrusion Detection Systems, yang meliputi: •

Memonitor host dan jaringan

•

Notifikasi setiap kejadian

3.2 Computer Incodent Response Teams (CIRT), yang meliputi: •

Menganalisa notifikasi setiap kejadian

•

Memberikan resposn perbaikan untuk kejadian tersebut

•

Memperketat prosedur

•

Memberikan laporan follow-up

4. Network availability, meliputi 4.1 Redundant Array of Inexpensive Disk (RAID) 4.2 Backup concepts: •

Full back up methods

•

Incremental back up methods

•

Differential back up methods

4.3 Managing single points of failure, yang meliputi: •

Cabling failures

•

Topology failures (ethernet, token ring, fiber distributiion data, fiber distribution data interface (FDDI), leased lines, dan frame relay)

5. Network attacks and abuses. Berikut ancaman jaringan dan penangannya yang umum terjadi: 5.1 Penyusupan ke jaringan Penanganan: Firewalls 5.2 Pemanfaatan bugs pada software, buffer overflows Penanganan: Intrusion Detection Systems © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 29

5.3 Denial of service Penanganan: Intrusion Detection Systems 5.4 Packet sniffing Penanganan: Encryption (SSH, SSl. HTTPS) 5.5 Masalah sosial Penanganan: Pelatihan, awareness program 6. Trusted network interpretation (TNI) Sedangkan untuk konsep teknologi beberapa hal yang dapat diperhatikan adalah sebagai berikut: 6.1 Protocols •

Layer architecture concept

•

Open systems interconnect (OSI) model

•

Transmission control protocol/internet protocol (TCP/IP) model

•

Security-enhanced and security-focused protocols

6.2 Firewall types and architectures 6.3 Virtual private Networks (VPNs) •

VPN Protocol standards

•

VPN Devices

6.4 Data Networking Basics •

Data Network types

•

Common data network services

•

Data networking technologies

•

Local Area Network (LAN) technologies

•

Wide Area Network (WAN) technologies

•

Remote access technologies

•

Remote identification and authentication technologies

4.2Analisa dan Rekomendasi PT. Asuransi Maju Bersama memiliki Local Area Network (LAN) berbasis TCP/IP, akses Internet kabel, dan telekomunikasi internal dengan PABX. LAN digunakan oleh perusahaan untuk melakukan proses bisnis perusahaan, yakni menjalankan seluruh sistem yang ada dan juga berkomunikasi melalui email dan chat. Seluruh sistem berjalan pada servers perusahaan yang disimpan di dalam sebuah ruangan server. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 30

Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan untuk keperluan email melalui sebuah proxy server. Sedangkan untuk akses lain seperti browsing hanya dapat dilakukan oleh direktur, manajer, kepala divisi, kepala departemen, dan staf departemen TI. Terdapat beberapa kelemahan di dalam keamanan jaringan di PT Asuransi Maju Bersama sebagai berikut: 1. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga hanya terdapat satu network, yakni 192.168.0.0 dengan subnet mask 255.255.255.0. Hal ini dapat menimbulkan masalah di kemudian hari saat jumlah host yang digunakan semakin banyak, karena dengan hanya menggunakan sebuah network, setiap host akan menerima setiap paket broadcast yang dikirimkan oleh suatu host lain. Apabila jumlah paket broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain itu,

penggunaan satu network tidak menyediakan pembatasan akses terhadap

sumber daya komputer penting seperti server. Setiap host dapat mengakses server karena berada dalam network yang sama. Kelemahan lain adalah penentuan IP address yang bersifat statik untuk seluruh host yang ada. Penggunaan IP address statik adalah hal yang sangat disarankan untuk hosts yang penting seperti server dan router. Namun penggunaan alamat statik untuk PC adalah suatu hal yang merepotkan dengan semakin banyaknya jumlah PC. 2. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub meskipun jumlahnya sedikit. Seperti diketahui bahwa hub memiliki bandwidth yang kecil. Di samping itu, seluruh switch yang digunakan merupakan switch unmanaged atau sederhana yang tidak memiliki fitur-fitur canggih seperti pembatasan akses berdasarkan MAC address host dan Spanning Tree Protocol. Tidak adanya fitur keamanan di dalam switch yang digunakan akan memungkinkan akses ilegal ke dalam LAN perusahaan. Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat availability LAN, karena desain LAN tersebut tidak bersifat redundant. 3. Windows domain controller dan mail server. Tidak adanya backup domain controller di dalam sistem jaringan PT Asuransi Maju Bersama akan sangat mengurangi tingkat availability LAN. Apabila terjadi kegagalan pada Primary Domain Controller Windows 2000 maka PC klien tidak dapat menggunakan sumber daya komputer yang dibagipakai seperti file-sharing dan printer. Potensi masalah ini semakin meningkat dengan © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 31

disatukannya fungsi primary domain controller dan mail server Microsoft Exchange Server 2000 dalam satu server. 4. RAID. Semua server yang digunakan tidak memiliki atau tidak memanfaatkan fitur RAID. Setiap server hanya memiliki sebuah hard disk, sehingga apabila terjadi kegagalan maka server tersebut tidak dapat beroperasi untuk waktu yang cukup lama sehingga akan menghentikan proses bisnis perusahaan. Meskipun terdapat proses backup yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena tidak adanya hard disk cadangan yang siap sedia. 5. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan kabel listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan komputer. 6. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak, yakni Zone Alarm, dan ditambah dengan proxy server Wingate. Permasalahannya adalah bahwa server yang digunakan untuk menjalankan firewall tersebut juga digunakan untuk menjalankan mail server eksternal. Hal tersebut akan sangat memberatkan kerja server. Sedangkan server yang digunakan adalah server berbasis PC rakitan yang tidak didesain untuk menjalankan fungsi server, dengan jumlah RAM hanya 256 MB, dan tidak adanya fungsi RAID. Berikut adalah rekomendasi-rekomendasi yang diajukan untuk meningkatkan keamanan telekomunikasi dan jaringan PT Asuransi Maju Bersama: 1. Penggunaan router dengan fitur firewall. Kini telah tersedia router multifungsi yang memiliki beberapa fitur penting seperti firewall, VPN, dan VoIP. Router jenis ini sangat sesuai digunakan untuk UKM dengan dana terbatas. Dengan menggunakan router maka dapat dibuat beberapa subnet yang memisahkan host penting seperti server dengan host klien, dan memisahkan host klien di suatu divisi atau departemen dengan host klien di divisi atau departemen yang lain. Router juga memiliki fungsi DHCP server yang akan menentukan IP address host klien secara dinamis, sehingga meningkatkan skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall, router tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan kinerja yang lebih baik. 2. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki fitur pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya host yang diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur Spanning Tree Protocol, LAN dapat didesain secara redundant, dimana apabila sebuah alat jaringan atau hubungan kabel mengalami kegagalan, maka alat jaringan atau hubungan © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 32

cadangan dapat segera beroperasi untuk menggantikannya. Dan dengan adanya fitur VLAN maka penggunaan port switch dan kabel dapat menjadi lebih efisien, karena digunakannya koneksi kabel yang sama untuk lebih dari dua subnet. 3. Backup domain controller dan mail server. Dengan adanya server backup domain controller, host klien masih dapat mengakses domain dan menggunakan sumbersumber daya komputer yang dibagi-pakai. 4. RAID. Setiap server perlu ditambah satu buah hard disk lagi dengan fungsi RAID level 1, dimana data yang berada di dalam hard disk utama diduplikasi ke dalam hard disk kedua. Apabila hard disk utama mengalami kegagalan maka dapat secara otomatis digantikan oleh hard disk kedua. 5. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan kabel listrik untuk menghindari noise terhadap sinyal jaringan.


BAB V KRIPTOGRAFI

5.1Dasar Teori Tujuan dari kriptografi adalah memproteksi informasi agar tidak dibaca ataupun digunakan oleh pihak yang tidak berwenang atas informasi tersebut. Dengan kata lain informasi yang dikirimkan tidak boleh sampai kepada penerima yang tidak seharusnya. Untuk mencapai tujuan tersebut dilakukan kriptografi yaitu penulisan rahasia atau penyandian informasi. Kriptografi terdiri dari lima bagian, yaitu: 1. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya. 2. Encryption algoritm, proses enkripsi merupakan transformasi dari “plaintext” ke “chipertext” 3. Secret key 4. Chipertext, merupakan sebuah pesan dalam bentuk kode rahasia (tersandi). 5. Decrytion algorithm, proses deskripsi merupakan transformasi dari “chipertext” ke “plaintext”. Terdapat dua jenis sistem kriptografi yakni sistem kriptografi private dan public key. Sistem kriptografi private key berdasar pada algoritma enkripsi simetris yang menggunakan private (rahasia) key untuk mengenkripsi teks biasa menjadi ciphertext, dan kunci yang sama digunakan juga untuk mendekripsi ciphertext tadi menjadi teks biasa. Dalam hal ini, kunci tersebut simetris karena kunci enkripsi sama dengan kunci dekripsi. Sistem kriptografi public key menggunakan sepasang kunci. Kunci pertama, yakni private key, digunakan untuk mengenkripsi data, dan kunci kedua, yakni public key, digunakan untuk mendekripsi data. Masing-masing kunci dapat digunakan untuk mengenkripsi maupun mendekripsi data. Public key dapat diperoleh secara bebas untuk mengenkripsi dan mengirim sebuah pesan. Berikut adalah beberapa hal penting mengenai sistem kriptografi public key: •

Public key tidak dapat mendekripsi pesan yang telah dienkripsi oleh public key itu sendiri.

•

Idealnya, private key tidak dapat diturunkan atau didapat dari public key.

•

Sebuah pesan yang dienkripsi oleh salah satu key dapat didekripsi oleh kunci yang lain.


•

Private key harus dirahasiakan. Kriptografi juga digunakan dengan tujuan untuk menjaga integritas pesan atau data

yang dikirim dengan menggunakan digital signature. Digital signature dibuat dengan memproses isi pesan menggunakan hash function untuk menghasilkan sebuah message digest yang bersifat unik untuk setiap pesan. Message digest tersebut kemudian dienkripsi dengan private key milik pengirim dan dilampirkan bersama dengan pesan aslinya, barulah pesan tersebut dikirim. Penerima mendekripsi message digest yang terlampir menggunakan public key milik pengirim. Apabila berhasil berarti identifikasi pengirim berhasil diverifikasi. Selanjutnya penerima membuat message digest dari pesan yang diterima menggunakan hash function yang sama dengan yang digunakan pengirim. Apabila kedua message digest sama maka dapat disimpulkan bahwa isi pesan tidak dimodifikasi. 5.2Analisa dan Rekomendasi Data-data yang bersifat confidential di dalam perusahaan ini telah dilindungi pada level Access Control List. Sedangkan pengiriman e-mail baik internal maupun eksternal belum

menggunakan

metode

pengamanan

dengan

kriptografi.

Maka

penulis

merekomendasikan kepada PT Asuransi Maju Bersama untuk menggunakan kriptografi berbasis Public Key Infrastructure. Untuk menghemat anggaran, perusahaan dapat menggunakan PKI yang bersifat open source seperti Pretty Good Privacy yang memiliki kehandalan yang cukup baik. Dari sudut pandang jaringan komputer, perusahaan ini sama sekali belum menggunakan metode enkripsi untuk pengamanan pengiriman data melalui jaringan, baik untuk pengiriman data internal maupun dengan pihak luar. Hingga kini, PT Asuransi Maju Bersama belum melakukan kegiatan e-bisnis yang melibatkan perusahaan lain, selain melalui e-mail, sehingga belum memerlukan implementasi keamanan jaringan dengan pihak eksternal. Namun apabila di masa depan diputuskan untuk melakukan kerja sama e-bisnis dengan perusahaan lain, PT Asuransi Maju Bersama harus mempertimbangkan implementasi keamanan jaringan demi kepentingannya sendiri dan kepentingan perusahaan mitra. Untuk

keamanan

pengiriman

data

di

dalam

LAN

perusahaan,

penulis

merekomendasikan penggunaan metode enkripsi IPSec. IPSec adalah sebuah standar yang menyediakan enkripsi, kendali akses, non-repudiation, dan otentikasi dari pesanpesan yang dikirimkan melalui IP. Untuk implementasi IPSec ini, perusahaan dapat © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 35

menggunakan fitur IPSec yang dimiliki oleh sistem operasi Windows 2000 Server. Untuk memperoleh

tingkat

keamanan

sistem

informasi,

perusahaan

disarankan

untuk

menggunakan IPSec untuk pengiriman data oleh setiap komputer di dalam perusahaan. Hal ini dapat dicapai melalui penerapan kebijakan keamanan domain Active Directory Windows 2000 Server.


BAB VI ARSITEKTUR DAN MODEL-MODEL KEAMANAN

6.1Dasar Teori Arsitektur keamanan dari sebuah sistem informasi sangat dibutuhkan untuk menentukan kebijakan keamanan informasi sebuah organisasi. Karena itu hal-hal seperti arsitektur komputer, mekanisme proteksi, isu-isu keamanan lingkungan, dan model formal untuk framework kebijakan keamanan harus dipahami. Kebijakan keamanan yang biasa dilakukan antara lain: 1. Proteksi. Merupakan teknik proteksi yang umum dalam suatu sistem. Misal: Virtual memory melakukan isolasi address space dari setiap user. 2. Trusted Computing Based (TCB), merupakan kombinasi mekanisme proteksi yang ada dalam sistem komputer (enforce security). Basis atau pusta sistem yang paling aman. 3. Path of Logical Access: computing system •

Network

•

Operating system platform

•

Database

•

Application layers

4. Proteksi terluar: networks •

Front-end system: perimeter dengan eksternal un-trusted systems

•

Back-end systems: perimeter dengan user internal melalui login ke domain (OS) TCB

5. Logical access control software Kontrol akses ke operating sistem secara umum memiliki fungsi sebagai berikut: 1. User identification and authentication mechanisms 2. Restricted logon Ids 3. Rules for access to specific information resources 4. Create individual accountability and auditability 5. Create or change user profiles log events 6. log user activity 7. report capability © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 37

Kontrol akses ke database biasanya memiliki fungsi-fungsi berikut: 1. Membuat atau mengganti data dan profile database 2. Verify user authorization at the application and transaction levels 3. Verify user authorization whitin the application 4. Verify user authorization at the field level for changes whithin database 5. Verify subsystem athorization for the user at the file level 6. Log database/data communications access activities for monitoring access violations. 6.2Analisa dan Rekomendasi Penggunaan model dan arsitektur sekuriti mengikuti model sekuriti dan arsitektur dari operating sistem yang dipakai. Tidak ada suatu arsitektur dan model yang khusus yang diterapkan pada perusahaan ini. Model sekuriti dapat terlihat seperti pada tabel di bawah ini: Aspek Network Access Control Application Logon Database File System

Model Keamanan Network mengikuti credential dari Active Directory mengikuti credential dari Active Directory mengikuti credential dari DBMS yang digunakan mengikuti credential dari Active Directory Tabel 6.1 Model Keamanan

Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login dan password untuk masuk ke aplikasi tersebut, sehingga hanya user yang memiliki hak akses yang dapat menggunakan aplikasi tertentu. Sedangkan pada level database, keamanan data dijaga selain dengan dilakukan back-up file, ada aturan tidak semua data dapat diubah melalui aplikasi, terutama data-data keuangan, hal ini untuk menjaga keabsahan data. Selain itu, seluruh karyawan juga diberikan pengetahuan mengenai penggunaaan komputer melalui berbagai pelatihan dan disesuaikan dengan kebutuhan.


BAB VII KEAMANAN OPERASI-OPERASI

7.1Dasar Teori Keamanan operasi merupakan serangkaian kegiatan yang bertugas untuk melakukan pengawasan terhadap semua fasilitas perangkat keras komputer, data, dan orang-orang yang menggunakan fasilitas-fasiltas tersebut. Semua itu dilakukan agar ketiga aspek penting dalam teknologi informasi dapat tetap terpelihara, yaitu confidentiality, integrity, dan availability (C.I.A). Beberapa hal yang dapat dilakukan untuk melakukan pengawasan ini adalah: 1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya 2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan 3. Pengawasan terhadap terjadinya kesalahan I/O Domain ini seperti domain-domain lainnya juga memperhatikan ketiga aspek berikut: 1. Threat. Dapat didefinisikan sebagai hal-hal yang dapat menyebabkan gangguan keamanan operasi komputer yang disebabkan oleh pihak luar. 2. Vunerability. Merupakan kelemahan dari sistem itu sendiri yang dapat menyebabkan gangguan keamanan operasi komputer. 3. Asset. Hal-hal yang berhubungan dengan perangkat lunak dan keras, data, serta orang-orang yang menggunakan fasilitas tersebut. 7.2Analisa dan Rekomendasi Dalam melakukan keamanan operasi PT. Asuransi Maju Bersama mencoba untuk menerapkan beberapa tindakan pengawasan berdasarkan tiga aspek pengawasa berikut: 1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya 2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan 3. Pengawasan terhadap terjadinya kesalahan I/O Tindakan-tindakan pengawasan yang dilakukan adalah sebagai berikut: 1. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna dapat menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 39

penerapan akses kontrol. 2. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan akses kontrol dan penerapan VLAN pada sistem perusahaan. 3. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan perbaikan terhadap sistem teknologi informasi perusahaan. 4. Change Management Control. Tindakan perbaikan atau perubahan dalam sistem teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara tidak sengaja karena adanya perbaikan dan perubahan tersebut. 5. Adminstrative Control. Untuk melakukan pemasangan software baru dan perawatan sistem dilakukan oleh bagian TI yang bertanggung jawab secara khusus. 6. Record Retention. Menerapkan berapa lama data akan disimpan dalam database perusahaan.Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media yang dapat dihapus harus dengan prinsip kehati-hatian. 7. Media Security Control. Menerapkan akses kontrol dan metode logging pada server untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang dan dihancurkan dengan cara yang tepat, agar data yang terdapat dimedia itu tidak dapat di akses lagi oleh orang yang tidak berhak.


BAB VIII PENGEMBANGAN APLIKASI DAN SISTEM

8.1Dasar Teori Tujuan dari penerapan applicaton dan system development security adalah menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang harus memahami betul beberapa aspek antara lain: 1. Software life cycle development process 2. Software process capability maturity model 3. Object-oriented systems 4. Artificial intelligence system 5. Database systems: •

Database security issues

•

Data warehousinng

•

Data mining

•

Data dictionaries

6. Application Controls Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan keamanan pengembangan aplikasi dan sistem. 8.2Analisa dan Rekomendasi Aplikasi-aplikasi yang digunakan pada perusahaan ini adalah aplikasi yang dikembangkan oleh pihak ketiga. Aspek keamanan dari aplikasi-aplikasi tersebut mengikuti fitur keamanan yang telah disertakan oleh pengembang perangkat lunak tersebut. Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah: 1. GEL Insurance system 2. FIT finance system 3. HR system GEL adalah sebuah sistem yang berbasis Clipper dengan platform DOS, yang secara logis adalah merupakan sebuah shared folder yang berisi sub-sub folder yang terdiri dari file executable dan database berbasis file. Untuk menjalankan sistem ini, PC © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 41

klien harus membuat sebuah map network drive dengan hak akses read write ke server dimana sistem GEL tersebut berada. Hal ini sangat membahayakan confidentiality dan integrity dari sistem tersebut. Seseorang yang memiliki sedikit pengetahuan dan keahlian dalam bidang komputer berbasis Windows akan dengan mudah membuka dan mengacak-acak isi dari sistem tersebut. Oleh karena itu maka penulis merekomendasikan kepada PT Asuransi Maju Bersama untuk segera mengganti sistem asuransi GEL tersebut dengan sistem baru yang memiliki tingkat keamanan data lebih tinggi, misalnya sistem dengan RDBMS, sehingga seorang pemakai tidak dapat mengakses langsung basis data sistem. Meskipun FIT dan HR merupakan sistem berbasis RDBMS dengan metode akses menggunakan ODBC, namun keamanan basis data masih dapat terancam. Vulnerability sistem tersebut tetap ada dengan adanya sebuah jalan pintas menuju basis data sistem tersebut. Sebagai contoh, untuk memperoleh data yang dibutuhkan oleh pihak manajemen dan pemakai, seorang staf data support menggunakan tool administrasi RDBMS seperti MS Enterprise Manager untuk melakukan query data yang dibutuhkan tersebut. Hal ini dapat terjadi sebab sistem yang ada tidak menyediakan fasilitas query yang cukup baik. Penggunaan tool administrasi RDBMS tersebut sangat berbahaya, sebab apabila tidak hati-hati, data di dalam RDBMS tersebut dapat secara sengaja maupun tidak sengaja berubah, sehingga integritas data menjadi terganggu. Oleh karena itu maka penulis merekomendasikan kepada perusahaan ini untuk melarang penggunaan tool administrasi RDBMS tersebut dan menggantikannya dengan tool query yang lebih aman seperti Seagate Crystal Report.


BAB IX BUSINESS CONTINUITY PLANNING DAN DISASTER RECOVERY PLANNING

9.1Dasar Teori Perencanaan Disanter Recovery dan business continuity adalah untuk segera dapat menanggulangi apabila ada gangguan atau bencana terhadap sistem di perusahaan khususnya sistem komputer. Perencanaan ini diharapkan apapun yang terjadi bisnis tetap dapat beroperasi, dan melakukan penyelamatan sistem informasi. Ada beberapa hal yang dapat dilakukan, yaitu 1. Pembuatan Business Continuity Plan (BCP) Merupakan proses (otomisasi maupun manual) yang dirancang untuk mengurangi ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas layanan bagi operasi yang penting. 2. Pembuatan Disaster Recovery Plan (DRP) Saat business continuity berlangsung, maka juga dimulailah langkah-langkah untuk ‘penyelamatan’ (recovery) terhadap fasilitas IT dan sistem informasi. Dapat dikatakan juga DRP berupakan bagian dari BCP. Pembuatan BCP dan DRP harus disesuaikan dengan jenis-jenis bencana yang terjadi, misalkan penanganan untuk bencana kebakaran akan berbeda dengan banjir atau kecurian, dan lain sebagainya. 9.2Analisa dan Rekomendasi PT Asuransi Maju Bersama telah memiliki perencanaan disaster recovery dan business continuity yang cukup baik. Namun hingga saat ini belum terdapat jadwal uji coba terhadap perencanaan tersebut. Penulis merekomendasikan kepada perusahaan ini untuk membuat jadwal rutin uji coba perencanaan disaster recovery dan business continuity. Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu meyakinkan sistem operasional yang berkelanjutan mencakup IAS, FIT, GEL, E-mail, dan Exchange di lingkungan PT. Asuransi Maju Bersama. Sasaran khusus dari rencana ini termasuk: © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 43

1. Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti. 2. Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan. 3. Untuk bekerja cepat dan lengkap atas pemulihan bencana. 4. Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT. Berikut adalah tugas dari masing-masing anggota tim pemulihan bencana: 1. Ketua Tim Manajemen. Bertanggung jawab penuh untuk mengkoordinir strategi pemulihan bencana PT. Asuransi Maju Bersama dan meyakinkan bahwa seluruh karyawan sadar atas kebijakan pemulihan bencana dan merupakan tanggung jawab mereka untuk melindungi informasi perusahaan.Tugas-tugasnya antara lain: 1) Memimpin pemulihan bencana 2) Mengumumkan rencana pemulihan bencana. 3) Menunjuk Koordinator pemulihan bencana. 2. Koordinator

Pemulihan

Bencana.

Bertanggung

jawab

untuk

mengkoordinir

pengembangan pemulihan bencana seperti digambarkan oleh kebijakan dan mengarahkan implementasi dan uji coba rencana. Tugas-tugasnya antara lain: 1) Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana. 2) Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan departemen terkait. 3) Bertanggung jawab untuk menjaga inventori aset IT yang terkini. 4) Mengelola pengetesan dan laporan hasil tes. Pernyataan Bencana. Keputusan untuk menyatakan sebuah pemulihan bencana merupakan wewenang Ketua Tim Manajemen setelah meneliti situasi yang berlangsung. Jika Ketua Tim Manajemen memutuskan untuk menyatakan pelaksanaan prosedur pemulihan bencana, maka seluruh anggota tim pemulihan bencana akan mengikuti prosedur yang tercantum di dalam manual sampai pemulihan tuntas. Ketidaktersediaan sistem, atas apapun penyebabnya, akan mengacu kepada tingkat kewaspadaan dengan kode warna sebagai berikut: WASPADA MERAH - Suatu kerusakan total pusat data yang menyebabkan perbaikan jangka panjang, lebih dari tiga minggu. WASPADA BIRU - Bencana lokal, misal kebakaran pada ruangan komputer, yang dapat menyebabkan operasi terganggu lebih dari satu minggu. WASPADA KUNING - Ketidaktersediaan ruangan komputer yang dapat menyebabkan terganggunya operasi tiga hari sampai satu minggu. WASPADA HIJAU - Kerusakan minor seperti kerusakan hardware yang dapat © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 44

menyebabkan pemulihan antara satu sampai tiga hari. Apa Yang Harus Dilakukan Jika Terjadi Bencana. Bagian paling kompleks dan kritis dari manajemen sumber daya adalah perencanaan dan organisasi personil yang diperlukan sepanjang pelaksanaan rencana. Personil yang berpengalaman dan terlatih akan jarang memerlukan prosedur terperinci tetapi mereka harus berada di tempat pada waktu yang tepat, dan memastikan tugas mereka berjalan dengan lancar. Langkah pertama jika terjadi kerusakan fatal adalah menilai sifat dan luas dari masalah itu. Prioritas Pertama Dalam Situasi Darurat Adalah Meyakinkan Evakuasi Seluruh Personil Secara Aman: 1. Semua karyawan berkumpul di luar lokasi gedung. 2. Manajemen gedung harus segera dihubungi atas situasi darurat, keamanan, dan pihakpihak yang berwenang. 3. Lengkapi lembaran konfirmasi bencana. 4. Memberi suatu penilaian awal kepada koordinator pemulihan bencana. Derajat kerusakan pada bangunan dan peralatan dan status staf. Juga melaporkan tindakan apa yang telah diambil.


BAB X HUKUM, INVESTIGASI, DAN ETIKA

10.1Dasar Teori Ada beberapa peraturan yang dapat diaplikasikan dalam keamanan sistem informasi. Peraturan tersebut dapat suatu prosedur, aturan perusahaan, dan lain-lain sampai dengan etika. Untuk peraturan seperti prosedur, pedoman, dan lain-lain merupakan sesuatu yan tertulis, sedangkan etika perlakuannya sedikit berbeda. Etika adalah sebuah prinsip antara yang benar dan yang salah, yang dapat digunakan sebagai komitmen untuk sebuah konsep tindakan kejahatan dalam IT. Konsep dasar dari etika dalam masyarakat informasi meliputi tanggung jawab, accountability, dan kewajiban. Selain etika ada juga yang dikenal sebagai privasi, yakni perlindungan terhadap individu dari intervensi oleh pihak lain. Dalam kasus TI juga dapat diterapkan information privacy. Berikut adalah jenis-jenis umum dari kejahatan komputer: 1. Denial of Service dan Distributed Denial of Service. 2. Pencurian password. 3. Intrusi jaringan. 4. Emanation eavesdropping. 5. Social engineering. 6. Illegal content of material. 7. Fraud. 8. Software piracy. 9. Dumpster diving. 10.Malicious code. 11.Spoofing of IP address. 12.Information warfare. 13.Spionase. 14.Penghancuran atau perubahan informasi. 15.Penggunaan scripts yang tersedia di Internet. 16.Masquerading. 17.Embezzlement. 18.Data-diddling. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 46

19.Terorisme. 10.2Analisa dan Rekomendasi Indonesia belum memiliki hukum kejahatan komputer, kecuali untuk masalah pembajakan perangkat lunak. Namun bukan berarti bahwa kejahatan komputer dapat dibiarkan begitu saja tanpa ada sanksi yang memberatkan. Minimal suatu perusahaan dapat membuat peraturan yang mengakomodasi kejahatan komputer yang dilakukan pegawai-pegawainya beserta konsekuensi atau sanksinya. PT Asuransi Maju Bersama secara umum telah menyinggung masalah ini di dalam kebijakan TI-nya sebagai berikut: Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha. Khusus domain ini PT. Asuransi Maju Bersama, memang tidak secara jelas menuliskan peraturan yang bersifat etika dalam peraturan perusahaan. Peraturan tertulis yang dimiliki perusahaan sehubungan dengan keamanan teknologi informasi antara lain standard, guidelines dan prosedur. Sedangkan untuk etika dalam teknologi informasi perusahaan akan mengacu pada nilai-nilai kebaikan yang berlaku umum di lingkungan perusahaan. Misalkan hal-hal yang dapat mengakibatkan kerusakan pada sistem yang dilakukan secara sengaja oleh orang tertentu dapat dikategorikan sebagai tindakan kejahatan TI, berusahaan untuk melindungi data-data rahasia perusahaan, dan lain-lain.


BAB XI KEAMANAN FISIK

11.1Dasar Teori Domain keamanan fisik membahas ancaman-ancaman, kelemahan-kelemahan, dan tindakan-tindakan pengamanan yang dapat diutilisasi untuk secara fisik melindungi sumber daya dan informasi sensitif perusahaan. Sumber daya ini meliputi pegawai, fasilitas tempat pegawai bekerja, dan data, peralatan, sistem-sistem pendukung, dan media yang digunakan. Triad Confidentiality, Availability, dan Integrity berada pada kondisi beresiko di dalam lingkungan fisik, dan oleh sebab itu harus dilindungi. Berikut adalah contoh-contoh ancaman-ancaman terhadap keamanan fisik: 1. Keadaaan darurat, meliputi •

Kebakaran dan kontaminan asap.

•

Keruntuhan atau ledakan gedung.

•

Utility loss (tenaga listrik, AC, pemanasan).

•

Kerusakan air (kebocoran pipa).

•

Terlepasnya material beracun.

2. Bencana alam, meliputi •

Gempa dan tanah longsor.

•

Badai (salju, es, dan banjir).

3. Campur tangan manusia, meliputi •

Sabotase.

•

Vandalisme.

•

Perang.

•

Serangan.

Keamanan fisik aset-aset IT dapat dijalankan dengan suatu metode kontrol. Secara umum aspek-aspek pengawasan meliputi: 1. Kendali-kendali administratif, meliputi •

Perencanaan kebutuhan-kebutuhan fasilitas. Membahas konsep diperlukannya perencanaan untuk kendali-kendali keamanan fisik di tahap awal dari


pembangunan sebuah fasilitas data. Elemen-elemen keamanan fisik yang terlibat di dalam tahap pembangunan meliputi pemilihan dan proses desain sebuah situs aman. Pemilihan situs yang aman harus mempertimbangkan masalah visibility, pertimbangan-pertimbangan lokal, potensi bencana alam, transportasi, kepemilikan gedung (joint tenancy), dan layanan-layanan eksternal. Sedangkan proses desain harus memperhatikan masalah jenis dinding, jenis atap, jenis lantai, jendela, pintu, sistem sprinkler, pipa zat cair dan gas, air conditioning, dan kebutuhan-kebutuhan listrik. •

Manajemen keamanan fasilitas. Membahas audit trail dan prosedur-prosedur darurat.

•

Kendali-kendali personel administratif. Meliputi proses-proses administratif yang umumnya diimplementasi oleh departemen SDM selama proses rekrut dan pemecatan.

2. Kendali-kendali lingkungan dan keselamatan jiwa. Meliputi kendali-kendali keamanan fisik yang dibutuhkan untuk menopang baik lingkungan operasi komputer maupun lingkungan operasi personel. Meliputi •

Tenaga listrik. Hal-hal yang dapat mengancam sistem listrik misalnya noise, brownout, dan kelembaban udara.

•

Deteksi dan supresi kebakaran. Hal-hal yang perlu diperhatikan antara lain adalah kelas-kelas kebakaran, bahan-bahan yang mudah terbakar, pendeteksi kebakaran, sistem-sistem pemadam kebakaran, medium-medium pemadam, serta kontaminasi dan kerusakan.

•

Pemanasan, ventilasi, dan air conditioning (HVAC).

3. Kendali-kendali fisik dan teknis. Meliputi •

Kebutuhan-kebutuhan kendali fasilitas, yang terdiri dari satuan pengamanan, anjing penjaga, pemagaran, pencahayaan, kunci, dan CCTV.

•

Alat-alat kendali akses fasilitas. Meliputi kartu-kartu akses keamanan dan alatalat biometrik.

•

Pendeteksi intrusi dan alarm.

•

Kendali inventori komputer.

•

Kebutuhan-kebutuhan penyimpanan media.

11.2Analisa dan Rekomendasi PT Asuransi Maju Bersama memiliki sebuah ruang khusus untuk menyimpan © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 49

server, yang berada di lantai yang sama dengan ruang kerja. Lokasi kantor cukup strategis dan terhindar dari banjir, karena berada di lantai 16. Namun karena berada di wilayah bisnis, transportasi dapat terganggu terutama pada jam-jam sibuk. Hal ini dapat mengganggu akses mobil pemadam kebakaran di saat terjadi kebakaran. Satu-satunya hal yang dapat dilakukan adalah meningkatkan kualitas sistem pemadam kebakaran secara mandiri. Dari kepemilikan gedung, karena PT Asuransi Maju Bersama dan perusahaan lain menyewa kantor yang digunakan, kendali terhadap listrik, sistem pemadam kebakaran, dan HVAC tidak berada di tangan perusahaan. Hal ini dapat menjadi

masalah

saat

terjadinya

bencana.

Penulis

merekomendasikan

kepada

perusahaan ini untuk membicarakan masalah service level agreement dengan pengelola gedung untuk menjamin ketersediaan layanan tadi. Secara desain, ruang kantor perusahaan memiliki banyak kelemahan. Tidak terdapat pertimbangan di dalam pemilihan jenis bahan dinding, atap, lantai, dan pintu. Jenis dan lokasi sistem sprinkler tidak tercatat dengan baik oleh perusahaan. Katup-katup pipa air, uap, atau gas berada di dalam bilik yang dikunci oleh pengelola gedung. Penulis merekomendasikan kepada perusahaan ini untuk membicarakan masalah ini dengan pengelola gedung untuk memperoleh solusinya. Terdapat buku tamu dan catatan aktivitas di dalam ruang server. Namun tidak ada penggunaan fitur audit trail di dalam sistem operasi server maupun PC untuk mencatat aktivitas pemakai. Direkomendasikan untuk mengaktifkan fitur audit trail yang terdapat di sistem operasi yang digunakan. Untuk masalah tenaga listrik, perusahaan ini telah memiliki dua buah UPS. Namun ini kurang mencukupi, baik dari segi jumlah maupun daya listrik. Selain itu server yang menggunakan UPS ini belum dikonfigurasi untuk secara otomatis mematikan server tersebut apabila listrik mati. Penulis merekomendasikan untuk menambah jumlah dan daya listrik UPS serta melakukan konfigurasi yang sesuai. Secara keamanan gedung maka keamanan menjadi tanggung jawab building management untuk menyediakan tenaga keamanan. Bagian IT bertanggung jawab terhadap keamanan dari ruang server. Selain itu lokasi, lingkungan, dan layout dari gedung juga sangat menentukan keamanan dari aset-aset kantor.


BAB XII AUDIT DAN ASSURANCE

12.1Dasar Teori Tujuan dari audit bisa sangat beragam antara lain adalah untuk evaluasi terhadap sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit ini juga perlu dilakukan. Tahapan-tahapan audit yang dapat dilakukan adalah sebagai berikut: 1. Audit Subject. •

Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan menyimpang dari tujuannya.

2. Audit Objective. •

Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit. Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui dengan pasti tujuan dari pelaksanaan audit.

3. Audit Scope (ruang lingkup). •

Menentukan

sistem,

fungsi

dan

bagian

dari

organisasi

yang

secara

spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai batasan ruang lingkup yang jelas. 4. Preaudit Planning. •

Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan dalam pelaksanaan audit.

•

Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.

•

Menentukan tempat dilaksanakannya audit.

5. Audit Procedures & Steps for data Gathering •

Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.

•

Menentukan orang-orang yang berhubungan dengan permasalahan untuk


diwawancarai. 6. Evaluasi Hasil Pengujian dan Pemeriksaan •

Evaluasi

dilakukan

kembali

setelah

hasil

pengujian

dan

pemeriksaan

dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau masih ada faktor-faktor lain yang harus dipertimbangkan. 7. Prosedur Komunikasi dengan Pihak Manajemen •

Setelah

dilaksanakan

audit

maka

pihak

yang

mengaudit

harus

mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak manajemen, agar audit dapat berjalan dengan lancar. 8. Audit Report Preperation •

Menentukan bagaimana cara mereview hasil audit yang diperoleh.

•

Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari organisasi yang diaudit.

12.2Analisa dan Rekomendasi PT Asuransi Maju Bersama telah menerapkan proses audit secara rutin yang dilakukan oleh pihak ketiga. Audit harus dilakukan secara periodik terhadap faktor-faktor yang telah disebutkan di atas oleh bagian IT dan oleh pihak eksternal. Dokumen audit harus mendapat persetujuan dari pihak manajemen dan jika ada hal-hal yang perlu diperbaiki menjadi tanggung jawab bagian IT. Audit meliputi: •

Perencanaan strategis sumber daya informasi

•

Operasi sistem informasi

•

Kerjasama dengan pihak ketiga

•

Keamanan informasi

•

Business continuity plan

•

Implementasi dan pemeliharaan sistem aplikasi

•

Dukungan dan implementasi database

•

Dukungan jaringan

•

Dukungan perangkat lunak

•

Dukungan perangkat keras Sehubungan dengan audit tersebut maka diperlukan dokumentasi-dokumentasi

sebagai berikut: 1. Struktur organisasi dan rincian tugas departemen IT. © 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini. 52

2. Rencana kerja departemen IT untuk jangka pendek dan panjang. 3. BCP dan DRP. 4. Diagram jaringan komputer. 5. Daftar hardware dan software yang digunakan (termasuk sistem aplikasi yang digunakan). 6. Dokumentasi sistem aplikasi. 7. Kebijakan keamanan sistem informasi. 8. Prosedur pengembangan sistem informasi. 9. Prosedur pengoperasian sistem komputer. 10.Prosedur pengamanan sistem informasi. 11.Prosedur pemeliharaan dan pengembangan jaringan komputer. 12.Perjanjian kerja sama dengan vendor atau pihak ketiga dalam pemeliharaan hardware dan software. Dari informasi-informasi tersebut maka dapat disimpulkan bahwa PT Asuransi Maju Bersama telah memiliki proses audit yang baik.


BAB XIII KESIMPULAN

Berdasarkan analisa terhadap kendali keamanan Sistem Informasi di PT Asuransi Maju Bersama dapat disimpulkan beberapa hal berikut: 1. PT Asuransi Maju Bersama sebaiknya dapat mengakomodir pendefinisian aset informasi yang dimiliki perusahaan tersebut. Perusahaan dapat mempertimbangkan kembali administrator atau pemelihara masing-masing informasi tersebut sesuai dengan kebijakan manajemen puncak. 2. Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-standar, pedoman-pedoman,

maupun

prosedur-prosedur

yang

berhubungan

dengan

pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan pembuatannya dengan disetujui dan disponsori oleh board of director kemudian disosialisasikan ke seluruh pegawai. 3. Kebijakan IT yang telah dimiliki oleh perusahaan harus secara berkala (minimal 1 tahun sekali) di uji atau direvisi untuk penyempurnaannya disesuakain dengan kondisi dan tuntutan bisnis saat itu. 4. PT Asuransi Maju Bersama belum secara serius memperhatikan masalah keamanan fisik di lingkungan kerjanya. 5. Audit harus dilakukan secara periodik terhadap faktor-faktor kritis oleh bagian IT dan oleh pihak auditor eksternal. Dokumen audit harus mendapat persetujuan dari pihak manajemen dan jika ditemukan ada hal-hal yang perlu diperbaiki menjadi tanggung jawab bagian IT.


DAFTAR PUSTAKA

Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc. Cisa review manual 2005. 2005. Illinois: Information System Audit and Control Association. Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik Keamanan Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil Juni, 8, 2005 dari http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2004/78/78-m-updateAdiperkasaDistribusindo.pdf.


ANALISA PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA

Recommend Documents