Keamanan Sistem Informasi untuk Perusahaan Kecil dan Menengah Studi Terhadap PT IMT
GROUP 106 Kahardityo
7203012149
Kisnu Widagso
7203012165
Wisnuaji
7203012297
MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONESIA
Silahkan menggandakan makalah ini, selama mencantumkan nota hak cipta ini.
DAFTAR ISI Halaman Daftar Isi ………………………………………………………………………… i Bab 1. Pendahuluan…………………………………………………………….. 1.1 Latar Belakang ……………………………………………………… 1.2 Permasalahan ……………………………………………………….. 1.3 Tujuan Penulisan …………………………………………………… 1.4 Kerangka Teori dan Konsep ………………………………………. 1.5 Kerangka Penulisan …………………………………………………
1 1 4 4 4 8
Bab 2. Gambaran Umum Organisasi ………………………………………….
10
2.1 Profile Organisasi ...........……………………………………………………
10
2.2 Permodalan ...........………………………………………………………….
13
2.3 Struktur dan Peran Dalam Organisasi ..........…………………………….
14
2.4 Proses Bisnis Utama Organisasi ...........……………………………………
17
2.5 Aplikasi Organisasi ..........………………………………………………….
17
Bab 3. Keamanan Sistem Informasi Bisnis …………………………………..
24
3.1 Security Management Practices …………………………………...........…
24
3.1.1 Identifikasi aset sistem informasi organisasi ………………...................
24
3.1.2 Manajemen resiko …………………………………………….................
26
3.1.3 Kebijakan keamanan sistem informasi ………………………...............
27
3.1.4 Kesadaran keamanan sistem informasi organisasi …………................
29
3.2 Access Control Systems ……………………………………………..........
30
3.3 Telecomunication and Network Security …………………………..........
31
3.4 Cryptography ………………………………………………………...........
34
3.5 Security Architecture and Models ………………………………….........
34 i
3.6 Operation Security …………………………………………………..........
36
3.7 Application and Systems Development …………………………….........
38
3.8Business Continuity Planning ………………………………………........
38
3.9Law, Investigation and Ethics ………………………………………........
39
3.10 Physical Security ……………………………………………………......
41
Bab 4. Penutup ……………………………………………………………....
43
Daftar Bacaan ……….……………………………………………………….
45
ii
Bab 1 Pendahuluan
1.1 Latar Belakang
Sistem informasi saat ini merupakan sumber daya penting, mempunyai nilai strategis dan mempunyai peranan yang sangat penting sebagai daya saing, kompetensi utama dan dalam keberlangsungan hidup dari suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang dijanjikan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari juga sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan akan potensi ancaman (threats). Sehingga menjadi suatu prinsip dasar bahwa dalam pengelolaan sistem informasi juga harus diimbangi dengan perhatian yang serius terhadap keamanan sistem informasi (information system security). Keamanan sistem informasi disadari merupakan salah satu bagian yang penting dalam melakukan pengelolaan sistem informasi.
Prinsip-prinsip kerahasiaan, integritas dan ketersediaan data dan informasi (confidentiality, integrity and availability - CIA) menjadi taruhan utama dalam setiap upaya-upaya pengamanan terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme keamanan harus mampu menjamin sistem informasi dapat terlindungi dari berbagai potensi ancaman yang mungkin timbul. Atau setidaknya mampu mengurangi kerugian yang diderita apabila ancaman terhadap sistem informasi teraktualisasi.
1
Tabel 1 Potensi Ancaman dan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center
Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat pencegahan (prevention) terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting, selain upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi. Pencegahan menjadi penting karena pencegahan dapat menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya melakukan deteksi, atau pun upaya menempuh proses hukum dan recovery terhadap sistem informasi yang rusak.
Dalam satu hasil global survey diketahui bentuk pencegahan yang umum dilakukan atau dijalankan oleh organisasi, seperti terlihat pada Tabel 2 dan Gambar 1. Firewall dan software anti virus merupakan trend keamanan sistem informasi saat ini, masih mendominasi dan dipercaya oleh banyak organisasi dan para ahli keamanan sebagai pencegahan kejahatan terhadap sistem informasi yang efektif dan efisien. Lebih dari 95% responden mengimplementasi firewall dan software anti virus dalm strategi keamanan sistem organisasi mereka.
2
Tabel 2 Upaya Pencegahan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.
Gambar 1 Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.
Penggunaan sistem informasi bukan saja merupakan monopoli kalangan organiasi besar dan kompleks. Saat ini organisasi yang dikenal dengan sebutan Usaha Mikro, Kecil dan Menengah (UMKM) juga sudah menyadari pentingnya nilai sistem informasi dan mulai memanfaatkan sistem informasi guna memperoleh keuntungan dan meningkatkan daya saing dengan mengimplementasi sistem dalam kegiatan atau aktifitasnya. UMKM sebagai bagian integral dari network economy mulai ber-e-volusi.
Salah satu faktor hambatan dan menjadi perhatian bagi UMKM untuk memulai tahapan ber-evolusi berkaitan dengan perhatian pada aspek keamanan sistem informasi.
3
1.2 Permasalahan
Dengan dicirikan akan keterbatasan modal dan sumber daya manusia untuk pengelolaan keamanan sistem informasi membuat sebuah UMKM harus mampu mengatur pengelolaan keamanan sistem informasinya secara efektif dan efisien. PT X merupakan salah satu dari sekian banyak UMKM yang memanfaatkan sistem informasi guna mendukung proses bisnis utamanya. Dan seperti umumnya UMKM PT X juga dicirikan dengan keterbatasan dana dan sumber daya manusia dan harus mampu dalam mengimplementasi keamanan sistem informasi pada organisasinya. Artinya bahwa merupakan hal yng sangat penting untuk membuat perencanaan dan rancangan sistem keamanan terhadap sistem informasi yang sesuai dengan karakteristik UMKM tersebut dengan tetap mengacu pada kerangka keamanan standar atau suatu best practice.
1.3 Tujuan Penulisan
Penulisan makalah ini ditujukan untuk : 1. Mendeskripsikan potensi ancaman keamanan sistem informasi organisasi. 2. Mendeskripsikan pola pengelolaan keamanan sistem informasi organisasi. 3. Menyusun kerangka keamanan sistem informasi bagi organisasi.
4
1.4 Kerangka Teori dan Konsep
Small or Medium Enterprises didefinisikan sebagai :
Kegiatan ekonomi rakyat beskala kecil dengan criteria sebagai berikut : 1) kekayaan bersih maksimal Rp. 200.000.000 (dua ratus juta rupiah) tidak temasuk tanah dan bangunan tempat usaha, atau 2) penjualan tahunan maksimal Rp. 1.000.000.000 (satu milyar rupiah). 3) milik warga negara Indonesia;- 4) berdiri sendiri dan bukan merupakan anak perusahaan atau cabang perusahaan yang dimiliki, dikuasai, atau berafiliasi baik langsung maupun tidak langsung dengan usaha menengah maupun usaha besar;1
Berdasarkan jumlah karyawan UMKM didefinisikan sebagai :
Usaha Kecil (UK) jumlah karyawan 5-19 orang. Usaha Menengah (UM): jumlah karyawan 20-99 orang.2
Information systems security didefinisikan sebagai :
“Policies, procedures, and technical measures used to prevent unauthorized access, alteration, theft, or physical damege to information systems.”3
“Measures adopted to prevent unauthorized use, misuse, modification, or denial of use of knowledge, facts, data, or capabilities.”4 1
http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1, diakses tanggal 20 Mei 2005 pukul 18.50. 2 Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar, www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50. 3 Ibid., page 454. 4 Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4.
5
Idealnya, sebuah organisasi dengan sistem informasi, menjalankan perlindungan terhadap sistem informasi organisasi yang dapat dilakukan dengan mengacu pada 10 Domain yang terdapat dalam CISSP. Ke-10 domain tersebut meliputi :
1. Access Control Systems and Methodology. Access Control Systems and Methodology merupakan kumpulan mekanisme yang bekerja sama dalam menciptakan arsitektur keamanan dalam melindungi aset sistem informasi.
2. Applications and Systems Development. Dalam CISSP domain ini menekankan pentingnya konsep keamanan ang diterapkan dalam pengembangan aplikasi perangkat lunak. Applications and Systems Development menekankan pada lingkungan tempat perangkat lunak dirancang dan dikembangkan dan menjelaskan peran penting perangkat lunak dalam menyediakan keamanan sistem informasi.
3. Business Continuity Planning. Business Continuity Plan (BCP) domain menekankan pada perlindungan dan pemulihan kegiatan-kegiatan organisasi dalam kondisi atau kejadian darurat.
4. Cryptography. Cryptography domain menekankan prinsip, tujuan dan metode-metode penyembunyian atau menyamarkan informasi dalam menjamin integritas, kerahasiaan, dan keotentikannya.
5. Law, Investigation and Ethics. Law, Investigation and Ethics domain menekankan pada : i. Perangkat peraturan perndangan yang mengatur tentang penggunaan ICT.
ii. Langkah-langkah dan teknologi yang digunakan atau dilakukan dalam melakukan investigasi insiden kejahatan komputer.
6. Operations Security.
6
Operations Security digunakan untuk melakukan identifikasi kendali terhadap hardware, media, operators dan administrators dengan access privileges terhadap semua sumber daya sistem informasi.
Audit
dan
monitoring
merupakan
mechanisms,
alat,
dan
fasilitas
yang
memungkinkannya dilakukan identifikasi peristiwa keamanan dan urutan langkah atau tindakan dalam mengidentifikasi elemen kunci dan laporan akan informasi yang relevan kepada individu,kelompok atau proses yang membutuhkan.
7. Physical Security. Physical Security domain menyediakan teknik-teknik perlindungan untuk keseluruhan fasilitas sistem informasi, dari primeter luar hingga ke dalam ruang kerja termasuk seluruh information system resources.
8. Security Architecture and Models. Security Architecture and Models domain meliputi konsep, prinsip, struktur dan standar yang digunakan dalm merancang, memonitor, dan mengamanan operating systems, perlengkapan, jaringan, applications dan kendali tersebut digunakan untuk menegakkan suatu level tertentu dari konsep availability, integrity, dan confidentiality.
9. Security Management Practices. Manajemen
keamanan
meliputi
pengidentifikasian
aset
sistem
informasi
organisasi,
pengembangan, pendokumentasian serta penerapan policies, standards, procedures, dan guidelines organisasi. Perangkat manajemen seperti klasifikasi data dan analisa resiko digunakan untuk mengidentifikasi ancaman, mengklasifikasikan aset dan membuat peringkat kerentanan sistem informasi sehingga kendali yang efektif dapat diterapkan.
10. Telecommunications, Network and Internet Security. Telecommunications, Network and Internet Security domain meliputi pembahasan :
Network Structures.
Transmission methods.
7
Transport formats.
Security measures used to provide availability, integrity, and confidentiality.
Authentication for transmissions over private and public communications networks and media.
1.5 Kerangka Penulisan
Secara umum tulisan ini akan dibagi menjadi 5 (lima) bagian, yaitu : 1. Bagian pertama yang berisikan pendahuluan, membahas issue-issue seputar keamanan sistem informasi, dan fokus permasalahan yang diangkat dalam tulisan. 2. Bagian kedua berisikan gambaran umum dari organisasi yang menjadi subjek dari penulisan. 3. Bagian ketiga berisikan paparan analisa keamanan sistem informasi dan rekomendasi keamanan sistem informasi dengan mengacu pada 10 Domain CISSP, yang meliputi : a. Access Control Systems and Methodology. b. Applications and Systems Development. c. Business Continuity Planning. d. Cryptography. e. Law, Investigation and Ethics. f.
Operations Security.
g. Physical Security. h. Security Architecture and Models. i.
Security Management Practices.
j.
Telecommunications, Network and Internet Security.
8
4. Bagian keempat berisikan penutup berupa kesimpulan dan saran yang melandaskan diri pada hasil yang dicapai pada pembahasan sebelumnya.
9
Bab 2 Gambaran Umum Organisasi
2.1 Profile Organisasi
Visi
Menjadi agen pembaru dalam rangka ikut serta menciptakan masyarakat baru Indonesia. Masyarakat yang berwatak baik, profesional, menjunjung tinggi demokrasi, terbuka mengakui kemajemukan masyarakat, tanpa mengenal SARA, dan setia kepada lembaga.
Misi
Atas dasar azas solidaritas dan kemanusiaan mencerdaskan dan memajukan kehidupan bangsa melalui bidang informasi dan bidang lain.
Tujuan Organisasi
1. Kelanggengan dan pertumbuhan dengan mengemban bisnis sehat 2. Meningkatkan kualitas Sumber Daya Manusia dan kesejahteraannya 3. Mengemban tugas tanggung jawab sosial dan memperluas kesempatan kerja
Riwayat Singkat
Tabloid X khusus mengupas sepakbola dunia, dengan pangsa pasar untuk kaum muda. Pada awalnya Tabloid X merupakan media temporer dalam bentuk fisik majalah dengan nama dagang
10
HX yang terbit mengikuti sebuah event besar sepak bola dunia seperti Piala Eropa/ EURO, Piala Dunia, atau membarengi pentupan akhir musim kompetisi sepak bola di negara-negara Eropa. Tabloid HX menyajikan informasi seputar dunia sepakbola dengan perspektif yang tidak umum untuk saat itu, yaitu gaya hidup dan hiburan sebagai menu utama. Sisi kompetisi yang di media lain ditampilkan sebagai menu utama justru ditempatkan sebagai porsi menu kedua.
Berangkat dari kondisi laku kerasnya produk, yang penjualannya mencapai oplah 18.000 eksemplar per edisi, kemudian majalah HX diputuskan untuk diterbitkan menjadi majalah reguler. Dalam waktu ± 6 bulan sejak terbit secara reguler, PT. IMT melakukan langkah baru dengan memutuskan untuk menerbitkan sebuah media yang mampu mengakomodir permintaan pembaca dan tentunya investor yang menginginkan terbit secara mingguan. Salah satu pemicunya selain oplah yang relatif positif stabil, adalah permintaan dari banyak pembaca majalah HX yang meminta PT. IMT untuk menerbitkan secara mingguan. Akhir kata, diputuskan Majalah HX tidak akan diterbitkan secara mingguan tapi PT. IMT menelurkan produk baru berformat tabloid mingguan dengan nama dagang yang sama dengan majalah, yaitu Tabloid HX.
Tabloid HX dihadirkan ke tengah publik dengan mengambil momentum waktu sebulan persis sebelum EURO 2000 yang dibuka di kota Paris, Perancis. Tabloid HX menyajikan sepakbola dengan format isi yang sama dengan majalah HX, menjual sisi kompetisi, hiburan, dan gaya hidup. Salah satu nilai plus tabloid X adalah penjualannya per edisi selalu disisipi poster ukuran 2 halaman tabloid secara rutin. Selama EURO 2000 tabloid HX mampu mencapai nilai penjualan luar biasa, dengan rata-rata penjualan 175.000 eksemplar. Sebagai gambaran, edisi perdananya laris di pasar dengan penjualan sebesar 150.000 eksemplar. Cukup mengejutkan untuk sebuah pendatang baru.
11
Secara garis besar produk, PT. IMT menyajikan media dengan
lingkup bahasan seputar
sepakbola dunia (Eropa sebagai menu utama) dengan komposisi isi sebagai berikut:
1. News: Berita dan gosip gres, data, dan ulasan lengkap pertandingan, prediksi dan bursa taruhan, informasi dibalik permainan.
2. Style: Panduan buat bolamania untuk mengekspresikan diri sebagai bolamania sejati 3. Entertainment: Pemujaan nama besar baik klub maupun pemain dengan menampilkan sisi humanistiknya
Secara umum spesifikasi produk bisa dilihat sebagai berikut: 1. Terbit sejak: Juni 2000 2. Periode terbit: Mingguan (setiap Kamis) 3. Ukuran tabloid: 420 mm x 295 mm 4. Tebal: 24 halaman 5. Tiras terjual rata-rata: 120.000 eksemplar 6. Sasaran: bolamania yang berjiwa muda 7. Harga eceran: Rp 3.500
Semester kedua setelah terbitnya tabloid HX, PT. IMT mengalami perpecahan. Era ini adalah masa buruk bagi PT. IMT, karena penjualan tabloid mengalami penurunan penjualan dengan angka rata-rata 60.000 eksemplar. Pada ini, nama dagang tabloid HX berubah menjadi tabloid X dengan maksud tidak mengganggu penjualan Majalah HX yang relatif stabil (sekaligus juga mengalami perubahan logo). Tapi nama dagang baru malah berakibat buruk dengan turunnya tingkat penjualan yang cukup tajam, sempat mencapai angka 35.000 eksemplar saja.
12
Selain itu, penurunan penjualan secara tajam juga mulai dialami oleh majalah HX. Setelah sempat menjalani masa kolaps selama 4 bulan dengan hanya mampu menjual majalah sebanyak 5000 eksemplar, PT. IMT akhirnya terpaksa mengamputasi majalah HX. Produk andalan hanya tabloid X. Namun terkadang, PT. IMT menerbitkan majalah edisi khusus (temporer) berdasar dengan event besar sepak bola yang sedang ada.
Daerah persebaran utama penjualan tabloid X adalah Jabotabek 27% dari total penjualan/ oplah. Propinsi Jawa Tengah adalah penyumbang penjualan terbesar kedua dengan nilai penjualan 19% dari total oplah. Untuk lebih lengkapnya mengenai penjualan PT. IMT, grafik penjualan Juli-Sep 2004 dibawah ini bisa dilihat sebagai acuan terakhir karena fluktuasi penjualan PT. IMT relatif tidak pernah bergejolak secara signifikan.
Gambar 2 Persentase Penjualan Tabloid X di Indonesia
2.2 Permodalan
PT. IMT adalah penerbit Tabloid X di Indonesia yang didirikan dengan modal awal Rp. 1,5 milyar, dengan rentang usia pembaca yang berada pada cakupan rentang usia remaja pria dan wanita hingga dewasa.
13
2.3 Struktur dan Peran Dalam Organisasi
Struktur, status dan peran yang ada dalam organisasi dapat dipaparkan sebagai berikut ini.
Gambar 3 Diagram Organisasi Pemimpin Perusahaan
Anggaran Pemimpin Umum
Sirkulasi
Keam anan
SDM dan Umum
Promosi
Pengembangan Bisnis
Pemimpin Redaksi
Supporting
Rumah Tangga
Pra Cetak
Iklan
Redaktur PelaksanaSekretariat
Staf TI
Staf Artistik
Staf Redaksi
Staf Dokumentasi
Tabel 3 Status dan Peran Dalam Organisasi Status
Jumlah
Pemimpin Perusahaan
1
Kod e A 01
Pemimpin Umum Pengembangan Bisnis
1
A 02
1
A 03
Sirkulasi
2
A 04 A 05
Promosi
2
A 06 A 07
Peran Mengatur kinerja perusahaan yang membawahi karyawan dengan jumlah mencapai 43 orang setiap harinya dan memastikan perusahaan berada dalam keadaan sehat. Memimpin perusahaan dengan mengendalikan aktifitas sehari-hari dari organisasi. Memiliki tugas manajerial yang berhubungan langsung dengan area pengembangan produk dan membawahi bidang promosi, iklan, dan sirkulasi. Bertugas mendistribusikan produk PT. IMT dengan menggunakkan jalur distribusi yang sudah ada sekaligus mencari peluang baru melalui kios-kios dan agen-agen yang belum tersentuh. Bertugas melakukan upaya-upaya yang bisa membuat penjualan tabloid X semakin membaik grafiknya. Ada kalanya promosi memberi masukan pada dewan redaksi untuk memperbaiki kualitas isi tabloid berdasar atas fakta-fakta penjualan dan lapangan untuk mempermudah kerja sosialisasi produk.
14
Iklan
3
Pemimpin Redaksi
1
A 08 A 09 A 10 A 11
Redaktur Pelaksana
1
A 12
Sekretariat
2
A 13 A 14
Staf Redaksi
7
Staf Artistik
5
A 15 A 16 A 17 A 18 A 19 A 20 A 21 A 22 A 23 A 24 A 25 A 26
Staf Dokumentasi Supporting
2 1
A 27 A 28 A 29
Anggaran
1
A 30
SDM dan Umum
5
Pra Cetak
2
Keamanan
4
Rumah Tangga
2
Staf TI
2
A 31 A 32 A 33 A 34 A 35 A 36 A 37 A 38 A 39 A 40 A 41 A 42 A 43 A 44 A 45
Jumlah
45
Bertugas mencari pemasang iklan untuk bersedia membeli spot/ ruang iklan yang disediakan tabloid sebagai sumber utama pendapatan tabloid. Memiliki kewajiban mengatur kinerja dewan redaksi yang mencakup redaktur pelaksana, redaktur, reporter, dan dokumentasi dalam menyajikan materi tulisan dan berita kepada pembaca. Perpanjangan tangan dari Pemimpin Redaksi tapi dengan privilese khusus, karena menjadi filter utama dalam penentuan sebuah berita layak ditampilkan atau tidaknya melalui sidang redaksi yang digelar secara mingguan. Tugasnya seperti umumnya sekretaris, mencatat baik notulensi rapat redaksi maupun kebutuhan harian redaksi dan bertanggung jawab langsung ke Pemimpin Redaksi. Adalah pihak dalam perusahaan yang bertugas mencari berita dan menuliskannya dalam format RTF untuk kemudian disimpan di server redaksi.
Staf yang bertugas merancang lay out tabloid dengan menggunakan pola desain yang sudah ada. Artistik tidak boleh menggunakkan template lay out. Selain itu dalam tim artistik biasanya ada satu orang bertugas sebagai ilustrator. Hampir semua anggota tim artistik memiliki kemampuan membuat ilustrasi karena background pendidikan umumnya dari jurusan desain grafis. Staf kepustakaan data yang tugas utamanya menyediakan foto, gambar, data historis atau literatur untuk keperluan penulisan reporter. Memiliki kewajiban mengatur kinerja perusahaan yang berurusan dengan koordinasi antara bidang manajemen sumber daya manusia, keamanan, TI, Anggaran, dan Pracetak yang ada di PT. IMT. Memiliki kewajiban mengatur anggaran kerja dan operasional PT. IMT selain melakukan dokumentasi keuangan perusahaan layaknya pekerjaan pada bagian keuangan pada umumnya. Bertanggung jawab untuk pengelolaan sumber daya manusia.
Bertugas mencetak atau mentranformasikan hasil lay out tim artistik ke dalam bentuk film siap cetak. Bertugas jaga bergantian shift dengan pola 12/24.
Bertugas untuk hal-hal yang menyangkut kenyamanan dan kebersihan organisasi. Bertugas khusus mengurusi jaringan dan sistem yang ada, serta menangani media online.
15
Waktu Kerja
PT. IMT memiliki 3 waktu kerja berbeda:
1. Staff Redaksi kecuali pemimpin redaksi umumnya memiliki waktu kerja relatif fleksibel. Tidak ada kewajiban harus datang jam tertentu asalkan tidak menyebabkan tulisan melewati deadline yang jatuh pada pukul 3 sore setiap harinya. Konsep uang lembur baru dikenakan bila kerja melewati jam 12 malam.
2. Satuan Pengamanan bekerja secara 24 jam selama 7 hari kerja tanpa kenal libur menjaga keamanan kantor yang berada di daerah rawan maling karena posisinya di samping jalan raya, Jl. Panjang, Jakarta Barat. Ketentuan libur dirotasikan dengan pembagian shift 2 kali dalam sehari. Tidak ada libur hari besar dan minggu kecuali ada kebijakan khusus dari Pimpinan Keamanan.
3. Karyawan dari Divisi Pengembangan Bisnis dan Supporting memiliki waktu kerja yang umum berlaku, yakni pukul 9 hingga pukul 5 sore. Staf promosi dan iklan memiliki perkecualian jam kerja karena bila sedang ada event tertentu (seperti nonton bola bareng di cafe) yang berhubungan dengan sosialisasi citra produk bisa jadi jam kerjanya bertambah secara tidak menentu.
16
2.4 Proses Bisnis Utama Organisasi
Proses bisnis utama organisasi dapat dilihat pada gambar di bawah ini. Gambar 4 Work Flow Proses Bisnis Utama Merum uskan cont ent dan layout terbitan Rapat Redak si
Notulens i rapat
Staf Redak si
Staf D okumentasi
Staf Art istik
Mencari dan menulis berita
Mencari referensi penduk ung berit a
Merancang lay-out
Templete awal
Perc etakan
Edit berit a
Templete
Mem buat film
Film
Redaktur Pelak sana
Staf Pra-Cetak Pemimpin Redaksi
2.5 Aplikasi Organisasi
Organization – Computer Interaction Patterns
N o 1
2
Status Pemimpin Perusahaan Pemimpin Umum
Tabel 4 Pola Penggunaan Komputer Dalam Organisasi Jumla Kod Pola Penggunaan Komputer h e 1 A 01 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer. 1 A 02 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer.
Alokasi PC -
-
17
3
Pengembangan Bisnis
1
A 03
4
Sirkulasi
2
A 04 A 05
5
Promosi
2
A 06 A 07
6
Iklan
3
A 08 A 09 A 10
7
Pemimpin Redaksi
1
A 11
8
Redaktur Pelaksana
1
A 12
9
Sekretariat
2
A 13 A 14
10
Staf Redaksi
7
11
Staf Artistik
5
A 15 A 16 A 17 A 18 A 19 A 20 A 21 A 22 A 23 A 24 A 25 A 26
12
Staf Dokumentasi
2
A 27 A 28
13
Supporting
1
A 29
Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit business plan dan proposal dengan aplikasi MSWord dan internet explorer. Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan sirkulasi majalah dengan aplikasi MSExel dan akses internet dengan aplikasi internet explorer. Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan yang berkaitan dengan promosi majalah ke media lain dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer. Menulis dan mengedit laporan atau penawaran pemasangan iklan kepada klien dengan aplikasi MSWord, MSExcell dan akses internet dengan aplikasi internet explorer. Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer. Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer. Menulis dan mengedit surat dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer. Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer.
1
Merancang tampilan dan susunan dalam majalah, dengan aplikasi : PageMaker. MacOS. Freehand. Photoshop. Internet explorer, untuk akses internet. Menulis dan mengedit tulisan, membuat index terbitan dan referensi dengan aplikasi MSWord, internet explorer dan Winisis (database perpustakaan). Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer.
3
1
1
1
1 1 1 7
1
1
18
14
Anggaran
1
A 30
15
SDM dan Umum
5
16
Pra Cetak
2
A 31 A 32 A 33 A 34 A 35 A 36 A 37
17
Keamanan
4
18
Rumah Tangga
2
19
Staf TI
2
A 38 A 39 A 40 A 41 A 42 A 43 A 44 A 45
Menulis dan mengedit laporan keuangan dan rencna anggaran tahunan dengan aplikasi MSExell dan akses internet. Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer.
1
Merancang tampilan dan susunan dalam majalah yang siap cetak, dengan aplikasi : PageMaker. MacOS. Internet explorer. Internet explorer.
2
Internet explorer.
-
MSWord. Internet explorer.
2
3
-
Komponen Perangkat Keras Komponen File Server Web Server Firewall Router Modem Hub Printer Scanner Fax PC Plotter
Jumlah 1 1 1 1 1 1 4 1 1 27 1
Komponen Perangkat Lunak Komponen File Server OS Web Server OS
Keterangan Windows Server 2000 IIS
19
Infrasturktur Jaringan
ID C
Server 1 Content editing Pemimpin Redaksi Router News editing Layout editing
Server 2 Firewall
Layout Redaktur Pelaksana
Staf Artistik
Internet
ID C
News Source related to news
Staf Redaksi
Firewall
Design and graphics
Sekretariat
Staf TI
Pra Cetak
Staf Dokumentasi
20
Denah ruangan Denah Lantai I
Satpam dan Rumah tangga (Resepsionis)
Pra Cetak
DENAH LANTAI I
Pemimpin Redaksi
Rapat Redaksi
Dokumentasi
Tangga
Sekretariat Redaksi
21
Denah Lantai II
2.6 Security Check List Organisasi
Check List Physical and Environmental Security PC location
Printer location Scanner location Fax location Personnel Security Password Certificates Sign aggreement Number of authorized users Training Application Program and Usage Security Printing Browser security Screen savers
Description
Tidak ada penempatan atau pengaturan ruang secara khusus terhadap PC. Semua anggota organisasi menggunakan komputer, tanpa ada alokasi khusus, tiap pengguna dapt menggunakan komputer manapun selama tidak sedang digunakan. Pengguna sering merokok sementara menggunakan komputer. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Tidak ada penggunaan password. Kecuali pada proses pengambilan berita gambar (foto) dari situs berlangganan tertentu,akan tetapi password tersebut diketahui oleh semua user. Seluruh user, tidak ada pembatasan. Bahkan SATPAM dan Office Boy sering menggunakan komputer untuk browsing di sore hari atau malam hari. Tidak pernah ada pelatihan yang dilakukan untuk meningkatkan security awareness dikalangan pegawai. Semua user dapat mengakses. -
22
Warning PC Confoguration OS version Browser configuration Browser version Patch / Update levels current Virus protection and update Firewall USB Port Available Network Configuration Internet access method Firewall
Tidak di up date Tergantung iman dan kepercayaan. Tergantung iman dan kepercayaan. Tidak di up date Tidak di up date Diurus oleh IT maintenance.
Leased line di ISP.
23
Bab 3 Keamanan Sistem Informasi Organisasi
3.1 Security Management Practices
We will systematize the process of determining the organization's computer assets, and the methods for establishing the required levels of protection. We will learn how to create security-budgets for each identified reduction.
Domain Security Management Practices pada prinsipnya ditujukan guna membantu organisasi dalam merencanakan, mengorganisasikan dan mengendalikan pengguna dan penggunaan sistem informasi dalam organisasi dengan perhatian utama pada pengamanan sistem informasi. Dalam hal tersebut maka sebaiknya suatu organisasi menjalankan hal-hal sebagai berikut : 1. Melakukan identifikasi aset sistem informasi organisasi. 2. Melakukan analisa resiko terhadap sistem informasi. 3. Membuat kebijakan keamanan sistem informasi dalam organisasi. 4. Memunculkan kesadaran keamanan sistem informasi dalam organisasi.
3.1.1 Identifikasi aset sistem informasi organisasi
Mengacu kepada situasi dan kondisi sistem informasi yang ada dalam organisasi dapat diidentifikasi hal-hal sebagai berikut :
Criteria Aset sistem informasi
Value
Age
Classification Useful life
Personal association
24
Data dan informasi Buku referensi
Data gambar
Hasil rapat redaksi
Data tulisan edisi
Film untuk naik cetak
Hardware Faximile
Telepon
Printer
Bernilai penting sebagai referensi pendukung kredibilitas berita.
Timeless, karena referensi selalu terpakai karena pengungkapan fakta historikal dalam berita dan digunakkan sebagai pendukung artikel feature. Hanya hingga saat naik cetak.
Referensi tetap bernilai tinggi meskipun ada penambahan data baru.
-
Company confidential
Data gambar tetap bernilai tinggi meskipun ada penambahan data baru.
-
Company confidential
Hanya hingga saat naik cetak.
Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi.
Company confidential
Bernilai penting sebagai isi materi berita baik hard news maupun feature setiap minggunya. Bernilai penting sebagai materi penerbitan yang siap dicetak setiap minggu.
Hanya hingga saat naik cetak.
Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi.
Hanya hingga saat naik cetak.
Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi.
Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan.
Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja.
Sepanjang bisa digunakkan.
Sepanjang bisa digunakkan.
-
Internal use only
Sepanjang bisa digunakkan.
Sepanjang bisa digunakkan.
-
Internal use only
Sepanjang bisa digunakkan.
Sepanjang bisa digunakkan.
-
Internal use only
Bernilai penting sebagai referensi pendukung kredibilitas berita dan berlangganan pada vendor dengan nilai kontrak sangat mahal.. Bernilai penting sebagai kunci isi materi penerbitan setiap minggu.
Company confidential
Company confidential
25
Scanner
PC
Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan boleh digunakkan diluar kepentingan bisnis.
Sepanjang bisa digunakkan.
Sepanjang bisa digunakkan.
-
Internal use only
Sepanjang bisa digunakkan.
Sepanjang bisa digunakkan.
-
Internal use only
Tabel berikut ini merupakan identifikasi aset sistem informasi dari organisasi berdasarkan role dari para stakeholder.
Aset sistem informasi Data dan informasi Buku referensi Data gambar Hasil rapat redaksi Data tulisan edisi Film untuk naik cetak
Owner
Custodian
User
Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan
Dokumentasi Dokumentasi Sekretariat Redaksi Pra cetak
Pemred, Redpel, dan Reporter. Pemred, Redpel, Artistik dan Reporter. Pemred, Redpel, dan Reporter. Pemred, Redpel, dan Reporter. Redpel, Artistik, Percetakan dan Reporter.
Hardware Faximile Telepon Printer Scanner PC
Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan Pemilik perusahaan
Semua stakeholder Semua stakeholder Semua stakeholder Semua stakeholder Masing-masing stakeholder
Server
Pemilik perusahaan
Sekretariat Sekretariat Sekretariat Sekretariat Masing-masing stakeholder Masing-masing stakeholder
Masing-masing stakeholder
3.1.2 Manajemen resiko
Ancaman yang terindentifikasi terjadi di lingkungan organisasi tercantum seperti di bawah ini :
Ancaman Data classification
Information warefare
Virus menjadi masalah bagi PT. IMT karena masih ada penggunaan disket sebagai media pertukaran file. -
Dampak Dalam seminggu minimal terjadi 3 (tiga) unit PC terinfeksi.
-
Kerugian Data rusak. Data hilang. Pengulangan penulisan berita sehingga menyebabkan lembur. -
26
Personnel
Anti Virus jarang diupdate oleh pengguna PC.
Anti virus menjadi mandul setiap saat.
Staf redaksi memformat komputer rekan kerja yang dibencinya.
Satu kali terjadi
Personel melakukan pembobolan aset (gambar). Pencurian hardware.
Jarang terjadi.
Environmental
Gangguan listrik.
Setahun 2 kali.
Computer infrastructure
Gangguan hardisk server.
Rata-rata terjadi 2 minggu sekali
OS redaksi hang
Hampir tiap hari terjadi
Application / operational Criminal
Delayed processing
Satu kali terjadi
-
-
Data rusak. Data hilang. Pengulangan penulisan berita sehingga menyebabkan lembur. Data hilang. Pengulangan pengumpulan data tulisan yang akan diterbitkan. Kompetitor Proses kerja menjadi tidak berjalan sebagaimana adanya. Proses kerja menjadi tidak berjalan sebagaimana adanya. Proses kerja menjadi tidak berjalan sebagaimana adanya. Proses kerja menjadi tidak berjalan sebagaimana adanya. -
Kerusakan software yang terjadi sering disebabkan oleh virus, meskipun sudah disediakan antivirus yang terbaru, hal tersebut terkadang tidak dapat mencegah terjadinya serangan virus. Jika hanya menimpa beberapa aplikasi, penanggulangan diserahkan pada tanggung jawab masing-masing pengguna agar berhati-hati dalam berbagi informasi. Namun jika menyebabkan kerusakan total sistem operasi dan aplikasi, penanggulangan diserahkan untuk diisolasi dan diservis. Antisipasi lain yang dijalankan adalah dengan penyediaan aplikasi antivirus terkini. Setiap kali ada informasi tentang adanya aplikasi terkini untuk mendeteksi virus, administrator akan berusaha untuk menyediakan aplikasi tersebut.
3.1.3 Kebijakan keamanan sistem informasi
Kebijakan keamanan sistem informasi pada organisasi tidak dirumuskan secara tertulis. Sehingga apabila terjadi suatu hal yang menggangu sistem sering kali terjadi saling menyalahkan. Untuk
27
itu perlu dibuat kebijakan yang paling tidak mengatur secara tegas perang dan kewajiban para stakeholder, seperti tercantum dibawah ini :
N o 1
Status
Jumlah
Kode
Pemimpin Perusahaan Pemimpin Umum
1
A 01
1
A 02
1
A 03
4
Pengembangan Bisnis Sirkulasi
2
5
Promosi
2
6
Iklan
3
7
Pemimpin Redaksi
1
A 04 A 05 A 06 A 07 A 08 A 09 A 10 A 11
8
Redaktur Pelaksana
1
A 12
9
Sekretariat
2
10
Staf Redaksi
7
11
Staf Artistik
5
12
Staf Dokumentasi
2
13 14 15
Supporting Anggaran SDM dan Umum
1 1 5
16
Pra Cetak
2
17
Keamanan
4
18
Rumah Tangga
2
19
Staf TI
2
A 13 A 14 A 15 A 16 A 17 A 18 A 19 A 20 A 21 A 22 A 23 A 24 A 25 A 26 A 27 A 28 A 29 A 30 A 31 A 32 A 33 A 34 A 35 A 36 A 37 A 38 A 39 A 40 A 41 A 42 A 43 A 44 A 45
2 3
Roles and responsibilities Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general. Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general. Bertanggung jawab terhadap masalah keamanan kantor di unit Pengembangan Bisnis saja. Bertanggung jawab terhadap masalah keamanan kantor di unit Sirkulasi saja. Bertanggung jawab terhadap masalah keamanan kantor di unit Promosi saja. Bertanggung jawab terhadap masalah keamanan kantor di unit Iklan saja. Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja. Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja. Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan.
Melaksanakan kebijakan yang sudah ditetapkan.
Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan.
Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan.
Melaksanakan kebijakan yang sudah ditetapkan. Melaksanakan kebijakan yang sudah ditetapkan.
28
3.1.4 Kesadaran keamanan sistem informasi organisasi
Selama ini organisasi hanya menekankan pada pentingnya keamanan lokasi dari pencurian (kejahatan konvensional). Sehingga kesadaran akan keamanan hanya ditekankan pada anggota satuan pengamanan dengan disertakannya meraka pada pelatihan keamanan untuk SATPAM. Hal ini berakibat masalah keamanan pada sistem informasi kurang tertangani mengingat bahwa ancaman yang teraktualisasi tidak dapat sepenuhnya diatasi dengan cara pelatihan tersebut.
Kesadaran akan keamanan sistem informasi sebaiknya dilakukan dengan cara : 1. Mengikutsertakan pemilik perusahaan dan kepala-kepala bagian dalam pelatihan keamanan sistem informasi. 2. Mengikutsertakan staf IT dalam pelatihan keamanan sistem informasi tingkat lanjut. 3. Membuat remainder bagi para user agar peduli dengan masalah keamanan sistem informasi.
3.2 Access Control Systems
Akses ke sistem informasi saat ini belum dilakukan dengan baik. Terbukti bahwa ada beberapa stakeholder yang sebenarnya tidak berkaitan langsung dengan PC, justru dapat menggunakan PC dengan leluasa. Satpam dan officeboy dapat mengakses internet tanpa ada teguran dan sudah dianggap biasa. Untuk itu yang perlu dilakukan adalah : 1. Bekerja sama dengan pengelola gedung untuk melakukan penjagaan dan pengamanan.
29
2. Mengaktifkan ID Card sebagai kendali akses ke dalam lokasi organisasi yang pengawasannya dilakukan oleh Satpam dan staf IT. 3. Membuat daftar akses kendali bagi setiap stakeholder dalam memanfaatkan sumber daya sistem informasi.
Aplikasi yang digunakan untuk koneksi terhadap internet adalah internet explorer. Perusahaan tidak memiliki web server oleh karena itu email hanya dapat diakses secara bebas menggunakan fasilitas email free dari situs-situs yang menawarkan. Perusahaan belum melakukan ekspansi usahanya melalui internet. Koneksi terhadap internet pun dilakukan secara dial-up, sehingga hanya pengguna-pengguna tertentu yang diberikan hak ases untuk dapat menggunakan fasilitas internet. Penggunaan fasilitas ini pun dibatasi, sekedar untuk menerima dan mengirimkan laporan kepada direksi atau komisaris. Tanggung jawab pengawasan dan pengontrolan penggunaan internet dibebankan kepada staf TI dan Pemimpin Redaksi. Biasanya pengguna diberikan hak untuk mengakses internet secara bebas akrena menggunakkan leased line/ cable.
Pengaksesan internet dilakukan hanya melalui server utama dengan otoritas dari Pemimpin Redaksi/ staf TI. Jika Pemimpin Redaksi berhalangan kerja (cuti, ijin, sakit dll.), tanggung jawab akan diserahkan pada salah satu staf redaksi. Staf TI berkewajiban memantau akses pengguna secara berkala. Jika terdapat situs-situs yang tidak bermanfaat diakses oleh pengguna, pengguna akan diberi peringatan dan sanksi. Sanksi dapat berupa penyetopan hak akses untuk jangka waktu tertentu.
N o 1 2 3
Status Pemimpin Perusahaan Pemimpin Umum Pengembangan Bisnis
Jumlah
Kode
Akses ke sistem informasi
1
A 01
Full access.
1 1
A 02 A 03
Full access. Akses ke keuangan.
30
4
Sirkulasi
2
5
Promosi
2
6
Iklan
3
7 8 9
Pemimpin Redaksi Redaktur Pelaksana Sekretariat
1 1 2
10
Staf Redaksi
7
11
Staf Artistik
5
12
Staf Dokumentasi
2
13 14 15
Supporting Anggaran SDM dan Umum
1 1 5
16
Pra Cetak
2
17
Keamanan
4
18
Rumah Tangga
2
19
Staf TI
2
A 04 A 05 A 06 A 07 A 08 A 09 A 10 A 11 A 12 A 13 A 14 A 15 A 16 A 17 A 18 A 19 A 20 A 21 A 22 A 23 A 24 A 25 A 26 A 27 A 28 A 29 A 30 A 31 A 32 A 33 A 34 A 35 A 36 A 37 A 38 A 39 A 40 A 41 A 42 A 43 A 44 A 45
Akses ke keuangan. Akses ke keuangan dan berbagi data ke bagian iklan. Akses ke keuangan dan berbagi data ke bagian promosi. Full access. Akses data distribusi, iklan dan redaksi Akses data redaksi Akses data redaksi
Akses data redaksi
Akses data redaksi Akses data pendukung dan redaksi. Akses data keuangan Akses data pegawai
Akses data redaksi Tidak berhak mengakses sumber daya sistem informasi.
Tidak berhak mengakses sumber daya sistem informasi. Akses ke hardware.
3.3 Telecommunications and Network Security
We will review telecommunications aspects of Network security, including protocols, network infrastructures and network topologies. We will also look at remote access, devices, security issues and administration
31
Data yang pindah tempatkan hanya film untuk cetak ukuran tabloid. Pemindahannya dilakukan secara fisik pada waktu malam hari sebelum terbit keesokan harinya. Pengamanannya dilakukan dengan pengawalan oleh tenaga satuan pengamanan.
Topologi jaringan pada Local Area Network (LAN) di bagian redaksi menggunakan topologi Star. Server ditempatkan di ruangan khusus yang digunakan bersama dengan bagian artistik dan pracetak. Penanggung jawab server dan jaringan sekaligus menjadi administrator berada di tangan Staf TI.
Dalam ruangan ini aturan keamanan diikuti secara ketat. Ruangan sangat dingin dengan adanya alat pendingin ruangan (AC) berkekuatan tinggi. Tapi perhatian terhadap keamanan kondisi fisik hardware dan jaringan kurang terjaga. Kedisiplinan dari para pengguna komputer perlu ditingkatkan agar keamanan ruangan server dari suhu dan kelembaban dapat terjaga dengan baik.
Sedangkan untuk komputer client, komputer masing-masing ditempatkan di meja para pegawai dan manajer. Sumber daya printer dipakai bersama-sama untuk semua unit dan pegawai. Server digunakan untuk menyimpan data-data seluruh materi media cetak, kecuali data-data keuangan yang disimpan secara terpisah di komputer client bagian keuangan.
Administrator tidak perlu membagi hak akses berdasarkan otoritas penggunaan karena server hanya berisi data-data metri media yang akan turun cetak dalam format pm (Pagemaker). Pada umumnya akses penghapusan data tidak diberikan, dan harus dilakukan atas persetujuan administrator.
32
Komputer yang digunakan untuk layout dan desainer diberikan hak akses tersendiri dan tidak dapat diakses dari komputer lainnya. Hal tersebut dilakukan agar hasil-hasil layout dan desainer tetap terjaga dengan baik. Begitu pula aplikasi yang digunakan disimpan di komputer tersebut. Aplikasi umumnya berupa aplikasi khusus bagi layout dan desainer seperti Adobe Pagemaker 7, Adobe Photoshop, aplikasi pendukung untuk scanner dan antivirus Symantec Client Antivirus.
Masing-masing client diberikan hak untuk melakukan backup data di komputer masingmasing, sedangkan backup data di server dilakukan secara berkala dengan pengkopian pada CD dan partisi hard disk lain. Spesifikasi komputer umumnya digunakan Pentium III dan Pentium IV. Sistem operasi digunakan Windows 2000 Profesional pada client, sedangkan server menggunakan Windows 2000 NT.
Instalasi jaringan menggunakan HUB atau concentrator, kabel penghubung UTP (unshielded twisted pair) Ethernet 10BaseT, Line Card Realtek RTL 8139 Base 10100 dan konektor RJ45. Masing-masing client dapat saling berkomunikasi melalui jaringan dan diberikan hak untuk mengakses internet. Selain itu komunikasi dilakukan pula melalui jaringan telepon internal untuk menjangkau staf lainnya yang tidak berhubungan langsung dengan komputer.
Untuk gedung administratif hanya terdapat delapan komputer (Pentium IV) yang terhubung dengan LAN dengan instalasi jaringan standar. Masing-masing komputer digunakan oleh staf anggaran, staf distribusi, promosi, iklan serta dua komputer untuk keperluan desain dan lay out bagi tim promosi dan iklan. Satu buah printer dipakai bersama-sama antar para pengguna komputer. Kelima komputer tersebut masing-masing dapat saling mengakses data dan
33
berbagi data. Namun bagi informasi yang bersifat kritikal (data keuangan), data hanya dapat diakses dengan memakai ID pengguna dan password khusus. Begitu pula dengan data-data layout dan desainer dibatasi hanya bagi penggunanya.
Untuk keamanan jaringan dan kerusakan (troubles) yang terjadi diserahkan sepenuhnya pada masing-masing pengguna. Pengguna yang memiliki pengetahuan lebih terhadap komputer umumnya menjadi volunteer bagi penyelesaian kerusakan. Namun jika kerusakan tidak dapat ditangani, peralatan akan dikirimkan untuk diservis.
Komunikasi lainnya dapat digunakan melalui telepon. Namun penggunaannya menjadi tanggung jawab penuh bagian administrasi. Oleh karena ruangan perusahaan tidak begitu luas, para pegawai penerbitan melakukan komunikasi secara manual (lisan). Telepon hanya digunakan untuk menerima pemesanan dan keperluan tertentu.
3.4 Cryptography.
We will look at crypto techniques, methodologies and approaches
Mengacu kepada aset sistem informasi dan kemampuan komputesi yang ada, khususnya data yang dipertukarkan, cryptography masih belum perlu diimplementasikan. Hal ini dikarenakan data yang dipertukarkan berada dalam jaringan LAN internal organisasi.
3.5 Security Architecture and Models
34
We will examine concept models and techniques for designing and implementation secure applications, operate systems, networks and systems.
Pada bagian ini menguraikan tentang konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Namun pada perusahaan PT. IMT, arsitektur dan model seperti yang dimaksudkan di atas hanya bisa diidentifikasi beberapa arsitektur dan model. Arsitektur dan model yang diperoleh berupa arsitektur sistem jaringan, sistem operasi, dan aplikasi.
Arsitektur sistem jaringan baik bagian redaksi maupun administrasi keduanya memiliki arsitektur yang sama dengan topologi star. Masing-masing pengguna dapat mengakses file sistem dalam server melalui jaringan. Aktivitas yang harus dilakukan adalah pengguna wajib melakukan login untuk berinteraksi dengan jaringan. Pengguna akan diminta untuk memasukkan ID pengguna dan Password agar mendapatkan hak ases.
Keberhasilan login akan memicu sistem operasi mengenali hak-hak akses apa yang diberikan terhadap pengguna tersebut. Selanjutnya sistem operasi akan menghubungkan ke server dan seluruh jaringan yang terkoneksi. Pada PT. IMT, tingkat jaminan keamanan dikategorikan low level (proteksi lapisan bawah). Hal ini dapat dilihat dari metode pengamanan yang lebih mengarah pada pengamanan yang berfokus hardware, lebih sederhana, namun melebar dan tidak fleksibel. Oleh karena itu meskipun fungsionalitas sistem menurun, kompleksitas keamanan juga menurun namun jaminan keamanan meningkat.
Tidak ada aplikasi-aplikasi yang dibangun secara khusus untuk perusahaan layaknya vendor ERP seperti SAP ataupun Oracle, bahkan aplikasi spesifik misalnya Sistem Informasi PT. IMT.
35
Teknologi yang digunakan cukup mutakhir di pasaran saat ini (Pentium IV), begitu pula dengan aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, namun semuanya merupakan produk beli dan bukan merupakan produk yang dikembangkan secara khusus. Model keamanan relatif tergolong sederhana.
3.6 Operations Security
We will cover aspects of control, audit and monitoring that apply to systems, personnel, information and resources.
Dalam domain operasi keamanan difokuskan pada tindakan apa saja yang menjadikan sistem beroperasi secara aman, terkendali dan terlindung. Sistem di sini dapat berupa jaringan, komputer ataupun lingkungan. Sedangkan operasional diartikan sebagai berfungsinya sistem setelah dijalankan. Adapun waktu dari operasional dapat mencakup jam atau hari berfungsinya sistem tersebut.
Pada PT. IMT, proses bisnis berlangsung hampir delapan jam sehari pada unit administratif, namun pada unit redaksi jam kerja bisa mencapai 14 jam. Kebijakan perusahaan tentang pegawainya juga diterapkan jika kerja tim redaksi telah melewati jam 12 malam. Pekerjaan akan dilanjutkan setelah jam kerja biasa dan dilakukan secara kontinyu. Biasanya pekerjaan lembur ini hanya terjadi sewaktu-waktu saja, misalnya saat penerbitan edisi khusus atau sempat terjadi masalah pada server yang mengakibatkan tim redaksi harus waspada pada kemungkinan terjadinya perubahan materi cetak akibat kerusahaan pada sistem di pra cetak.
36
Secara umum operasinal bisnis perusahaan umumnya dimulai sekitar pukul 8.00 dan berakhir pukul 17.00 setiap hari. Selain itu karena format bisnis perusahaan merupakan usaha media informasi maka konsep lembur sebenarnya tidak terlalu dikenal. Bila ada event tertentu (seperti nonton bola bareng di café) yang mengharuskan karyawan kerja ekstra maka tidak ada kompensasi khusus. Kompensasi hanya diberikan bila pekerja keluar kantor sesudah jam 12 malam yang ditandai dari absensi pegawai melalui mesin absensi. Frekuensi lembur lebih umum terjadi pada staf redaksi saja. Pada bagian administratif hal tersebut jarang terjadi, sebab proses kerja relatif sama dengan kantor-kantor lainnya.
Gangguan yang sering muncul dalam jaringan adalah berasal dari virus atau kerusakan secara fisik karena arus pendek listrik dan petir. Virus umumnya menyebar melalui jaringan yang terkoneksi ke internet. Sekalipun akses internet tidak ada pembatasan dan digunakan untuk mengakses email atau informasi, gangguan yang disebabkan oleh hacker atau cracker belum pernah terjadi.
Sesuai dengan aturan ketenagakerjaan, pegawai diberikan hak cuti setiap tahunnya kecuali bagi karyawan kontrak. Diharapkan cuti tersebut dapat mengurangi problem demoralisasi dan bisa mengembalikan kesegaran mental dan moral pegawai yang mengalami kejenuhan. Cuti paling lama dua minggu atau 12 hari kerja, tidak termasuk hari libur, sabtu dan minggu. Cuti tidak dapat diambil sekaligus karena tuntutan terbit seminggu sekali. Pelaksanaan cuti diatur sesuai kebijakan yang sudah diterbitkan perusahaan. Bagi pegawai yang melakukan cuti, pekerjaan dilimpahkan kepada rekannya dengan koordinasi terlebih dahulu dengan pemimpin redaksi atau redaktur pelaksana.
37
Bagi keamanan lingkungan, dikarenakan lokasi bagian percetakan cukup luas, ditugaskan petugas keamanan atau Satpam selama 24 jam dengan dua kali shif kerja. Satpam yang bertugas pagi mulai pukul 7.00 sampai pukul 19.00 malam, berikutnya digantikan oleh satpam yang bertugas malam mulai pukul 19.00 sampai pukul 7.00 pagi. Tugas pagi dan malam dilakukan secara bergiliran selama satu minggu. Meskipun hari libur, satpam tetap bertugas sesuai dengan jadwalnya. Setiap bulannya satpam diberikan pengarahan dari manajer administrasi untuk menanggulangi berbagai kemungkinan ancaman dan kerawanan.
3.7 Applications and Systems Development.
We will look at system development lifecycles, change-control management and operating system security components. Included in this domain are elements of Quality assurance and the CMM.
Aplikasi pada umumnya tidak dibangun secara spesifik karena kebutuhan penerbitan hanya pada aplikasi untuk keperluan desain lay out dan penulisan. Aplikasi-aplikasi tersebut sudah sangat spesifik dan tersedia secara luas di pasaran. Aplikasi didapatkan dengan metode membeli original product. Begitu pula dengan aplikasi lainnya seperti perkantoran (office automation system) dan sistem operasi. Organisasi ini tidak mengembangkan perangkat lunak yang
dikhususkan untuk digunakkan mendukung proses bisnis. Aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, semuanya merupakan produk beli yang dijual bebas di pasaran. Yang dilakukan oleh organisasi saat ini adalah tinggal meng-update patch terbaru.
3.8 Business Continuity Planning.
38
Here we look at the capability of an organization to maintain its activities despite interruptions. This domain also looks at Risk Assessment for the requirements of BCP and implementation of adequate countermeasures and controls.
Pada umumnya hardware dan software akan mengalami gangguan. Gangguan muncul biasanya berupa virus atau kerusakan komputer. Umumnya yang sering terkena adalah hub dan switch penghubung jaringan. Tidak sedikit pula menyerang hardware. Jika terjadi demikian, secara total hardware akan diservis bahkan diganti, namun untuk hardisk akan dicoba untuk diselamatkan. Antisipasi untuk menangkal serang petir adalah dengan pemasangan penangkal petir. Namun meskipun penangkal petir sudah terpasang, hal tersebut tidak dapat mencegah secara total ancaman petir. Sehingga BCP menjadi penting untuk dibuat agar proses bisnis organisasi dapat berjalan meskipun terjadi gangguan.
Organisasi belum mempunyai BCP, sehingga yang perlu dilakukan, dengan mengacu pada kemungkinan terjadinya gangguan, adalah : 1. Bekerja sama dengan pengelola gedung dalam membuat blue print BCP, khususnya terhadap aspek gangguan yang umum terjadi terhadap gedung, seperti kebakaran dan gangguan listrik. 2. Mempersiapkan UPS untuk setiap sumber daya sistem informasi yang menggunakan tenaga listrik. 3. Staf IT harus selalu melakukan up date anti virus, menjalankan back up secara rutin pada partisi hard disk server. 4. User harus dilibatkan dalam kegiatan BCP, termasuk agar berinisiatif untuk menggunakan komputer dengan “sehat”, dan rajin membuat back up di PC masing-masing.
3.9 Law, Investigation and Ethics.
39
We will investigate computer crimes, and the laws and regulations which apply to these particular crimes. We will also look at evolving technologies in forensics, which dictate the appropriate techniques for investigation, preservation of collected information, protection of affected systems, and prosecution requirements.
Beberapa ancaman sistem informasi organisasi muncul dari lingkungan dalam organisasi sendiri. Untuk itu perlu disosialisasikan beberapa prinsip etik penggunaan komputer di lingkungan kerja, seperti misalnya :
1. Tidak boleh menggunakan komputer untuk membahayakan orang/ pihak lain. 2. Tidak boleh melakukan gangguan terhadap kerja komputer orang/ pihak lain. 3. Tidak boleh menyadap file milik orang/ pihak lain. 4. Tidak boleh menggunakkan komputer untuk pencurian. 5. Tidak boleh menggunakkan komputer untuk memberikan kesaksian palsu. 6. Tidak boleh menyalin/ membajak atau menggunakkan software propietary tanpa membayar. 7. Tidak boleh menggunakkan komputer orang/ pihak lain tanpa otorisasi atau kompensasi. 8. Tidak boleh mengganggu hak intelektual orang/ pihak lain. 9. Harus berpikir tentang konsekwensi sosial dari program atau sistem yang dirancang. 10. Harus menggunakkan komputer sebagaimana adanya sesuai konsiderasi yang ada dan menghormati sesama manusia.5 Selain itu juga organisasi harus tetap mengacu kepada peraturan yang ada, seperti : 5
Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.
40
1. Kode Etik Jurnalistik. 2. Kitab UU Hukum Pidana. 3. UU Telekomunikasi. 3.10 Physical Security.
Here we consider physical property and assets, and which threats and vulnerabilities are involved. We will also look at physical access controls.
Secara fisik keamanan dijaga 24 jam penuh oleh satuan pengaman. SATPAM bertanggung jawab menjaga aset fisik berupa peralatan produksi (mesin-mesin pracetak), peralatan kantor (meja, kursi, komputer, lemari dan sebagainya), sarana dan prasarana (bangunan, instalasi PDAM, listrik, telepon, kendaraan dll.). Selain itu SATPAM juga menjaga keamanan lingkungan dari gangguan fisik seperti kebakaran, pencurian dan lain-lain. SATPAM bertanggung jawab memegang kunci cadangan dari seluruh ruangan. Kunci-kunci tersebut disimpan pada tempat khusus, untuk memudahkan akses pengamanan jika terjadi sesuatu yang mencurigakan.
Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam. Dalam melakukan tugasnya SATPAM harus mencatat kejadian-kejadian yang dialami. SATPAM memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai seluruh staf. SATPAM harus segera melaporkan jika terjadi hal-hal yang mencurigakan seperti kabel yang tidak rapi sehingga menimbulkan percikan api, lampu-lampu yang tidak berfungsi lagi (padam), pagar yang mulai rusak dll.
41
Penanggulangan bencana seperti kebakaran SATPAM bergabung dengan organisasi pemadam kebakaran. Organisasi ini akan memberikan pelatihan teknik-teknik pemadaman api secara efektif dan cepat. Jika kebakaran tidak dapat ditolerir dan dikhawatirkan mengganggu lingkungan sekitarnya, SATPAM diwajibkan melaporkan kejadian kebakaran tersebut.
42
Bab 4 Penutup
Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari berbagai bencana, ancaman dan kerawanan keamanan. Penekanan utama seharusnya terletak pada akses kontrol yang melibatkan administrator ataupun manajer yang menuntut kemampuan mengelola hak-hak dan peran pengguna dalam memanfaatkan data serta informasi penting perusahaan. Keamanan baik dalam masalah telekomunikasi maupun jaringan sangat mendukung ketersediaan data dan informasi. Apalagi PT. IMT memiliki kebijakan dan prosedur yang mengatur tentang hak-hak dan peranan para pegawai.
Selain itu beban tugas staf TI ataupun redaksi pelaksana pada perusahaan ini sangatlah berat. Keduanya
dituntut
kemampuannya
dalam
mengelola
praktik
keamanan
seperti
pengklasifikasian data dan file-file, kebijakan, prosedur, standar dan panduan, resiko manajemen dan keamanan personel di samping tugas pokoknya mengelola produksi berita dan informasi. Aplikasi yang dimiliki umumnya berupa aplikasi khusus untuk penulisan, dan perancangan tata letak tampilan (Microsoft Word, Adobe Photosop,Coreldraw, Page Maker dll.). Sedangkan pengembangan aplikasi secara spesifik bagi keperluan organisasi belum pernah dilakukan.
Bagi keamanan fisik, PT. IMT menempatkan dua SATPAM yang berjaga silih berganti pagi dan malam. Mereka bertugas mengawasi dan mencegah gangguan keamanan ataupun bencana dan kerawanan. Pengawasan dan kontol yang ketat difokuskan pada lokasi dokumentasi dan redkasi sebab di tempat tersebut disimpan materi-materi yang bersifat 43
confidential. Untuk selalu menjaga kewaspadaan, SATPAM diikutsertakan dalam kegiatan pelatihan keamanan.
Berdasarkan hasil analisis masih terdapat adanya kelemahan dalam hal proteksi dan teknik keamanan sistem informasi pada PT. IMT. Kelemahan tersebut di antaranya masih kurangnya pengawasan staf TI terhadap kelayakan ruangan penyimpanan server dan perilaku staf artistik yang bekerja pada ruangan tersebut. Selain itu perlunya peningkatan keamanan dalam pengelolaan data dan informasi (hardware dan software) dikarenakan lokasi di Jakarta Barat yang sering mengalami cuaca buruk seperti hujan besar yang umumnya disertai dengan banjir.
44
Daftar Bacaan
http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0& catid=197&page=1, diakses tanggal 20 Mei 2005 pukul 18.50. Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar, www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50. Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4. Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.
45
