PERUSAHAAN AGEN PROPERTI PT. GRIYA MEDIA. Andreas Fobi Ign. Rudy Harjono Irman Triharyanto

TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI PERUSAHAAN AGEN PROPERTI PT. GRIYA MEDIA

Disusun oleh :

Andreas Fobi Ign. Rudy Harjono Irman Triharyanto

7203012025 7203012076 7203012114

MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONESIA 2005 1 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

DAFTAR ISI DAFTAR ISI…………………………………………………………………………

2

DAFTAR GAMBAR............................................................................................ 3 DAFTAR TABEL................................................................................................ 4 BAB I. PENDAHULUAN…………………………………………………………….. 5 1.1.

Latar Belakang………………………………………………………. 5

1.2.

Tujuan………………………………………………………………… 6

1.3.

Profil Perusahaan…………………………………………………... 6

BAB II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI……………………17 2.1.

Security Management Practices……………………………………. 17

2.2.

Access Control Systems and Methodology……………………… 31

2.3.

Telecommunication and Network Security………………………… 33

2.4.

Cryptography…………………………………………………………..34

2.5.

Security Architecture and Models………………………………….. 36

2.6.

Operations Security…………………………………………………. 38

2.7.

Application and Systems Development Security…………………. 39

2.8.

Disaster Recovery and Bussiness Continuity Plan………………. 40

2.9.

Laws, Investigations and Ethics……………………………………. 41

2.10. Physical Security……………………………………………………. 43 2.11. Auditing………………………………………………………………. 45

BAB III. KESIMPULAN………………………………………………………………. 48

DAFTAR PUSTAKA………………………………………………………………..... 49

2 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

DAFTAR GAMBAR Gambar 1.1. Struktur Organisasi PT. Griya Media.............................................8 Gambar 1.2. Topologi Jaringan Kantor Pusat....................................................12 Gambar 1.3. Topologi Jaringan Kantor Cabang.................................................12 Gambar 1.4. Lay-out Ruangan Kantor Pusat......................................................13 Gambar 1.5. Lay-out Ruangan Kantor Cabang Jakarta Timur (contoh).............14


DAFTAR TABEL Tabel 1.1.

Personil PT. Griya Media...............................................................10

Tabel 2.1.

Daftar Aset Non Fisik.....................................................................24

Tabel 2.2.

Daftar Ancaman terhadap Aset Fisik Perusahaan.........................25

Tabel 2.3.

Daftar Ancaman terhadap Aset Teknologi Informasi Perusahaan.27

Tabel 2.4.

Daftar Hasil Analisa Resiko Kuantitatif...........................................29

Tabel 2.5.

Daftar Akses yang Diperbolehkan..................................................32

Tabel 2.6.

Daftar Wewenang Staf...................................................................37


BAB I PENDAHULUAN 1.1.

LATAR BELAKANG Rumah adalah merupakan salah satu kebutuhan primer yang perlu kita penuhi. Untuk memenuhi kebutuhan tersebut diatas, setiap tahunnya, khususnya di Jakarta banyak dibangun rumah-rumah baru yang mempunyai bentuk dan harga bervariasi. Umumnya lokasi rumah-rumah tersebut teletak dikawasan pinggiran kota atau sekitar Bogor Tangerang, Bekasi karena disana masih terdapat lahan yang memungkinkan untuk kawasan perumahan. Namun seiring dengan era globalisasi, kebiasaan tinggal di apartemen mulai diperkenalkan di kota-kota besar di Indonesia. Saat ini banyak dibangun apartemen-apartemen baru di Jakarta guna memenuhi kebutuhan tempat tinggal bagi keluarga keluarga yang membutuhkan. Ada 2 macam tipe properti yang dipasarkan di masyarakat yaitu properti untuk pasar primer dan pasar sekunder. Properti untuk pasar primer adalah properti yang benar-benar baru dibangun dari awal seperti terdapat di kawasan perumahan dan apartemen baru. Sedangkan pasar sekunder adalah properti yang sudah dimiliki seseorang kemudian dijual kepada orang lain atau lebih sering dikenal dengan istilah second hand. Kedua tipe properti tersebut masing-masing mempunyai kelompok konsumen tersendiri . Dalam rangka memiliki tempat tinggal yang diinginkan, konsumen perlu mengetahui lebih dulu kebutuhan dan anggaran yang diperlukan dalam membeli properti tersebut. Setelah itu baru mengalokasikan waktunya untuk melakukan pencarian, pembelian, serta pengurusan jual beli properti yang diminatinya. Namun sayang, kadang-kadang mereka tidak mempunyai

banyak waktu untuk melakukan hal tersebut seperti

karena kesibukannya. Oleh sebab itu berdirilah agen-agen properti yang 5 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

bertugas memasarkan properti kepada konsumen baik itu untuk pasar primer maupun pasar sekunder. Secara garis besar agen properti adalah mediator antara penjual dan pembeli properti serta memberikan bantuan kepada penjual/pembeli baik dalam bentuk konsultasi maupun dalam pengurusan akta jual beli properti.

1.2.

TUJUAN Tujuan penulisan makalah ini adalah untuk membahas sebelas domain sistem keamanan informasi pada sebuah perusahaan agen properti yang ada di Jakarta yaitu PT. Griya Media. Kesebelas domain itu adalah sbb: 1. Security Management Practices 2. Access Control System & Methodology 3. Telecommunications & Network Security 4. Cryptography 5. Security & Architecture Models 6. Operations Security 7. Application & System Development Security 8. Disaster Recovery & Business Continuity Plan 9. Laws, Investigations & Ethics 10. Physical Security 11. Auditing

1.3.

PROFIL PERUSAHAAN

1.3.1 Tujuan Pendirian Perusahaan PT. Griya Media adalah sebuah perusahaan agen properti lokal yang berdiri pada tahun 2000 dan berlokasi di Jakarta. perseorangan

/

individu

yang

mempunyai

Didirikan oleh

perhatian

terhadap

perkembangan properti di Jakarta yang semakin meningkat, serta bertujuan untuk membantu masyarakat /organisasi dalam memasarkan propertinya, memberikan kemudahan kepada pembeli untuk menentukan 6 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

properti yang cocok baginya, serta membantu dalam pengurusan jual beli antar kedua belah pihak.

1.3.2 Informasi Perusahaan Perusahaan ini didirikan dengan modal awal Rp 500,000,000 ,- dan dipimpin oleh seorang direktur utama serta mempunyai 2 bagian yang masing-masing dipimpin oleh seorang manager. Kedua bagian tersebut adalah Departemen Umum, dan Departemen Marketing. Pada saat perusahaan ini didirikan, jumlah pegawai/stafnya sebanyak 15 orang. Seiring dengan perkembangan properti yang ada saat ini serta meningkatnya

pendapatan

perusahaan

maka

jumlah

pegawainya

bertambah menjadi 60 orang. Perusahaan ini mempunyai kantor pusat di Jakarta Pusat dan kantor cabang di Jakarta Barat, Jakarta Selatan, Jakarta Timur, dan Jakarta Utara.

1.3.3 Sistem Kerja dan Penggajian Staf administrasi, keuangan, teknik, dan marketing bekerja 8 jam sehari dari pukul 08.00 sampai 17.00 selama 6 hari seminggu, sedangkan khusus hari Minggu terdapat staf marketing yang bergiliran masuk kantor karena pada saat tersebut banyak customer yang mencari atau menawarkan propertinya. Satpam bekerja 2 shift perhari yakni dari pukul 07.00 sampai 18.00 dan 18.00 sampai 07.00. Untuk sistem penggajian, karyawan diluar staf marketing mendapat gaji pokok yang besarnya tertentu tergantung pada jabatan yang bersangkutan. Untuk staf marketing, hanya mendapat gaji dari hasil komisi penjualan properti yang dilakukannya. Besarnya komisi mengacu kepada standar yang ada atau sesuai permintaan penjual sebelumnya /sudah ditetapkan penjual dan itu biasanya terdapat dalam surat perjanjian pemasaran properti.


1.3.4 Cara Pemasaran Properti Untuk mendapatkan properti yang akan dijual, bagian marketing melakukan kerjasama dengan berbagai developer perumahan atau apartemen untuk pasar primer, dan melakukan pencarian iklan properti disuratkabar atau langsung dilokasi seputaran kantor mereka untuk pasar sekunder. Sedangkan dalam memasarkan properti, perusahaan tersebut memasang iklan baris disuratkabar, menyebarkan selebaran, mencetak tiap 2 bulan sekali semacam buletin yang khusus berisi properti-properti yang dijual, serta melalui media internet yaitu dengan membuat website sendiri.

1.3.5 Struktur Organisasi Adapun struktur organisasi dari perusahaan agen properti PT. Griya Media ini adalah sebagai berikut :

Direktur Utama

Departemen Marketing

Departemen Umum

Administrasi

Staf Administrasi

Keuangan

Staf Keuangan

Teknologi Informasi (TI)

Kantor Pusat

Kantor Cabang

Staf TI Koordinator Kantor

Staf Marketing

Koordinator Kantor

Staf Marketing

Satpam

Gambar 1.1. Struktur Organisasi PT. Griya Media


Rincian lengkap mengenai personil perusahaan adalah sebagai berikut : No 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. 30. 31. 32. 33. 34. 35. 36. 37. 38. 39. 40. 41. 42. 43. 44. 45. 46. 47. 48. 49.

Nama A01 A02 A03 A04 A05 A06 A07 A08 A09 A10 A11 A12 A13 A14 A15 A16 A17 A18 A19 A20 A21 A22 A23 A24 A25 A26 A27 A28 A29 A30 A31 A32 A33 A34 A35 A36 A37 A38 A39 A40 A41 A42 A43 A44 A45 A46 A47 A48 A49

Jabatan Direktur Utama Manager Umum Manager Marketing Kepala Bagian Administrasi Kepala Bagian Keuangan Kepala Bagian TI Kepala Kantor Pusat Kepala Kantor Cabang Jaktim Kepala Kantor Cabang Jaksel Kepala Kantor Cabang Jakbar Kepala Kantor Cabang Jakut Staf Administrasi Staf Keuangan Staf TI Koordinator K. Pusat Koordinator K. Cabang Jaktim Koordinator K. Cabang Jaksel Koordinator K. Cabang Jakbar Koordinator K. Cabang Jakut Resepsionis Office Boy Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Pusat Staf Marketing K. Cabang Jaktim Staf Marketing K. Cabang Jaktim Staf Marketing K. Cabang Jaktim Staf Marketing K. Cabang Jaktim Staf Marketing K. Cabang Jaktim Staf Marketing K. Cabang Jaksel Staf Marketing K. Cabang Jaksel Staf Marketing K. Cabang Jaksel Staf Marketing K. Cabang Jaksel Staf Marketing K. Cabang Jaksel Staf Marketing K. Cabang Jakbar Staf Marketing K. Cabang Jakbar Staf Marketing K. Cabang Jakbar Staf Marketing K. Cabang Jakbar Staf Marketing K. Cabang Jakbar Staf Marketing K. Cabang Jakut Staf Marketing K. Cabang Jakut Staf Marketing K. Cabang Jakut Staf Marketing K. Cabang Jakut Staf Marketing K. Cabang Jakut Satpam K. Pusat


50. 51. 52. 53. 54. 55. 56. 57. 58. 59. 60.

A50 A51 A52 A53 A54 A55 A56 A57 A58 A59 A60

Satpam K. Pusat Satpam K. Pusat Satpam K. Pusat Satpam K. Cabang Jaktim Satpam K. Cabang Jaktim Satpam K. Cabang Jaksel Satpam K. Cabang Jaksel Satpam K. Cabang Jakbar Satpam K. Cabang Jakbar Satpam K. Cabang Jakut Satpam K. Cabang Jakut

Tabel 1.1. Personil PT.Griya Media

1.3.6 Sistem Informasi dan Komunikasi Perusahaan Sistem informasi yang dimiliki perusahaan ini adalah sebagai berikut : •

Komputer di kantor pusat dan kantor cabang menggunakan LAN 10/100 Mbps – TCP/IP

•

Setiap kantor cabang mengirimkan data-data properti (update) ke kantor pusat melalui internet dengan koneksi dial-up

•

Di kantor pusat terdapat Server untuk web dan database properti dari seluruh kantor cabang

•

Perusahaan mempunyai alamat website : www.griyamedia .com yang selalu diupdate apabila terdapat properti baru

yang akan

dijual atau yang baru laku terjual •

Jumlah perangkat keras dan sambungan telekomunikasi: Kantor Pusat Komputer

: 8 unit

Server

: 2 unit

Printer Laser

: 1 unit

Printer Inkjet

: 1 unit (Scanner, Copier, Fax)

Router

: 1 unit

Switch

: 1 unit

UPS

: 10 unit

PABX

: 16 Line 10

© 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

Telepon

: 5 Line

Fax

: 1 Line

Masing-masing Kantor Cabang

•

Komputer

: 3 unit

Modem 56Kbps

: 1 unit (External)

Printer Inkjet

: 1 unit

Hub

: 1 unit

UPS

: 3 unit

PABX

: 8 Line

Telepon

: 3 Line

Fax

: 1 Line

Aplikasi yang dipakai : Sistem Operasi Server

: Windows 2000 Server

Sistem Operasi Client

: Windows XP Profesional

Aplikasi perkantoran

: Microsoft Office 2000

Aplikasi keuangan

: Zahir

Accounting

Standar

Edition


•

Skema Jaringan dikantor

Gambar 1.2 Topologi Jaringan Kantor Pusat

Gambar 1.3 Topologi Jaringan Kantor Cabang 12 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

•

Bagan ruang kantor

R. Manager Marketing

A03

A07

R. Administrasi

A04 A12

A22

R. Keuangan

Web Server

A05 A13

A23

R. Server

Printer Laser

Printer All-in-One

A06

Database Server Router

A14

Switch

R. Marketing A24

A25 A26

A21

Pantry A15

A27

R. Tamu

A28

A02

A01

A20

WC/Toilet

R. Dir.Utama R. Manager Umum

PABX

R. Meeting

Gambar 1.4 Denah Ruangan Kantor Pusat

Keterangan: Printer All-in-One : Printer, Scanner, Copier, Fax


Modem External

Hub

WC/Toilet

WC/Toilet

R.Gudang A33 up

A31

A32

A29

A30

Server

R. Meeting

Printer Inkjet

A16

A53

R. Marketing

Fax PABX R. Kepala Kantor Cabang

R. Tamu A08

Lantai 1

Lantai 2

Gambar 1.5 Denah Ruangan Kantor Cabang Jakarta Timur (contoh)

1.3.7 Proses Bisnis Perusahaan PT. Griya Media adalah sebuah perusahaan agen properti yaitu menjadi mediator antara penjual dan pembeli properti atau dapat juga disebut broker properti. Berbeda dengan broker tradisional yang memasarkan propertinya dari mulut ke mulut, PT. Griya Media menggunakan berbagai media seperti iklan baris, selebaran, buletin, papan, spanduk, jaringan marketing yang ada, bahkan bekerjasama dengan agen properti dari perusahaan lain yang sejenis. Terakhir, sesuai dengan kemajuan teknologi adalah dengan menggunakan internet sebagai medianya yaitu dengan menampilkannya di website. 14 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

Secara garis besar proses bisnis utama dari perusahaan ini adalah mencari klien atau customer yang akan menjual properti miliknya kepada pihak lain, dan kemudian memasarkannya melalui berbagai cara seperti yang disebutkan diatas, serta perusahaan mendapatkan imbalan berupa komisi yang besarnya telah ditentukan apabila properti tersebut laku terjual. Selain itu ada proses bisnis lainnya yang tidak kalah penting yaitu adanya klien yang meminta bantuan kepada agen untuk mencarikan properti yang sesuai dengan keinginannya. Agen dapat mencarikan properti tersebut dalam database yang dipunyainya dan apabila tidak ada dapat bekerjasama dengan agen properti lainnya yang masih satu perusahaan ataupun yang berbeda perusahaan. Jika cara tersebut belum membuahkan

hasil

sedangkan

klien

sangat

serius

untuk

mendapatkannya, maka dapat ditempuh dengan cara seperti dalam memasarkan properti yaitu melalui iklan baris, selebaran, papan, spanduk, internet, dan sebagainya. Komisi yang didapat oleh agen properti atau staf marketing sebagai hasil dari penjualan properti besarnya telah ditetapkan oleh perusahaan dan mendapatkan persetujuan dari penjual. Selain itu penjual dapat menetapkan besarnya komisi yang akan diberikan kepada agen yang akan memasarkan propertinya dan apabila kisarannya tidak terlalu jauh dari standar perusahaan biasanya agen menyetujuinya. Staf marketing atau biasa disebut dengan agen akan mendapatkan penghasilan yang besarnya setengah dari komisi yang diberikan penjual kepada agen sedangkan setengah lainnya diberikan kepada perusahaan (setelah sebelumnya dipotong pajak). Ada 2 macam tipe pasar yang digarap oleh PT. Griya Media yaitu pasar primer dan pasar sekunder. Pasar primer mengandalkan properti yang dimiliki oleh developer perumahan atau apartemen sedangkan pasar sekunder berasal dari perseorangan/organisasi yang akan menjualkan properti yang telah dipakainya. Didalam pasar primer, perusahaan 15 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

melakukan beberapa cara seperti menyediakan agen-agennya kepada developer untuk memasarkan propertinya ketika ada pameran properti, serta dalam acara grand launching sebuah properti baru. Untuk pasar sekunder, perusahaan mengadakan berbagai cara dalam mencari properti yang akan dijual seperti (selain yang telah disebutkan diatas) melakukan pengenalan

lokasi

disekitar

kantornya

(canvassing),

melakukan

penyebaran kartu nama atau selebaran (farming), mencari dan melakukan kontak kepada penjual yang mengiklankan propertinya di koran (terutama yang membubuhkan kata-kata tanpa perantara), melakukan open house di tempat properti yang akan dijual, dan sebagainya.


BAB II PROTEKSI DAN KEAMANAN SISTEM INFORMASI 2.1. Security Management Practices Tujuan: •

Mengidentifikasi aset perusahaan terutama information asset beserta cara terbaik untuk menentukan tingkat pengamanannya.

•

Menentukan

anggaran

yang

patut

untuk

implementasi

keamanannya.

Pembahasan:

2.1.1. Identifikasi Aset Aset yang dimiliki perusahaan terdiri atas aset fisik dan aset non fisik. Aset fisik yang dimiliki perusahaan adalah: a. Bangunan Bangunan yang berada dikantor pusat adalah merupakan sebuah rumah tempat tinggal milik Direktur Utama yang terletak di kawasan Pejompongan dan terletak dipinggir jalan Bendungan Hilir Raya yang merupakan daerah bisnis. Untuk kantor-kantor cabang, bangunan yang dipakai adalah sebuah ruko 2 ½ lantai yang disewa dari pemiliknya dengan jangka waktu 5 tahun. Ke empat kantor cabang tersebut terletak di kawasan bisnis yang potensial dan mempunyai tempat parkir yang mencukupi. Luas bangunan Kantor Pusat adalah 181 m2 dan luas tanah 360 m2 serta mempunyai tempat parkir yang dapat menampung 7 mobil dan 15 sepeda motor. Untuk mengantisipasi apabila tempat parkir tidak mencukupi maka dapat digunakan trotoar didepan rumah sebanyak 3 mobil dan disebelah rumah yang merupakan Ruko sebanyak 3 mobil. Untuk parkir mobil tamu, Satpamlah yang melakukan tugas pengaturannya. 17 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

Luas bangunan Kantor Cabang adalah 200 m2 dan terletak didalam sebuah komplek Ruko dengan 2 pintu gerbang yang dijaga Satpam komplek secara bergiliran selama 24 jam. Daya tampung mobil di komplek Ruko adalah mencukupi (rata-rata 40 mobil) sedangkan didepan

kantor

dapat

menampung

4

mobil

(2

mobil

saling

berhadapan).

b. Peralatan Kantor Peralatan kantor yang dimiliki perusahaan adalah: 1. Perangkat komputer beserta peripheralnya 2. Furniture (meja, kursi, sofa, filing cabinet, dsb) 3. Brankas 4. Perangkat PABX beserta teleponnya 5. Perangkat elektronik (TV, Camera Digital, AC) 6. Perangkat pemadam kebakaran 7. Perangkat Genset (Kantor Pusat)

Aset non fisik yang mempunyai nilai bagi perusahaan adalah aset data yaitu: 1. Data properti Data properti disini adalah berupa data-data tentang rumah yang dipasarkan dalam wujud kertas yang disimpan dalam filing cabinet serta tercantum foto properti dan pemilik properti. Untuk mengakses

data

ini

harus

sepengetahuan

dan

seijin

Koordinator Kantor. Selain disimpan dalam bentuk kertas, data tersebut disimpan dalam bentuk Compact Disk (CD) dan disimpan secara kategorial misalnya data kavling, rumah, ruko, apartemen, gudang/pabrik, dsb. CD-CD yang berisi data tersebut disimpan dalam sebuah rak yang dikunci oleh Koordinator Kantor. Selain itu diruang resepsionis dipasang beberapa board atau papan yang berisi gambar-gambar 18 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

properti yang dijual atau disewakan beserta data-datanya kecuali data pemilik properti. Karena keterbatasan tempat maka properti yang dipasang adalah properti-properti yang potensial atau saleable. Apabila ada customer yang berkunjung ke kantor dan ingin melihat-lihat properti yang dijual, maka resepsionis memanggil agen marketing yang bertugas saat itu untuk menemani dan memberi penjelasan atas properti yang dicari atau diminati oleh customer. Apabila customer masih belum menemukan apa yang diminatinya, agen dapat mempersilahkan masuk ke ruang meeting untuk berbincang-bincang lebih serius apa yang diinginkan oleh customer sambil diperlihatkan file-file properti yang sudah dipersiapkan dalam sebuah album sehingga menarik untuk dilihat.

2. Data Keuangan Data keuangan adalah data-data finansial yang berasal dari penerimaan dan pengeluaran perusahaan dan dilakukan pencatatan atau record kedalam komputer oleh staf keuangan melalui program aplikasi Zahir Accounting Standar Edition version

4.0

yang

dijual

secara

paket.

Untuk

menjaga

kerahasiaan data-data keuangan maka komputer dibagian finansial tidak dapat diakses dari dalam maupun luar jaringan serta terdapat password untuk mengoperasikan komputer tersebut. Hasil pencetakan data finansial yang salah wajib dihancurkan dengan mesin shredder yang ada sedangkan bagi kantor yang tidak mempunyai alat tersebut harus disobek-sobek menjadi serpihan-serpihan kecil sehingga tidak dapat dibaca lagi. Data-data finansial dimasukkan kedalam box file dan disimpan kedalam filing cabinet yang dikunci oleh Kepala Bagian 19 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

Keuangan. Untuk melihat data keuangan harus sepengetahuan dan seijin Kepala Bagian Keuangan. Untuk di kantor cabang urusan finansial ditangani oleh Koordinator Kantor masingmasing, dan datanya dikirim melalui internet ke Kantor Pusat tiap bulannya. Di kantor pusat data didownload dan diproses untuk masuk sebagai bahan laporan keuangan perusahaan. Apabila terdapat gangguan dalam pengiriman melalui internet, sedangkan data sangat dibutuhkan untuk laporan keuangan bulanan, maka data disimpan di disket dan dikirimkan ke Kantor Pusat secara manual (memakai mobil/motor).

3. Data Personalia Data-data karyawan perusahaan dibuat oleh staf administrasi dan disimpan dalam bentuk berkas dan file komputer. Keduanya disimpan atas petunjuk Kepala Bagian Administrasi yaitu untuk yang berupa berkas disimpan dalam filing cabinet sedangkan yang berupa file direkam di CD dan disimpan oleh Kepala Bagian Administrasi disebuah filing cabinet dan dikunci. Untuk data-data pelamar yang pernah mengajukan permohonan kerja juga disimpan dalam box file tersendiri dan disimpan dalam lemari terkunci. Apabila perusahaan membutuhkan karyawan baru maka Kepala Administrasi dapat mengambil berkas file tersebut untuk dibuka kembali.


2.1.2. Identifikasi ancaman/resiko Tidak selamanya kegiatan operasional perusahaan dapat berjalan dengan mulus. Adakalanya mengalami gangguan atau ancaman yang dapat menimbulkan kerugian bagi perusahaan. Kegiatan yang melakukan identifikasi ancaman atau resiko adalah merupakan bagian dari manajemen resiko yang dilakukan oleh perusahaan. Ancaman-ancaman terhadap aset-aset perusahaan dapat dijabarkan sebagai berikut:

No 1

Deskripsi Data properti

Ancaman a. dicuri

b. dihapus

Pencegahan

Penanggulangan

a. Disimpan dalam

a. Penggantian

filing cabinet dan

tempat

dikunci.

penyimpanan

b. Data hanya bisa

b. Pengubahan

diedit di komputer

data harus

Manajer Marketing

diotorisasi oleh MM

(MM) dan

& KK

Koordinator Kantor (KK) c. terbakar

c. Penyediaan alat

c. Memakai

pemadam kebakaran brankas tahan api. didekat tempat penyimpanan data properti. d. diubah

e. salah ketik

d. Seperti jawaban

d. Seperti jawaban

(b)

(b)

e. Pemeriksaan

e. Pemeriksaan

penulisan oleh agen

penulisan data oleh

properti dan

MM, KK, & agen

Koordinator Kantor

properti.


f. data rusak

f. Melakukan back-

f. Back-up data

up data secara

secara otomatis

berkala

setelah mengupdate data baru.

2.

Data

g. terkena

g. update anti virus

g. Back-up data

virus/worm

secara berkala

secara otomatis.

a. terbakar

a. Penyediaan alat

a. Memakai

Keuangan

pemadam kebakaran brankas tahan api. didekat tempat penyimpanan data properti. b. dicuri

b. Disimpan dalam

b. Penggantian

filing cabinet dan

tempat

dikunci.

penyimpanan: dibrankas

c. dihapus /

c. Data hanya bisa

c. Pengubahan

diganti

diedit di komputer

data harus

Kepala Bagian

diotorisasi oleh

Keuangan dan

Kabag. Keuangan

Koordinator Kantor

& KK

(KK) d. salah ketik

d. Data hanya bisa

d. Pemeriksaan

diedit di komputer

penulisan data oleh

Kepala Bagian

Kabag. Keuangan,

Keuangan dan

& KK

Koordinator Kantor (KK) e. data rusak

e. Melakukan back-

e. Back-up data

up data secara

secara otomatis 22


berkala

setelah mengupdate data baru.

3.

Data

f. kena

f. Update anti virus

f. Back-up data

virus/worm

secara berkala

secara otomatis

a. terbakar

a. Penyediaan alat

a. Memakai

Personalia

pemadam kebakaran brankas tahan api. didekat tempat penyimpanan data properti. b. dicuri

b. Disimpan dalam

b. Penggantian

filing cabinet dan

tempat

dikunci.

penyimpanan: dibrankas

c. dihapus /

c. Data hanya bisa

c. Pengubahan

diganti

diedit di komputer

data harus

Kepala Bagian

diotorisasi oleh

Administrasi dan

Kabag Administrasi

Koordinator Kantor

& KK

(KK) d. salah ketik

d. Data hanya bisa

d. Pemeriksaan

diedit di komputer

penulisan data oleh

Kepala Bagian

Kabag

Administrasi dan

Administrasi, & KK

Koordinator Kantor (KK) e. data rusak

e. Melakukan back-

e. Back-up data

up data secara

secara otomatis

berkala.

setelah mengupdate data 23


baru. f. kena

f. Update anti virus

f. Back-up data

virus/worm

secara berkala.

secara otomatis

Tabel 2.1. Daftar aset non fisik

Ancaman-ancaman terhadap aset-aset fisik perusahaan adalah:

No 1.

Deskripsi Gedung beserta isinya

Ancaman a. Kebakaran

Pencegahan

Penanggulangan

a. Tersedia 3 tabung

a. Hotline Kantor

pemadam kebakaran

Pemadam

dan box hydrant (KP),

Kebakaran

2 tabung pemadam

terdekat, Asuransi

kebakaran (KC), pintu

Kebakaran

keluar 2 bh, cukup sinar masuk dari jendela ketika kondisi gelap, mencari lokasi di hoek (Ruko),tersedia lampu darurat ditempat yang telah ditentukan, terdapat saklar pemutus arus (NCB) yang masih berfungsi, kabel instalasi listrik terlindung didalam pipa 24 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

PVC, sambungan kabel listrik terlindung oleh isolasi. b. Pencurian

b. Satpam jaga 24 jam, b. Hotline Kantor kunci tambahan dipintu Polisi terdekat, masuk, jendela diberi

Asuransi Kerugian

teralis besi, pagar kawat berduri, lampu penerangan disudutsudut rumah, c. Perampokan

c. Satpam jaga 24 jam,

c. Hotline Kantor

Satpam mahir bela diri

Polisi terdekat,

dan dari lingkungan

Asuransi Kerugian

setempat, tidak menerima tamu diluar jam kerja atau tanpa keperluan yang jelas, pemeriksaan fisik terhadap tamu yang mencurigakan d. Banjir

d. Pemeriksaan dan

d. Tersedia karung-

pembersihan saluran

karung pasir,

air didepan kantor

pompa air portable,

sebulan sekali, teras

Asuransi Kerugian

lebih tinggi dari halaman kantor, barang-barang elektronik tidak diletakkan dilantai

Tabel 2.2. Daftar ancaman terhadap aset fisik perusahaan 25 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

Ancaman terhadap aset teknologi informasi perusahaan adalah:

No 1.

Deskripsi Aplikasi

Ancaman a. Virus/worm

Pencegahan

Penanggulangan

a. Antivirus freeware

a. Scan ulang hard

komputer

(AntiVir Personal

disk dalam safe

(Software)

Edition) diinstall di

mode

server dan client dan diupdate secara teratur olef staf TI (HO) dan Koordinator Kantor di kantor cabang melalui internet, tidak membuka email yang tidak dikenal, tidak membuka attachment yang bukan berekstensi doc, xls, dan pdf

b. Spyware /

b. Anti Spyware

b. Scan ulang hard

Trojan /

(Spybot Search &

disk dalam safe

Hijacker

Destroy) yang bersifat

mode

freeware diinstall di server dan client dan diupdate secara teratur olef staf TI (HO) dan Koordinator Kantor di kantor cabang melalui internet


3.

Komputer dan a. Rusak

a. Penggunaan hanya a. Hubungi teknisi,

peripheral

karena sudah

dijam kantor dan untuk diganti dengan

(Hardware)

terlalu tua

keperluan kantor saja, spesifikasi minimal

(lifetime nya

kondisi off jika tidak sama dengan yang

sudah berakhir) dipakai

untuk

waktu lama

yang lama (> 3 jam)

b. Rusak

b. Pemeriksaan teratur

b. Hubungi teknisi,

karena

oleh staf TI tiap

ganti komponen

malfunction

bulannya

yang rusak

Tabel 2.3. Daftar ancaman terhadap aset teknologi informasi perusahaan

2.1.3. Analisa Resiko Dalam manajemen resiko, setelah dilakukan identifikasi aset perusahaan adalah melakukan analisa resiko. Pada analisa resiko ini akan dilakukan dengan pendekatan Kuantitatif yaitu pendekatan secara finansial sehingga dapat mendukung perencanaan anggaran dan mampu memberikan informasi kepada manajemen. Hasil analisa resiko dapat dilihat tabel dibawah ini:


No

Aset

Resiko

Nilai Aset (Rp)

Potensi

Frekuensi

Kerugian per

Kerugian

Kejadian

tahun (ALE)

(SLE)

(ARO)

(Rp)

(Rp)

(Rp)

1

Data

Virus/worm

20,000,000

2,000,000

2

4,000,000

2

Dokumen

Dicuri

10,000,000

1,000,000

1

1,000,000

Virus/worm

10,000,000

4,000,000

2

8,000,000

Virus/worm

18,000,000

1,800,000

2

3,600,000

Virus/worm

2,100,000

420,000

2

840,000

Virus/worm

25,000,000

2,500,000

2

5,000,000

500,000,000

250,000,000

0.1

25,000,000

dicuri

20,000,000

10,000,000

1

10,000,000

dicuri

100,000,000

10,000,000

1

10,000,000

perusahaan

3

Sistem Operasi Server (2 server)

4

Sistem Operasi Client (20 client)

5

Aplikasi perkantoran

6

Aplikasi finansial

7

Gedung (Kantor kebakaran Pusat)

8

PC Desktop Server (2)

9

PC Desktop (20)

10

Router

dicuri

2,000,000

2,000,000

1

2,000,000

11

Switch

dicuri

700,000

700,000

1

700,000

12

Hub (4)

dicuri

2,000,000

500,000

1

500,000

13

Modem external dicuri

1,200,000

400,000

1

400,000

3,000,000

3,000,000

1

3,000,000

(4) 13

Printer

(all

in dicuri

one)


14

Printer Laser

dicuri

1,500,000

1,500,000

1

1,500,000

15

Printer Inkjet (4)

dicuri

2,000,000

500,000

1

500,000

16

PABX (16 line)

dicuri

20,000,000

2,000,000

1

2,000,000

PABX (8 line) dicuri

11,000,000

1,100,000

1

1,100,000

with 18 handset 17

with 8 handset 18

Faksimile (4)

dicuri

3,200,000

800,000

1

800,000

19

UPS 1200 VA

dicuri

3,000,000

1,500,000

1

1,500,000

dicuri

8,000,000

800,000

1

800,000

putus

5,000,000

500,000

0.5

250,000

(2) 20

UPS 600 VA (20)

21

LAN (5)

TOTAL

82,490,000

Tabel 2.4. Daftar hasil analisa resiko kuantitatif

Keterangan: 1. SLE : Single Loss Expectancy •

Kerugian finansial yang muncul jika terjadi satu (1) kali bencana

•

SLE = Asset Value x Exposure Factor

•

Asset Value: nilai aset (Rp)

•

Exposure Factor (EF): besarnya prosentasi kerugian yang diderita dalam satu bencana (0% - 100%)

2. ARO : Annual ized Rate of Occurrence •

Perkiraan frekuensi dari sebuah ancaman yang akan terjadi dalam 1 (satu) tahunnya.

•

Ancaman yang terjadi sekali dalam 10 tahun, ARO = 1/10 = 0.1

•

Ancaman yang terjadi 50 kali dalam setahun, ARO = 50


•

Nilai ARO ditentukan berdasarkan hasil investigasi tentang ancaman-ancaman yang pernah terjadi di daerah sekitar lokasi kantor.

•

Berdasarkan hasil investigasi, didaerah sekitar lokasi kantor agen properti didapatkan data sebagai berikut: -

Kebakaran : 10 tahun sekali, ARO = 1/10 = 0.1 (karena terletak jauh dari pemukiman padat penduduk)

-

Pencurian : 1 tahun sekali, ARO = 1/1 = 1 (terutama menjelang lebaran/arus mudik)

-

Virus/worm : 2 kali setahun, ARO = 2/1 = 2 (tiap semester ada virus ganas muncul di internet dan menyebar cepat di Indonesia)

-

LAN putus : 2 tahun sekali, ARO = 1/2 = 0.5 (data internal perusahaan)

3. ALE : Annualized Loss Expectancy •

Perkiraan kerugian yang diderita setiap tahunnya (Rp)

•

ALE = SLE x ARO

Beberapa tindakan perusahaan untuk menjaga aset informasi: •

Memberikan akses komputer kepada orang yang benar-benar berhak menggunakan komputer dengan cara memberikan ID dan password kepada masing-masing anggota departemen kecuali satpam.

•

Apabila terdapat data-data tentang properti, keuangan, dsb dikertas yang tidak terpakai akan dihancurkan dengan mesin shredder atau disobek/dipotong-potong hingga tidak bisa terbaca.

•

Data tentang penjual properti tidak ditampilkan di web melainkan hanya diketahui oleh agen yang bersangkutan dan koordinator kantor.


2.2. Access Control Systems and Methodology Tujuan: •

Mengetahui mekanisme dan metode yang dipergunakan para administrator/manager untuk mengontrol apa yang boleh diakses pengguna termasuk yang boleh dilakukan setelah otentifikasi dan otorisasi serta pemantauannya

Pembahasan:

Access Control didefinisikan sebagai: •

Kemampuan untuk membolehkan pemakai/user yang berhak untuk menjalankan program atau memproses sistem atau mengakses sumber daya/resource.

Di PT. Griya Media terdapat beberapa mekanisme untuk pengontrolan yang harus dijalankan oleh para stafnya dalam mengakses / menjalankan / memproses sesuatu yang berkaitan dengan pekerjaan yang ditanganinya. Mekanisme tersebut terdiri atas 3 hal yang penting yaitu: 1. Identifikasi Merupakan suatu proses atau aksi yang dilakukan oleh user untuk membuktikan siapa (identitas) dirinya kepada sistem. 2. Otentikasi Sistem melakukan verifikasi terhadap identitas yang diberikan oleh user. 3. Otorisasi Sistem

memberikan

hak/kemampuan

kepada

user

setelah

mendapat otentikasi

Untuk menggunakan komputer yang ada di perusahaan, tiap staf mendapatkan user id dan password dari Kepala Bagian TI yang bersifat 31 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

rahasia. Hal ini dimaksudkan agar tiap staf hanya bisa mengakses komputer sesuai dengan bagian/haknya masing-masing. Misalnya bahwa staf marketing tidak bisa mengakses data keuangan yang dibuat oleh bagian keuangan, bagian umum tidak bisa melihat data properti yang ada didalam komputer kecuali yang sudah dicetak, dan sebagainya. Untuk lebih jelasnya dapat melihat tabel di bawah ini yang menunjukkan kewenangan masing-masing staf dalam menjalankan komputer.

Jenis Data

Level

Bagian

Manajer & Umum

Bagian

Bagian

Keuangan

Marketing

Bagian TI

Ka-Bag. Data

akses

-

-

akses

akses

akses

-

akses

-

akses

akses

akses

-

-

akses

properti Data keuangan Data personalia

Tabel 2.5. Daftar akses yang diperbolehkan

Untuk penggunaan internet, terdapat kebijakan dari perusahaan bahwa tidak semua staf mempunyai hak mengaksesnya. Hal ini disebabkan untuk menghindari resiko masuknya virus, worm dan sebagainya yang dapat merusak sistem komputer perusahaan. Akses internet hanya dapat dilakukan di level manager, kepala bagian, dan koordinator kantor.


2.3. Telecommunications and Network Security Tujuan: •

Mengetahui berbagai aspek keamanan yang terkait dengan berbagai jenis jaringan komputer/telekomunikasi.

Pembahasan:

PT. Griya Media mempunyai jaringan telekomunikasi dan jaringan komputer disetipa kantornya. Untuk telekomunikasi, digunakan sistem PABX yaitu di kantor pusat mempunyai 4 line telpon yang masuk kedalam sistem PABX berkapasitas 16 saluran dan di kantor cabang 3 line dengan PABX kapasitas 8 saluran. Semua nomor telpon yang dipakai bersifat hunting artinya hanya menggunakan satu nomor telpon untuk semua line dan nomor telepon tersebut dipilih angka yang mudah diingat oleh setiap orang atau calon customer. Di kantor pusat dan kantor cabang digunakan jaringan komputer (LAN)

yang

menggunakan

protokol

TCP/IP.

Untuk

merawat

/

mengoperasikan jaringan komputer dimasing-masing kantor, perusahaan menugaskan staf TI untuk melakukan pemeriksaan secara berkala serta memberikan tip-tip penggunaan dan perbaikan seputar LAN kepada Koordinator Kantor. Tiap 3 bulan sekali diadakan pemeriksaan jaringan di kantor pusat dan kantor cabang. Apabila ada gangguan atau kerusakan pada jaringan komputer yang tidak dapat diatasi oleh Koordinator Kantor, kantor cabang dapat meminta bantuan kantor pusat untuk mengirimkan staf TI guna memperbaiki gangguan atau kerusakan tersebut. Karena jaringan komputer di kantor pusat terhubung dengan internet serta adanya jaringan internal dan web server maka dibuatlah suatu zona yang disebut De-Militarized Zone (DMZ). Di dalam DMZ dipasang Firewall yang berfungsi untuk keamanan jaringan yaitu mencegah akses dari luar masuk kedalam jaringan internal perusahaan. Firewall

membuang

paket

IP

dengan

address

tertentu

(source, 33


destination) atau TCP port number (services yang dibatasi). Firewall yang dipakai berupa Router yang diprogram khusus untuk membatasi “site” dan external network. Di kantor cabang tidak terdapat Firewall yang dipasang karena hanya komputer Kepala Cabang dan Koordinator Kantor saja yang terhubung ke internet melalui modem external dan menggunakan koneksi dial-up. Internet disini dipakai untuk mengirimkan data properti dan data keuangan melalui email ke kantor pusat tiap bulannya. Untuk memeriksa data properti yang telah dikirimkan ke kantor pusat telah diterima dan diproses, koordinator kantor dapat melihat di website perusahaan yaitu dibagian properti yang dijual. Disitu akan terlihat data-data properti yang dijual dari masing-masing kantor cabang.

2.4. Cryptography Tujuan: •

Mengetahui berbagai metode dan teknik penyembunyian data dengan menggunakan kriptografi.

Pembahasan:

Cryptography adalah suatu teknik penyandian yang dilakukan dalam mengirim data melalui internet guna menyembunyikan informasi tersebut dari pihak lain. Biasanya data yang akan dikirim tersebut dienkripsi terlebih dahulu dan kemudian sesampainya dipenerima akan didekripsi dan baru bisa dibaca kemudian. Data-data yang dikirim melalui teknik tersebut diatas adalah data yang bersifat sangat rahasia dan sering merupakan data transaksi keuangan seperti pembayaran via internet, nomor kartu kredit, dan sebagainya.


Di PT. Griya Media, data yang dikirim melalui internet adalah data data dari kantor cabang yang melaporkan kegiatannya selama satu bulan secara periodik. Data yang dikirim adalah data properti dan data keuangan. Data properti adalah data tentang properti yang baru saja diterima dari client untuk dipasarkan, dan properti yang telah laku terjual pada bulan tersebut. Data keuangan adalah data tentang pendapatan perusahaan selama satu bulan itu serta biaya operasional kantor cabang termasuk gaji staf tidak termasuk staf marketing. Data properti dikirim melaui email oleh Koordinator Kantor Cabang dan ditujukan ke Manager Marketing untuk ditampilkan di website melalui bantuan staf TI. Apabila ada customer yang tertarik untuk mengetahui properti tersebut lebih lanjut, mereka dapat menelpon langsung ke staf marketing yang bersangkutan atau kantor cabang dimana properti tersebut dipasarkan (nomor telepon ditampilkan di website). Data keuangan dikirim ke kantor pusat juga melalui email oleh Koordinator Kantor dan ditujukan ke Kepala Bagian Keuangan untuk didownload

dan

dimasukkan

ke

dalam

aplikasi

keuangan

guna

pembuatan laporan keuangan perbulannya. Data keuangan menampilkan data pendapatan dan pengeluaran kantor cabang semata tanpa terdapat kegiatan atau transaksi pembayaran properti melalui internet. Demi menjaga kerahasiaan dan keamanan data maka dalam pengiriman data keuangan dan data properti melalui email tersebut diharuskan memakai sistem kriptografi. Metode kriptografi yang digunakan masih sederhana, yaitu : Symmetric Key Cryptography, dimana pada metode ini antara pengirim dan penerima memiliki private key yang sama. Alasan pemakaian metode ini yaitu karena pada masing – masing cabang tidak terdapat staf IT, sehingga proses pengiriman data secara enkripsi harus lebih mudah untuk dipahami dan dilakukan oleh koordinator kantor yang bertugas untuk mengirimkan data ke kantor pusat, selain itu data yang dikirim hanya berupa data transaksi, petugas tidak perlu melakukan konfigurasi private key dan setting ulang setiap kali akan melakukan 35 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

pengiriman data. Sistem akan secara otomatis menyertakan private key yang baku bersama dengan data yang dikirim. Metode ini tentu saja mengandung resiko, dimana bisa saja staf membocorkan informasi user id dan private key, sehingga data bisa daikses oleh orang luar. Oleh sebab itu salah satu kebijakan yang diambil perusahaan adalah baik user name , password, maupun private key harus diganti dalam periode 1 bulan sekali.

2.5. Security Architecture and Models Tujuan: •

Mengetahui berbagai konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.

Pembahasan:

Dalam mengelola sistem informasi perusahaan, PT. Griya Media menerapkan sistem terbuka khusus untuk sub sistem Properti, dimana daftar properti yang dipasarkan dan telah terjual dapat diakses oleh siapa saja melalui web site, hal ini ditujukan untuk mendukung aktivitas marketing. Sedangkan untuk sub sistem lainnya, diterapkan sistem tertutup, dimana hanya pihak intern perusahaan saja yang berhak untuk mengakses masing – masing sistem. Guna melakukan tindakan preventif supaya data perusahaan tidak dibaca oleh orang – orang yang tidak berwenang dan dipergunakan untuk hal – hal yang merugikan perusahaan, maka masing-masing bagian memperoleh hak akses yang berbeda – beda sesuai dengan fungsi dan job description-nya. Pengecualian diberikan kepada karyawan pada level Kepala Bagian atau yang lebih tinggi, dimana mereka memiliki wewenang untuk untuk 36 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

mengakses semua sistem yang ada, namun hanya sebatas membaca data. Data selengkapnya mengenai wewenang masing-masing staf dapat dilihat pada tabel matrix dibawah ini :

No

Nama

1. 2. 3. 4.

A01 A02 A03 A04

5.

A05

6. 7. 8.

A06 A07 A08 s/d A11 A12 A13 A14 A15 s/d A19

9. 10. 11. 12.

13. 14. 15. 16.

A20 A21 A22 s/d A48 A49 s/d A60

Jabatan

Sub Sistem Properti

Sub Sistem Keuangan

Sub Sistem Personalia

R R CRED R

R R R R

R CRED R CRED

R

CRED

R

Direktur Utama Manager Umum Manager Marketing Kepala Bagian Administrasi Kepala Bagian Keuangan Kepala Bagian TI Kepala Kantor Pusat Kepala Kantor Cabang Staf Administrasi Staf Keuangan Staf TI Koordinator Kantor

CRED R R

CRED R R

CRED R R

CRED CRED

CRED CRED CRED

CRED CRED -

Resepsionis Office Boy Staf Marketing

CRED

-

-

-

-

-

Satpam

Keterangan

Kepala Kantor pusat dan setiap cabang

Koornonator Kantor Pusat & setiap cabang. Hanya untuk sistem pada masing-masing wilayah

Hanya untuk sistem pada masing-masing wilayah

Tabel 2.6. Daftar wewenang staf dalam mengakses sistem

Keterangan : 1. C = Create, R=Read, E=Edit, D=Delete 2. Staf Koordinator Kantor Cabang hanya berhak untuk melakukan CRED pada sub sistem properti dan sub sistem keuangan pada cabang tempat dia berada. 3. Staf Marketing hanya berhak untuk melakukan CRED pada sub sistem properti pada cabang tempat dia berada.


2.6. Operations Security Tujuan: •

Mengetahui

berbagai

konsep,

prinsip,

dan

standar

untuk

merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.

Pembahasan:

Tindakan yang akan dilakukan oleh

PT. Griya Media pada

dasarnya dibagi menjadi 3 kategori yaitu : a. Preventive control: kontrol atau pengendalian yang dilakukan untuk memperkecil

sejumlah

akibat

dari

error

dan

mencegah

perusak/penyerang yang tidak berwenang Yaitu dengan menerapkan aturan – aturan baku untuk operasional, misalnya :

Pembatas wewenang untuk akses sistem sesuai dengan masing-masing

fungsi

dan

job

description

dengan

menggunakan autentifikasi user name dan password untuk masuk ke dalam sustem.

Yang berhak masuk ke ruangan server adalah Kepala Bagian TI dan stafnya.

Komputer hanya boleh dipakai pada jam kantor.

Yang diperbolehkan menggunakan internat hanya level kepala bagian atau yang lebih tinggi

b. Detective control: merupakan kontrol atau pengendalian yang dilakukan untuk mendeteksi error pada saat kesalahan itu terjadi Hanya dapat dilakukan di kantor pusat, sebab tidak ada staf TI yang ditempatkan di kantor cabang. Apabila terjadi eror pada kantor pusat, staf IT dapat langsung mendeteksi sumber dari permasalahann tersebut.


c. Corrective (recovery) control: merupakan kontrol atau pengendalian yang

dilakukan

untuk

membantu

mengurangi

pengaruh

dari

kerusakan/kehilangan data Apabila terjadi eror pada kantor cabang, maka staf TI akan didatangkan ke tempat tersebut guna melakukan recovery sistem dan melakukan setting ulang sesuai dengan kondisi sebelum terjadi eror.

2.7. Applications and Systems Development Tujuan: •

Mengetahui berbagai aspek keamanan dan kendali yang terkait pada pengembangan sistem informasi.

Pembahasan:

PT. Griya Media menerapkan domain ini dalam bentuk kewajiban setiap pegawai harus menandatangani surat pernyataan bahwa mereka diwajibkan menjaga dan melindungi data – data rahasia perusahaan Sedangkan terkait dengan aspek kontrol terhadap pengembangan dan gangguan terhadap sistem, gangguan pada software yang sering terjadi disebabkan oleh virus, meskipun sudah dilakukan update antivirus secara berkala, hal tersebut terkadang tidak dapat mencegah serangan virus. Jika ruang lingkup kerusakan tidak terlalu bersar staf TI, berikut dengan teknisi akan membantu

memperbaiki dan melakukan setting

ulang. Namun jika kerusakan yang terjadi terlalu besar, maka perlu didatangkan teknisi dari luar atau dibawa ke perbaikan computer. Keamanan data pada server diserahkan pada administrator baik database

ataupun

jaringan.

Keamanan

database

dibuat

dengan

memberikan spesifikasi file yang berbeda-beda. File-file yang bersifat rahasia seperti data keuangan, data personalia, dan keuangan diberikan


password dan pemberian hak akses yang berbeda untuk setiap pengguna. Secara berkala administrator melakukan backup dalam bentuk penyimpanan CD. Hal ini dilakukan jika sewaktu-waktu terjadi kerusakan sistem, data-data masih dapat digunakan kembali.

2.8. Disaster Recovery and Business Continuity Plan Tujuan: •

Mengetahui bagaimana aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana.

Pembahasan:

Pada dasarnya bisnis ini tidak terlalu sensitif terhadap Teknologi Informasi, sebab pengiriman data belum dilakukan secara online dan update data juga belum dilakukan secara real time, hanya saja pencatatan transaksi, data personalia, dan aktivitas marketing akan sangat terbantu dengan adanya Teknologi Informasi ini. Tindakan preventif yang telah dilakukan: •

Melakukan back-up secara rutin setiap minggu sekali dengan bantuan media Compact Disk. CD ini disimpan di kantor dengan ada wewenang dan tanggung jawab untuk membawa kunci tersebut.

•

Menyiapkan Stavol UPS pada setiap kantor, guna mengantisipasi gangguan pada aliran listrik..

•

Sebagian karyawan, terutama Satpam diambil dari orang yang lokasi tempat tinggalnya dekat dengan kantor, sehingga dapat segera dipanggil dalam keadaan darurat (emergency).


Apabila terjadi bencana besar yang sangat membahayakan kelangsungan hidup perusahaan, maka langkah – langkah yang harus dilakukan adalah: •

Menyelamatkan back up data pada CD.

•

Menghubungi salah satu petingi perusahaan (bila dapat).

•

Menghubungi karyawan yang rumahnya paling dekat (bila dapat).

•

Menyelamatkan perangkat keras.

Tujuan utamanya adalah supaya bisnis tetap bisa terus berjalan. Back up CD tersebut dapat dipergunakan untuk tetap menjalankan perusahaan meskipun dengan perangkat keras yang seadanya.

2.9. Laws, Investigations, and Ethics Tujuan: •

Mengetahui berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik

•

Mengetahui masalah etika dalam dunia komputer

Pembahasan: Kondisi perusahaan sekarang terhadap domain tentang hukum, penyelidikan dan

etika di dunia teknologi informasi adalah sebagai

berikut: •

Perusahaan menggunakan software windows sebagai sistem operasi, Microsoft office sebagai penunjang office automation, dan software aplikasi distribusi dari distributor pusat.

•

Seluruh software yang digunakan adalah legal dan PT. Griya Media memiliki lisensi penggunaannya.

•

Tidak semua pegawai mengerti tentang arti pentingnya masalah legalitas penggunaan software, sebagian besar hanya mengerti tentang penggunaannya tanpa memperdulikan dampaknya apabila menggunakan software bajakan terhadap perusahaan. 41


•

Perlu adanya pengarahan dan training mengenai penggunaan komputer dengan segala aspeknya, termasuk di dalanya aspek legalitas.

PT. Griya Media tidak mempunyai rencana yang jelas untuk pengembangan sistem teknologi informasinya, sehingga kebijakan pengadaan software tidak mempunyai arah. Kadang-kadang para pegawai menginstall begitu saja software-software yang ingin mereka gunakan (software bajakan) tanpa memikirikan dampaknya pada perusahaan. Dalam hal ini Bagian IT hanya bertugas mengawasi kinerja server dan menjadi help desk terhadap gangguan terhadap jaringan kantor ataupun masalah yang terjadi di PC user. PT. Griya Media harus memulai untuk memberlakukan beberapa kebijakan-kebijakan sehubungan dengan legalitas transaksi elektronik, sebagai berikut: 1. Semua PC yang digunakan adalah PC branded bukan rakitan. 2. Semua software yang dipakai adalah software asli dan bukan bajakan. 3. Semua pengguna komputer dilarang menginstall software yang bukan berasal dari perusahaan. 4. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada. 5. Semua pelaksanaan instalasi dan prosedur pengaplikasian harus melalui staf dari bagian IT, tanpa terkecuali. 6. Memberikan sanksi kepada staf yang menggunakan peralatan kantor untuk hal-hal yang tidak berhubungan dengan pekerjaan kantor. 7. Semua staf terutama staf bagian IT diharuskan menandatangani peraturan untuk menjaga kerahasiaan sistem di dalam perusahaan, tanpa terkecuali. 8. Semua pegawai / karyawan terutama staf bagian IT harus menyadari arti pentingnya fasilitas perusahaan sebagai aset sehingga semua orang mempunyai kewajiban untuk merawat dan me-maintain fasilitas perusahaan yang digunakan dan setiap orang wajib bertanggung 42 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

jawab terhadap fasilitas kantor yang digunakan karena setiap penggunaan fasilitas kantor akan dipertanggungjawabkan ketika dilakukan audit.

2.10. Physical Security Tujuan: •

Mengetahui

berbagai

ancaman,

resiko,

dan

control

untuk

pengamanan fasilitas sistem informasi.

Pembahasan:

Pada saat awal berdirinya perusahaan ditahun 2000, staf yang ada masih sedikit dan belum mempunyai kantor cabang seperti sekarang ini. Setiap staf masih bisa melakukan beberapa kegiatan yang bersifat pribadi seperti mengajak orang-orang diluar kantor untuk datang dan berkunjung ke kantor tanpa keperluan yang jelas. Boleh dikatakan bahwa pada saat itu belum terdapat pembatasan akses masuk bagi pengunjung selain pegawai sehingga pengawasan terhadap setiap orang yang masuk masih kurang. Selain itu setiap pegawai masih bebas keluar masuk ke dalam ruang server sehingga kemungkinan terjadinya sabotase terhadap perusahaan bagi orang yang pernah sakit hati terhadap perusahaan sangat besar. Namun setelah berjalan 5 bulan, beberapa pimpinan perusahaan mulai merasakan perlunya beberapa aturan yang harus dijalankan oleh staf kantor seperti satpam untuk melakukan pekerjaannya agar tercipta rasa aman bagi semua staf yang ada dikantor itu. Adapun beberapa cara yang dilakukan perusahaan adalah sebagai berikut:

1.

Menempatkan satpam di kantor pusat dan kantor cabang selama 24 jam secara bergiliran, yang bertugas sebagai berikut : 43


Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam dengan waktu kerja

Melakukan pengontrolan terhadap fasilitas perusahaan yang kemudian dimasukkan ke dalam Laporan Harian

dan

melaporkan hasil tugasnya kepada komandannya.

Dalam melakukan tugasnya satpam harus mencatat kejadiankejadian yang dialami.

Satpam memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai seluruh staf.

Menjaga pintu masuk dan keluar perusahaan. Kendaraan yang berlalu lalang melalui gerbang dicatat nomor serinya, sehingga jika terjadi hal-hal yang tidak diinginkan dapat segera diketahui siapa saja tamu yang datang hari ini ke perusahaan.

•

Melakukan pencatatan terhadap setiap orang yang masuk ke dalam ruang kantor kecuali pegawai, terutama di luar jam dan kerja.

2.

Untuk masalah keamanan dan pengamanan terhadap bangunan kantor tidak hanya dipegang oleh petugas keamanan akan tetapi dari pihak perusahaan harus melengkapi semua prosedur dan kebijakan

mengenai

pengamanan

bangunan

diantaranya

penanganan terhadap kebakaran, banjir, huru hara dan lain sebagainya. 3.

Setiap tamu yang masuk harus ditanya apa kepentingannya dan tidak diperkenankan masuk ke dalam ruangan sebelum ada konfirmasi dari orang yang ingin ditemuinya. Hal ini untuk menghindari adanya penyusupan dari perusahaan kompetitor / pesaing.

4.

Untuk pegawai / karyawan harus mengenakan tanda pengenalnya selama di area kerja tanpa terkecuali. 44


5.

Melakukan pembatasan akses bagi tamu, bila kepentingan tamu tersebut diluar urusan kantor dan tidak jelas sebaiknya tamu tidak diijinkan untuk masuk ke dalam dan hanya dibatasi sampai dengan lobi saja. Kecuali sudah ada konfirmasi dengan pegawai yang ingin ditemuinya dan harus menggunakan badge tamu.

6.

Melakukan pembatasan akses terhadap karyawan untuk masuk ke dalam R. Server. Misalnya menggunakan pintu yang berakses.

7.

Menempatkan ruang-ruang yang membutuhkan privacy tinggi seperti ruang server, brankas dan ruang arsip jauh dari public area.

8.

Untuk pengamanan jaringan komputer dibutuhkan suatu penahan terhadap serangan komputer dan server. Untuk itu dibutuhkan Firewall yang berguna untuk menyaring setiap data yang masuk ke dalam jaringan sehingga kemungkinan serangan menjadi kecil. Agar firewall ini dapat bekerja dengan baik maka dibutuhkan tenaga administrator yang selalu melakukan checking rutin berkala.

9.

Staf bagian IT harus melakukan back up data setiap akhir hari sehingga setiap transaksi

elektronik yang terjadi pada hari itu

apabila terjadi masalah masih memiliki back up datanya. 10. Hanya staf bagian IT yang mempunyai wewenang melakukan editing data pada database dengan persetujuan dari Kepala Bagian IT atas permintaan

user.

Hal

ini

untuk

menghindari

kemungkinan

penyalahgunaan database perusahaan untuk kepentingan pribadi.

2.11. Auditing Tujuan: •

Mengetahui konsep dasar auditing sistem informasi terkait dengan masalah keamanan sistem informasi.

Pembahasan:


Beberapa hal yang masih terlewat dalam melaksanakan 11 domain sistem informasi adalah mengadakan auditing terhadap sistem informasi yang dipunyai perusahaan. Hal ini disebabkan karena belum adanya kesadaran dari tingkat pimpinan perusahaan untuk melakukan auditing. Sehingga dengan belum adanya audit terhadap sistem informasi dalam perusahaan mengakibatnya banyak terjadinya penyimpangan dalam pelaksanaan instalasi aplikasi sistem informasi. Kemudian tidak adanya jaminan ataupun asuransi yang melindungi aset – aset perusahaan dari berbagai hal yang dapat menyebabkan kerusakan ataupun kehilangan. Untuk mencegah terjadinya penyimpangan dalam melaksanakan pekerjaan yang dilakukan oleh masing-masing staf, perusahaan telah melakukan beberapa langkah yang dapat membantu mengurangi kekurangan-kekurangan didalam perusahaan. Langkah-langkah tersebut adalah dengan mengadakan auditing terhadap segala hal yang berkaitan atau mendukung pekerjaan dan proses bisnis dari perusahaan. Langkahlangkah tersebut antara lain: 1

Pada PT. Griya Media konsep audit sistem informasi harus dijalankan dengan cara mengamati / memantau kinerja sistem informasi secara berkala. Pengauditan sistem informasi secara berkala ini dijalankan untuk mencegah (prevention), mengetahui / mendeteksi (detection), dan mengambil tindakan yang diperlukan untuk mengatasi kesalahan yang sudah terjadi (correction). Pengauditan berkala ini dilakukan dilakukan tiap hari untuk skala pengoperasian (apabila ada kesalahan yang bukan tergolong kesalahan human error, seperti kesalahan ketik atau input, dalam pengoperasian sistem informasi maka kesalahan tersebut dicatat dan dilaporkan kepada Bagian IT.

2

Melakukan audit internal untuk sistem informasi perusahaan setiap 6 bulan sekali diseluruh kantor guna mengetahui kinerja dari sistem informasi tersebut.

3

Selain mengaudit sistem informasi maka juga dilakukan pengauditan terhadap kinerja pengamanan aset-aset fisik lainnya. 46


4

Melakukan audit terhadap aset – aset perusahaan secara berkala sehingga dapat diketahui apa saja yang masih berfungsi dan masih ada.

5

Mengenai masalah jaminan dan asuransi terhadap segala aset aset milik perusahaan mengingat investasi yang sudah dikeluarkan untuk investasi terhadap aset perusahaan cukup besar terutama investasi di bidang Teknologi Informasi harus mulai dipikirkan untuk menggunakan jasa asuransi terhadap aset perusahaan.


BAB III KESIMPULAN Berdasarkan pembahasan yang telah dilakukan diatas terhadap 11 domain sistem keamanan informasi di PT. Griya Media, maka dapat disimpulkan bahwa: 1. Kebijakan perusahaan terhadap pengamanan sistem informasi perusahaan adalah perlu. Hal ini karena selain sebagai penunjang kegiatan perusahaan, juga dapat menghindarkan perusahaan dari kerugian yang tidak diharapkan. 2. Dalam mengimplementasikan kebijakan terhadap pengamanan sistem informasi perusahaan diperlukan petunjuk yang jelas kepada karyawan serta kesepahaman diantara para staf perusahaan dalam melihat arti pentingnya kegiatan pengamanan tersebut.


DAFTAR PUSTAKA

Johny Moningka, Rahmat M. Samik-Ibrahim, Arrianto Mukti Wibowo, 2005, Materi Kuliah Proteksi dan Keamanan Sistem Informasi, Program Magister Teknologi Informasi Universitas Indonesia Jakarta.

Roberta Bragg, CISSP Security Management Practices, in Exam Cram 2.com [online] (June 20, 2005), available from

Ronald L. Krutz, Russel Dean Vines, 2003, The CISSP Prep Guide, Gold Edition, Wiley.


PERUSAHAAN AGEN PROPERTI PT. GRIYA MEDIA. Andreas Fobi Ign. Rudy Harjono Irman Triharyanto

Recommend Documents