Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Oleh : Malikuswari - 7203012173 Yusron Avivi – 7203012335 Imelda – 7203010227 Sasongko Budhi - 7203012238

Magister Teknologi Informasi Universitas Indonesia Ganjil - 2005

DAFTAR ISI BAB I . PENDAHULUAN ........................................................................................1 1.1. Latar Belakang..............................................................................................................................1 1.2. Struktur Organisasi.......................................................................................................................2 1.3. Aktifitas Bisnis...............................................................................................................................4 1.4. Visi dan Misi Perusahaan.............................................................................................................5 1.5 Aplikasi Yang Digunakan ..............................................................................................................5 1.6 Investasi Teknologi Informasi........................................................................................................6 1.7 Konfigurasi Ruangan dan Komputer ............................................................................................7

BAB II. Manajemen Keamanan...........................................................................11 II.1. Pendahuluan...............................................................................................................................11 II.2. Klasifikasi Informasi ....................................................................................................................11 II.2.1 Penyimpanan Dokumen...........................................................................................................12 II.2.2. Prosedur Pengklasifikasian Dokumen....................................................................................12 II.3. Manajemen Resiko.....................................................................................................................14 II.3.1. Analisa Kerawanan .................................................................................................................14 II.3.2. Analisa Ancaman.....................................................................................................................15 II.3.3 Analisa Resiko..........................................................................................................................16

BAB III. Sistem Kontrol Akses............................................................................20 III.1 Pendahuluan...............................................................................................................................20 III.2 Kontrol Identifikasi dan Otentikasi.............................................................................................20 III.3. Kontrol Akses.............................................................................................................................21 III.4 Monitoring Kontrol Akses ...........................................................................................................24 III.5 Kepedulian Pada Keamanan .....................................................................................................25

BAB IV. Keamanan Telekomunikasi dan Jaringan..........................................27 IV.1 Konfigurasi Jaringan ..................................................................................................................27 IV.2. Kebijakan Keamanan jaringan .................................................................................................28

BAB V. Cryptography dan Security Architecture & Models...........................31 V.1. Proses Kriptografis....................................................................................................................32 V.2. Symetric Cryptography .............................................................................................................33 V.3. Public Key Cryptography ..........................................................................................................33 V.4. Fungsi Hash ...............................................................................................................................34 V.5. Tanda Tangan Digital.................................................................................................................35 V.6. Sertifikat Digital..........................................................................................................................36 V.7. Transaksi Aman Yang Umum ...................................................................................................36 V.8. Prinsip-prinsip keamanan ..........................................................................................................39 V.9. Security Models..........................................................................................................................41 V.10. Keamanan Jaringan.................................................................................................................43

UKM MASS NET FILE NAME

108-4.DOC

PAGE

3 OF 72

V.10.1. Authentication. Database tentang user................................................................................44 V.10.2. Authorization .........................................................................................................................45 V.10.3. Gateway ................................................................................................................................46 V.10.4. Attack.....................................................................................................................................47 V.10.5. Monitoring..............................................................................................................................47 V.10.6. Komunikasi Terenkripsi ........................................................................................................48

BAB VI. Operations Security ..............................................................................49 VI.1. Administration Controls.............................................................................................................49 VI.2. Record Retention ......................................................................................................................49 VI.3. Privileged Entity Controls..........................................................................................................49 VI.4. Audit Trails.................................................................................................................................49

BAB VII. Pengembangan Aplikasi dan Sistem................................................50 VII.1. Klasifikasi Aplikasi...................................................................................................................50 VII.2. Pengembangan Aplikasi.........................................................................................................50 VII.3. Pemeliharaan Database .........................................................................................................51

BAB VIII. Business Continuity dan Plan Disaster Recovery .........................52 VIII.1. Business Impact Analisys ......................................................................................................52 VIII.2. Business Continuity Planning ................................................................................................53 VIII.3. Ancaman ................................................................................................................................54 VIII.4. Disaster Recovery Planning ..................................................................................................54 VIII.5. Identifikasi dan Notifikasi.........................................................................................................56

BAB IX. PHYSICAL SECURITY..........................................................................57 IX.1. Ancaman-ancaman Keamanan Fisik......................................................................................58 IX.2. Pengendalian Pengamanan Fisik ............................................................................................61 IX.3. Perencaaan Kebutuhan Fasilitas .............................................................................................61 IX.4. Manajemen Pengamanan Fasilitas..........................................................................................62 IX.5. Pengendalian Administrasi Personalia.....................................................................................62 IX.6. Kebutuhan Pengendalian Fasilitas...........................................................................................63 IX.7. Alarm dan deteksi intrusi...........................................................................................................63 IX.8. Pengendalian persediaan komputer ........................................................................................63 IX.9. Kebutuhan media penyimpanan ..............................................................................................64

BAB X. AUDIT SISTIM INFORMASI...................................................................66 X.1. Kebijakan Audit Sistim Informasi..............................................................................................67

Daftar Pustaka ......................................................................................................69

Hak cipta berada pada kelompok 108. Tulisan ini dapat dicopy, ditampilkan dalam website dan disebarluaskan.


108-4..DOC

PAGE

1 OF 72

BAB I . PENDAHULUAN

1.1. Latar Belakang PT. Mass Network (MASS – NET) merupakan salah satu perusahaan yang bergerak di bidang bisnis consumer goods yang memasarkan produknya dengan metode pemasaran multi level.

MASS-NET didirikan pada bulan Oktober 2003

merupakan perusahaan multilevel marketing. Perusahaan MLM itu beroperasi sesuai dengan prinsip-prinsip syariah. Multi Level Marketing merupakan salah satu teknik pemasaran yang menggunakan konsep hierarki dalam memasarkan hasil produksi. Konsep hierarki dalam Multi Level Marketing diterapkan pada setiap anggota yang juga sebagai konsumen atau pemakai dari barang-barang hasil produksi.

Keanggotaan MLM

terbagi atas dua jenis, yaitu upline member dan downline member. Upline member dikenal dengan istilah parent, merupakan member yang mempunyai anggota lain di bawahnya. Sedangkan downline member merupakan member yang berada di bawah upline member, yang lebih popular disebut dengan Child.

Kedalaman Hierarki

disebut juga sebagai level. Dalam aturan perusahaan MASS Net, level terendah adalah 20. Seiring dengan semakin berkembangnya skala bisnis PT MASS-Net, yang salah satunya ditandai dengan semakin banyaknya orang yang tertarik dengan sistem yang ditawarkan, maka perusahaan telah mengembangkan suatu sistem informasi yang dapat mendukung kegiatan bisnis seperti proses jual beli produk (transaksi), pemrosesan data member dan pengadaan barang (inventory). Sampai saat ini jumlah member sekitar 10.000 orang yang tersebar di beberapa daerah Kantor PT. Mass Net berkedudukan di Jakarta.

di Indonesia.


108-4.DOC

PAGE

2 OF 72

1.2. Struktur Organisasi

Kom isaris

D irektur Utam a

D irektur Pem asaran & Pengem bangan N etw ork

M anager Pem asaran

M anajer Penanganan Anggota

Staf Pem asaran

Staff Penanganan Anggota

D irektur O perasional & TI

M anager Kepegaw aian dan Um um

Staf U m um & G udang

Pram ubakti

PT.

Staf Kepegaw aian

Sopir

M anajer TI

M anager Akunting

Staf TI

Staf Akunting

Satpam

Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM),

yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Adapun komposisi pegawai adalah sebagai berikut:


108-4.DOC

PAGE

3 OF 72

No.

Nama

Jabatan

1.

A01

Komisaris

2.

A02

Komisaris

3.

A03

Direktur Utama

4.

A04

Direktur Pemasaran dan Pengembangan Network

5.

A05

Direktur Operasional dan TI

6.

A06

Manager Pemasaran

7.

A07

Manager Penanganan Anggota

8.

A08

Manager Kepegawaian dan Umum

9.

A09

Manager TI

10.

A10

Manager Akuntansi

11.

A11 .. A20

Staf Pemasaran (10 orang )

12.

A21 .. A24

Staf Penanganan Anggota ( 5 orang )

13.

A25 .. A32

Staf Umum dan Gudang ( 8 orang )

14.

A33 .. A37

Staf Kepegawaian ( 5 orang )

15.

A38 .. A40

Staf TI ( 3 orang )

16.

A41 .. A43

Staf Akunting ( 3 orang )

17.

A44.. A47

Satpam ( 4 orang )

18.

A48 .. A 49

Pramubakti ( 2 orang )

19

A50 .. A51

Sopir ( 2 orang )

Jumlah jam kerja pada perusahaan ini adalah 8 jam sehari, 5 hari dalam satu minggu. Namun ada kekhususan jam kerja sistem shift bagi pekerja tertentu seperti satpam. Dalam satu tahun, setiap pekerja berhak mendapatkan jumlah hari cuti sebesar 12 hari. Selain itu, setiap lima tahun sekali, setiap pekerja mendapatkan hak cuti besar selama 30 hari atau dapat diganti uang tunai.


108-4.DOC

PAGE

4 OF 72

Perusahaan ini berlokasi pada sebuah kompleks rumah kantor (ruko), dengan mengambil 3 buah petak ruko berlantai 3. Pada lokasi ruko terdapat satuan pengamanan kompleks ruko yang dikelola oleh pengembang

kompleks.

Satuan

pengamanan bekerja 3 shift, yaitu : 1. Jam 6.00 pagi – 14.00 siang 2. Jam 14.00 siang – 22.00 malam 3. Jam 22.00 malam – 6.00 pagi Khusus untuk satuan pengamanan, setiap kerja 3 hari libur 1 hari.

1.3. Aktifitas Bisnis Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM), yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Jumlah ini cukup memadai untuk menangani transaksi per hari yang berjumlah rata-rata tidak kurang dari 700 invoice. Setelah melakukan evaluasi atas empat bulan perjalanan operasi bisnis, pendekatan MLM terasa kurang cocok sebagai model bisnis MASS-NET. Hal tersebut karena adanya temuan itu antara lain, citra MLM di mata sebagian

masyarakat

Indonesia kurang baik. Seolah ada kesan setengah memaksa, kesan menjadikan setiap orang sebagai prospek, dan juga ada keharusan menjual. Tidak jarang harus membeli barang di luar kebutuhan untuk tutup poin. Di lain pihak, ada juga yang mengatakan sistem MLM terlalu rumit. Selain itu, produk kebutuhan sehari-hari yang dijual oleh MASS-NET kurang cocok jika di-MLMkan. Akhirnya diputuskan untuk mengubah pendekatan bisnis MASS-NET dari MLM menjadi klub belanja eksklusif. Klub Belanja Mass, adalah klub belanja eksklusif yang menawarkan

produk-produk

keanggotaannya

dilakukan

kebutuhan melalui

sehari-hari

referensi

yang

berjenjang

metode (refereel

rekrutmen marketing).

Sepintas, seperti tidak ada bedanya dengan sistem MLM. Namun, akan terlihat bedanya jika memperhatikan paradigma baru yang diterapkan oleh MASS-NET. mengubah beberapa istilah khas MLM menjadi istilah klub belanja. Istilah upline diganti dengan referen, downline menjadi anggota (sahabat), jaringan menjadi jalinan, stokis menjadi outlet, marketing plan menjadi sistem bonus dan hadiah, serta leader menjadi konsultan. Setelah MASS-NET diubah


108-4.DOC

PAGE

5 OF 72

dari MLM jadi klub belanja, terjadi peningkatan anggota yang sangat signifikan. Dalam satu bulan, jumlah anggota naik dari 4.000 menjadi 6.000 orang. Saat ini Klub Belanja Mass menjual sekitar 40 item. Terdiri dari makanan (food) dan non makanan (nonfood).

Barang-barang tersebut umumnya adalah

barang kebutuhan sehari-hari.

1.4. Visi dan Misi Perusahaan Visi dari perusahaan adalah menjadi perusahaan terbesar dalam bisnis produk consumer goods yang menerapkan metode pemasaran Multi Level, sedangkan misi dari perusahaan adalah meningkatkan efisiensi dan efektifitas perusahaan sehingga memiliki keunggulan kompetitif (competitive advantage).

1.5 Aplikasi Yang Digunakan Aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota menggunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Aplikasi yang dipergunakan saat ini adalah sebagai berikut: •

•

•

Aplikasi Akuntansi o

General Ledger

o

Account Payable

o

Account Receivable

o

Laporan Keuangan

Aplikasi Administrasi Gudang o

Monitoring Stok Gudang

o

Pembuatan Purchase Order

o

Pembuatan Delivery Order

o

Pembuatan Report Stok Opname

Aplikasi Administrasi Pemasaran dan Penjualan o

Pembuatan Sales Order


108-4.DOC

o •

•

PAGE

6 OF 72

Pembuatan Laporan Penjualan

Aplikasi Administrasi Keanggotaan o

Pendaftaran Anggota Baru

o

Pemeliharaan Data Anggota

o

Perhitungan Bonus Bulanan Anggota

Aplikasi Administrasi Kepegawaian o

Database Pegawai

o

Administrasi Penggajian (Payroll)

1.6 Investasi Teknologi Informasi Perusahaan ini mempunyai investasi teknologi informasi sebagai berikut: Sistem Operasi : Linux redhat 9.1 untuk server database, Windows XP Home edition untuk computer pengguna. 1 buah Server: Intel Pentium 4, 3GHz, Memory 1GB, Harddisk 2x80GB (Mirroring), FastEthernet •

Sistem Operasi RedHat Linux 9.1 (freeware)

•

Database Server MySQL (freeware)

•

Web Server Apache (freeware)

28 PC Klien: •

Pentium 4 Celeron, Memory 128MB, Harddisk 40GB, FastEthernet

•

Sistem operasi Windows XP Home Edition (OEM)

•

Jaringan : LAN 10/100 MBps

•

Perangkat network : Firewall modem router ADSL 1 buah dan hubswitch 1 buah

•

Jaringan internet : ADSL 128 Kbps

•

Email :

•

5 alamat e-mail dari internet provider untuk keperluan manajemen

•

Yahoo!mail untuk pegawai lainnya


108-4.DOC

PAGE

7 OF 72

1.7 Konfigurasi Ruangan dan Komputer Konfigurasi ruangan dan penempatan komputer seperti tampak pada gambar 1.1 untuk lantai 1, gambar 1.2 untuk lantai 2 dan gambar 1.3 untuk lantai 3:

Gambar 1.1. Denah lantai 1


108-4.DOC

PAGE


8 OF 72


108-4.DOC

PAGE

9 OF 72


Konfigurasi jaringan saat ini terdiri dari 3 domain yaitu network pemasaran dan penanganan anggota, network gudang dan kepegawaian dan network akuntansi. Network tersebut tidak dapat saling berhubungan satu sama lain. Terdapat satu buah file server yang dapat dihubungi oleh semua network. Untuk terhubung ke internet dari Local Area Network melalui ADSL modem / firewall / router.


108-4.DOC

PAGE

10 OF 72

Sedangkan konfigurasi jaringan komputer yang ada saat ini adalah seperti tampak pada gambar 1.4:

Gambar 1.4 Konfigurasi Jaringan Komputer


108-4.DOC

PAGE

11 OF 72

BAB II. Manajemen Keamanan

II.1. Pendahuluan Dalam konsep manajemen keamanan, terdapat 3 (tiga) konsep yang akan dibahas dalam makalah ini, yaitu : -

Konfidensialitas

(Confidentiality),

integritas

(Integrity)

dan

availabilitas

(availability) -

Identifikasi, autentikasi, akuntabilitas, autorisasi dan privasi

-

Objek kontrol keamanan ( objective of security controls ).

Konsep konfidensialitas adalah menyangkut kerahasiaan dari suatu informasi. Atau menjaga agar informasi tidak diakses oleh orang-orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep integritas memastikan agar modifikasi hanya dilakukan oleh seseorang yang berhak dan tidak dilakukan oleh orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep availabilitas memastikan agar informasi tersedia bila dibutuhkan. Atau availabilitas menjamin bahwa sistem informasi berjalan dengan baik. Hal ini dilakukan dengan sistem penyimpanan yang baik. Ketiga hal diatas akan dibahas dan diterapkan dalam sistem keamanan yang akan diterapkan dalam Usaha Kecil Menengah Multi Level Marketing PT. Mass Network

II.2. Klasifikasi Informasi Klasifikasi informasi dilaksanakan karena tidak semua data mempunyai value yang sama pada perusahaan. Dalam pengklasifikasian dokumen ini, PT. Mass Net melakukan pembagian sebagai berikut :


108-4.DOC

PAGE

12 OF 72

No.

Definisi

Keterangan

1.

Umum

Informasi yang dapat dipublikasikan

2.

Internal umum

3.

Internal divisi

4.

Rahasia

Informasi yang hanya dipergunakan untuk keperluan internal perusahaan dan tidak untuk eksternal perusahaan Informasi yang hanya dipergunakan untuk keperluan internal perusahaan, dan hanya divisi yang memiliki data tersebut yang boleh mengetahui Informasi ini rahasia, hanya boleh diketahui oleh pemilik dan orang-orang yang diijinkan oleh pemilik

Tabel II-1 Klasifikasi Dokumen

II.2.1 Penyimpanan Dokumen Dari segi fisik dokumen, terdapat 2 jenis dokumen, yaitu o

Dokumen berupa kertas Dokumen berupa kertas, disimpan di dalam lemari dokumen yang terbuat dari besi dan terkunci. Yang memiliki lemari besi dokumen yaitu : Komisaris, Direktur utama, Direktur Pemasaran dan pengembangan network, Direktur operasinal dan Teknologi Informasi, Manager pemasaran, Manajer penanganan anggota, manajer kepegawaian dan umum, manajer Teknologi Informasi, manajer akunting, staf umum (1lemari), staf kepegawaian (1 lemari), staf teknologi informasi (1lemari), staf akunting ( 1 lemari), staf pemasaran (1 lemari) dan staf penanganan anggota ( 1 lemari).

o

Dokumen berupa file Dokumen berupa file dapat disimpan dalam komputer masing-masing. Dimana setiap pengguna menyimpan dalam folder “my document” masing-masing. File juga dapat disimpan dalam folder user yang berada pada server. Selain itu terdapat folder yang dapat diakses oleh masing-masing bagian.

II.2.2. Prosedur Pengklasifikasian Dokumen Elemen kunci dari pengklasifikasian dokumen adalah sebagai berikut : 1. Pemilik Pemilik dokumen adalah seorang manager, direktur dan komisaris.


108-4.DOC

PAGE

13 OF 72

Seorang pemilik dokumen berkewajiban menentukan pengklasifikasian informasi, merubah klasifikasi informasi secara periodik, memberikan hak akses kepada orang/divisi lain dan mendelegasikan kewenangan kemananan dokumen kepda kustodian. 2. Kustodian Pemilik informasi mendelegasikan tanggungjawab keamanan dokumen pada kustodian dalam hal ini karyawan pada divisi Teknologi Informasi. Tugas dari kustodian yaitu: melakukan backup secara periodik, melakukan restorasi data backup bila diperlukan dan memelihara catatan-catatan informasi kebijakan pengklasifikasian 3. Pengguna Pengguna adalah orang-orang yang boleh membaca dokumen tersebut. Kewajiban dari seorang pengguna adalah mengikuti operasional prosedur keamanan sistem informasi pada perusahaan.

Prosedur untuk pengklasifikasian dokumen berupa kertas, adalah sebagai berikut: 1. Setiap pemilik dokumen diwajibkan untuk menuliskan / mengecap pada awal dokumen mengenai klasifikasi dokumen ( umum, internal umum, internal divisi atau rahasia). 2. Menuliskan / mengecap pada awal dokumen tanggal penulisan atau tanggal penerimaan dokumen Sedangkan prosedur untuk pengklasifikasian dokumen berupa file, adalah sebagai berikut: 1. Setiap dokumen / file yang dibuat, diwajibkan untuk menuliskan hak akses, tanggal dibuat dan dimodifikasi, dan klasifikasi informasi (umum, internal umum, internal divisi atau rahasia). 2. Setiap divisi memiliki direktori file. Dalam direktori file tersebut terdapat direktori yang sesuai dengan klasifikasi informasi tersebut. Jadi terdapat direktori umum, direktori internal umum, direktori internal divisi dan direktori rahasia. Setiap pemilik dokumen diwajibkan meletakkan file-file tersebut sesuai dengan klasifikasi informasinya.


108-4.DOC

PAGE

14 OF 72

II.3. Manajemen Resiko Manajemen resiko dimaksudkan untuk mengurangi resiko

hingga mencapai

sebuah tingkatan yang dapat diterima oleh perusahaan. Dalam manajemen resiko ini akan dilakukan analisa resiko yang memadai sesuai prinsip-prinsip manajeman keamanan.

Sebagaimana 1

membutuhkan proteksi .

diketahui,

resiko

adalah

potensial

kerugian

yang

Untuk menganalisa resiko ini, akan dianalisa kerawanan

(vulnerability) dan ancaman (threat) yang akan mungkin terjadi.

Tujuan utama dari

analisa resiko adalah untuk mengkuantifikasi dampak dari ancaman potensial.

II.3.1. Analisa Kerawanan Kerawanan adalah jalan yang potensial untuk menyerang. Kerawanan dapat terjadi karena sistem komputer dan jaringan (sistem terbuka sehingga dapat memungkinkan diserang) atau dapat pula karena prosedur administratif. Dalam perusahaan ini dianalisa kemungkinan-kemungkinan kerawanan yang ada yaitu : 1. Lokasi bangunan Bangunan berada pada kompleks perkantoran. Penjagaan dilakukan oleh satuan pengamanan kompleks 2. Keamanan bangunan Keamanan bangunan disini yaitu siapa saja yang memegang kunci pintu. Personal yang boleh memegang pintu kunci ruangan adalah setiap manager yang bersangkutan. Satuan pengaman hanya memegang kunci pintu utama. Di sini juga terpasang CCTV yang dapat mengamati ruangan pada tiap lantai. Rekaman CCTV ini terdapat pada ruang server. 3. Pembagian ruangan setiap departemen Dengan adanya pembagian ruangan, maka selain kunci yang dipegang oleh manager, juga hanya orang-orang tertentu boleh masuk ke ruang tertentu. Seperti gudang hanya dapat dimasuki oleh karyawan gudang, ruang keuangan hanya boleh dimasuki oleh karyawan keuangan, karyawan lain yang ingin berhubungan dengan staf keuangan harus melalui loket yang tersedia. Ruang server hanya boleh dimasuki oleh karyawan divisi Teknologi Informasi. 4. Meja karyawan yang memungkinkan informasi tercecer


108-4.DOC

PAGE

15 OF 72

Meja karyawan diharuskan selalu bersih oleh dokumen-dokumen. 5. Lemari tempat penyimpanan dokumen Lemari tempat penyimpanan dokumen harus selalu terkunci, dan tidak ditinggalkan dalam keadaan tidak terkunci 6. Pengklasifikasian dokumen Setiap dokumen haruslah diklasifikasikan agar menjamin integritas dan confidensialitas. 7. Hak akses Diadakan aturan terhadap hak akses bagi setiap karyawan. Hak akses akan dibahas pada bab II 8. Pemakaian server secara bersama Dengan pemakaian server secara bersama, staff Teknologi Informasi haruslah selalu melakukan kontrol terhadap sistem secara keseluruhan dan prioritas hak yang diberikan pada masing-masing file.

II.3.2. Analisa Ancaman Ancaman adalah sebuah tindakan atau kejadian yang memungkinkan tindakan yang melawan keamanan sistem informasi. Ancaman-ancaman yang dapat terjadi : 1. Virus Hal ini diatasi dengan memberikan anti virus AVG free pada setiap PC komputer. Setiap pengguna komputer haruslah meng-update anti virus ini. Apabila memasukan disket, CD atau USB haruslah men-scan-nya terlebih dahulu. 2. Pegawai Pegawai mempunyai akses langsung ke sumber informasi karena pekerjaannya. Tetapi adanya pegawai yang tidak puas, dapat merusak sistem informasi yang ada. Sehingga setiap pegawai dapat dianggap sebagai ancaman 3. Mantan pegawai Mantan pegawai mempunyai pengetahuan mengenai seluk beluk sistem informasi yang ada, sehingga hal ini patut diwaspadai 4. Hacker Hacker dapat datang dari luar (internet) ataupun dari dalam. Dari luar dapat ditanggulangi dengan penempatan firewall.


108-4.DOC

PAGE

16 OF 72

5. Pesaing Pesaing dapat saja mencoba untuk masuk dalam sistem informasi perusahaan. 6. Pelanggan Pelanggan yang datang juga dapat dicurigai sebagai ancaman, karena bila terdapat informasi yang tercecer dimeja, atau pada saat staff penjualan tidak berada ditempat, pelanggan dapat mencoba untuk masuk ke dalam sistem informasi. 7. Tamu Tamu terkadang ditempatkan di dalam ruangan. Apabila tamu tersebut tidak diawasi, dan terdapat informasi yang tercecer, maka informasi tersebut dapat diketahui oleh tamu yang datang 8. Bencana alam Bencana alam dapat merusak bangunan dan penyimpanan informasi yang ada. 9. Kecerobohan Yang termasuk kecerobohan seperti tertumpah air, berserakan, jatuh tercecer dan lain-lain

II.3.3 Analisa Resiko Resiko adalah kombinasi dari ancaman (threat) dan kerawanan (vulnerability). Resiko dapat diukur secara kuantitatif dan kualitatif. Dengan pendekatan kuantitatif, resiko diukur dengan pendekatan secara finansial. Dengan pendekatan kualitatif, pendekatan dilakukan dengan menggunakan “scoring system”. Dalam tulisan ini, kami melakukan pendekatan kualitatif sebagai berikut 1: 1. Rendah Posisi kerawanan pada perusahaan cukup rendah atau hal ini sangat jarang terjadi. Tindakan untuk menghilangkan kerawanan ini akan diambil bila memungkinkan,

tetapi

faktor

biaya

juga

mendapat

perhatian

untuk

menghilangkan kerawanan ini. 2. Medium Posisi kerawanan pada perusahaan cukup tinggi terhadap konfidensialitas, integrity, availabilitas dan akuntanbiliatas dari sistem informasi perusahaan. Hal ini sangat mungkin terjadi. Tindakan untuk menghilangkan kerawanan ini sangatlah dianjurkan.


108-4.DOC

PAGE

17 OF 72

3. Tinggi Posisi kerawanan pada perusahaan sangat tinggi dan sangat membahayakan terhadap konfidensialitas, integritas, availabilitas dan

atau akuntabilitas dari

sistem informasi perusahaan. Tindakan untuk menghilangkan kerawanan ini harus segera dilakukan.


No

Aset

108-4.DOC

PAGE

18 OF 72

Kerawanan Ancaman

Resiko

Klasifikasi resiko

Penanggulangan

Dicuri, terbakar, rusak terkena air

Data hilang, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Data hilang, aset fisik hilang Data hilang, aset fisik hilang

Tinggi

Ditempatkan di ruang server. Pada ruang ini, pegawai tidak boleh makan, minum dan merokok. Yang boleh masuk ruang server hanya pegawai pada divisi Teknologi Informasi.

Aset Fisik 1

Server

2

Modem Router firewall ADSL

3

Peripheral Komputer server

4

CD perangkat lunak

5

Rekaman CCTV

6

Eksternal Hard Disk, CD dan kaset untuk Backup Komputer user

7

8

Peripheral komputer user

Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan

Medium

Rendah

Tinggi

Medium

Tinggi

Data Medium hilang, aset fisik hilang

Dicuri, terbakar, rusak terkena air

Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan

Rendah Sistem tidak berfungsi, aset fisik hilang

Data disimpan dalam save deposit box.

Keluar masuk barang harus ada izin tertulis dari atasan dan petugas keamanan Setiap user bertanggung jawab pada komputernya, dan petugas keamanan mengawasi keluar masuk barang


9

Kabel Jaringan

10

HUB

11

Lemari Besi

12

Disket, CD, USB

108-4.DOC

PAGE

Rendah Sistem tidak berfungsi, aset fisik hilang Sistem Rendah tidak berfungsi, aset fisik hilang Data Tinggi hilang, aset fisik hilang Data Rendah hilang, aset fisik hilang

19 OF 72

Terdapat cadangan kabel

Terdapat cadangan HUB

Petugas keamanan mengawasi keluar masuk barang. Terdapat kebijakan keamanan perusahaan yang mengenakan sanksi pada pencurian


108-4.DOC

PAGE

20 OF 72

BAB III. Sistem Kontrol Akses

III.1 Pendahuluan Akses kontrol merupakan jantung dari keamanan. Hal-hal yang menyangkut Akses kontrol adalah : -

Kemampuan untuk mengijinkan hanya kepada pengguna yang berhak

-

Memberikan atau tidak memberikan hak akses, sesuai dengan model keamanan tertentu, dengan izin tertentu untuk mengakses suatu sumber informasi

-

Seperangkat prosedur yang diterapkan pada perangkat keras, perangkat lunak dan adminstrator untuk memonitor akses, mengidentifikasi pengguna, mencatat akses yang telah dilakukan dan memberikan atau menolak akses berdasarkan peraturan yang telah dibuat. Kontrol diimplementasikan untuk mengurangi resiko dan potensial kerugian.

Kontrol dapat berupa : -

Preventif : mencegah terjadinya insiden

-

Detektif : mendeteksi terjadinya insiden

-

Korektif : memperbaik terjadinya insiden

Dalam bab ini akan membahas akses kontrol seperti yang telah dijelaskan di atas yang dapat diterapkan pada Usaha Kecil dan Menengah PT Mass Network.

III.2 Kontrol Identifikasi dan Otentikasi Identifikasi adalah proses atau aksi yang dilakukan oleh pengguna untuk membuktikan siapa (identitas) dirinya kepada sistem. Otentikasi adalah verifikasi pengguna tersebut sesuai dengan identitas yang diberikan. Untuk identifikasi dan otentikasi yang diterapkan pada PT Mass Network, digunakan nama login dan password. Setiap pengguna pada komputer , wajib memasukkan namalogin dan password. Kebijakan keamanan pada login yaitu : -

Minimal terdapat dua nama login pada setiap komputer klien. Satu nama login administrator dan satu nama login pengguna

-

Nama login pengguna masuk dalam kelompok pengguna (bukan administrator)

-

Nama login tidak boleh diberikan kepada orang lain


-

108-4.DOC

PAGE

21 OF 72

Apabila karyawan sudah tidak menjadi pegawai PT Mass Network, maka nama login-nya akan dihapus

Kebijakan pada password yaitu : -

Password paling sedikit terdiri dari delapan karakter tanpa spasi.

-

Password merupakan kombinasi angka dan huruf

-

Password pengguna diberikan oleh petugas pada divisi teknologi informasi, dan haruslah diganti pada saat pertama kali login.

-

Password harus dirubah sebulan sekali untuk pengguna dan dua minggu sekali untuk server

-

Password haruslah diingat dan tidak boleh dicatat

-

Password tidak boleh sesuatu yang mudah ditebak, seperti nama keluarga, tanggal lahir dan lain sebagainya.

-

Password tidak boleh diberikan kepada orang lain

-

Password yang pernah dipergunakan tidak boleh dipergunakan kembali.

III.3. Kontrol Akses Kontrol akses secara phisik yang dilakukan pada PT. Mass Network, yaitu : 1. Setiap kunci lemari arsip dipegang oleh manager atau petugas yang diberikan tanggung jawab tersebut. 2. Setiap kunci ruangan dipegang oleh manager divisi yang bersangkutan atau petugas/karyawan yang ditunjuk. Petugas keamanan hanya memegang kunci utama. 3. Kunci untuk kotak save deposit sebagai tempat penyimpanan backup hard disk dipegang oleh manager TI 4. Aset informasi/dokumen yang tersimpan pada lemari arsip harus diklasifikasikan sesuai dengan klasifikasi informasi 5. Setiap lemari arsip diberi label yang menunjukkan siapa saja yang boleh membuka lemari tersebut. 6. Media penyimpanan seperti disket, CD, USB dan lain-lain haruslah diletakkan sesuai dengan klasifikasi informasi. 7. Apabila ada tamu atau pihak ketiga yang berhubungan dengan perusahaan haruslah ditemani oleh minimal seorang pegawai.


108-4.DOC

PAGE

22 OF 72

8. Apabila ada pekerjaan yang berhubungan dengan perusahaan dikerjakan oleh pihak lain, maka harus ada penanggung jawab terhadap pekerjaan tersebut. 9. Setiap pegawai wajib mengenakan papan nama, yang menunjukan nama dan divisinya. Apabila pegawai tidak membawa papan nama, maka petugas keamanan akan memberikan papan nama sementara. Untuk tamu diberikan papan nama tamu. 10. Apabila informasi itu dibuang, maka harus dipastikan bahwa informasi tersebut sudah tidak dapat dibuka kembali. Hal yang dapat dilakukan seperti sebelum membuang kertas dokumen, maka dokumen tersebut wajib untuk dihancurkan melalui mesin penghancur kertas. Apabila dalam bentuk disket, CD atau tempat penyimpanan lain, pastika media tersebut benar-benar hancur.

Kontrol akses pada file yang tersimpan pada komputer : 1. Setiap pengguna komputer mempunyai nama login yang unik. Setiap pengguna hanya boleh menyimpan pada “my documents” dari pengguna, dan tidak diperkenankan untuk mencoba membuka file selain dari folder tersebut. 2. Login pengunna dibatasi hanya dapat membuka file pada folder “my documents”. Pengguna dibatasi untuk tidak dapat meng-install program pada komputer. 3. Apabila pengguna memerlukan tambahan aplikasi perangkat lunak selain yang telah di-install, maka pengguna harus menghubungi petugas Teknologi Informasi. 4. Setiap pegawai diperkenankan untuk berhubungan dengan internet, tetapi hanya untuk keperluan bisnis. 5. Setiap pengguna dapat memiliki nama login pada server data. 6. Terdapat direktori untuk semua divisi pada server. Hak akses pada file-file tersebut diberikan oleh pemilik informasi. Hak akses untuk group dan untuk umum. Baik untuk group dan untuk umum, hak akses tersebut terbagi tiga yaitu melihat, mengedit dan mengeksekusi. 7. Dalam server Linux, petugas Teknologi informasi membuat nama login dan memasukkan nama login tersebut dalam sebuah grup yang berhubungan dengan divisi orang tersebut.

Kontrol akses yang diterapkan pada aplikasi dan server data adalah sebagai berikut:


Nama

108-4.DOC

PAGE

23 OF 72

Aplikasi

Aplikasi

Aplikasi

Aplikasi

Aplikasi

Server

Akuntansi

Administrasi

Administrasi

Administrasi

Administrasi

Data

Gudang

Pemasaran

Keanggotaan Kepegawaian

dan Penjualan A01

baca

baca

Baca

baca

baca

baca, tulis

A02

baca

baca

Baca

baca

baca

baca, tulis

A03

baca

baca

Baca

baca

baca

baca, tulis

A04

-

-

Baca,tulis

Baca,tulis

-

Baca, tulis

A05

Baca,

Baca , tulis

-

-

Baca, tulis

tulis A06

-

Baca, tulis

-

Baca, tulis

baca

-

Baca, tulis

A07

-

-

baca

Baca, tulis

-

Baca, tulis

A08

-

-

-

-

Baca, tulis

Baca, tulis

A09

-

-

-

-

-

Baca, tulis

A10

Baca,

-

-

-

-

tulis A11..

Baca, tulis

-

-

Baca, tulis

baca

-

Baca

-

-

baca

Baca, tulis

-

Baca

-

Baca, tulis

-

-

-

Baca

-

-

-

-

Baca, tulis

Baca

A20 A21.. A24 A25.. A28 A33.. A35


A38..

108-4.DOC

-

-

PAGE

-

24 OF 72

-

-

Baca,

A40

tulis

A41..

Baca,

A43

tulis

-

-

-

-

Baca

Tabel 3.1. Tabel Akses kontrol untuk aplikasi dan server data

Kontrol akses pada aplikasi : 1. Pada

Aplikasi

Administrasi

pemasaran

dan

penjualan

staf

pemasaran

memasukkan data, persetujuan hanya dapat diberikan dari manajer pemasaran atau direktur pemasaran dan pengembangan network. 2. Pada

aplikasi

administrasi

keanggotaan,

staff

penanganan

anggota

memasukkan data, persetujuan hanya dapat diberikan dari manajer penanganan anggota atau direktur pemasaran dan pengembagan network. 3. Pada aplikasi administrasi gudang, staff umum dan gudang memasukkan data, persetujan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional & Teknologi Informasi. 4. Pada aplikasi kepegawaian, staff kepegawaian memasukkan data, persetujuan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional dan Teknologi Informasi. 5. Pada aplikasi kepegawaian staf kepegawaian hanya dapat melihat data kepegawaian hingga level manajer. Level direktur dan komisaris hanya dapat dilihat oleh manajer kepegawaian dan umum, dan disetujui oleh direktur operasional dan Teknologi Informasi. 6. Pada aplikasi akuntansi, staf akunting hanya dapat memasukkan data, persetujuan dari manajer akunting atau direktur operasional dan teknologi informasi. Untuk persetujuan keuangan diatas Rp 20.000.000, persetujuan harus disetujui oleh direktur operasional dan teknologi.

III.4 Monitoring Kontrol Akses Untuk memonitor kontrol akses ini, hal-hal yang dapat dilakukan yaitu : 1. Penggunaan Intrusion Detection System (IDS). Pembahasan lebih lanjut mengenai IDS akan dibahas pada BAB keamanan telekomunikasi dan jaringan .


108-4.DOC

PAGE

25 OF 72

2. Petugas divisi teknologi informasi akan mengecek setiap komputer 2 minggu sekali. Dalam pengecekan ini akan dilakukan pengecekan anti virus dan nama login serta hak ases terhadap setiap nama login. Apabila ditemukan nama login yang lain atau terdapat perubahan hak akses, maka kejadian ini dapat dilaporkan ke Direktur operasional dan Teknologi Informasi. 3. Pemilik informasi berkewajiban untuk selalu mengecek hak akses pada setiap informasi yang dimiliki. 4. Minimal setiap seminggu sekali terdapat full backup data.

Backup data

tersimpan pada sebuah Harddisk eksternal, yang tersimpan pada safe deposit bank. Backup data ini di rotasi setiap 6 minggu. 5. Setiap bulan sekali terdapat full backup data. Backup data ini tersimpan dalam kaset, yang tersimpan pada manajer Teknologi Informasi. Backup data ini bertahan sampai 3 tahun. 6. Apabila terjadi kecurigaan terhadap integritas data, maka dengan seijin pemilik data, petugas teknologi informasi dapat merestorasi informasi yang diinginkan.

III.5 Kepedulian Pada Keamanan Kepedulian pada keamanan (security awareness) harus ditumbuhkembangkan. Untuk itu perlu diadakan pelatihan internal maupun eksternal. Pelatihan ini ditujukan pada pegawai, administrator (divisi teknologi informasi), direktur dan petugas keamanan. Hal-hal yang ditekankan pada kepedulian keamanan yaitu : 1. Informasi tidak dapat dijaga tanpa dukungan dari seluruh karyawan. 2. Pelatihan dapat dilaksanakan pada kelas ataupun penyebaran artikel. 3. Karyawan harus diajarkan pentingnya keamanan pada perusahaan dan bagaimana untuk mengidentifikasikan dan melindungi informasi yang sensitif. Karyawan harus diberikan informasi mengenai kebijakan perusahaan dan ancaman dari lingkungan. 4. Administrator haruslah dilatih teknik keamanan yang terbaru, ancaman dan penanggulangannya. 5. Tanpa adanya dukungan dari pihak manajemen, program keamanan tidak dapat dijalankan. 6. Mempresentasikan secara berkala kepada pihak manajemen agar mereka selalu terinformasi status keamanan dari perusahaan.


108-4.DOC

PAGE

26 OF 72

7. Petugas sekuriti haruslah selalu tetap memberikan yang terbaik kepada perusahaan. 8. Kepada pihak manajer ditekankan bahwa keamanan bukan hanya masalah teknologi,tetapi juga masalah manusia2. 9. Manajemen haruslah berusaha untuk menghindari konflik-konlik yang dapat mengakibatkan

karyawan

yang

menyabotase sistem informasi.

loyal

menjadi

seseorang

yang

dapat


108-4.DOC

PAGE

27 OF 72

BAB IV. Keamanan Telekomunikasi dan Jaringan

Dalam bab ini akan dibahas keamanan jaringan dan telekomunikasi pada PT Mass Network.

IV.1 Konfigurasi Jaringan Konfigurasi jaringan pada PT Mass Network seperti tampak pada gambar 3.1.

Internet

ADSL modem / router /firewall Network Pemasaran & Penanganan anggota

Network Gudang & Kepegawaian

Network Akuntansi

File server

`

`

`

`

`

`

Gambar 4-1 Konfigurasi jaringan PT Mass Network

Seperti tampak pada gambar 4.1, konfigurasi jaringan PT Mass Network terdiri dari 3 buah Network yang terdiri dari 29 komputer yaitu :


108-4.DOC

PAGE

28 OF 72

1. Network Pemasaran & Penanganan anggota Pada network ini terhubung komputer yang digunakan oleh: A01,A04, A06, A07, A11, A12, A13, A14, A15, A21, A22, A23 dan A38 2. Network Gudang & Kepegawaian Pada network ini terhubung komputer yang digunakan oleh: A02, A05, A08, A25, A26, A27, A33, A34 dan A39 3. Network Akuntansi Pada network ini terhubung komputer yang digunakan oleh: A03, A09, A10, A40, A41, A42. 4. Network sentral data Adapun keempat buah network tersebut semuanya terhubung ke Router / Modem / Firewall ADSL.

IV.2. Kebijakan Keamanan jaringan Kebijakan keamanan jaringan yang diterapkan pada PT Mass Network adalah sebagai berikut: 1. Instalasi software hanya boleh dilakukan oleh karyawan divisi Teknologi Informasi. 2. Sistem operasi yang digunakan oleh windows XP professional sp 2. 3. Setiap komputer harus di-install antivirus. Antivirus yang digunakan AVG Antivirus free edition. 4. Setiap Network tidak saling berhubungan, kecuali ke Network sentral data dimana diletakkan sebuah Linux server sebagai sentral data. 5. Setiap user tidak dibenarkan memberikan login account kepada orang lain. Dan bertanggung jawab terhadap login account tersebut. 6. Setiap komputer dapat terhubung ke internet melalui firewall ADSL 7. Internet hanya digunakan untuk keperluan kantor, dan tidak boleh mengakses situs porno dan yang berhubungan dengan crack atau hack. Hal ini disebabkan situs-situs tersebut tidak berhubungan dengan keperluan perusahaan dan banya virus bersumber pada situs-situs tersebut 8. Petugas pada divisi Teknologi Informasi harus membatasi akses-akses ke internet dengan memblok situs yang berhubungan dengan pornografi, crack dan hack. Pada saat ini dibatasi pada modem/firewall ADSL.


108-4.DOC

PAGE

29 OF 72

9. Pengguna tidak diperbolehkan mengubah setting keamanan pada sistem operasi, membuat user account, menggunakan perangkat untuk crack / hack, dan tindakan-tindakan yang dapat mengandung unsur kejahatan (misal, pencurian data, scan IP, sniffing). 10. Konfigurasi berbentuk Star, untuk itu perusahaan mempunyai ADSL modem / router / firewall cadangan yang akan dipergunakan bila alat tersebut rusak. 11. Perusahaan mempunyai cadangan HUB bila hub yang dipergunakan rusak. 12. Firewall dan Intrusion Detection System

mempunyai log file, history, dan

memberitahukan melalui email bila terdapat kecurigaan terhadap adanya serangan. 13. Terdapat sebuah Intrusion Detection System pada Network akutansi, hal ini untuk menambah pengamanan terhadap serangan internal maupun eksternal. 14. Apabila memungkinkan Dapat pula dipasang Intrusion Detection System pada setiap Network. 15. Data pada komputer yang terpasang aplikasi akuntansi, administrasi gudang, administrasi pemasaran, administrasi keanggotaan, administrasi kepegawaian dan server data dibuat mirroring. 16. Setiap minggu data-data tersebut dibuat full backup, ke eksternal Hard Disk. Eksternal Hard Disk yang terbaru ini akan disimpan di save deposit box pada sebuah bank. External Hard disk yang lama di simpan di ruang server hingga 5 minggu / minggu ke 6 di rotasi. 17. Setiap bulan data-data tersebut dibuat full backup ke kaset. Kaset ini bertahan hingga 3 tahun. 18. Pada komputer data pada tiap aplikasi dan pada server data dipasang Uninterruptible Power Supply (UPS). 19. UPS yang terpasang harus mampu hidup selama minimal 20 menit bila listrik dari PLN padam. 20. Agar lebih efisien, web site PT Mass Network diletakkan pada web hosting sehingga pemeliharaan diserahkan pada perusahaan web hosting. 21. Sistem jaringan dibuat sentralisasi ,PABX, ADSL modem, IDS, Linux server data dan semua HUB diletakkan pada ruang server 22. Setiap karyawan yang meninggalkan komputer haruslah me-lock komputer agar tidak dipergunakan oleh oleh lain,


108-4.DOC

PAGE

30 OF 72

23. Setiap penanganan kerusakan, instalasi perangkat lunak, instalasi perangkat keras diharuskan mengisi log book. 24. Seluruh penyalahgunaan wewenang menjadi tanggung jawab pemegang otoritas.


108-4.DOC

PAGE

31 OF 72

BAB V. Cryptography dan Security Architecture & Models Seperti telah diketahui bahwa aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota dipergunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Dimana aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Untuk memastikan bahwa data aman maka pengamanan yang dilakukan terhadap data adalah: Melakukan enkripsi (penyandian) untuk menjamin informasi rahasia (confidentiality) yaitu monitoring stok gudang pada aplikas administrasi gudang, administrasi penggajian (payroll). Dengan menggunakan algoritma fungsi hash satu arah untuk menjamin keutuhan (integrity) atas data-data pembayaran yaitu data yang terdapat pada aplikasi akuntansi seperti general ledger, account payable, account receivable, dan laporan keuangan. Penggunaan password atau sertifikat digital untuk menjamin identitas dan keabsahan (authenticity) dari pihak-pihak yang melakukan transaksi yaitu dalam pembuatan purchase order, pembuatan delivery order, pembuatan report stok opname yang ada dalam aplikasi administrasi gudang serta pembuatan sales order, pembuatan laporan penjualan yang ada dalam aplikasi administrasi pemasaran dan penjualan. Menggunakan tanda tangan digital untuk menjamin keotentikan data transaksi agar transaksi dapat dijadikan sebagai barang bukti yang tidak bias disangkal (nonrepudiation) yaitu yang terdapat pada aplikasi administrasi gudang, aplikasi pemasaran dan penjualan, aplikasi administrasi keanggotaan. Semua yang bersifat mengamankan data menggunakan metode tertentu merupakan inti dari cryptography yaitu menjamin kerahasiaan (confidentiality) informasi dengan melakukan enkripsi (penyandian).

Keutuhan (integrity) atas data-data

pembayaran dilakukan dengan fungsi hash satu arah.

Jaminan atas identitas dan

keabsahan (authenticity) pihak-pihak yang melakukan transaksi dilakukan dengan menggunakan password atau sertifikat digital. Sedangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital. Tujuan dari cryptography adalah mempelajari berbagai metode dan teknik penyembunyian data menggunakan kriptografi.

Adapun makna kriptografi adalah:


108-4.DOC

+

PAGE

32 OF 72

= secret + writing. Jadi cryptography: ilmu untuk membuat sebuah

pesan menjadi aman Untuk membuat pesan menjadi aman maka diperlukan kunci (key) supaya mempermudah pemakaian dalam mengirim pesan. Karena bila menggunakan algoritma rahasia terdapat kesulitan yaitu harus selalu membuat yang baru setiap kali akan

mengirim

pesan.

Analoginya

adalah

dalam

penggunaan

gembok

yang

menggunakan kode-kode angka untuk membuka atau mengunci gemboknya putar saja kode-kode angkanya ke posisi yang tepat. Jadi kuncinya hanya bisa diputar oleh orang yang tahu urutan kode yang benar.

V.1. Proses Kriptografis

Key

Plaintext

Key

Encryption

Ciphertext

Decryption

Plaintext

Gambar 5.1. Proses Kriptografis Cipher adalah fungsi matematika yang dipergunakan untuk enkripsi & dekripsi. Enkripsi adalah suatu cara untuk mengkodekan data asli yang akan dikirim ke komputer lain dengan menggunakan kunci (key). Tujuannya adalah agar orang yang tidak berwenang tidak dapat membaca data tersebut. Deskripsi adalah suatu cara untuk mengembalikan data yang telah di enkripsi. Plaintext adalah data asli. Sedangkan Ciphertext adalah hasil dari enkripsi. Proses kriptografisnya adalah dari data asli (plain text) diubah bentuknya menjadi data acak (cipher text) menggunakan key. Cara ini disebut enkripsi. Data yang sudah di enkripsi dikirim ke orang yang sudah ditentukan bersama dengan kuncinya. Data yang diterima dikembalikan ke bentuknya yang semula dengan menggunakan key yang sudah dikirim bersama. Cara ini disebut dengan dekripsi.


108-4.DOC

PAGE

33 OF 72

V.2. Symetric Cryptography Metode cryptography yang biasa digunakan adalah symmetric cryptography dimana sebuah kunci yang dipakai bersama-sama oleh pengirim pesan dan penerima pesan. Contoh: DES, TripleDES, AES, Blowfish. Dalam pendistribusian kunci rahasia diberikan dalam pesan yang dimasukkan ke dalam amplop yang tidak bisa dibuka.

Gambar 5.2. Symetric Criptography

V.3. Public Key Cryptography Metode cryptography yang dipergunakan adalah public key cryptography. Kegunaan yang mendasar pada public key crytogragraphy adalah : Menandatangani pesan Mengirim surat rahasia dalam amplop yang tidak bisa dibuka orang lain Dalam hal ini Ada sepasang kunci untuk setiap orang (entitas): kunci publik (didistribusikan kepada khalayak ramai / umum) kunci privat (disimpan secara rahasia, hanya diketahui diri sendiri) Analoginya adalah Semua orang bisa (Anto, Chandra, Deni) mengirim surat ke “Penerima” (Badu)

dan hanya “penerima” yang bisa membuka surat. Pengirim

mengenkripsi pesan menggunakan kunci publik penerima yang didalamnya terdapat kunci privat pengirim yang sebelumnya juga telah dienkripsi.


108-4.DOC

PAGE

Penerima (Badu)

Pengirim (Anto)

Kunci privat

Enkripsi Kunci publik

Pesan

34 OF 72

Sandi

Dekripsi

Pesan

Gambar 5.3. Membungkus Pesan Hanya pemilik kunci privat (penandatangan, Anto) saja yang bisa membuat tanda tangan digital. Semua orang (Badu, Chandra, Deni) bisa memeriksa tanda tangan itu jika memiliki kunci publik Anto

Pemeriksa t.t. (Badu)

Penandatangan (Anto) Kunci privat

Dekripsi

t.

t.t. Enkripsi Pesan

Pesan & t.t.

Kunci publik

Verifikasi t.t.

Gambar 5.4. Menandatangani pesan dengan public key cryptography

V.4. Fungsi Hash

Fungsi Hash disebut juga sidik jari (fingerprint), message integrity check, atau manipulation detection code untuk integrity-check bila dokumen/pesan yang diubah 1 titik saja, sidik jarinya akan sangat berbeda. Contoh Algoritma Hash adalah Message Digest (MD) series: MD-2, MD-4, MD-5. 128-bit, dan Secure Hash Algorithm (SHA), termasuk SHA-1. 160-bit


108-4.DOC

PAGE

35 OF 72

Gambar 5.5. Fungsi Hash Mekanisme fungsi hash adalah pesan dibubuhi sidik jari dimana sidik jarinya sudah dimanipulasi menggunakan kode pendeteksi tertentu sehingga keabsahannya dapat dipercaya. Fungsi hash ini digunakan untuk pembuatan kontrak perjanjian kerja pegawai

maupun

perjanjian

keanggotaan

baru

pada

PT.

MASS-NET.

Juga

dipergunakan sebagai data pembayaran pada aplikasi akuntansi PT. MASS-NET.

V.5. Tanda Tangan Digital Tanda tangan digital atau digital signature adalah tanda tangan yang telah dienkripsi menggunakan kunci publik seseorang yang sudah memiliki sertifikat digital. Didalam tanda tangan ini sebenarnya terdapat pesan penting dan rahasia yang hanya dapat diketahui bila memiliki kunci kode pendeteksi fungsi hash.

Gambar 5.6. Tanda tangan digital Sifat tanda tangan digital dapat digambarkan sebagai berikut: Otentik, dapat dijadikan alat bukti di peradilan (kuat) Hanya sah untuk dokumen (pesan) itu saja, atau kopinya. Dokumen berubah satu titik, tanda tangan jadi invalid! Papat diperiksa dengan mudah oleh siapapun, bahkan oleh orang yang belum pernah bertemu (dgn sertifikat digital tentunya)


108-4.DOC

PAGE

36 OF 72

V.6. Sertifikat Digital Sertifikat digital atau yang sering disebut dengan digital certificate berisi kunci public seseorang yang telah mendaftarkan dirinya pada perusahaan sertifikasi. Sertifikat digital ini menyakinkan kepada khalayak umum / ramai bahwa tanda tangan digital yang ada adalah benar merupakan data yang dapat dipercaya. Bahkan dapat dipergunakan sebagai pengganti orang tersebut seperti halnya surat kuasa. Keuntungan sertifikat digital: bisa membuat “pipa komunikasi” tertutup antara 2 pihak bisa dipergunakan untuk mengotentikasi pihak lain di jaringan (mengenali jati dirinya) bisa dipakai untuk membuat dan memeriksa tanda tangan bisa dipakai untuk membuat surat izin “digital” untuk melakukan aktifitas tertentu, atau identitas digital bisa untuk off-line verification

V.7. Transaksi Aman Yang Umum Transaksi aman yang dipergunakan adalah seperti gambar dibawah ini. Gambar ini mengilustrasikan pengiriman informasi rahasia dari komputer Alice ke komputer Bob yang telah dienkripsi dan bagaimana bob melakukan dekripsi data. Untuk proses pengiriman dari komputer Alice yaitu: (Property) pesan asli telah dibubuhi sidik jari yang dimanipulasi dengan kode tertentu menggunakan fungsi hash sehingga menjadi message digest. Message digest kemudian dienkripsi menggunakan kunci privat kepunyaan Alice sehingga menjadi tanda tangan digital (digital signature). (Property) pesan asli, tanda tangan digital (digital signature) dan sertifikat digital kepunyaan Alice (Alice’s certificate) yang berisi kunci public kepunyaan Alice kemudian semuanya dienkripsi menggunakan kunci simetrik (symmetric key) sehingga menjadi pesan yang terenkripsi (encrypted message). Kunci simetrik (symmetric key) dienkripsi menggunakan kunci publik kepunyaan Bob yang diketahui berdasarkan sertifikat digital kepunyaan Bob (Bob’s


108-4.DOC

PAGE

37 OF 72

certificate) sehingga menjadi digital envelope (amplop digital yang tidak dapat dibuka). Pesan yang terenkripsi (encrypted message) dan digital envelope (amplop digital yang tidak dapat dibuka) merupakan pesan (message) yang dikirimkan kepada Bob. Bob yang menerima pesan kemudian melakukan dekripsi. Adapun prosesnya adalah sebagai berikut: Digital envelope (amplop digital yang tidak dapat dibuka) pertama kali didekripsi menggunakan kunci privat kepunyaan Bob sehigga didapat sebuah kunci. Kunci ini adalah kunci simetrik (symetric key) yang fungsinya untuk membuka pesan yang terenkripsi. Pesan yang terenkripsi (encrypted message) kemudian didekripsi menggunakan kunci simetrik (symetric key) sehingga menghasilkan (property) pesan asli, tanda tangan digital (digital signature) dan sertifikat digital kepunyaan Alice (Alice’s certificate). Tanda tangan digital (digital signature) kemudian didekripsi menggunakan kunci public kepunyaan Alice yang berada didalam sertifikat digital kepunyaan Alice (Alice’s certificate). Hasilnya adalah message digest. (property) pesan asli didekripsi menggunakan fungsi hash yang telah diketahui oleh Alice dan Bob. Hasilnya adalah message digest. Kedua message digest kemudian dibandingkan kebenarannya. Keabsahan data ini meyakinkan bahwa (property) pesan asli yang dikirim adalah benar dan tidak mengalami perubahan sama sekali.


108-4.DOC

PAGE

Komputer Alice

38 OF 72

Komputer Bob

Gambar 5.7. Transaksi aman yang umum Transaksi ini dipergunakan untuk mengamankan: Browser, terutama secure website dengan SSL yang dipergunakan khususnya bagi manajer yang menggunakan fasilitas internet dan bagi anggota yang ingin melihat bonus bulanan yang diterimanya. Payment system, SET yang dipergunakan untuk data pembayaran yang ada di PT. MASS-NET yang dilakukan oleh staf keuangan. Secure E-mail (S/MIME, PGP) yang dipergunakan untuk keamanan pada data stok gudang yang biasa dikirim dalam bentuk text kepada supplier bila melakukan pembuatan purchase order. Document signing dan kontrak digital ini sangat penting baik bagi downline (anggota baru) maupun bagi supplier untuk memperpanjang kontrak perjanjian kerjasama. VPN, Intranet yang ada dalam lingkungan PT MASS-NET juga memerlukan pengamanan data khususnya untuk data transaksi. Secure wireless network (termasuk WAP) dipergunakan bagi para manajer, direktur dan komisaris bahkan orang lain yang menggunakan laptop agar tidak sembarangan mengambil data. Smartcard applications dipergunakan sebagai bukti tanda keanggotaan yang sah.


108-4.DOC

PAGE

39 OF 72

Timestamping service dan digital notary dipergunakan pada saat pembuatan purchase order, pembuatan delivery order, pembuatan sales order, kontrak perjanjian kerjasama. Transaksi yang aman tetap dipertanyakan karena tidak yakin apakah e-mail purchase order yang diterima benar-benar otentik, apakah transfer bonus anggota tidak diubah-ubah. Untuk meyakinkan hal ini maka dipelajari Security Architecture & Models. Adapun tujuan dari Security Architecture & Models adalah mempelajari berbagai konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman. Untuk lebih jelas maka akan dijabarkan dimana pengamanannya yaitu:

Operation & physical control

Application logon Network acc. control

File system level OS logon screen DB table access control

Gambar 5. 7. Tempat pengamanan pada Security Architecture & Models

V.8. Prinsip-prinsip keamanan Prinsip-prinsip keamanan yang digunakan pada PT. MASS-NET adalah: Least previlage: artinya setiap orang hanya diberi hak akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya. Seorang staf umum dan gudang hanya mendapat hak akses untuk menjalankan aplikasi administrasi gudang. Seorang staf penanganan anggota hanya mendapat hak akses untuk menjalankan aplikasi administrasi Seorang staf pemasaran hanya mendapat hak akses untuk menjalankan aplikasi administrasi pemasaran dan penjualan. Seorang staf kepegawaian hanya mendapat hak akses untuk menjalankan


108-4.DOC

PAGE

40 OF 72

aplikasi administrasi kepegawaian. Seorang manajer mendapat hak akses untuk membaca dan menjalankan aplikasi departemen yang dibawahinya dan dapat membaca file yang dimiliki oleh stafnya. Seorang direktur dapat memonitor seluruh pekerjaan yang dilakukan oleh manajer yang ada dibawahnya. Defense in Depth: digunakan berbagai perangkat keamanan untuk saling membackup yaitu dengan mempergunakan multiple screening router, mirroring harddisk pada server, dua CDRW untuk satu kali backup data yaitu dua kali sehari (setiap pagi dan sore) pada masing-masing departemen sehingga bila satu rusak, maka yang satu lagi masih berfungsi. Choke point: semua keluar masuk lewat satu (atau sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang, untuk itu dipergunakan firewall modem router ADSL. Weakest link: kelemahan jaringan di dalam sistem sekuriti organisasi yang perlu diawasi adalah bila ada virus baru yang tidak terdeteksi. Oleh karena itu update anti virus pada server dan client harus selalu dilakukan dan tidak boleh diabaikan. Fail-Safe Stance: bila suatu perangkat keamanan rusak, maka secara default perangkat tersebut settingnya akan ke setting yang paling aman. Bila packet filtering pada firewall modem router ADSL rusak maka semua paket keluarmasuk akan dicegah. Universal participation: semua orang dalam organisasi harus terlibat dalam proses sekuriti. Setiap tiga bulan sekali dilakukan pelatihan untuk menyegarkan kembali ingatan akan pentingnya mengamankan perangkat keamanan komputer. Di dalamnya dilakukan evaluasi untuk peningkatan efisiensi kinerja proses keamanan komputer. Diversity of Defense: mempergunakan beberapa jenis sistem yang berbeda untuk pertahanan. Untuk pertahanan maka sistem operasi yang digunakan adalah Linux redhat 9.1 untuk server database dan Windows XP Home edition untuk computer pengguna Simplicity: Untuk mempermudah mengetahui bila terjadi kesalahan maka setiap data yang disimpan dalam server akan teridentifikasi siapa yang menyimpan berdasarkan user name dan passwordnya, kapan tanggal dan waktunya, dari workstation yang mana,

dan apa aksi yang dilakukan. Bila user tidak

mempunyai hak untuk menambah dan mengubah data pada sistem aplikasi


108-4.DOC

PAGE

41 OF 72

tertentu tersebut maka akan ada trigger yang memberitahu bahwa sistem menolak adanya perubahan data.

V.9. Security Models Security model adalah representasi simbolik dari kebijakan, yang harus dilaksanakan oleh sistem komputer, apa yang boleh dan tidak secara teknis. Tujuannya yaitu untuk memformalkan kebijakan keamanan organisasi.

Security model yang

digunakan pada PT. MASS-NET adalah kombinasi Bell-LaPadula Model dan Biba Model. Untuk itu akan dijelaskan secara rinci modelnya satu per satu terlebih dahulu. 1. Bell-LaPadua Model Berfokus pada confidentiality dibuat tahun 1970-an, untuk militer Amerika Serikat, untuk pengamanan kerahasiaan informasi. Yang dimaksud dengan model adalah sistem yaitu kumpulan subject, object dan access control matrix. Adapun tingkat atau level security, setiap subject, object berada pada tingkat tersebut. Access right untuk subject adalah read-only, append, execute, read-write. Formal modelnya adalah state transitions yaitu: State awal dari system adalah secure (aman) Selama perubahan state, transition dapat menjaga system tetap aman sehingga state berikutnya tetap secure. System state secure merupakan operasi dan izin mengikuti aturan (access control) sesuai dengan spesifik policy keamanan untuk system tersebut. Mode akses dari subject terhadap object yaitu: Izin terhadap subject tertentu dibandingkan dengan tingkat klasifikasi keamanan dari suatu object. Berdasarkan penjelasan diatas, ditentukan tingkat otorisasi bagi subject tersebut untuk mode akses yang akan dilakukan. Untuk menjaga kerahasiaan informasi maka secure state kerahasiaannya adalah multilevel properties yaitu: Simple Security Property ( SS Property) – no read up. Artinya membaca informasi oleh subject yang lebih rendah tidak diperbolehkan.


108-4.DOC

•

PAGE

42 OF 72

Star Security Property – no write down. Artinya menulis informasi oleh subject pada level lebih rendah tidak diperbolehkan. Discretionary SS – access matrix untuk flexibilitas control. Sebagai tambahan maka Trusted subject dapat secara sah diberikan untuk dispensasi aturan diatas. Model rulenya yaitu: Higher-level subject selalu dapat membaca (read down) object yang berada pada level yang sama atau dibawahnya. Lower-level subject tidak berhak membaca (read up) object yang berada pada level diatasnya. Subject mempunyai: read-write akses untuk object yang setingkat. Subject pada lower-level dapat melakukan update (append) object yang berada pada tingkat atas. Subject pada higher-level tidak dapat menulis (write down) pada object lower level karena kemungkinan terjadi kebocoran informasi (lower level tidak cukup aman utuk menangani informasi dari upper level). Implikasi model pada security informasi yaitu “No read-up, no write down” pada setiap tingkat (level) security.

Bell-LaPadua Top Secret NO Read

Biar bisa baca info umum

Biar tidak bisa membaca rahasia

Confidential Read OK

NO Write Biar tidak ada yang membocorkan rahasia

Unclassified Gambar 5.8. Bell-LaPadua Model


108-4.DOC

PAGE

43 OF 72

2. Biba Model Biba yang menjamin integritas data dibuat tahun 1977. Untuk integritas informasi ditambahkan aturan ”lower level” tidak dapat mengupdate higher-level object. Fungsinya yaitu untuk mencegah kontaminasi informasi dari object yang kurang aman. Implikasi model pada security informasinya yaitu ”No write up, no append up”. Bahkan untuk akuntan yang lebih ingin agar data keuangan akurat, dan tidak ingin data menjadi corrupt gara-gara aplikasi/operator tidak bekerja seperti semestinya (misalnya: pembulatan, salah ketik, penambahan digit, dsb.) maka dilakukan enkripsi sebagai perlindungan datanya.

Biba Model Confident Sensitive Read OK

Bisa dapat data yang sahih

NO Write

Private

Biar tidak bisa mengacaukan data yg lebih akurat

NO Read Biar mencampur adukkan dengan data yang ‘tdk jelas’ asalnya

Public

Gambar 5.9. Biba Model

V.10. Keamanan Jaringan Keamanan jaringan pada PT. MASS-NET dilakukan untuk menjaga agar resource digunakan sebagaimana mestinya oleh pemakai yang berhak. Pemakaian alat (termasuk program) dapat menyebabkan kerusakan baik disengaja atau tidak. Pembatasan pemakaian bukan untuk mempersulit tetapi supaya efisien dan tidak


108-4.DOC

PAGE

44 OF 72

merusak. Oleh karena itu untuk meyakinkan keamanan jaringannya maka dilakukan perlindungan yaitu: 1. authentication: pemakai harus dapat membuktikan dirinya yang ditandai dengan usernamenya dan passwordnya. Dalam jaringan ditambahkan sumber akses (komputer yang digunakan) dengan asumsi bahwa pada satu saat satu orang hanya dapat/boleh bekerja dengan satu komputer yang sama. 2. gateway: gerbang masuk menuju sistem dengan firewall modem router ADSL 3. attack: serangan terhadap system dilindungi dengan firewall modem router ADSL dan intrusion detection systems (IDS). 4. authorization: pemakai diperbolehkan menggunakan pelayanan dan resource sesuai dengan haknya. 5. Monitoring: pengawasan terhadap jaringan dilakukan dengan software khusus untuk monitoring jaringan dan menulis catatan pada sistem. 6. Komunikasi terenkripsi: menggunakan enkripsi agar data tak dapat diintip

V.10.1. Authentication. Database tentang user. Dibawah ini merupakan informasi umum tentang pemakai yang disimpan di file /etc/passwd sebagai penjelasan yang lebih rinci dari keamanan jaringan. Enter command # more /etc/passwd root:*:0:0:Bozz:/root:/bin/sh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin --- dipotong --www:*:10000:65533:WebMaster:/nonexistent:/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin gatut:*:21001:21001:Gatut:/home2/gatut:/usr/local/bin/tcsh wardojo:*:1004:20:Wardojo:/home2/wardojo:/usr/local/bin/tcsh ari:*:1005:20:Ari Nurcahyo:/home1/ari:/usr/local/bin/tcsh tres:*:1006:20:Theresia Maria Sri Prihatiningsih:/home2/tres:/usr/local/bin/tcsh --- dipotong --Pada contoh diatas yang digunakan adalah utilitas LINUX: finger. Dimana defaultnya, menampilkan daftar nama pemakai yang sedang aktif atau informasi lain tentang pemakai tertentu. Dibawah ini berikut contoh untuk penggunaan finger.


108-4.DOC

PAGE

45 OF 72

[gatut@bsd02 gatut]$ finger [gatut@bsd02 gatut]$ finger gatut Login Name TTY Idle Login Time Office Phone gatut V Gatut Harijoso p0 Wed 00:13 PUSKOM Untuk utilitas LINUX: w dan who, fungsinya adalah mengetahui pemakai yang sedang aktif. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: w dan who. [gatut@bsd02 gatut]$ w [gatut@bsd02 gatut]$ who

Untuk utilitas LINUX: last, fungsinya adalah menampilkan daftar pemakai terakhir. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: last. [gatut@bsd02 gatut]$ last pemake ttyp0 10.210.2.51 yuser ttyp9 167.205.136.3 7397023 ttyp1 10.210.2.48 --- dst -- dipotong --

Tue Jun 29 23:50 - 00:02 (00:11) Tue Jun 29 23:37 - 23:39 (00:02) Tue Jun 29 23:07 - 23:24 (00:16)

Pemakai harus selalu memperhatikan pesan "last login from:" pada saat login agar dapat segera diketahui apabila terdapat pemakai lain yang menggunakan user-id tersebut. Authentikasi melalui sistem (yaitu, password) yang sesungguhnya disimpan dalam bentuk ter-enkripsi dalam file yang tak dapat dilihat oleh pemakai biasa, biasanya /etc/master.passwd atau /etc/shadow.

V.10.2. Authorization Untuk authorization sebagai bagian dari keamanan jaringan maka pemakai yang sudah terbukti mendapatkan haknya dapat dilayani dan dapat menggunakan resource yang sesuai dengan levelnya. Pemakai memiliki hak penuh atas file yang dimilikinya, maka pemakai harus mengatur sendiri datanya. Untuk utilitas LINUX: chmod, fungsinya adalah menentukan hak akses file dan directory. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: chmod.


108-4.DOC

PAGE

46 OF 72

.[gatut@bsd02 gatut]$ chmod [gatut@bsd02 /home]$ ls -l total 4 drwxr-xr-x

26 gatut

staff

2048 Jun 30 00:03 gatut

drwxr-xr-x

9 pemake

user

1024 May

8 09:41 pemake

drwxr-xr-x

2 noone

nobody

1024 Apr 16 11:53 noone

[gatut@bsd02 /home]$ chmod 0711 gatut [gatut@bsd02 /home]$ ls -l total 4 drwx--x--x

26 gatut

staff

2048 Jun 30 00:03 gatut

drwxr-xr-x

9 pemake

user

1024 May

8 09:41 pemake

drwxr-xr-x

2 noone

nobody

1024 Apr 16 11:53 noone

[gatut@bsd02 /home]$

Ada banyak aplikasi yang bekerja di server bekerja atas nama super-user, misalnya agar dapat membaca file password atau menulis data ke dalam sistem (lihat kembali perintah "ps aux"). Semakin kompleks aplikasi, semakin besar kemungkinan terdapat kesalahan (bug). Program yang berjalan atas nama super-user dan salah bisa berakibat fatal. Oleh sebab itu, biasanya aplikasi client-server sebisa mungkin memisahkan akses yang menuntut hak super-user.

V.10.3. Gateway Gateway yang menghubungkan sistem ke luar dapat menjadi gerbang ke dalam, sehingga ada resiko perusakan atau pencurian data oleh publik yang jauh lebih luas. Firewall (dinding api) gateway yang menjaga keamanan sistem. 1. Penyaringan packet: hanya paket dari dan ke host, tcp, udp tertentu yang boleh berkomunikasi. Program melakukan pemeriksaan dan penyaringan sehingga hanya pelayanan yang diketahui dan benar yang boleh lewat. 2. Gateway

aplikasi:

pengiriman

dan

penerimaan

mail

mempermudah pemeriksaan dan mengurangi beban jaringan.

gateway

untuk


108-4.DOC

PAGE

47 OF 72

V.10.4. Attack Kejadian yang sering menyebabkan data disadap atau tercuri bahkan terkena virus adalah akibat password terbuka karena adanya pencurian, catatan yang tercecer, pengamatan (cara mengetik, mengintip paket). Oleh karena itu cara yang dapat dilakukan adalah dengan membelokkan akses yaitu dengan mengganti ip, dns, atau route membelokkan akses ke server palsu untuk menjebak password. Serangan yang terjadi kadangkala juga disebabkan karena kesalahan program. Seperti pepatah yang mengatakan tak ada gading yang tak retak. Oleh karena itu diberikan kebijakan keamanan jaringan yaitu dilarang menjalankan program yang tak diketahui karena penyebaran virus dapat dengan mudah melalui email, java script, vb script akibatnya membebani server dengan akses yang besar. Cara penyerangan yang juga perlu diwaspadai adalah batu loncatan. Biasanya akses dari komputer yang terletak di intranet kurang dibatasi. Apabila akses ke komputer di intranet terbuka, maka pemakai internet dapat masuk ke dalam komputer di intranet, kemudian menggunakan komputer tersebut sebagai batu loncatan. Oleh karena itu pembatasan pemakaian komputer terhadap orang yang tidak berwenang dilakukan dengan mengunci pintu ruangan setiap keluar dan masuk ruangan.

V.10.5. Monitoring Untuk mengamankan jaringan maka penting sekali dilakukan monitoring. Karena monitoring merupakan cara untuk mengetahui apa yang terjadi sebagai tindakan preventif dengan membaca catatan system. Karena server menggunakan LINUX maka dapat dilihat catatan systemnya yang biasanya disimpan dalam directory /var/log. /var/log/messages Pesan-pesan dari sistem /var/log/maillog

Transaksi email (SMTP)


108-4.DOC

PAGE

48 OF 72

V.10.6. Komunikasi Terenkripsi Komunikasi melalui jaringan publik memungkinkan adanya penyadap ikut mendengarkan percakapan oleh karena itu jalur komunikasi harus dienkripsi. Namun ada konsekuensi akibat enkripsi yaitu data yang dipertukarkan lebih besar. Dibawah ini merupakan beberapa software yang menjadi pilihan agar komunikasi dapat terenkripsi sehingga dapat diyakinkan keamanan jaringannya yaitu: 1. Secure Shell: pengganti telnet dengan enkripsi 2. HTTPS: secure HTTP


108-4.DOC

PAGE

49 OF 72

BAB VI. Operations Security VI.1. Administration Controls Apabila terjadi pelanggaran yang dilakukan oleh pegawai yaitu : 1. dengan sengaja menghilangkan data, mengubah data dan merusak data 2. dengan sengaja merusak label cd, disket 3. mengambil cd, disket tanpa seijin departement IT maka akan dikenakan Surat Peringatan yang bertingkat tergantung jenjang pelanggaran yang dilakukan.

VI.2. Record Retention Medium yang dipergunakan untuk menyimpan data dan backup file pada PT. mass Net adalah CD, Kaset, dan external disk. Hal ini karena kepraktisan media ini dan memiliki Masa penyimpanan data adalah rata-rata bisa mencapai waktu kurang lebih 5 tahun.

VI.3. Privileged Entity Controls Manajemen Password pada PT.

Mass Net dilakukan oleh bagian Teknologi

informasi. Password diletakkan dalam amplop file tertutup yang akan dipergunakan apabila terjadi masalah. Apabila telah selesai digunakan, maka password diubah kembali, kemudian diletakkan pada amplop file tertutup dan disimpan dalam barkas TI.

VI.4. Audit Trails Kebijakan audit trail PT. Mass Net dalam hal Log file adalah menyimpan Log file audit dalam jangka waktu 1 tahun, sedangfkan data history disimpan dalam masa satu bulan. Audit logs berisi: tanggal, jam, orang yang login, terminal yang digunakan, security event, dan seluruh informasi data transaksi event-event tertentu.


108-4.DOC

PAGE

50 OF 72

BAB VII. Pengembangan Aplikasi dan Sistem

Mengacu

pada

standar

keamanan

Sistem

Informasi

untuk

bidang

pengembangan aplikasi dan sistem terdapat beberapa bidang yang perlu menjadi perhatian, yaitu: •

Proses siklus pengembangan aplikasi;

•

Sistem database; dan

•

Kontrol terhadap aplikasi

VII.1. Klasifikasi Aplikasi PT. MassNet sebagai sebuah perusahaan distribusi terbatas dan berskala Usaha Kecil Menengah mencoba untuk mengaplikasikan sebaik mungkin best practices dalam hal pengembangan aplikasi dan sistem. Terdapat tiga jenis aplikasi dan sistem yang digunakan oleh PT. MassNet ditinjau dari jenis pengembangan atau perolehannya, yaitu sebagi berikut: •

Paket aplikasi jadi yang dibeli;

•

Paket aplikasi freeware; dan

•

Aplikasi yang dikembangkan sendiri

VII.2. Pengembangan Aplikasi Penanganan untuk aplikasi yang dikembangkan sendiri mengikuti standar kerja pengembangan sistem aplikasi yang baik dan terkontrol: •

Permintaan untuk mengembangkan aplikasi datang dari seluruh bagian internal perusahaan, dan harus mendapatkan persetujuan manajemen

•

Setelah mendapatkan persetujuan manajemen dan mendapatkan alokasi anggaran dana dan sumber daya manusia, bagian Teknologi Informasi akan mulai mengembangkan aplikasi menggunakan metode FAST dan kerangka kerja PIECES (Performance, Information and data, Economics, Control security, Efficiency, Service)

Sedangkan untuk aplikasi-aplikasi jadi baik yang harus dibeli maupun freeware, dan juga aplikasi hasil pengembangan internal, tanggung jawab pengoperasiannya


108-4.DOC

PAGE

51 OF 72

berada pada bagian Teknologi Informasi. Setiap perubahan setting yang dilakukan harus selalu dicatat dalam catatan log. Untuk menjaga keamanan sistem maka pada PT. MassNet diperlakukan kebijakan sebagai berikut: •

Setiap personal komputer diinstall hanya oleh staf bagian Teknologi Informasi, dan password level administrator dipegang oleh staf bagian Teknologi Informasi

•

Password administrator untuk server aplikasi dipegang oleh staf bagian Teknologi informasi dan kepala bagian unit yang menggunakan aplikasi tersebut

•

Pegawai tidak diperkenankan mengubah-ubah konfigurasi personal komputer, termasuk melakukan install atau uninstall program ke dalam personal komputer mereka

VII.3. Pemeliharaan Database Database bisnis perusahaan disimpan di server utama. Akses database dibuat berjenjang sesuai dengan kewenangan pegawai yang bersangkutan. Untuk menjaga keamanan data yang tersimpan dalam database server, PT. MassNet dalam memelihara database menggunakan pendekatan sebagai berikut: •

Aplikasi yang dikembangkan dalam mengakses database dibuat sedemikian rupa sehingga kesalahan-kesalahan input tidak diterima;

•

Dibuat kamus data dalam database yang menyimpan semua struktur data yang digunakan oleh sebuah aplikasi, tujuannya adalah agar pengembang aplikasi dapat memanfaatkan struktur data yang sama yang sudah ada.

•

Mengaktifkan system logging untuk mencatat aktifitas pemakai database

•

Secara berkala database dibackup dengan menggunakan penjadwalan harian, mingguan, dan bulanan. Backup database bulanan akan terus disimpan selama 3 tahun sebelum dihapus.


108-4.DOC

PAGE

52 OF 72

BAB VIII. Business Continuity dan Plan Disaster Recovery

Pembahasan

Disaster

Recovery

dan

Business

Continuity

Plan

selalu

berhubungan dengan urusan bisnis, hal-hal yang berhubungan dengan penerapan system keamanan, policy, atau akses tidak dibahas, akan tetapi lebih memperhatikan perencanaan bagaimana mencegah agar kerugian bisnis PT. MassNet tidak terjadi ketika terjadi ancaman bencana. Dalam domain ini ada dua bidang yang dibahas, yaitu: •

Business Continuity Planning, yaitu proses perencanaan yang akan menjamin bahwa kebutuhan utama bisnis tetap dapat berjalan pada keadaan darurat.

•

Disaster Recovery Planning, yang meliputi persiapan-persiapan untuk sebuah bencana, juga mempersiapkan prosedur yang dilakukan ketika dan setelah terjadi bencana, sehingga bisnis dapat dikembalikan ke keadaan semula sebelum terjadinya bencana.

VIII.1. Business Impact Analisys Bagi PT. Mass Network, penggunaan Sistem Informasi merupakan suatu bagian penting bagi berjalannya bisnis, karena hamper semua kegiatan tercatat dalam system computer. Pengelompokan aplikasi utama yang digunakan oleh PT. Mass Network adalah sebagai berikut: •

Aplikasi Administrasi Kepegawaian

•

Aplikasi Administrasi Gudang

•

Aplikasi Administrasi Pemasaran dan Penjualan

•

Aplikasi Administrasi Keanggotaan

•

Aplikasi Akuntansi Langkah berikutnya adalah melakukan analisa kritikalitas aplikasi-aplikasi yang

dipakai kedalam empat kategori, yaitu: Critical, Vital, Sensitive, dan Non Critical. Klasifikasi Aplikasi Critical

Keterangan

Tidak ada

Semua fungsi masih bisa dilakukan dengan cara lain meskipun akan sedikit berpengaruh pada kinerja operasional

Vital

K

Administrasi

Aplikasi-aplikasi tersebut masih bisa dilakukan l

k

k

i

k

(1 2 h i)


108-4.DOC

Keanggotaan

PAGE

-

Administrasi Gudang

53 OF 72

secara manual untuk waktu yang singkat (1-2 hari) sampai dengan sistem backup bisa dipakai

- Administrasi Akuntansi Sensitive

- Administrasi Pemasaran

Aplikasi-aplikasi tersebut masih bisa dilakukan

dan Penjualan

mengandalkan proses manual, tetapi memerlukan

-

tenaga tambahan untuk melakukannya.

Administrasi

Kepegawaian Non Critical

Tidak ada

Karena semua kegiatan bisnis sudah menggunakan sistem komputerisasi

Saat ini pada PT. Mass Network terdapat lebih kurang 700 transaksi untuk urusan pergudangan, dan 500 transaksi untuk urusan keanggotaan maupun stokis setiap harinya , dengan total nilai volume sebesar 100 juta rupiah perhari. Dengan demikian terjadinya gangguan pada kegiatan operasional akan mempengaruhi volume transaksi tadi, dimana kemampuan operasional ketika kondisi darurat diperkirakan hanya 25%, maka total nilai volume yang mampu ditangani hanya sebesar 25 juta rupiah. Hal ini tentu saja mengurangi keuntungan bersih perusahaan, oleh karena itu dibuatlah BCP dan DRP untuk memastikan bahwa operasional dapat segera dikembalikan ke kondisi normal.

VIII.2. Business Continuity Planning Untuk dapat memastikan bahwa bisnis terpenting perusahaan tetap dapat berjalan, maka hal-hal yang dimasukkan dalam perencanaan Business Continuity adalah: •

Menyediakan sebuah lokasi yang dipersiapkan sebagai backup operasional kantor, lokasi yang dipilih adalah rumah salah manajer TI, dimana minimal dipersiapkan satu buah komputer, lemari penyimpanan backup data, sehingga ketika terjadi disaster, maka kegiatan operasional bisa segera dipindahkan ke lokasi ini andai terjadi bencana

•

Membuat standar operasional prosedur untuk mengatur proses pemindahan operasional, dari proses normal ke proses backup maupun manual, menentukan personil-personil yang bertanggung-jawab terhadap suatu kegiatan.


•

108-4.DOC

PAGE

54 OF 72

Pembuatan backup data selalu di kontrol dibawah pengwasan manajer TI, untuk dipastikan tidak ada satupun jadwal backup yang dilewatkan. Hal ini untuk menjamin kertersediaan data terkini untuk proses restore data.

VIII.3. Ancaman Bagi PT. MassNet data keuangan dan data pegawai adalah dua data terpenting untuk kelangsungan usahanya dari segi availability. Sementara berdasarkan analisa, PT. MassNet menghadapi ancaman ancaman sbb: 1. Penghapusan (destruction), misalnya: penghapusan data-data penjualan secara tidak sengaja , bencana banjir, kebakaran, kerusuhan, listrik mati atau virus. 2. Pencurian (theft/disclosure), misalnya: data penjualan atau rugi laba perusahaan terungkap kepada semua pegawai. 3. Pengubahan (modification), misalnya: secara tidak sengaja mengubah nilai gaji dalam sistem penggajian pegawai. 4. Penipuan (fraud), misalnya: mengubah nilai gaji dalam sistem penggajian pegawai secara tidak sah, mengubah data penjualan secara tidak sah.

VIII.4. Disaster Recovery Planning Dalam

keadaan

Disaster

dan

darurat,

prioritas

utama

adalah

tetap

mengutamakan kesehatan dan keselamatan personil organisasi sebelum melanjutkan ke prosedur Identification and Notification. Prosedur Identification and Notification ini dapat diabaikan bilamana pertimbangan untuk melakukan suatu tindakan penanganan disaster merupakan tindak lanjut dari aktifitas resolusi Problem. Apabila terjadi disaster maka personil yang harus diinformasikan perlu diidentifikasi secara jelas dalam Daftar Kontak Personil yang harus dibuat oleh organisasi. Dalam hal ini penanggung jawab utama disaster recovery plan adalah direktur utama. Berikut ini adalah langkah2 yang diambil oleh PT. MassNet dalam rangka memastikan kelangsungan bisnis agar tidak terganggu. 1. Ancaman Penghapusan (destruction) a. Bencana banjir


108-4.DOC

PAGE

55 OF 72

Server-server utama diletakkan di lantai 2 kantor utama PT. MassNet, ruangan dipilih yang tidak berada dibawah kamar mandi dari lantai diatasnya b. Kebakaran o

PT. MassNet memasang fire extingguiser di sudut-sudut kantor yang mudah terjangkau untuk memudahkan penggunaan ketika terjadi kebakaran. Tabung fire extinguisher tersebut diperiksa secara berkala untuk memastikan racun apinya masih dalam kondisi baik.

o

Kaset-kaset backup database disimpan di lemari besi tahan api, dan untuk kaset backup bulanan diletakkan di lemari besi tahan api ditempat lain, yaitu di rumah salah satu pimpinan perusahaan

c. Kerusuhan o

Gedung kantor PT. MassNet diberi pagar yang cukup kuat dan dijaga oleh tenaga keamanan 24 jam sehari secara shift

o

PT. MassNet menjalin hubungan baik dengan warga sekitar kantor dan juga dengan kantor polisi setempat

d. Listrik mati Semua komputer yang ada diharuskan tersambung ke UPS e. Virus o

Semua komputer termasuk server diterapkan software anti virus, update data antivirusnya dilakukan secara berkala, dan setiap 2 minggu di cek oleh karyawan divisi Teknologi Informasi

o

Software antivirus yang digunakan dipilih yang dapat diperoleh secara gratis tetapi cukup handal, saat ini pilihannya adalah program antivirus AVG dari Grisoft.com

o

Jika terjadi penyebaran virus atau salah satu personal komputer terjangkit virus, maka tindakan pengamanan yang dilakukan adalah mengisolasi penyebarannya dengan cara memutus personal computer yang terkena virus tersebut dari jaringan local area network kantor.

2. Pencurian (theft/disclosure) Tidak dibahas pada bab BCP, akan dibahas pada physical security. 3. Pengubahan (modification)


108-4.DOC

PAGE

56 OF 72

Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol. 4. Penipuan (fraud) Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol.

VIII.5. Identifikasi dan Notifikasi Dalam konsep disaster recovery, prosedur Identification and Notification menjelaskan tindakan-tindakan awal yang harus segera dilakukan bilamana terjadi gangguan terhadap sistem TI dan/ atau kondisi Disaster telah terdeteksi atau sudah nampak dengan jelas. Adapun tujuan utama dari penyusunan prosedur Identification and Notification ini adalah untuk: 1. Menjelaskan aktifitas-aktifitas identifikasi terhadap suatu kondisi yang diduga merupakan suatu kondisi Disaster 2. Menjelaskan personil-personil terkait yang perlu diinformasikan dan yang bertanggung jawab untuk menaggulangi keadaan Disaster tersebut 3. Menjelaskan metoda yang akan digunakan untuk menginformasikan personilpersonil yang bersangkutan tersebut Prosedur Identification and Notification dalam prosedur ini mencakup: 1. Aktifitas identifikasi terhadap suatu kondisi yang merupakan atau diduga merupakan kondisi Disaster 2. Aktifitas

tindakan

penyelamatan

awal

dengan

prioritas

utama

adalah

penyelamatan kesehatan dan keselamatan personil organisasi. 3. Aktifitas notifikasi kepada personil yang bertanggung jawab dalam Organisasi Formal untuk diteruskan kepada Coordinator dalam Organisasi Matriks Kondisi Disaster 4. Aktifitas notifikasi kepada team personil dalam Struktur Organisasi Matriks

Kondisi Disaster untuk berada dalam posisi siaga dan/atau untuk koordinasi aktifitas selanjutnya.


108-4.DOC

PAGE

57 OF 72

BAB IX. PHYSICAL SECURITY Domain pengamanan fisik (physical security) mencakup unsur-unsur di sekitar lingkungan fisik dan mendukung infrastruktur yang mempengaruhi confidentiality, integrity dan availability sebuah sistem informasi.

Pengamanan fisik tidak kalah

pentingnya apabila dibandingkan dengan factor pengamanan lainnya. Keamanan fisik sering mengacu pada ukuran-ukuran yang diambil untuk melindungi sistem, bangunan / gedung, dan infrastruktur pendukung terhadap ancaman-ancaman lingkungan fisik. Dalam bahasan ini domain yang akan dibahas adalah ancaman, kerawanan, dan tindakan antisipasi yang dapat dilakukan untuk mengamankan secara fisik seluruh sumber daya enterprise dan informasi sensitif.

Sumber daya ini mencakup seluruh

personel, fasilitas tempat bekerja, data, peralatan, sistem pendukung, dan media yang digunakan untuk bekerja. Dengan kata lain, hal-hal yang membutuhkan pengamanan fisik meliputi seluruh aset perusahaan / UKM baik yang berupa hardware (bagunan ruko / gedung, mobil, peralatan kerja, komputer, dll), software (perangkat lunak komputer), dan brainware (direksi dan seluruh staf perusahaan). Seperti telah dijelaskan dalam Bab sebelumnya, UKM PT. Mass Net bergerak di bidang bisnis pemasaran secara multi level terhadap barang-barang kebutuhan konsumen (consumer goods) seperti mie instant, sabun mandi, sabun cuci, pasta gigi, peralatan kecantikan, gula, kopi, minuman kesehatan, dan lain-lain. Barang-barang ini diproduksi oleh produsen secara outsourcing dan hanya memproduksi untuk PT. Mass Net. Dengan demikian pihak luar selain PT. Mass Net tidak diperbolehkan membeli produk secara langsung kepada produsen, sehingga kebocoran produk yang dapat merugikan bisnis tidak terjadi. Pada studi kasus UKM PT, Mass Net, sasaran yang ingin dicapai dalam topik pengamanan fisik adalah sebagiai berikut: 1. Melakukan analisa terhadap faktor-faktor pemilihan dan perancangan lokasi fisik yang aman bagi UKM. 2. Menentukan metoda pengamanan akses fasilitas dari pihak-pihak yang tidak berhak. 3. Menentukan metoda pengamanan seluruh infrastruktur penunjang dan data yang menjadi aset UKM.


108-4.DOC

PAGE

58 OF 72

4. Menentukan tolok ukur pengamanan yang diperlukan untuk melindungi aset UKM yang sangat vital yakni karyawan, fasilitas lain, serta seluruh sumber daya.

IX.1. Ancaman-ancaman Keamanan Fisik Sebelum menentukan berbagai cara pengamanan fisik yang layak bagi sebuah UKM, terlebih dulu perlu diketahui aspek aspek lingkungan yang dapat berpotensi menjadi ancaman asset UKM.

Seluruh kemungkinan ancaman perlu disenaraikan

secara jelas dan rinci, terlebih apabila dilakukan suatu assessment atau analisa resiko, sehingga ketepatan informasi dapat terjamin dan terpercaya. Walaupun kemungkinan ancaman terjadi sangatlah kecil, assessment terhadap hal tersebut tetaplah diperlukan. Analisa resiko berbagai macam kemungkinan ancaman keamanan fisik dari UKM PT. Mass Net adalah dapat diuraikan sebagai berikut: 1. Analisa resiko terhadap hal-hal yang sifatnya emergency, terdiri dari kemungkinan hal berikut: a. Kebakaran dan pencemaran asap. Seluruh hal-hal yang menyebabkan kemungkinan terjadinya kebakaran harus dicermati dan sedini mungkin dihindari.

Sebagai contoh, sedapat mungkin dihindarkan sumber api.

UKM PT. Mass Net memiliki ruang dapur / pantry yang terletak di lantai II. Hal in dapat menjadi peluang terjadinya permasalahan ancaman kebakaran. Oleh karena itu diperlukan perhatian yang sangat khusus terhadap ruangan ini. Sumber-sumber api dan asap bisa saja berasal dari peralatan elektrik dan non elektrik, sehingga harus diperhatikan kondisi dan cara kerjanya.

Seluruh pengguna peralatan ini harus

memahami betul bagaimana mengoperasikannya. Sebaiknya dibuatkan kebijakan khusus pengguna pantry adalah petugas pramubakti, dalam hal ini berjumlah 2 (dua) orang.

Manajer bagian umum adalah orang yang

paling bertanggung jawab terhadap prosedur dan operasionalnya. Sumber-sumber api tdk hanya berasal dari ruang pantry saja, namun juga seluruh peralatan elektronik yang menggunakan sumber daya listrik, dan instalasi listrik itu sendiri.

Dalam bangunan UKM yang berlantai tiga,

setiap lantai telah memiliki circuit pemutus tersendiri sehingga cukup aman dari bahaya hubungan singkat / arus pendek. Posisi pemutus arus


108-4.DOC

PAGE

59 OF 72

ini juga sudah layak karena terletak di daerah yang mudah dijangkau, yakni di daerah sekitar tangga naik turun pada setiap lantai (tangga berbentuk huruf L). Secara berkala, misalnya 1 bulan sekali, UKM perlu melakukan perawatan dan pemeriksaan seluruh instalasi listik dan peripheral elektronik.

Apabila terdapat instalasi kabel terbuka akibat usia kabel

maupun gangguan serangga tikus, maka perlu segera diperbaiki / diganti dengan yang baru. Gangguan kebakaran bisa juga terjadi dari faktor alam seperti petir. UKM PT. Mass Net yang menempati bagunan ruko telah dilengkapi dengan penangkal petir yang memiliki sistem grounding baik. Namun demikian, instalasi inipun perlu dilakukan pemeriksaan secara berkala untuk memastikan peralatan bekerja dengan baik. b. Kerusakan atau keruntuhan gedung. Antisipasi terhadap hal ini telah dilakukan UKM, yakni dengan memilih kontraktor bangunan yang terpercaya,

dalam hal ini PT.

Mass net

mendapat jaminan kekuatan konstruksi selama kurang lebih 10 tahun. Selain itu bangunan juga telah dianti rayap (pondasi dan atap) serta menggunakan bahan konstruksi anti rayap.

Secara berkala (1 tahun

sekali) kontraktor juga selalu melakukan pemeliharaan gedung dan pemeriksaan hama rayap, serta memperbaiki konstruksi bangunan yang rusak maupun berkarat.

Dengan demikian tindakan pencegahan

terhadap kerusakan bangunan telah dilakukan. c. Kerusakan utilitas (sumber-sumber elektrik, air conditioning, pemanas). Selain

dapat

menyebabkan

hubungan

menimbulkan bahaya kebakaran, dipeliharakerjakan

sehingga

singkat

yang

berpotensi

seluruh utilitas elektronik perlu

fungsinya

selalu

tersedia

dan

tidak

mengganggu proses bisnis. d. Kerusakan saluran air. Kerusakan

saluran

air

merupakan

pengganggu kegiatan bisnis.

salah

satu

potensi

sumber

Oleh karena itu seluruh infrastruktur

peralatan ini harus dipastikan berfungsi dengan baik. Kondisi bangunan UKM yang berlantai tiga cukup rentan terhadap kebocoran instalasi pipa


108-4.DOC

PAGE

60 OF 72

air yang terletak di ruang plafon. Pemeriksaan instalasi saluran ini dapat dilakukan melalui lubang kontrol yang ada di setiap lantai. e. Bahaya pelepasan material beracun. Material beracun tentunya sangat berbahaya sehingga seluruh peripheral yang mengeluarkan zat beracun harus mendapatkan perhatian khusus. Salah satu contoh material beracun dalam studi kasus UKM ini adalah penggunaan battery pada UPS, dapat menghasilkan gas belerang yang sangat berbahaya bagi kesehatan. Oleh karena itu penempatan UPS diletakkan di lantai paling atas dengan mendapatkan sirkulasi udara yang memadai. 2. Analisa resiko yang sifatnya berupa bencana alam. a. Pergerakan / pergeseran tanah seperti yang disebabkan oleh gempa bumi dan tanah longsor. UKM PT. Mass Net terletak di sebuah komplek ruko / perkantoran di Jakarta. Pada umumnya kondisi daerah tersebut stabil (bukan di daerah longsor) dan relatif aman dari gempa.

Walaupun demikian, struktur

bangunan berlantai tiga tetap menjadi perhatian. Seperti telah dijelaskan sebelumnya, ruko tersebut dibangun oleh sebuah kontraktor dengan jaminan konstruksi selama 10 tahun. b. Bahaya badai / angin topan. Di Indonesia, bahaya badai dan angin topan relatif tidak ada, sehingga relatif aman dari gangguan ini. 3. Analisa resiko yang disebabkan oleh intervensi / campur tangan manusia. a. Sabotase: merupakan gangguan karena aktifitas manusia. Dalam bisnis hal ini bisa terhadi dari competitor yang melakukan persaingan tidak sehat. b. Vandalisme. c. Perang. d. Kerusuhan dan penyerangan. Di Indonesia hal ini cukup rawan sejak krisis moneter tahun 1998 yang mengusung demokrasi kebablasan. Resiko Operasional UKM PT. Mass Net yang terletak di ruko perkantoran adalah gudang, outlet pemasaran dan bangunan perkantoran yang menyatu. Seandainya terjadi kerusuhan yang menimpa

UKM tersebut, maka kegiatan bisnis UKM secara


108-4.DOC

PAGE

61 OF 72

otomatis lumpuh total oleh karena pada saat ini belum memiliki BCP (Business Contingency Plan) maupun fasilitas DRC (Disaster Recovery Center) yang dapat menanggulangi hal tersebut. Donn B. Parker ( Wiley, 1998) dalam Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003) telah melakukan kompilasi terhadap sumber-sumber gangguan fisik keamanan dari berbagai faktor antara lain temperatur

(sinar matahari, kebakaran,

panas listrik), gas (kelembababan, kekeringan udara, gangguan partikel udara), cairan (air dan bahan kimia), organisme (virus, bakteri, manusia, binatang, serangga), proyektil (meteor, benda jatuh, mobil, truk, ledakan, dan badai), pergerakan bumi, anomali energi.

IX.2. Pengendalian Pengamanan Fisik Pengendalian pengamanan fisik terdiri dari dua bagian yakni kendali administratif dan kendali fisik & teknik.

Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003)

menyenaraikan elemen-elemen kedua kendali tersebut yang terdiri dari hal-hal berikut ini: 1. Kendali Administratif a. Perencanaan kebutuhan fasilitas b. Manajemen pengamanan fasilitas c. Pengendalian personal administratif 2. Kendali Fisik dan Teknik. a.

Kebutuhan kendali fasilitas

b. Alat-alat kendali akses fasilitas c. Alarm dan deteksi intrusi d. Pengendalian persediaan komputer e. Kebutuhan media penyimpanan

IX.3. Perencaaan Kebutuhan Fasilitas Domain

topik

ini

adalah

tentang

konsep

perencanaan

pengamanan fisik pda tahap awal konstruksi faslitas data.

pengendalian

Tahapan konstruksi ini

meliputi hal berikut: •

Pemilihan lokasi yang aman: UKM PT. Mass Net telah memilih lokasi yang aman terletak di sebuah komplek perkantoran / ruko.


•

108-4.DOC

PAGE

Perancangan sebuah lokasi yang aman:

62 OF 72

Hal-hal yang perlu diperhatikan dalam

perancangan ini antara lain: (1) Kontruksi bangunan yang meliputi elemen-elemen dinding, atap, lantai, jendela dan pintu.

UKM PT.

Mass Net menggunakan

bangunan ruko yang telah memenuhi standar keamananan tersebut. (2) Sarana penunjang seperti Air Conditioning, Kebutuhan elektrikal, dan saluran Air. Bangunan yang digunakan PT. Mass Net dalam hal ini telah dirancang menggunakan fasilitas tersebut sehingga saluran air dan saluran elektrik terpisah / tidak berdekatan. Demikian juga saluran AC telah disiapkan pada saat tahap perancangan bangunan.

IX.4. Manajemen Pengamanan Fasilitas •

Audit Trail merupakan sarana untuk mencatat kejadian-kejadian yang berhubungan dengan pengamanan fisik.

•

Prosedur emergency. Dalam UKM ini prosedur emergency berupa dokumen yang mengatur bagaimana melakukan shutdown system pada saat kejadian emergency, prosedur evakuasi, pengujian system dan peralatan secara periodik, employee training dan awareness program.

Semua prosedur ini merupakan dokumen

tersendiri yang disosialisasikan kepada seluruh staf UKM sehingga terbentuk awareness para staf UKM.

IX.5. Pengendalian Administrasi Personalia Pengendalian ini meliputi proses administrasi yang harus ditempuh oleh departemen personalia yang mencakup screening tenaga kerja selama rekrutmen, pemeriksaan administrasi tenaga kerja selama menjadi staf UKM dan prosedur pengunduran diri dari UKM.

Departemen personalia PT.

Mass Net telah memiliki

prosedur tetap antara lain: •

Wawancara alasan pengunduran diri.

•

Penghapusan akses jaringan dan password.

•

Pengembalian periperal komputer dan notebook.

Ketika salah satu staf mengundurkan diri, Departemen personalia akan meminta bagian IT untuk menutup seluruh akses staf tersebut.


108-4.DOC

PAGE

63 OF 72

IX.6. Kebutuhan Pengendalian Fasilitas Dalam

rangka

meengamankan

seluruh

fasilitas

organisasi,

UKM

ini

mengimplementasikan sistem keamanan sebagai berikut: •

Satpam: terdiri dari satpam lingkungan yang diatur

sepenuhnya oleh pihak

pengelola komplek perkantoran ruko dan 4 (empat) orang satpam internal yang bekerja secara shift. •

Pagar: Posisi bangunan ruko UKM PT. Mass Net yang diapit oleh bangunan lain di kiri dan kananya, hanya memerlukan pagar di depan dan belakang. Bagian atap yang berupa dak (cor beton) juga diberi pengaman pagar keliling dan teralis penutup.

•

Jendela: menggunakan jendela kaca tebal berpengaman kaca film dan rangka jendela aluminium sistem interlock yang aman / tidak bisa dibuka dari luar.

•

Penerangan: untuk menambah pengamanan Ukm juga menambahkan sistem penerangan malam hari

dengan posisi tiang penyangga yang cukup tinggi

sehingga mampu menerangi area parkir dan halaman belakang. •

Kunci pengaman: menggunakan kunci manual dengan sistem master key yang disimpan oleh manager kepegawaian dan umum.

IX.7. Alarm dan deteksi intrusi Skala usaha UKM PT.

Mass Net masih relatif berkembang sehingga belum

menerapkan alat-alat pendeteksi keamanan yang canggih seperti halnya pada sistem detektor intrusi, detektor gerak, dan audio detektor, serta sistem alarm yang otomatis memberikan tanda apabila terjadi gangguan keamanan. Sistem alarm yang digunakan oleh UKM ini adalah alarm kebakaran yang terhubung dengan sistem pengamanan kebakaran di plafon setiap lantai.

IX.8. Pengendalian persediaan komputer Untuk menjaga seluruh aset komputer aman dari bahaya pencurian maupun kehilangan, diperlukan tindakan pengendalian inventori komputer yang terdiri dari dua bagian penting yaitu: •

Pengendalian personal komputer secara fisik.


108-4.DOC

PAGE

64 OF 72

UKM ini menggunakan sarana berikut: 1. Pengunci kabel berupa bahan kawat baja dibungkus vynil yang mengikat personal komputer dan printer ke dalam meja. 2. Port control untuk mengamankan port data seperti floopy drive atau serial/paralel port. Selama tidak digunakan port data ini ditempatkan di lemari inventory yang diatur pengelolaannya oleh manager IT. 3. Switch control untuk melindungi switch power on-off

file server dari

gangguan keamanan. 4. Periperal switch control digunakan untuk memberi pengamanan (kunci) keyborad sehingga tidak digunakan oleh pihak yang tidak berhak. 5. Eletronic Security Board merupakan pengamanan personal komputer dengan password pada BIOS (Basic Input Output System). Seluruh PC aset UKM menggunakan standar password BIOS dan password ini hanya diketahui oleh pemakai PC yang bersangkutan.

Secara prosedur,

password yang telah dipilih pemakai, ditulis dan dimasukkan dalam amplop tertutup bersegel, selanjutnya diserahkan kepada manager IT untuk disimpan dalam inventory berkas keamanan.

Dengan demikian

password BIOS masih dapat diketahui oleh manager IT dalam keadaan darurat. •

Pengendalian Laptop / Notebook. Keamanan laptop / notebook baik secara fisik maupun data tergolong hal yang sulit karena sifatnya yang dinamis. Untuk meminimumkan peluang gangguan keamanan laptop, UKM ini menerapkan kebijakan tidak memperkenankan membawa laptop ke rumah, namun demikian masih dimungkinkan dalam kondisi yang sangat penting dengan ijin manager TI.

Seluruh penggunaan laptop

diregister dalam buku register laptop sehingga dapat diketahui statusnya, tanggal berapa digunakan, oleh siapa dan untuk kebutuhan apa.

IX.9. Kebutuhan media penyimpanan Agar media penyimpanan memiliki tingkat keamanan yang memadai maka UKM PT. Mass Net menerapkan kebijakan sebagai berikut: •

Secara fisik membatasi akses dengan menyediakan lemari besi tahan api dan ditempatkan di ruang inventori sistem.


108-4.DOC

PAGE

65 OF 72

•

Proteksi dari sumber api dan air dan menjaga kelembaban udara tetap stabil.

•

Memonitor dan mengontrol inventori media penyimpanan dengan meregister setiap penggunaan media-media baru. Dengan demikian dapat diketahui posisi inventori media penyimpanan.

•

Secara fisik menghancurkan media penyimpanan yang sudah tidak terpakai.


108-4.DOC

PAGE

66 OF 72

BAB X. AUDIT SISTIM INFORMASI Audit sistim informasi berhubungan dengan salah satu dari jenis kontrol yang terbagi menjadi 3 (tiga) bagian yaitu: •

Preventive control Merupakan tindakan mendeteksi permasalahan sebelum terjadi. Kontrol ini juga melakukan pemantauan operasi dan input, melakukan prediksi atas problem yang mungkin terjadi, dan juga mencegah error dan tindakan kejahatan. Contoh kontrol jenis ini adalah adanya pemisahan pekerjaan sesuai dengan wewenang dan tanggung jawab, menyediakan prosedur yang tepat untuk proses otorisasi dan menyediakan dokumen yang dirancang tepat bagi karyawan

•

Detective control Menggunakan kontrol untuk mendeteksi bahwa error, perubahan atau tindakan kejahatan (malicious) yang sudah terjadi, serta melaporkannya sehingga dapat diambil tindakan lebih lanjut.

Contoh kontrol jenis ini adalah hash, kalkulasi

ulang, internal audit, laporan kinerja sistem, dan check points dalam rantai produksi. •

Corrective control Kontrol ini ditujukan untuk beberapa hal antara lain meminimalisir dampak ancaman, mengidentifikasi sumber dari masalah, memperbaiki error dari sebuah masalah, dan mengubah sistem agar dapat meminimumkan jumlah ancaman di masa yang akan datang.

Contoh kontrol jenis ini antara lain contingency

planning, backup, dan re-run. Berdasarkan tujuannya, kegiatan audit dapat digolongkan sebagai financial audit untuk mengetahui kebenaran dari laporan keuangan perusahaan, operational audit untuk mengetahui ada/tidaknya maupun berfungsi/tidaknya interal kontrol dalam suatu perusahaan, administrative audit untuk mengetahui efisiensi produktifitas operasional dari sebuah perusahaan, dan yang terakhir adalah audit sistim informasi. Sedangkan tujuan audit bisa sangat beraneka ragam, dan sangat tergantung pada keinginan manajemen atau peraturan yang mengharuskan audit.

Misalnya evaluasi terhadap

internal kontrol, security audit, dan software quality assurance audit. Pada dasarnya tujuan audit adalah untuk menemukan suatu penyimpangan dari setiap ketentuan yang berlaku di sebuah organisasi.


108-4.DOC

PAGE

67 OF 72

Dalam upaya mengamankan seluruh aset organisasi, UKM PT. Mass Net telah menerapkan ketiga jenis kontrol tersebut di atas yaitu dalam hal berikut: •

Preventive control, dengan menerapkan kebijakan pemisahan tugas sesuai wewenang dan tanggung jawab.

Sebagai contoh dalam seluruh transaksi

keuangan, UKM ini menerapkan prinsip MCS, kepanjangan dari maker, checker, dan signer. Setiap transaksi keuangan input data (issue transaksi) dilakukan oleh front office liner, dan dilakukan pemeriksaan atau verifikasi transaksi oleh seorang checker, selanjutnya disetujui oleh petugas signer.

Transaksi baru

dianggap sah apabila memenuhi prinsip MCS tersebut. •

Detective control: i. Dengan menerapkan aktifitas pengendalian internal pada transaksi keuangan PT. Mass Net. Aktifitas ini dikerjakan oleh bagian akunting yang memegang fungsi sebagai internal controller (IC). Tugas IC adalah melakukan verfikasi laporan transaksi harian pada keesokan harinya. Dengan cara ini kemungkinan fraud dapat dideteksi secara dini. ii. Melakukan internal audit secara berkala (1 tahun sekali) untuk memastikan bahwa transaksi keuangan dilakukan dengan benar dan sah dan mendeteksi ada / tidaknya penyimpangan. Kegiatan ini dilakukan secara outsourcing pada lembaga akuntan publik.

•

Corrective control: i. Apabila terjadi kegagalan sistem, UKM ini menyediakan fasilitas backup & recovery, ii. UKM ini belum/ tidak memiliki disaster recovery center (DRC), karena biayanya yang mahal. Namun dalam blue print perencanaan teknologi informasi yang dibuat oleh bagian IT, telah disusun rencana pembuatan DRC apabila skala usaha PT. Mass net telah memenuhi syarat.

X.1. Kebijakan Audit Sistim Informasi Sebagaimana dijelaskan di atas, PT. Mass Net aktifitas melakukan internal audit secara outsourcing satu tahun sekali.

Demikian pula dalam hal sistim informasi, PT.

Mass Net juga menggunakan jasa konsultan / auditor eksternal untuk mengaudit implementasi sistim informasi di orgnanisasi ini. Adapun kebijakan PT. Mass Net yang


108-4.DOC

PAGE

68 OF 72

berkaitan dengan audit sistem informasi adalah pemeriksaan implementasi seluruh kebijakan teknologi informasi di PT. Mass Net, antara lain sebagai berikut: 1. Hal-hal yang berkaitan dengan pengembangan sistim Memeriksa kesesuaian pelaksanaan prosedur dan dokumentasi analisa kebutuhan sistem. Memeriksa kesesuaian dokumentasi perancangan sistem, meliputi baik rancangan

fisik,

rancangan

logika,

maupun

rancangan

infrastruktur

pendukung. Memeriksa kesesuaian dokumentasi funtional specification. Memeriksa kesesuaian dokumentasi program specification. Memeriksa kesesuaian dokumentasi pengujian program meliputi unit test, regresi test, integrasi test, dan akseptansi test. 2. Hal-hal yang berkaitan dengan implementasi sistim Memeriksa kesesuaian prosedur dan dokumentasi pelaksanaan system deployment. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan password, perubahan password, dan inventory barkas / amplop pengaman password. Memeriksa prosedur dan dokumentasi pemberian otorisasi user pengguna sistem apakah telah sesuai dengan surat keputusan / penunjukan organisasi. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan peralatan mobile (laptop). 3. Hal-hal yang berkaitan dengan pemeliharaan sistem Memeriksa prosedur, pelaksanaan dan dokumentasi pemeliharaan sistem meliputi antara lain pemeliharaan secara berkala komputer server, personal komputer, dan laptop. Memeriksa

prosedur,

pelaksanaan

infrastruktur seperti cabelling,

dan

dokumentasi

pemeliharaan

hub, UPS, saluran saluran listrik, dan

peralatan elektronik lainnya. 4. Hal-hal yang berkaitan dengan penataan bagian teknologi informasi Memeriksa kelengkapan dokumentasi instruksi kerja meliputi antara lain faktor faktor berikut ini: standar kualitas, uraian pekerjaan, petunjuk keselamatan kerja, perawatan peralatan, yang disusun dalam form standar khusus.


108-4.DOC

PAGE

69 OF 72

Daftar Pustaka 1. Eric Maiwald, Fundamental of Network Security, McGraw-Hill Technology Education, 2004. 2. Richard H Baker, Network Security, McGraw-Hill, 1996. 3. Ronald L Krutz, Russel Dean Vines, The CISSP prep guide, Robert Ipsen, 2003

Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Recommend Documents