Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network
Oleh : Malikuswari - 7203012173 Yusron Avivi – 7203012335 Imelda – 7203010227 Sasongko Budhi - 7203012238
Magister Teknologi Informasi Universitas Indonesia Ganjil - 2005
DAFTAR ISI BAB I . PENDAHULUAN ..................................................................................................... 1 1.1. Latar Belakang..............................................................................................................................1 1.2. Struktur Organisasi.......................................................................................................................2 1.3. Aktifitas Bisnis...............................................................................................................................4 1.4. Visi dan Misi Perusahaan.............................................................................................................5 1.5 Aplikasi Yang Digunakan ..............................................................................................................5 1.5 Investasi Teknologi Informasi........................................................................................................6
BAB II. Manajemen Keamanan .......................................................................................... 8 II.1. Pendahuluan.................................................................................................................................8 II.2. Klasifikasi Informasi ......................................................................................................................8 II.2.1 Penyimpanan Dokumen.............................................................................................................9 II.2.2. Prosedur Pengklasifikasian Dokumen......................................................................................9 II.3. Manajemen Resiko.....................................................................................................................11 II.3.1. Analisa Kerawanan .................................................................................................................11 II.3.2. Analisa Ancaman.....................................................................................................................12 II.3.3 Analisa Resiko..........................................................................................................................13
BAB III. Sistem Kontrol Akses .........................................................................................17 III.1 Pendahuluan...............................................................................................................................17 III.2 Kontrol Identifikasi dan Otentikasi.............................................................................................17 III.3. Kontrol Akses.............................................................................................................................18 III.4 Monitoring Kontrol Akses ...........................................................................................................21 III.5 Kepedulian Pada Keamanan .....................................................................................................22
BAB IV. Keamanan Telekomunikasi dan Jaringan.......................................................24 IV.1 Konfigurasi Jaringan ..................................................................................................................24 IV.2. Kebijakan Keamanan jaringan .................................................................................................25
BAB V. Cryptography dan Security Architecture & Models........................................28 V.1. Keamanan Jaringan...................................................................................................................28 V.2. Authentication. Database tentang user. ....................................................................................28 V.3. Authorization ..............................................................................................................................30 V.4. Gateway .....................................................................................................................................31 V.5. Attack..........................................................................................................................................31 V.6. Monitoring...................................................................................................................................32
BAB VI. Operations Security............................................................................................33 VI.1. Administration Controls.............................................................................................................33 VI.2. Record Retention ......................................................................................................................33 VI.3. Privileged Entity Controls..........................................................................................................33 VI.4. Audit Trails.................................................................................................................................33
UKM MASS NET FILE NAME
108-4.DOC
PAGE
3 OF 55
BAB VII. Pengembangan Aplikasi dan Sistem.............................................................34 BAB VIII. Disaster Recovery dan Business Continuity Plan......................................36 VIII.1. Ancaman .............................................................................................................................36 VIII.2. Penerapan...........................................................................................................................36 VIII.3. Identifikasi dan Notifikasi.........................................................................................................38
BAB IX. PHYSICAL SECURITY .......................................................................................40 IX.1. Ancaman-ancaman Keamanan Fisik......................................................................................41 IX.2. Pengendalian Pengamanan Fisik ............................................................................................44 IX.3. Perencaaan Kebutuhan Fasilitas .............................................................................................44 IX.4. Manajemen Pengamanan Fasilitas..........................................................................................45 IX.5. Pengendalian Administrasi Personalia.....................................................................................45 IX.6. Kebutuhan Pengendalian Fasilitas...........................................................................................46 IX.7. Alarm dan deteksi intrusi...........................................................................................................46 IX.8. Pengendalian persediaan komputer ........................................................................................46 IX.9. Kebutuhan media penyimpanan ..............................................................................................47
BAB X. AUDIT SISTIM INFORMASI ................................................................................49 X.1. Kebijakan Audit Sistim Informasi ..............................................................................................50
Daftar Pustaka....................................................................................................................52
Hak cipta berada pada kelompok 108. Tulisan ini dapat dicopy, ditampilkan dalam web site dan disebarluaskan.
UKM MASS NET FILE NAME
108-4..DOC
PAGE
1 OF 55
BAB I . PENDAHULUAN
1.1. Latar Belakang PT. Mass Network (MASS – NET) merupakan salah satu perusahaan yang bergerak di bidang bisnis consumer goods yang memasarkan produknya dengan metode pemasaran multi level. MASS-NET didirikan pada Oktober 2003 merupakan perusahaan multilevel marketing. Perusahaan MLM itu beroperasi sesuai dengan prinsip-prinsip syariah. Multi Level Marketing merupakan salah satu teknik pemasaran yang menggunakan konsep hierarki dalam memasarkan hasil produksi. Konsep hierarki dalam Multi Level Marketing diterapkan pada setiap anggota yang juga sebagai konsumen atau pemakai dari barang-barang hasil produksi.
Keanggotaan MLM
terbagi atas dua jenis, yaitu upline member dan downline member. Upline member dikenal dengan istilah parent, merupakan member yang mempunyai anggota lain di bawahnya. Sedangkan downline member merupakan member yang berada di bawah upline member, yang lebih popular disebut dengan Child.
Kedalaman Hierarki
disebut juga sebagai level. Dalam aturan perusahaan MASS Net, level terendah adalah 20. Seiring dengan semakin berkembangnya skala bisnis PT MASS-Net, yang salah satunya ditandai dengan semakin banyaknya orang yang tertarik dengan sistem yang ditawarkan, maka perusahaan telah mengembangkan suatu sistem informasi yang dapat mendukung kegiatan bisnis seperti proses jual beli produk (transaksi), pemrosesan data member dan pengadaan barang (inventory). Sampai saat ini jumlah member sekitar 10.000 orang yang tersebar di beberapa daerah Kantor PT. Mass Net berkedudukan di Jakarta.
di Indonesia.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
2 OF 55
1.2. Struktur Organisasi
Kom isaris
D irektur Utam a
D irektur Pem asaran & Pengem bangan N etw ork
M anager Pem asaran
M anajer Penanganan Anggota
Staf Pem asaran
Staff Penanganan Anggota
D irektur O perasional & TI
M anager Kepegaw aian dan Um um
Staf U m um & G udang
Pram ubakti
PT.
Staf Kepegaw aian
Sopir
M anajer TI
M anager Akunting
Staf TI
Staf Akunting
Satpam
Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM),
yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Adapun komposisi pegawai adalah sebagai berikut:
UKM MASS NET FILE NAME
108-4.DOC
PAGE
3 OF 55
No.
Nama
Jabatan
1.
A01
Komisaris
2.
A02
Komisaris
3.
A03
Direktur Utama
4.
A04
Direktur Pemasaran dan Pengembangan Network
5.
A05
Direktur Operasional dan TI
6.
A06
Manager Pemasaran
7.
A07
Manager Penanganan Anggota
8.
A08
Manager Kepegawaian dan Umum
9.
A09
Manager TI
10.
A10
Manager Akuntansi
11.
A11 .. A20
Staf Pemasaran (10 orang )
12.
A21 .. A24
Staf Penanganan Anggota ( 5 orang )
13.
A25 .. A32
Staf Umum dan Gudang ( 8 orang )
14.
A33 .. A37
Staf Kepegawaian ( 5 orang )
15.
A38 .. A40
Staf TI ( 3 orang )
16.
A41 .. A43
Staf Akunting ( 3 orang )
17.
A44.. A47
Satpam ( 4 orang )
18.
A48 .. A 49
Pramubakti ( 2 orang )
19
A50 .. A51
Sopir ( 2 orang )
Jumlah jam kerja pada perusahaan ini adalah 8 jam sehari, 5 hari dalam satu minggu. Namun ada kekhususan jam kerja sistem shift bagi pekerja tertentu seperti satpam. Dalam satu tahun, setiap pekerja berhak mendapatkan jumlah hari cuti sebesar 12 hari. Selain itu, setiap lima tahun sekali, setiap pekerja mendapatkan hak cuti besar selama 30 hari atau dapat diganti uang tunai.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
4 OF 55
Perusahaan ini berlokasi pada sebuah kompleks rumah kantor (ruko), dengan mengambil 3 buah petak ruko berlantai 3. Pada lokasi ruko terdapat satuan pengamanan kompleks ruko yang dikelola oleh pengembang
kompleks.
Satuan
pengamanan bekerja 3 shift, yaitu : 1. Jam 6.00 pagi – 14.00 siang 2. Jam 14.00 siang – 22.00 malam 3. Jam 22.00 malam – 6.00 pagi Khusus untuk satuan pengamanan, setiap kerja 3 hari libur 1 hari.
1.3. Aktifitas Bisnis Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM), yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang Setelah melakukan evaluasi atas empat bulan perjalanan operasi bisnis, pendekatan MLM terasa kurang cocok sebagai model bisnis MASS-NET. Hal tersebut karena adanya temuan itu antara lain, citra MLM di mata sebagian
masyarakat
Indonesia kurang baik. Kesan setengah memaksa, kesan menjadikan setiap orang sebagai prospek. Juga ada keharusan menjual. Tidak jarang harus membeli barang di luar kebutuhan untuk tutup poin. Ada juga yang mengatakan sistem MLM terlalu rumit. Selain itu, produk kebutuhan sehari-hari yang dijual oleh MASS-NET kurang cocok jika di-MLM-kan. Akhirnya diputuskan untuk mengubah pendekatan bisnis MASS-NET dari MLM menjadi klub belanja eksklusif. Klub Belanja Mass, adalah klub belanja eksklusif yang menawarkan
produk-produk
keanggotaannya
dilakukan
kebutuhan melalui
sehari-hari
referensi
yang
berjenjang
metode (refereel
rekrutmen marketing).
Sepintas, kata dia, tidak ada bedanya dengan sistem MLM. Namun, akan terlihat bedanya jika memperhatikan paradigma baru yang diterapkan oleh MASS-NET. mengubah beberapa istilah khas MLM menjadi istilah klub belanja. Istilah upline diganti dengan referen, downline menjadi anggota (sahabat), jaringan menjadi jalinan, stokis menjadi outlet, marketing plan menjadi sistem bonus dan hadiah, serta leader menjadi konsultan. Setelah MASS-NET diubah dari MLM jadi klub belanja, terjadi peningkatan anggota yang sangat signifikan. Dalam satu bulan, jumlah anggota naik dari 4.000 menjadi 6.000 orang.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
5 OF 55
Saat ini Klub Belanja Mass menjual sekitar 40 item. Terdiri dari makanan (food) dan non makanan (nonfood).
Barang-barang tersebut umumnya adalah
barang kebutuhan sehari-hari.
1.4. Visi dan Misi Perusahaan Visi dari perusahaan adalah menjadi perusahaan terbesar dalam bisnis produk consumer goods yang menerapkan metode pemasaran Multi Level, sedangkan misi dari perusahaan adalah meningkatkan efisiensi dan efektifitas perusahaan sehingga memiliki keunggulan kompetitif (competitive advantage).
1.5 Aplikasi Yang Digunakan Aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota menggunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Aplikasi yang dipergunakan saat ini adalah sebagai berikut: •
•
•
Aplikasi Akuntansi o
General Ledger
o
Account Payable
o
Account Receivable
o
Laporan Keuangan
Aplikasi Administrasi Gudang o
Monitoring Stok Gudang
o
Pembuatan Purchase Order
o
Pembuatan Delivery Order
o
Pembuatan Report Stok Opname
Aplikasi Administrasi Pemasaran dan Penjualan o
Pembuatan Sales Order
o
Pembuatan Laporan Penjualan
UKM MASS NET FILE NAME
108-4.DOC
•
•
PAGE
6 OF 55
Aplikasi Administrasi Keanggotaan o
Pendaftaran Anggota Baru
o
Pemeliharaan Data Anggota
o
Perhitungan Bonus Bulanan Anggota
Aplikasi Administrasi Kepegawaian o
Database Pegawai
o
Administrasi Penggajian (Payroll)
1.5 Investasi Teknologi Informasi Teknologi informasi (TI) dan otomatisasi sistem informasi merupakan elemen yang sangat penting dalam mendukung kebanyakan bisnis operasi untuk menjamin suksesnya suatu organisasi.
Oleh karena itu, jasa Teknologi Informasi menjadi
sangat penting untuk dapat beroperasi dengan efisien dan efektif tanpa gangguan dan kendala yang berarti.
Dalam mengelola data transaksi usaha MLMnya, PT.
Mass Net telah memilih investasi TI yang dipandang efisien sesuai skala bisnis UKM. Perusahaan ini mempunyai investasi teknologi informasi saat ini sebagai berikut: Sistem Operasi : Linux redhat 9.1 untuk server database, Windows XP Home edition untuk computer pengguna. 1 buah Server: Intel Pentium 4, 3GHz, Memory 1GB, Harddisk 2x80GB (Mirroring), FastEthernet •
Sistem Operasi RedHat Linux 9.1 (freeware)
•
Database Server MySQL (freeware)
•
Web Server Apache (freeware)
28 PC Klien: •
Pentium 4 Celeron, Memory 128MB, Harddisk 40GB, FastEthernet
•
Sistem operasi Windows XP Home Edition (OEM)
•
Jaringan : LAN 10/100 MBps
•
Perangkat network : Firewall modem router ADSL 1 buah dan hubswitch 1 buah
•
Jaringan internet : ADSL 128 Kbps
UKM MASS NET FILE NAME
108-4.DOC
PAGE
7 OF 55
•
Email :
•
5 alamat e-mail dari internet provider untuk keperluan manajemen
•
Yahoo!mail untuk pegawai lainnya
Konfigurasi jaringan computer yang ada saat ini adalah sebagai berikut:
Internet
ADSL modem / router /firewall Network Pemasaran & Penanganan anggota
Network Gudang & Kepegawaian
Network Akuntansi
File server
`
`
`
`
`
`
Gambar 1 Konfigurasi Jaringan Komputer
UKM MASS NET FILE NAME
108-4.DOC
PAGE
8 OF 55
BAB II. Manajemen Keamanan
II.1. Pendahuluan Dalam konsep manajemen keamanan, terdapat 3 konsep yang akan dibahas, yaitu : -
Konfidensialitas
(Confidentiality),
integritas
(Integrity)
dan
availabilitas
(availability) -
Identifikasi, autentikasi, akuntabilitas, autorisasi dan privasi
-
Objek kontrol keamanan ( objective of security controls ).
Konsep konfidensialitas adalah menyangkut kerahasiaan dari suatu informasi. Atau menjaga agar informasi tidak diakses oleh orang-orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep integritas memastikan agar modifikasi hanya dilakukan oleh seseorang yang berhak dan tidak dilakukan oleh orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep availabilitas memastikan agar informasi tersedia bila dibutuhkan. Atau availabilitas menjamin bahwa sistem informasi berjalan dengan baik. Hal ini dilakukan dengan sistem penyimpanan yang baik.
Ketiga hal diatas akan dibahas dan diterapkan dalam sistem keamanan yang akan diterapkan dalam Usaha Kecil Menengah Multi Level Marketing PT. Mass Network
II.2. Klasifikasi Informasi Klasifikasi informasi dilaksanakan karena tidak semua data mempunyai value yang sama pada perusahaan.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
9 OF 55
Dalam pengklasifikasian dokumen ini, dokumen akan dibagi sebagai berikut : No.
Definisi
Keterangan
1.
Umum
Informasi yang dapat dipublikasikan
2.
Internal umum
3.
Internal divisi
4.
Rahasia
Informasi yang hanya dipergunakan untuk keperluan internal perusahaan dan tidak untuk eksternal perusahaan Informasi yang hanya dipergunakan untuk keperluan internal perusahaan, dan hanya divisi yang memiliki data tersebut yang boleh mengetahui Informasi ini rahasia, hanya boleh diketahui oleh pemilik dan orang-orang yang diijinkan oleh pemilik
Tabel II-1 Klasifikasi Dokumen
II.2.1 Penyimpanan Dokumen Dari segi phisik dokumen, terdapat 2 jenis dokumen, yaitu o
Dokumen berupa kertas Dokumen berupa kertas, disimpan di dalam lemari dokumen yang terbuat dari besi dan terkunci. Yang memiliki lemari besi dokumen yaitu : Komisaris, Direktur utama, Direktur Pemasaran dan pengembangan network, Direktur operasinal dan Teknologi Informasi, Manager pemasaran, Manajer penanganan anggota, manajer kepegawaian dan umum, manajer Teknologi Informasi, manajer akunting, staf umum (1lemari), staf kepegawaian (1 lemari), staf teknologi informasi (1lemari), staf akunting ( 1 lemari), staf pemasaran (1 lemari) dan staf penanganan anggota ( 1 lemari).
o
Dokumen berupa file Dokumen berupa file dapat disimpan dalam komputer masing-masing. Dimana setiap pengguna menyimpan dalam folder “my document” masing-masing. File juga dapat disimpan dalam folder user yang berada pada server. Selain itu terdapat folder yang dapat diakses oleh masing-masing bagian.
II.2.2. Prosedur Pengklasifikasian Dokumen Elemen kunci dari pengklasifikasian dokumen adalah sebagai berikut : 1. Pemilik
UKM MASS NET FILE NAME
108-4.DOC
PAGE
10 OF 55
Pemilik dokumen adalah seorang manager, direktur dan komisaris. Seorang pemilik dokumen berkewajiban menentukan pengklasifikasian informasi, merubah klasifikasi informasi secara periodik, memberikan hak akses kepada orang/divisi lain dan mendelegasikan kewenangan kemananan dokumen kepda kustodian. 2. Kustodian Pemilik informasi mendelegasikan tanggungjawab keamanan dokumen pada kustodian dalam hal ini karyawan pada divisi Teknologi Informasi. Tugas dari kustodian yaitu: melakukan backup secara periodik, melakukan restorasi data backup bila diperlukan dan memelihara catatan-catatan informasi kebijakan pengklasifikasian 3. Pengguna Pengguna adalah orang-orang yang boleh membaca dokumen tersebut. Kewajiban dari seorang pengguna adalah mengikuti operasional prosedur keamanan sistem informasi pada perusahaan.
Prosedur untuk pengklasifikasian dokumen berupa kertas, adalah sebagai berikut: 1. Setiap pemilik dokumen diwajibkan untuk menuliskan / mengecap pada awal dokumen mengenai klasifikasi dokumen ( umum, internal umum, internal divisi atau rahasia). 2. Menuliskan / mengecap pada awal dokumen tanggal penulisan atau tanggal penerimaan dokumen
Prosedur untuk pengklasifikasian dokumen berupa file, adalah sebagai berikut: 1. Setiap dokumen / file yang dibuat, diwajibkan untuk menuliskan hak akses, tanggal dibuat dan dimodifikasi, dan klasifikasi informasi (umum, internal umum, internal divisi atau rahasia). 2. Setiap divisi memiliki direktori file. Dalam direktori file tersebut terdapat direktori yang sesuai dengan klasifikasi informasi tersebut. Jadi terdapat direktori umum, direktori internal umum, direktori internal divisi dan direktori rahasia. Setiap pemilik dokumen diwajibkan meletakkan file-file tersebut sesuai dengan klasifikasi informasinya.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
11 OF 55
II.3. Manajemen Resiko Manajemen resiko dimaksudkan untuk mengurangi resiko hingga mencapai sebuah tingkatan yang dapat diterima oleh perusahaan. Didalam manajemen resiko ini akan dilakukan Analisa resiko. Resiko adalah potensial kerugian yang membutuhkan proteksi 1. Untuk menganalisa resiko ini, akan dianalisa kerawanan (vulnerability) dan ancaman (threat) yang akan mungkin terjadi. Tujuan utama dari analisa resiko adalah untuk mengkuantifikasi dampak dari ancaman potensial
II.3.1. Analisa Kerawanan Kerawanan adalah jalan yang potensial untuk menyerang. Kerawanan dapat terjadi karena sistem komputer dan jaringan (sistem terbuka sehingga dapat memungkinkan diserang) atau dapat pula karena prosedur administratif. Dalam perusahaan ini dianalisa kemungkinan-kemungkinan kerawanan yang ada yaitu : 1. Lokasi bangunan Bangunan berada pada kompleks perkantoran. Penjagaan dilakukan oleh satuan pengamanan kompleks 2. Keamanan bangunan Keamanan bangunan disini yaitu siapa saja yang memegang kunci pintu. Yang boleh memegang pintu kunci ruangan adalah setiap manager yang bersangkutan. Satuan pengaman hanya memegang kunci pintu utama. Disini juga terpasang CCTV yang dapat mengamati ruangan pada tiap lantai. Rekaman CCTV ini terdapat pada ruang server. 3. Pembagian ruangan setiap departemen Dengan adanya pembagian ruangan, maka selain kunci yang dipegang oleh manager, juga hanya orang-orang tertentu boleh masuk ke ruang tertentu. Seperti gudang hanya dapat dimasuki oleh karyawan gudang, ruang keuangan hanya boleh dimasuki oleh karyawan keuangan, karyawan lain yang ingin berhubungan dengan staf keuangan harus melalui loket yang tersedia. Ruang server hanya boleh dimasuki oleh karyawan divisi Teknologi Informasi.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
12 OF 55
4. Meja karyawan yang memungkinkan informasi tercecer Meja karyawan diharuskan selalu bersih oleh dokumen-dokumen. 5. Lemari tempat penyimpanan dokumen Lemari tempat penyimpanan dokumen harus selalu terkunci, dan tidak ditinggalkan dalam keadaan tidak terkunci 6. Pengklasifikasian dokumen Setiap dokumen haruslah diklasifikasikan agar menjamin integritas dan confidensialitas. 7. Hak akses Diadakan aturan terhadap hak akses bagi setiap karyawan. Hak akses akan dibahas pada bab II 8. Pemakaian server secara bersama Dengan pemakaian server secara bersama, staff Teknologi Informasi haruslah selalu melakukan kontrol terhadap sistem secara keseluruhan dan prioritas hak yang diberikan pada masing-masing file.
II.3.2. Analisa Ancaman Ancaman adalah sebuah tindakan atau kejadian yang memungkinkan tindakan yang melawan keamanan sistem informasi. Ancaman-ancaman yang dapat terjadi : 1. Virus Hal ini diatasi dengan memberikan anti virus AVG free pada setiap PC komputer. Setiap pengguna komputer haruslah meng-update anti virus ini. Apabila memasukan disket, CD atau USB haruslah men-scan-nya terlebih dahulu. 2. Pegawai Pegawai mempunyai akses langsung ke sumber informasi karena pekerjaannya. Tetapi adanya pegawai yang tidak puas, dapat merusak sistem informasi yang ada. Sehingga setiap pegawai dapat dianggap sebagai ancaman 3. Mantan pegawai Mantan pegawai mempunyai pengetahuan mengenai seluk beluk sistem informasi yang ada, sehingga hal ini patut diwaspadai 4. Hacker
UKM MASS NET FILE NAME
108-4.DOC
PAGE
13 OF 55
Hacker dapat datang dari luar (internet) ataupun dari dalam. Dari luar dapat ditanggulangi dengan penempatan firewall. 5. Pesaing Pesaing dapat saja mencoba untuk masuk dalam sistem informasi perusahaan. 6. Pelanggan Pelanggan yang datang juga dapat dicurigai sebagai ancaman, karena bila terdapat informasi yang tercecer dimeja, atau pada saat staff penjualan tidak berada ditempat, pelanggan dapat mencoba untuk masuk ke dalam sistem informasi. 7. Tamu Tamu terkadang ditempatkan di dalam ruangan. Apabila tamu tersebut tidak diawasi, dan terdapat informasi yang tercecer, maka informasi tersebut dapat diketahui oleh tamu yang datang 8. Bencana alam Bencana alam dapat merusak bangunan dan penyimpanan informasi yang ada. 9. Kecerobohan Yang termasuk kecerobohan seperti tertumpah air, berserakan, jatuh tercecer dan lain-lain
II.3.3 Analisa Resiko Resiko adalah kombinasi dari ancaman (threat)dan kerawanan (vulnerability). Resiko dapat diukur secara kuantitatif dan kualitatif. Dengan pendekatan kuantitatif, resiko diukur dengan pendekatan secara finansial. Dengan pendekatan kualitatif, pendekatan dilakukan dengan menggunakan “scoring system”. Dalam tulisan ini, kami melakukan pendekatan kualitatif sebagai berikut 1: 1. Rendah Posisi kerawanan pada perusahaan cukup rendah atau hal ini sangat jarang terjadi. Tindakan untuk menghilangkan kerawanan ini akan diambil bila memungkinkan,
tetapi
faktor
biaya
juga
mendapat
perhatian
untuk
menghilangkan kerawanan ini. 2. Medium Posisi kerawanan pada perusahaan cukup tinggi terhadap konfidensialitas, integrity, availabilitas dan akuntanbiliatas dari sistem informasi perusahaan. Hal
UKM MASS NET FILE NAME
108-4.DOC
PAGE
14 OF 55
ini sangat mungkin terjadi. Tindakan untuk menghilangkan kerawanan ini sangatlah dianjurkan. 3. Tinggi Posisi kerawanan pada perusahaan sangat tinggi dan sangat membahayakan terhadap konfidensialitas, integritas, availabilitas dan
atau akuntabilitas dari
sistem informasi perusahaan. Tindakan untuk menghilangkan kerawanan ini harus segera dilakukan.
UKM MASS NET FILE NAME
No
Aset
108-4.DOC
PAGE
15 OF 55
Kerawanan
Ancaman
Resiko
Klasifikasi resiko
Dicuri, terbakar, rusak terkena air
Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan
Data hilang, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Data hilang, aset fisik hilang Data hilang, aset fisik hilang
Tinggi
Penanggulangan
Aset Fisik 1
Server
2
Modem Router firewall ADSL
3
Peripheral Komputer server
4
CD perangkat lunak
5
Rekaman CCTV
6
Eksternal Hard Disk, CD dan kaset untuk Backup Komputer user
7
8
Peripheral komputer user
Dicuri, terbakar, rusak terkena air
Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan
Medium
Rendah
Ditempatkan di ruang server. Pada ruang ini, pegawai tidak boleh makan, minum dan merokok. Yang boleh masuk ruang server hanya pegawai pada divisi Teknologi Informasi.
Tinggi
Medium
Tinggi
Data disimpan dalam save deposit box.
Data hilang, aset fisik hilang
Medium
Sistem tidak berfungsi, aset fisik hilang
Rendah
Keluar masuk barang harus ada izin tertulis dari atasan dan petugas keamanan Setiap user bertanggung jawab pada komputernya, dan petugas keamanan mengawasi keluar masuk barang
UKM MASS NET FILE NAME
9
Kabel Jaringan
10
HUB
11
Lemari Besi
12
Disket, CD, USB
108-4.DOC
PAGE
16 OF 55
Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Data hilang, aset fisik hilang
Rendah
Terdapat cadangan kabel
Rendah
Terdapat cadangan HUB
Data hilang, aset fisik hilang
Rendah
Tinggi
Petugas keamanan mengawasi keluar masuk barang. Terdapat kebijakan keamanan perusahaan yang mengenakan sanksi pada pencurian
UKM MASS NET FILE NAME
108-4.DOC
PAGE
17 OF 55
BAB III. Sistem Kontrol Akses
III.1 Pendahuluan Akses kontrol adalah jantung dari keamanan. Akses kontrol adalah : -
Kemampuan untuk mengijinkan hanya kepada pengguna yang berhak
-
Memberikan atau tidak memberikan hak akses, sesuai dengan model keamanan tertentu, dengan izin tertentu untuk mengakses suatu sumber informasi
-
Seperangkat prosedur yang diterapkan pada perangkat keras, perangkat lunak dan adminstrator untuk memonitor akses, mengidentifikasi pengguna, mencatat akses yang telah dilakukan dan memberikan atau menolak akses berdasarkan peraturan yang telah dibuat.
Kontrol diimplementasikan untuk mengurangi resiko dan potensial kerugian. Kontrol dapat berupa : -
Preventif : mencegah terjadinya insiden
-
Detektif : mendeteksi terjadinya insiden
-
Korektif : memperbaik terjadinya insiden
Dalam bab ini akan membahas akses kontrol seperti yang telah dijelaskan di atas yang dapat diterapkan pada Usaha Kecil dan Menengah PT Mass Network.
III.2 Kontrol Identifikasi dan Otentikasi Identifikasi adalah proses atau aksi yang dilakukan oleh pengguna untuk membuktikan siapa (identitas) dirinya kepada sistem. Otentikasi adalah verifikasi pengguna tersebut sesuai dengan identitas yang diberikan. Untuk identifikasi dan otentikasi yang diterapkan pada PT Mass Network, digunakan nama login dan password. Setiap pengguna pada komputer , wajib memasukkan namalogin dan password. Kebijakan keamanan pada login yaitu : -
Minimal terdapat dua nama login pada setiap komputer klien. Satu nama login administrator dan satu nama login pengguna
-
Nama login pengguna masuk dalam kelompok pengguna (bukan administrator)
-
Nama login tidak boleh diberikan kepada orang lain
UKM MASS NET FILE NAME
-
108-4.DOC
PAGE
18 OF 55
Apabila karyawan sudah tidak menjadi pegawai PT Mass Network, maka nama login-nya akan dihapus
Kebijakan pada password yaitu : -
Password paling sedikit terdiri dari delapan karakter tanpa spasi.
-
Password merupakan kombinasi angka dan huruf
-
Password pengguna diberikan oleh petugas pada divisi teknologi informasi, dan haruslah diganti pada saat pertama kali login.
-
Password harus dirubah sebulan sekali untuk pengguna dan dua minggu sekali untuk server
-
Password haruslah diingat dan tidak boleh dicatat
-
Password tidak boleh sesuatu yang mudah ditebak, seperti nama keluarga, tanggal lahir dan lain sebagainya.
-
Password tidak boleh diberikan kepada orang lain
-
Password yang pernah dipergunakan tidak boleh dipergunakan kembali.
III.3. Kontrol Akses Kontrol akses secara phisik yang dilakukan pada PT Mass Network, yaitu : 1. Setiap kunci lemari arsip dipegang oleh manager atau petugas yang diberikan tanggung jawab tersebut. 2. Setiap kunci ruangan dipegang oleh manager divisi yang bersangkutan atau petugas/karyawan yang ditunjuk. Petugas keamanan hanya memegang kunci utama. 3. Kunci untuk kotak save deposit sebagai tempat penyimpanan backup hard disk dipegang oleh manager TI 4. Aset informasi/dokumen yang tersimpan pada lemari arsip harus diklasifikasikan sesuai dengan klasifikasi informasi 5. Setiap lemari arsip diberi label yang menunjukkan siapa saja yang boleh membuka lemari tersebut. 6. Media penyimpanan seperti disket, CD, USB dan lain-lain haruslah diletakkan sesuai dengan klasifikasi informasi. 7. Apabila ada tamu atau pihak ketiga yang berhubungan dengan perusahaan haruslah ditemani oleh minimal seorang pegawai.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
19 OF 55
8. Apabila ada pekerjaan yang berhubungan dengan perusahaan dikerjakan oleh pihak lain, maka harus ada penanggung jawab terhadap pekerjaan tersebut. 9. Setiap pegawai wajib mengenakan papan nama, yang menunjukan nama dan divisinya. Apabila pegawai tidak membawa papan nama, maka petugas keamanan akan memberikan papan nama sementara. Untuk tamu diberikan papan nama tamu. 10. Apabila informasi itu dibuang, maka harus dipastikan bahwa informasi tersebut sudah tidak dapat dibuka kembali. Hal yang dapat dilakukan seperti sebelum membuang kertas dokumen, maka dokumen tersebut wajib untuk dihancurkan melalui mesin penghancur kertas. Apabila dalam bentuk disket, CD atau tempat penyimpanan lain, pastika media tersebut benar-benar hancur.
Kontrol akses pada file yang tersimpan pada komputer : 1. Setiap pengguna komputer mempunyai nama login yang unik. Setiap pengguna hanya boleh menyimpan pada “my documents” dari pengguna, dan tidak diperkenankan untuk mencoba membuka file selain dari folder tersebut. 2. Login pengunna dibatasi hanya dapat membuka file pada folder “my documents”. Pengguna dibatasi untuk tidak dapat meng-install program pada komputer. 3. Apabila pengguna memerlukan tambahan aplikasi perangkat lunak selain yang telah di-install, maka pengguna harus menghubungi petugas Teknologi Informasi. 4. Setiap pegawai diperkenankan untuk berhubungan dengan internet, tetapi hanya untuk keperluan bisnis. 5. Setiap pengguna dapat memiliki nama login pada server data. 6. Terdapat direktori untuk semua divisi pada server. Hak akses pada file-file tersebut diberikan oleh pemilik informasi. Hak akses untuk group dan untuk umum. Baik untuk group dan untuk umum, hak akses tersebut terbagi tiga yaitu melihat, mengedit dan mengeksekusi. 7. Dalam server Linux, petugas Teknologi informasi membuat nama login dan memasukkan nama login tersebut dalam sebuah grup yang berhubungan dengan divisi orang tersebut.
Kontrol akses yang diterapkan pada aplikasi dan server data adalah sebagai berikut:
UKM MASS NET FILE NAME
Nama
108-4.DOC
PAGE
20 OF 55
Aplikasi
Aplikasi
Aplikasi
Aplikasi
Aplikasi
Server
Akuntansi
Administrasi
Administrasi
Administrasi
Administrasi
Data
Gudang
Pemasaran
Keanggotaan Kepegawaian
dan Penjualan A01
baca
baca
Baca
baca
baca
baca, tulis
A02
baca
baca
Baca
baca
baca
baca, tulis
A03
baca
baca
Baca
baca
baca
baca, tulis
A04
-
-
Baca,tulis
Baca,tulis
-
Baca, tulis
A05
Baca,
Baca , tulis
-
-
Baca, tulis
tulis A06
-
Baca, tulis
-
Baca, tulis
baca
-
Baca, tulis
A07
-
-
baca
Baca, tulis
-
Baca, tulis
A08
-
-
-
-
Baca, tulis
Baca, tulis
A09
-
-
-
-
-
Baca, tulis
A10
Baca,
-
-
-
-
tulis A11..
Baca, tulis
-
-
Baca, tulis
baca
-
Baca
-
-
baca
Baca, tulis
-
Baca
-
Baca, tulis
-
-
-
Baca
-
-
-
-
Baca, tulis
Baca
A20 A21.. A24 A25.. A28 A33.. A35
UKM MASS NET FILE NAME
108-4.DOC
A38..
-
-
PAGE
21 OF 55
-
-
-
Baca,
A40
tulis
A41..
Baca,
A43
tulis
-
-
-
-
Baca
Tabel 3.1. Tabel Akses kontrol untuk aplikasi dan server data
Kontrol akses pada aplikasi : 1. Pada
Aplikasi
Administrasi
pemasaran
dan
penjualan
staf
pemasaran
memasukkan data, persetujuan hanya dapat diberikan dari manajer pemasaran atau direktur pemasaran dan pengembangan network. 2. Pada
aplikasi
administrasi
keanggotaan,
staff
penanganan
anggota
memasukkan data, persetujuan hanya dapat diberikan dari manajer penanganan anggota atau direktur pemasaran dan pengembagan network. 3. Pada aplikasi administrasi gudang, staff umum dan gudang memasukkan data, persetujan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional & Teknologi Informasi. 4. Pada aplikasi kepegawaian, staff kepegawaian memasukkan data, persetujuan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional dan Teknologi Informasi. 5. Pada aplikasi kepegawaian staf kepegawaian hanya dapat melihat data kepegawaian hingga level manajer. Level direktur dan komisaris hanya dapat dilihat oleh manajer kepegawaian dan umum, dan disetujui oleh direktur operasional dan Teknologi Informasi. 6. Pada aplikasi akuntansi, staf akunting hanya dapat memasukkan data, persetujuan dari manajer akunting atau direktur operasional dan teknologi informasi. Untuk persetujuan keuangan diatas Rp 20.000.000, persetujuan harus disetujui oleh direktur operasional dan teknologi.
III.4 Monitoring Kontrol Akses Untuk memonitor kontrol akses ini, hal-hal yang dapat dilakukan yaitu : 1. Penggunaan Intrusion Detection System (IDS). Pembahasan lebih lanjut mengenai IDS akan dibahas pada BAB keamanan telekomunikasi dan jaringan .
UKM MASS NET FILE NAME
108-4.DOC
PAGE
22 OF 55
2. Petugas divisi teknologi informasi akan mengecek setiap komputer 2 minggu sekali. Dalam pengecekan ini akan dilakukan pengecekan anti virus dan nama login serta hak ases terhadap setiap nama login. Apabila ditemukan nama login yang lain atau terdapat perubahan hak akses, maka kejadian ini dapat dilaporkan ke Direktur operasional dan Teknologi Informasi. 3. Pemilik informasi berkewajiban untuk selalu mengecek hak akses pada setiap informasi yang dimiliki. 4. Minimal setiap seminggu sekali terdapat full backup data. Backup data tersimpan pada sebuah Harddisk eksternal, yang tersimpan pada safe deposit bank. Backup data ini di rotasi setiap 6 minggu. 5. Setiap bulan sekali terdapat full backup data. Backup data ini tersimpan dalam kaset, yang tersimpan pada manajer Teknologi Informasi. Backup data ini bertahan sampai 3 tahun. 6. Apabila terjadi kecurigaan terhadap integritas data, maka dengan seijin pemilik data, petugas teknologi informasi dapat merestorasi informasi yang diinginkan.
III.5 Kepedulian Pada Keamanan
Kepedulian pada keamanan (security awareness) harus ditumbuh kembangkan. Untuk itu perlu diadakan pelatihan internal maupun eksternal. Pelatihan ini ditujukan pada pegawai, administrator (divisi teknologi informasi), direktur dan petugas keamanan.
Hal-hal yang ditekankan pada kepedulian keamanan yaitu : 1. Informasi tidak dapat dijaga tanpa dukungan dari seluruh karyawan. 2. Pelatihan dapat dilaksanakan pada kelas ataupun penyebaran artikel. 3. Karyawan harus diajarkan pentingnya keamanan pada perusahaan dan bagaimana untuk mengidentifikasikan dan melindungi informasi yang sensitif. Karyawan harus diberikan informasi mengenai kebijakan perusahaan dan ancaman dari lingkungan. 4. Administrator haruslah dilatih teknik keamanan yang terbaru, ancaman dan penanggulangannya.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
23 OF 55
5. Tanpa adanya dukungan dari pihak manajemen, program keamanan tidak dapat dijalankan. 6. Mempresentasikan secara berkala kepada pihak manajemen agar mereka selalu terinformasi status keamanan dari perusahaan. 7. Petugas sekuriti haruslah selalu tetap memberikan yang terbaik kepada perusahaan. 8. Kepada pihak manajer ditekankan bahwa keamanan bukan hanya masalah teknologi,tetapi juga masalah manusia2. 9. Manajemen haruslah berusaha untuk menghindari konflik-konlik yang dapat mengakibatkan karyawan yang loyal menjadi seseorang yang dapat menyabotase sistem informasi.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
24 OF 55
BAB IV. Keamanan Telekomunikasi dan Jaringan
Dalam bab ini akan dibahas keamanan jaringan dan telekomunikasi pada PT Mass Network.
IV.1 Konfigurasi Jaringan Konfigurasi jaringan pada PT Mass Network seperti tampak pada gambar 3.1.
Internet
ADSL modem / router /firewall Network Pemasaran & Penanganan anggota
Network Gudang & Kepegawaian
Network Akuntansi
File server
`
`
`
`
`
`
Gambar 4-1 Konfigurasi jaringan PT Mass Network
Seperti tampak pada gambar 3.1, konfigurasi jaringan PT Mass Network terdiri dari 3 buah Network yang terdiri dari 29 komputer yaitu :
UKM MASS NET FILE NAME
108-4.DOC
PAGE
25 OF 55
1. Network Pemasaran & Penanganan anggota Pada network ini terhubung komputer yang digunakan oleh : A01,A04,A06,A07,A11,A12,A13,A14,A15,A21,A22,A23 dan A38 2. Network Gudang & Kepegawaian Pada network ini terhubung komputer yang digunakan oleh : A02,A05,A08,A25,A26,A27,A33,A34 dan A39 3. Network Akuntansi Pada network ini terhubung komputer yang digunakan oleh : A03,A09,A10,A40,A41,A42. 4. Network sentral data
Adapun keempat buah network tersebut terhubung ke Router/Modem/Firewall ADSL.
IV.2. Kebijakan Keamanan jaringan Kebijakan keamanan jaringan yang diterapkan pada PT Mass Network adalah sebagai berikut: 1. Instalasi software hanya boleh dilakukan oleh karyawan divisi Teknologi Informasi. 2. Sistem operasi yang digunakan oleh windows XP professional sp 2. 3. Setiap komputer harus di-install antivirus. Antivirus yang digunakan AVG Antivirus free edition. 4. Setiap Network tidak saling berhubungan, kecuali ke Network sentral data dimana diletakkan sebuah Linux server sebagai sentral data. 5. Setiap user tidak dibenarkan memberikan login account kepada orang lain. Dan bertanggung jawab terhadap login account tersebut. 6. Setiap komputer dapat terhubung ke internet melalui firewall ADSL 7. Internet hanya digunakan untuk keperluan kantor, dan tidak boleh mengakses situs porno dan yang berhubungan dengan crack atau hack. Hal ini disebabkan situs-situs tersebut tidak berhubungan dengan keperluan perusahaan dan banya virus bersumber pada situs-situs tersebut 8. Petugas pada divisi Teknologi Informasi harus membatasi akses-akses ke internet dengan memblok situs yang berhubungan dengan pornografi, crack dan hack. Pada saat ini dibatasi pada modem/firewall ADSL.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
26 OF 55
9. Pengguna tidak diperbolehkan mengubah setting keamanan pada sistem operasi, membuat user account, menggunakan perangkat untuk crack / hack, dan tindakan-tindakan yang dapat mengandung unsur kejahatan ( misal, pencurian data, scan IP, sniffing). 10. Konfigurasi
berbentuk
Star,
untuk
itu
perusahaan
mempunyai
ADSL
modem/router/firewall cadangan yang akan dipergunakan bila alat tersebut rusak. 11. Perusahaan mempunyai cadangan HUB bila hub yang dipergunakan rusak. 12. Firewall dan Intrusion Detection System
mempunyai log file, history, dan
memberitahukan melalui email bila terdapat kecurigaan terhadap adanya serangan. 13. Terdapat sebuah Intrusion Detection System pada Network akutansi, hal ini untuk menambah pengamanan terhadap serangan internal maupun eksternal. 14. Apabila memungkinkan Dapat pula dipasang Intrusion Detection System pada setiap Network. 15. Data pada komputer yang terpasang aplikasi akuntansi, administrasi gudang, administrasi pemasaran, administrasi keanggotaan, administrasi kepegawaian dan server data dibuat mirroring. 16. Setiap minggu data-data tersebut dibuat full backup, ke eksternal Hard Disk. Eksternal Hard Disk yang terbaru ini akan disimpan di save deposit box pada sebuah bank. External Hard disk yang lama di simpan di ruang server hingga 5 minggu / minggu ke 6 di rotasi. 17. Setiap bulan data-data tersebut dibuat full backup ke kaset. Kaset ini bertahan hingga 3 tahun. 18. Pada komputer data pada tiap aplikasi dan pada server data dipasang Uninterruptible Power Supply (UPS). 19. UPS yang terpasang harus mampu hidup selama minimal 20 menit bila listrik dari PLN padam. 20. Agar lebih efisien, web site PT Mass Network diletakkan pada web hosting sehingga pemeliharaan diserahkan pada perusahaan web hosting. 21. Sistem jaringan dibuat sentralisasi ,PABX, ADSL modem, IDS, Linux server data dan semua HUB diletakkan pada ruang server 22. Setiap karyawan yang meninggalkan komputer haruslah me-lock komputer agar tidak dipergunakan oleh oleh lain,
UKM MASS NET FILE NAME
108-4.DOC
PAGE
27 OF 55
23. Setiap penanganan kerusakan, instalasi perangkat lunak, instalasi perangkat keras diharuskan mengisi log book. 24. Seluruh penyalahgunaan wewenang menjadi tanggung jawab pemegang otoritas.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
28 OF 55
BAB V. Cryptography dan Security Architecture & Models Inti dari cryptography adalah menjamin kerahasiaan (confidentiality) informasi dengan melakukan enkripsi (penyandian).
Keutuhan (integrity) atas data-data pembayaran
dilakukan dengan fungsi hash satu arah.
Jaminan atas identitas dan keabsahan
(authenticity) pihak-pihak yang melakukan transaksi dilakukan dengan menggunakan password atau sertifikat digital. Sedangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.
V.1. Keamanan Jaringan Keamanan: menjaga agar resource digunakan sebagaimana mestinya oleh pemakai yang berhak. Pemakaian alat (termasuk program) dapat menyebabkan kerusakan baik disengaja atau tidak. Pembatasan pemakaian bukan untuk mempersulit tetapi supaya efisien dan tidak merusak. Proteksi: •
authentication: pemakai harus dapat membuktikan dirinya. Contoh: user dan password. Dalam jaringan UNPAR ditambahkan sumber akses (komputer yang digunakan) dengan asumsi bahwa pada satu saat satu orang hanya dapat/boleh bekerja dengan satu komputer yang sama.
•
gateway: gerbang masuk menuju sistem dengan firewall
•
attack: serangan terhadap sistem.
•
authorization: pemakai diperbolehkan menggunakan pelayanan dan resource sesuai dengan haknya.
•
monitoring: pengawasan terhadap jaringan
•
Komunikasi terenkripsi: menggunakan enkripsi agar data tak dapat diintip
V.2. Authentication. Database tentang user. Informasi umum tentang pemakai disimpan di file /etc/passwd
UKM MASS NET FILE NAME
108-4.DOC
PAGE
29 OF 55
Enter command # more /etc/passwd root:*:0:0:Bozz:/root:/bin/sh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin --- dipotong --www:*:10000:65533:WebMaster:/nonexistent:/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin gatut:*:21001:21001:Gatut:/home2/gatut:/usr/local/bin/tcsh wardojo:*:1004:20:Wardojo:/home2/wardojo:/usr/local/bin/tcsh ari:*:1005:20:Ari Nurcahyo:/home1/ari:/usr/local/bin/tcsh tres:*:1006:20:Theresia Maria Sri Prihatiningsih:/home2/tres:/usr/local/bin/tcsh --- dipotong --utilitas LINUX: finger Defaultnya, menampilkan daftar nama pemakai yang sedang aktif atau informasi lain tentang pemakai tertentu. [gatut@bsd02 gatut]$ finger [gatut@bsd02 gatut]$ finger gatut Login Name TTY Idle Login Time Office Phone gatut V Gatut Harijoso p0 Wed 00:13 PUSKOM utilitas LINUX: w dan who Mengetahui pemakai yang sedang aktif. [gatut@bsd02 gatut]$ w [gatut@bsd02 gatut]$ who
utilitas Linux : last Menampilkan daftar pemakai terakhir [gatut@bsd02 gatut]$ last pemake ttyp0 10.210.2.51 yuser ttyp9 167.205.136.3 7397023 ttyp1 10.210.2.48 --- dst -- dipotong --
Tue Jun 29 23:50 - 00:02 (00:11) Tue Jun 29 23:37 - 23:39 (00:02) Tue Jun 29 23:07 - 23:24 (00:16)
UKM MASS NET FILE NAME
108-4.DOC
PAGE
30 OF 55
Pemakai hendaknya selalu memperhatikan pesan "last login from:" pada saat login agar dapat segera diketahui apabila terdapat pemakai lain yang menggunakan user-id tersebut. Authentikasi melalui sistem (yaitu, password) yang sesungguhnya disimpan dalam bentuk ter-enkripsi dalam file yang tak dapat dilihat oleh pemakai biasa, biasanya /etc/master.passwd atau /etc/shadow.
V.3. Authorization Pemakai yang sudah terbukti mendapatkan haknya untuk dilayani dan menggunakan resource. Karena pemakai memiliki hak penuh atas file yang dimilikinya, maka pemakai harus mengatur sendiri datanya. Utilitas LINUX: chmod Menentukan hak akses file dan directory. [gatut@bsd02 gatut]$ chmod [gatut@bsd02 /home]$ ls -l total 4 drwxr-xr-x
26 gatut
staff
2048 Jun 30 00:03 gatut
drwxr-xr-x
9 pemake
user
1024 May
8 09:41 pemake
drwxr-xr-x
2 noone
nobody
1024 Apr 16 11:53 noone
[gatut@bsd02 /home]$ chmod 0711 gatut [gatut@bsd02 /home]$ ls -l total 4 drwx--x--x
26 gatut
staff
2048 Jun 30 00:03 gatut
drwxr-xr-x
9 pemake
user
1024 May
8 09:41 pemake
drwxr-xr-x
2 noone
nobody
1024 Apr 16 11:53 noone
[gatut@bsd02 /home]$
Ada banyak aplikasi yang bekerja di server bekerja atas nama super-user, misalnya agar dapat membaca file password atau menulis data ke dalam sistem (lihat kembali perintah "ps aux"). Semakin kompleks aplikasi, semakin besar kemungkinan terdapat
UKM MASS NET FILE NAME
108-4.DOC
PAGE
31 OF 55
kesalahan (bug). Program yang berjalan atas nama super-user dan salah bisa berakibat fatal. Oleh sebab itu, biasanya aplikasi client-server sebisa mungkin memisahkan akses yang menuntut hak super-user.
V.4. Gateway Gateway yang menghubungkan sistem ke luar dapat menjadi gerbang ke dalam, sehingga ada resiko perusakan atau pencurian data oleh publik yang jauh lebih luas. Firewall (dinding api) gateway yang menjaga keamanan sistem. •
Penyaringan packet: hanya paket dari dan ke host, tcp, udp tertentu yang boleh berkomunikasi. Program melakukan pemeriksaan dan penyaringan sehingga hanya pelayanan yang diketahui dan benar yang boleh lewat.
•
Gateway aplikasi: pengiriman dan penerimaan mail gateway untuk mempermudah pemeriksaan dan mengurangi beban jaringan.
V.5. Attack Password terbuka karena: pencurian, catatan yang tercecer, pengamatan (cara mengetik, mengintip paket) Membelokkan akses: dengan mengganti ip, dns, atau route membelokkan akses ke server palsu untuk menjebak password. Kesalahan program: tak ada gading yang tak retak Jangan menjalankan program yang tak diketahui. Penyebaran virus melalui email, java script, vb script. Membebani server dengan akses yang besar. Batu loncatan: biasanya akses dari komputer yang terletak di intranet kurang dibatasi. Apabila akses ke komputer di intranet terbuka, maka pemakai internet dapat masuk ke dalam komputer di intranet, kemudian menggunakan komputer tersebut sebagai batu loncatan.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
32 OF 55
V.6. Monitoring Mengetahui apa yang terjadi sebagai tindakan preventif dengan membaca catatan system. LINUX: catatan biasanya disimpan dalam directory /var/log. /var/log/messages Pesan-pesan dari sistem /var/log/maillog
Transaksi email (SMTP)
Komunikasi Terenkripsi Komunikasi melalui jaringan publik memungkinkan adanya penyadap ikut mendengarkan percakapan. Beberapa software: •
Secure Shell: pengganti telnet dengan enkripsi
•
HTTPS: secure HTTP
Akibat enkripsi, data yang dipertukarkan lebih besar.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
33 OF 55
BAB VI. Operations Security VI.1. Administration Controls Apabila terjadi pelanggaran yang dilakukan oleh pegawai yaitu : 1. dengan sengaja menghilangkan data, mengubah data dan merusak data 2. dengan sengaja merusak label cd, disket 3. mengambil cd, disket tanpa seijin departement IT maka akan dikenakan Surat Peringatan yang bertingkat tergantung jenjang pelanggaran yang dilakukan.
VI.2. Record Retention Medium yang dipergunakan untuk menyimpan data dan backup file pada PT. mass Net adalah CD, Kaset, dan external disk. Hal ini karena kepraktisan media ini dan memiliki Masa penyimpanan data adalah rata-rata bisa mencapai waktu kurang lebih 5 tahun.
VI.3. Privileged Entity Controls Manajemen Password pada PT.
Mass Net dilakukan oleh bagian Teknologi
informasi. Password diletakkan dalam amplop file tertutup yang akan dipergunakan apabila terjadi masalah. Apabila telah selesai digunakan, maka password diubah kembali, kemudian diletakkan pada amplop file tertutup dan disimpan dalam barkas TI.
VI.4. Audit Trails Kebijakan audit trail PT. Mass Net dalam hal Log file adalah menyimpan Log file audit dalam jangka waktu 1 tahun, sedangfkan data history disimpan dalam masa satu bulan. Audit logs berisi: tanggal, jam, orang yang login, terminal yang digunakan, security event, dan seluruh informasi data transaksi event-event tertentu.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
34 OF 55
BAB VII. Pengembangan Aplikasi dan Sistem
Mengacu
pada
standar
keamanan
Sistem
Informasi
untuk
bidang
pengembangan aplikasi dan sistem terdapat beberapa bidang yang perlu menjadi perhatian, yaitu: •
Proses siklus pengembangan aplikasi;
•
Sistem database; dan
•
Kontrol terhadap aplikasi
PT. MassNet sebagai sebuah perusahaan distribusi terbatas dan berskala Usaha Kecil Menengah mencoba untuk mengaplikasikan sebaik mungkin best practices dalam hal pengembangan aplikasi dan sistem. Terdapat tiga jenis aplikasi dan sistem yang digunakan oleh PT. MassNet ditinjau dari jenis pengembangan atau perolehannya, yaitu sebagi berikut: •
Paket aplikasi jadi yang dibeli;
•
Paket aplikasi freeware; dan
•
Aplikasi yang dikembangkan sendiri
Penanganan untuk aplikasi yang dikembangkan sendiri mengikuti standar kerja pengembangan sistem aplikasi yang baik dan terkontrol: •
Permintaan untuk mengembangkan aplikasi datang dari seluruh bagian internal perusahaan, dan harus mendapatkan persetujuan manajemen
•
Setelah mendapatkan persetujuan manajemen dan mendapatkan alokasi anggaran dana dan sumber daya manusia, bagian Teknologi Informasi akan mulai mengembangkan aplikasi menggunakan metode FAST dan kerangka kerja PIECES (Performance, Information and data, Economics, Control security, Efficiency, Service)
Sedangkan untuk aplikasi-aplikasi jadi baik yang harus dibeli maupun freeware, dan juga aplikasi hasil pengembangan internal, tanggung jawab pengoperasiannya berada pada bagian Teknologi Informasi, dan setiap perubahan setting yang dilakukan harus selalu dicatat dalam catatan log.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
35 OF 55
Untuk menjaga keamanan sistem maka pada PT. MassNet diperlakukan kebijakan sebagai berikut: •
Setiap personal komputer diinstall hanya oleh staf bagian Teknologi Informasi, dan password level administrator dipegang oleh staf bagian Teknologi Informasi
•
Password administrator untuk server aplikasi dipegang oleh staf bagian Teknologi informasi dan kepala bagian unit yang menggunakan aplikasi tersebut
•
Pegawai tidak diperkenankan mengubah-ubah konfigurasi personal komputer, termasuk melakukan install atau uninstall program ke dalam personal komputer mereka
Database bisnis perusahaan disimpan di server utama. Akses database dibuat berjenjang sesuai dengan kewenangan pegawai yang bersangkutan. Untuk menjaga keamanan data yang tersimpan dalam database server, PT. MassNet dalam memelihara database menggunakan pendekatan sebagai berikut: •
Aplikasi yang dikembangkan dalam mengakses database dibuat sedemikian rupa sehingga kesalahan-kesalahan input tidak diterima;
•
Dibuat kamus data dalam database yang menyimpan semua struktur data yang digunakan oleh sebuah aplikasi, tujuannya adalah agar pengembang aplikasi dapat memanfaatkan struktur data yang sama yang sudah ada.
•
Mengaktifkan system logging untuk mencatat aktifitas pemakai database
•
Secara berkala database dibackup dengan menggunakan penjadwalan harian, mingguan, dan bulanan. Backup database bulanan akan terus disimpan selama 3 tahun sebelum dihapus.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
36 OF 55
BAB VIII. Disaster Recovery dan Business Continuity Plan
Pembahasan
Disaster
Recovery
dan
Business
Continuity
Plan
selalu
berhubungan dengan urusan bisnis, hal-hal yang berhubungan dengan penerapan system keamanan, policy, atau akses tidak dibahas, akan tetapi lebih memperhatikan perencanaan bagaimana mencegah agar kerugian bisnis PT. MassNet tidak terjadi ketika terjadi ancaman bencana. Dua hal yang dibahas adalah, pertama Disaster Recovery Planning yang merupakan pencegahan terhadap terjadinya ancaman terhadap infrastruktur sistem informasi; dan yang kedua adalah Business Continuity Plan yang merupakan perencanaan bagaimana bisnis tetap dapat berjalan seandainya telah terjadi serangan atau bencana yang menimpa infrastruktur sistem informasi PT. MassNet.
VIII.1. Ancaman Bagi PT. MassNet data keuangan dan data pegawai adalah dua data terpenting untuk kelangsungan usahanya dari segi availability. Sementara berdasarkan analisa, PT. MassNet menghadapi ancaman ancaman sbb: 1. Penghapusan (destruction), misalnya: penghapusan data-data penjualan secara tidak sengaja , bencana banjir, kebakaran, kerusuhan, listrik mati atau virus. 2. Pencurian (theft/disclosure), misalnya: data penjualan atau rugi laba dari saung garing terungkap kepada semua pegawai. 3. Pengubahan (modification), misalnya: secara tidak sengaja mengubah nilai gaji dalam sistem penggajian pegawai. 4. Penipuan (fraud), misalnya: mengubah nilai gaji dalam sistem penggajian pegawai secara tidak sah, mengubah data penjualan secara tidak sah.
VIII.2. Penerapan Dalam
keadaan
Disaster
dan
darurat,
prioritas
utama
adalah
tetap
mengutamakan kesehatan dan keselamatan personil organisasi sebelum melanjutkan ke prosedur Identification and Notification. Prosedur Identification and Notification ini dapat diabaikan bilamana pertimbangan untuk melakukan suatu tindakan penanganan disaster merupakan tindak lanjut dari aktifitas resolusi Problem. Apabila terjadi disaster
UKM MASS NET FILE NAME
108-4.DOC
PAGE
37 OF 55
maka personil yang harus diinformasikan perlu diidentifikasi secara jelas dalam Daftar Kontak Personil yang harus dibuat oleh organisasi. Dalam hal ini penanggung jawab utama disaster recovery plan adalah direktur utama.
Berikut ini adalah langkah2 yang diambil oleh PT. MassNet dalam rangka memastikan kelangsungan bisnis agar tidak terganggu. 1. Ancaman Penghapusan (destruction) a. Bencana banjir Server-server utama diletakkan di lantai 2 kantor utama PT. MassNet, ruangan dipilih yang tidak berada dibawah kamar mandi dari lantai diatasnya b. Kebakaran o PT. MassNet memasang fire extingguiser di sudut-sudut kantor yang mudah terjangkau untuk memudahkan penggunaan ketika terjadi kebakaran. Tabung fire extinguisher tersebut diperiksa secara berkala untuk memastikan racun apinya masih dalam kondisi baik. o Kaset-kaset backup database disimpan di lemari besi tahan api, dan untuk kaset backup bulanan diletakkan di lemari besi tahan api ditempat lain, yaitu di rumah salah satu pimpinan perusahaan c. Kerusuhan o Gedung kantor PT. MassNet diberi pagar yang cukup kuat dan dijaga oleh tenaga keamanan 24 jam sehari secara shift o PT. MassNet menjalin hubungan baik dengan warga sekitar kantor dan juga dengan kantor polisi setempat d. Listrik mati Semua komputer yang ada diharuskan tersambung ke UPS e. Virus o Semua komputer termasuk server diterapkan software anti virus, update data antivirusnya dilakukan secara berkala, dan setiap 2 minggu di cek oleh karyawan divisi Teknologi Informasi
UKM MASS NET FILE NAME
108-4.DOC
PAGE
38 OF 55
o Software antivirus yang digunakan dipilih yang dapat diperoleh secara gratis tetapi cukup handal, saat ini pilihannya adalah program antivirus AVG dari Grisoft.com o Jika terjadi penyebaran virus atau salah satu personal komputer terjangkit virus, maka tindakan pengamanan yang dilakukan adalah mengisolasi penyebarannya dengan cara memutus personal computer yang terkena virus tersebut dari jaringan local area network kantor. 2. Pencurian (theft/disclosure) Tidak dibahas pada bab BCP, akan dibahas pada physical security. 3. Pengubahan (modification) Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol. 4. Penipuan (fraud) Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol
VIII.3. Identifikasi dan Notifikasi Dalam konsep disaster recovery, prosedur Identification and Notification menjelaskan tindakan-tindakan awal yang harus segera dilakukan bilamana terjadi gangguan terhadap sistem TI dan/ atau kondisi Disaster telah terdeteksi atau sudah nampak dengan jelas. Adapun tujuan utama dari penyusunan prosedur Identification and Notification ini adalah untuk: 1. Menjelaskan aktifitas-aktifitas identifikasi terhadap suatu kondisi yang diduga merupakan suatu kondisi Disaster 2. Menjelaskan personil-personil terkait yang perlu diinformasikan dan yang bertanggung jawab untuk menaggulangi keadaan Disaster tersebut 3. Menjelaskan metoda yang akan digunakan untuk menginformasikan personilpersonil yang bersangkutan tersebut Prosedur Identification and Notification dalam prosedur ini mencakup: 1. Aktifitas identifikasi terhadap suatu kondisi yang merupakan atau diduga merupakan kondisi Disaster
UKM MASS NET FILE NAME
2. Aktifitas
108-4.DOC
tindakan
penyelamatan
PAGE
awal
dengan
39 OF 55
prioritas
utama
adalah
penyelamatan kesehatan dan keselamatan personil organisasi. 3. Aktifitas notifikasi kepada personil yang bertanggung jawab dalam Organisasi Formal untuk diteruskan kepada Coordinator dalam Organisasi Matriks Kondisi Disaster 4. Aktifitas notifikasi kepada team personil dalam Struktur Organisasi Matriks
Kondisi Disaster untuk berada dalam posisi siaga dan/atau untuk koordinasi aktifitas selanjutnya.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
40 OF 55
BAB IX. PHYSICAL SECURITY Domain pengamanan fisik (physical security) mencakup unsur-unsur di sekitar lingkungan fisik dan mendukung infrastruktur yang mempengaruhi confidentiality, integrity dan availability sebuah sistem informasi.
Pengamanan fisik tidak kalah
pentingnya apabila dibandingkan dengan factor pengamanan lainnya. Keamanan fisik sering mengacu pada ukuran-ukuran yang diambil untuk melindungi sistem, bangunan / gedung, dan infrastruktur pendukung terhadap ancaman-ancaman lingkungan fisik. Dalam bahasan ini domain yang akan dibahas adalah ancaman, kerawanan, dan tindakan antisipasi yang dapat dilakukan untuk mengamankan secara fisik seluruh sumber daya enterprise dan informasi sensitif.
Sumber daya ini mencakup seluruh
personel, fasilitas tempat bekerja, data, peralatan, sistem pendukung, dan media yang digunakan untuk bekerja. Dengan kata lain, hal-hal yang membutuhkan pengamanan fisik meliputi seluruh aset perusahaan / UKM baik yang berupa hardware (bagunan ruko / gedung, mobil, peralatan kerja, komputer, dll), software (perangkat lunak komputer), dan brainware (direksi dan seluruh staf perusahaan). Seperti telah dijelaskan dalam Bab sebelumnya, UKM PT. Mass Net bergerak di bidang bisnis pemasaran secara multi level terhadap barang-barang kebutuhan konsumen (consumer goods) seperti mie instant, sabun mandi, sabun cuci, pasta gigi, peralatan kecantikan, gula, kopi, minuman kesehatan, dan lain-lain. Barang-barang ini diproduksi oleh produsen secara outsourcing dan hanya memproduksi untuk PT. Mass Net. Dengan demikian pihak luar selain PT. Mass Net tidak diperbolehkan membeli produk secara langsung kepada produsen, sehingga kebocoran produk yang dapat merugikan bisnis tidak terjadi. Pada studi kasus UKM PT, Mass Net, sasaran yang ingin dicapai dalam topik pengamanan fisik adalah sebagiai berikut: 1. Melakukan analisa terhadap faktor-faktor pemilihan dan perancangan lokasi fisik yang aman bagi UKM. 2. Menentukan metoda pengamanan akses fasilitas dari pihak-pihak yang tidak berhak. 3. Menentukan metoda pengamanan seluruh infrastruktur penunjang dan data yang menjadi aset UKM.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
41 OF 55
4. Menentukan tolok ukur pengamanan yang diperlukan untuk melindungi aset UKM yang sangat vital yakni karyawan, fasilitas lain, serta seluruh sumber daya.
IX.1. Ancaman-ancaman Keamanan Fisik Sebelum menentukan berbagai cara pengamanan fisik yang layak bagi sebuah UKM, terlebih dulu perlu diketahui aspek aspek lingkungan yang dapat berpotensi menjadi ancaman asset UKM.
Seluruh kemungkinan ancaman perlu disenaraikan
secara jelas dan rinci, terlebih apabila dilakukan suatu assessment atau analisa resiko, sehingga ketepatan informasi dapat terjamin dan terpercaya. Walaupun kemungkinan ancaman terjadi sangatlah kecil, assessment terhadap hal tersebut tetaplah diperlukan. Analisa resiko berbagai macam kemungkinan ancaman keamanan fisik dari UKM PT. Mass Net adalah dapat diuraikan sebagai berikut: 1. Analisa resiko terhadap hal-hal yang sifatnya emergency, terdiri dari kemungkinan hal berikut: a. Kebakaran dan pencemaran asap. Seluruh hal-hal yang menyebabkan kemungkinan terjadinya kebakaran harus dicermati dan sedini mungkin dihindari.
Sebagai contoh, sedapat mungkin dihindarkan sumber api.
UKM PT. Mass Net memiliki ruang dapur / pantry yang terletak di lantai II. Hal in dapat menjadi peluang terjadinya permasalahan ancaman kebakaran. Oleh karena itu diperlukan perhatian yang sangat khusus terhadap ruangan ini. Sumber-sumber api dan asap bisa saja berasal dari peralatan elektrik dan non elektrik, sehingga harus diperhatikan kondisi dan cara kerjanya.
Seluruh pengguna peralatan ini harus
memahami betul bagaimana mengoperasikannya. Sebaiknya dibuatkan kebijakan khusus pengguna pantry adalah petugas pramubakti, dalam hal ini berjumlah 2 (dua) orang.
Manajer bagian umum adalah orang yang
paling bertanggung jawab terhadap prosedur dan operasionalnya. Sumber-sumber api tdk hanya berasal dari ruang pantry saja, namun juga seluruh peralatan elektronik yang menggunakan sumber daya listrik, dan instalasi listrik itu sendiri.
Dalam bangunan UKM yang berlantai tiga,
setiap lantai telah memiliki circuit pemutus tersendiri sehingga cukup aman dari bahaya hubungan singkat / arus pendek. Posisi pemutus arus
UKM MASS NET FILE NAME
108-4.DOC
PAGE
42 OF 55
ini juga sudah layak karena terletak di daerah yang mudah dijangkau, yakni di daerah sekitar tangga naik turun pada setiap lantai (tangga berbentuk huruf L). Secara berkala, misalnya 1 bulan sekali, UKM perlu melakukan perawatan dan pemeriksaan seluruh instalasi listik dan peripheral elektronik.
Apabila terdapat instalasi kabel terbuka akibat usia kabel
maupun gangguan serangga tikus, maka perlu segera diperbaiki / diganti dengan yang baru. Gangguan kebakaran bisa juga terjadi dari faktor alam seperti petir. UKM PT. Mass Net yang menempati bagunan ruko telah dilengkapi dengan penangkal petir yang memiliki sistem grounding baik. Namun demikian, instalasi inipun perlu dilakukan pemeriksaan secara berkala untuk memastikan peralatan bekerja dengan baik. b. Kerusakan atau keruntuhan gedung. Antisipasi terhadap hal ini telah dilakukan UKM, yakni dengan memilih kontraktor bangunan yang terpercaya,
dalam hal ini PT.
Mass net
mendapat jaminan kekuatan konstruksi selama kurang lebih 10 tahun. Selain itu bangunan juga telah dianti rayap (pondasi dan atap) serta menggunakan bahan konstruksi anti rayap.
Secara berkala (1 tahun
sekali) kontraktor juga selalu melakukan pemeliharaan gedung dan pemeriksaan hama rayap, serta memperbaiki konstruksi bangunan yang rusak maupun berkarat.
Dengan demikian tindakan pencegahan
terhadap kerusakan bangunan telah dilakukan. c. Kerusakan utilitas (sumber-sumber elektrik, air conditioning, pemanas). Selain
dapat
menyebabkan
hubungan
menimbulkan bahaya kebakaran, dipeliharakerjakan
sehingga
singkat
yang
berpotensi
seluruh utilitas elektronik perlu
fungsinya
selalu
tersedia
dan
tidak
mengganggu proses bisnis. d. Kerusakan saluran air. Kerusakan
saluran
air
merupakan
pengganggu kegiatan bisnis.
salah
satu
potensi
sumber
Oleh karena itu seluruh infrastruktur
peralatan ini harus dipastikan berfungsi dengan baik. Kondisi bangunan UKM yang berlantai tiga cukup rentan terhadap kebocoran instalasi pipa
UKM MASS NET FILE NAME
108-4.DOC
PAGE
43 OF 55
air yang terletak di ruang plafon. Pemeriksaan instalasi saluran ini dapat dilakukan melalui lubang kontrol yang ada di setiap lantai. e. Bahaya pelepasan material beracun. Material beracun tentunya sangat berbahaya sehingga seluruh peripheral yang mengeluarkan zat beracun harus mendapatkan perhatian khusus. Salah satu contoh material beracun dalam studi kasus UKM ini adalah penggunaan battery pada UPS, dapat menghasilkan gas belerang yang sangat berbahaya bagi kesehatan. Oleh karena itu penempatan UPS diletakkan di lantai paling atas dengan mendapatkan sirkulasi udara yang memadai. 2. Analisa resiko yang sifatnya berupa bencana alam. a. Pergerakan / pergeseran tanah seperti yang disebabkan oleh gempa bumi dan tanah longsor. UKM PT. Mass Net terletak di sebuah komplek ruko / perkantoran di Jakarta. Pada umumnya kondisi daerah tersebut stabil (bukan di daerah longsor) dan relatif aman dari gempa.
Walaupun demikian, struktur
bangunan berlantai tiga tetap menjadi perhatian. Seperti telah dijelaskan sebelumnya, ruko tersebut dibangun oleh sebuah kontraktor dengan jaminan konstruksi selama 10 tahun. b. Bahaya badai / angin topan. Di Indonesia, bahaya badai dan angin topan relatif tidak ada, sehingga relatif aman dari gangguan ini. 3. Analisa resiko yang disebabkan oleh intervensi / campur tangan manusia. a. Sabotase: merupakan gangguan karena aktifitas manusia. Dalam bisnis hal ini bisa terhadi dari competitor yang melakukan persaingan tidak sehat. b. Vandalisme. c. Perang. d. Kerusuhan dan penyerangan. Di Indonesia hal ini cukup rawan sejak krisis moneter tahun 1998 yang mengusung demokrasi kebablasan. Resiko Operasional UKM PT. Mass Net yang terletak di ruko perkantoran adalah gudang, outlet pemasaran dan bangunan perkantoran yang menyatu. Seandainya terjadi kerusuhan yang menimpa
UKM tersebut, maka kegiatan bisnis UKM secara
UKM MASS NET FILE NAME
108-4.DOC
PAGE
44 OF 55
otomatis lumpuh total oleh karena pada saat ini belum memiliki BCP (Business Contingency Plan) maupun fasilitas DRC (Disaster Recovery Center) yang dapat menanggulangi hal tersebut. Donn B. Parker ( Wiley, 1998) dalam Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003) telah melakukan kompilasi terhadap sumber-sumber gangguan fisik keamanan dari berbagai faktor antara lain temperatur
(sinar matahari, kebakaran,
panas listrik), gas (kelembababan, kekeringan udara, gangguan partikel udara), cairan (air dan bahan kimia), organisme (virus, bakteri, manusia, binatang, serangga), proyektil (meteor, benda jatuh, mobil, truk, ledakan, dan badai), pergerakan bumi, anomali energi.
IX.2. Pengendalian Pengamanan Fisik Pengendalian pengamanan fisik terdiri dari dua bagian yakni kendali administratif dan kendali fisik & teknik.
Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003)
menyenaraikan elemen-elemen kedua kendali tersebut yang terdiri dari hal-hal berikut ini: 1. Kendali Administratif a. Perencanaan kebutuhan fasilitas b. Manajemen pengamanan fasilitas c. Pengendalian personal administratif 2. Kendali Fisik dan Teknik. a.
Kebutuhan kendali fasilitas
b. Alat-alat kendali akses fasilitas c. Alarm dan deteksi intrusi d. Pengendalian persediaan komputer e. Kebutuhan media penyimpanan
IX.3. Perencaaan Kebutuhan Fasilitas Domain
topik
ini
adalah
tentang
konsep
perencanaan
pengamanan fisik pda tahap awal konstruksi faslitas data.
pengendalian
Tahapan konstruksi ini
meliputi hal berikut: •
Pemilihan lokasi yang aman: UKM PT. Mass Net telah memilih lokasi yang aman terletak di sebuah komplek perkantoran / ruko.
UKM MASS NET FILE NAME
•
108-4.DOC
PAGE
Perancangan sebuah lokasi yang aman:
45 OF 55
Hal-hal yang perlu diperhatikan dalam
perancangan ini antara lain: (1) Kontruksi bangunan yang meliputi elemen-elemen dinding, atap, lantai, jendela dan pintu.
UKM PT.
Mass Net menggunakan
bangunan ruko yang telah memenuhi standar keamananan tersebut. (2) Sarana penunjang seperti Air Conditioning, Kebutuhan elektrikal, dan saluran Air. Bangunan yang digunakan PT. Mass Net dalam hal ini telah dirancang menggunakan fasilitas tersebut sehingga saluran air dan saluran elektrik terpisah / tidak berdekatan. Demikian juga saluran AC telah disiapkan pada saat tahap perancangan bangunan.
IX.4. Manajemen Pengamanan Fasilitas •
Audit Trail merupakan sarana untuk mencatat kejadian-kejadian yang berhubungan dengan pengamanan fisik.
•
Prosedur emergency. Dalam UKM ini prosedur emergency berupa dokumen yang mengatur bagaimana melakukan shutdown system pada saat kejadian emergency, prosedur evakuasi, pengujian system dan peralatan secara periodik, employee training dan awareness program.
Semua prosedur ini merupakan dokumen
tersendiri yang disosialisasikan kepada seluruh staf UKM sehingga terbentuk awareness para staf UKM.
IX.5. Pengendalian Administrasi Personalia Pengendalian ini meliputi proses administrasi yang harus ditempuh oleh departemen personalia yang mencakup screening tenaga kerja selama rekrutmen, pemeriksaan administrasi tenaga kerja selama menjadi staf UKM dan prosedur pengunduran diri dari UKM.
Departemen personalia PT.
Mass Net telah memiliki
prosedur tetap antara lain: •
Wawancara alasan pengunduran diri.
•
Penghapusan akses jaringan dan password.
•
Pengembalian periperal komputer dan notebook.
Ketika salah satu staf mengundurkan diri, Departemen personalia akan meminta bagian IT untuk menutup seluruh akses staf tersebut.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
46 OF 55
IX.6. Kebutuhan Pengendalian Fasilitas Dalam
rangka
meengamankan
seluruh
fasilitas
organisasi,
UKM
ini
mengimplementasikan sistem keamanan sebagai berikut: •
Satpam: terdiri dari satpam lingkungan yang diatur
sepenuhnya oleh pihak
pengelola komplek perkantoran ruko dan 4 (empat) orang satpam internal yang bekerja secara shift. •
Pagar: Posisi bangunan ruko UKM PT. Mass Net yang diapit oleh bangunan lain di kiri dan kananya, hanya memerlukan pagar di depan dan belakang. Bagian atap yang berupa dak (cor beton) juga diberi pengaman pagar keliling dan teralis penutup.
•
Jendela: menggunakan jendela kaca tebal berpengaman kaca film dan rangka jendela aluminium sistem interlock yang aman / tidak bisa dibuka dari luar.
•
Penerangan: untuk menambah pengamanan Ukm juga menambahkan sistem penerangan malam hari
dengan posisi tiang penyangga yang cukup tinggi
sehingga mampu menerangi area parkir dan halaman belakang. •
Kunci pengaman: menggunakan kunci manual dengan sistem master key yang disimpan oleh manager kepegawaian dan umum.
IX.7. Alarm dan deteksi intrusi Skala usaha UKM PT.
Mass Net masih relatif berkembang sehingga belum
menerapkan alat-alat pendeteksi keamanan yang canggih seperti halnya pada sistem detektor intrusi, detektor gerak, dan audio detektor, serta sistem alarm yang otomatis memberikan tanda apabila terjadi gangguan keamanan. Sistem alarm yang digunakan oleh UKM ini adalah alarm kebakaran yang terhubung dengan sistem pengamanan kebakaran di plafon setiap lantai.
IX.8. Pengendalian persediaan komputer Untuk menjaga seluruh aset komputer aman dari bahaya pencurian maupun kehilangan, diperlukan tindakan pengendalian inventori komputer yang terdiri dari dua bagian penting yaitu: •
Pengendalian personal komputer secara fisik.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
47 OF 55
UKM ini menggunakan sarana berikut: 1. Pengunci kabel berupa bahan kawat baja dibungkus vynil yang mengikat personal komputer dan printer ke dalam meja. 2. Port control untuk mengamankan port data seperti floopy drive atau serial/paralel port. Selama tidak digunakan port data ini ditempatkan di lemari inventory yang diatur pengelolaannya oleh manager IT. 3. Switch control untuk melindungi switch power on-off
file server dari
gangguan keamanan. 4. Periperal switch control digunakan untuk memberi pengamanan (kunci) keyborad sehingga tidak digunakan oleh pihak yang tidak berhak. 5. Eletronic Security Board merupakan pengamanan personal komputer dengan password pada BIOS (Basic Input Output System). Seluruh PC aset UKM menggunakan standar password BIOS dan password ini hanya diketahui oleh pemakai PC yang bersangkutan.
Secara prosedur,
password yang telah dipilih pemakai, ditulis dan dimasukkan dalam amplop tertutup bersegel, selanjutnya diserahkan kepada manager IT untuk disimpan dalam inventory berkas keamanan.
Dengan demikian
password BIOS masih dapat diketahui oleh manager IT dalam keadaan darurat. •
Pengendalian Laptop / Notebook. Keamanan laptop / notebook baik secara fisik maupun data tergolong hal yang sulit karena sifatnya yang dinamis. Untuk meminimumkan peluang gangguan keamanan laptop, UKM ini menerapkan kebijakan tidak memperkenankan membawa laptop ke rumah, namun demikian masih dimungkinkan dalam kondisi yang sangat penting dengan ijin manager TI.
Seluruh penggunaan laptop
diregister dalam buku register laptop sehingga dapat diketahui statusnya, tanggal berapa digunakan, oleh siapa dan untuk kebutuhan apa.
IX.9. Kebutuhan media penyimpanan Agar media penyimpanan memiliki tingkat keamanan yang memadai maka UKM PT. Mass Net menerapkan kebijakan sebagai berikut: •
Secara fisik membatasi akses dengan menyediakan lemari besi tahan api dan ditempatkan di ruang inventori sistem.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
48 OF 55
•
Proteksi dari sumber api dan air dan menjaga kelembaban udara tetap stabil.
•
Memonitor dan mengontrol inventori media penyimpanan dengan meregister setiap penggunaan media-media baru. Dengan demikian dapat diketahui posisi inventori media penyimpanan.
•
Secara fisik menghancurkan media penyimpanan yang sudah tidak terpakai.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
49 OF 55
BAB X. AUDIT SISTIM INFORMASI Audit sistim informasi berhubungan dengan salah satu dari jenis kontrol yang terbagi menjadi 3 (tiga) bagian yaitu: •
Preventive control Merupakan tindakan mendeteksi permasalahan sebelum terjadi. Kontrol ini juga melakukan pemantauan operasi dan input, melakukan prediksi atas problem yang mungkin terjadi, dan juga mencegah error dan tindakan kejahatan. Contoh kontrol jenis ini adalah adanya pemisahan pekerjaan sesuai dengan wewenang dan tanggung jawab, menyediakan prosedur yang tepat untuk proses otorisasi dan menyediakan dokumen yang dirancang tepat bagi karyawan
•
Detective control Menggunakan kontrol untuk mendeteksi bahwa error, perubahan atau tindakan kejahatan (malicious) yang sudah terjadi, serta melaporkannya sehingga dapat diambil tindakan lebih lanjut.
Contoh kontrol jenis ini adalah hash, kalkulasi
ulang, internal audit, laporan kinerja sistem, dan check points dalam rantai produksi. •
Corrective control Kontrol ini ditujukan untuk beberapa hal antara lain meminimalisir dampak ancaman, mengidentifikasi sumber dari masalah, memperbaiki error dari sebuah masalah, dan mengubah sistem agar dapat meminimumkan jumlah ancaman di masa yang akan datang.
Contoh kontrol jenis ini antara lain contingency
planning, backup, dan re-run. Berdasarkan tujuannya, kegiatan audit dapat digolongkan sebagai financial audit untuk mengetahui kebenaran dari laporan keuangan perusahaan, operational audit untuk mengetahui ada/tidaknya maupun berfungsi/tidaknya interal kontrol dalam suatu perusahaan, administrative audit untuk mengetahui efisiensi produktifitas operasional dari sebuah perusahaan, dan yang terakhir adalah audit sistim informasi. Sedangkan tujuan audit bisa sangat beraneka ragam, dan sangat tergantung pada keinginan manajemen atau peraturan yang mengharuskan audit.
Misalnya evaluasi terhadap
internal kontrol, security audit, dan software quality assurance audit. Pada dasarnya tujuan audit adalah untuk menemukan suatu penyimpangan dari setiap ketentuan yang berlaku di sebuah organisasi.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
50 OF 55
Dalam upaya mengamankan seluruh aset organisasi, UKM PT. Mass Net telah menerapkan ketiga jenis kontrol tersebut di atas yaitu dalam hal berikut: •
Preventive control, dengan menerapkan kebijakan pemisahan tugas sesuai wewenang dan tanggung jawab.
Sebagai contoh dalam seluruh transaksi
keuangan, UKM ini menerapkan prinsip MCS, kepanjangan dari maker, checker, dan signer. Setiap transaksi keuangan input data (issue transaksi) dilakukan oleh front office liner, dan dilakukan pemeriksaan atau verifikasi transaksi oleh seorang checker, selanjutnya disetujui oleh petugas signer.
Transaksi baru
dianggap sah apabila memenuhi prinsip MCS tersebut. •
Detective control: i. Dengan menerapkan aktifitas pengendalian internal pada transaksi keuangan PT. Mass Net. Aktifitas ini dikerjakan oleh bagian akunting yang memegang fungsi sebagai internal controller (IC). Tugas IC adalah melakukan verfikasi laporan transaksi harian pada keesokan harinya. Dengan cara ini kemungkinan fraud dapat dideteksi secara dini. ii. Melakukan internal audit secara berkala (1 tahun sekali) untuk memastikan bahwa transaksi keuangan dilakukan dengan benar dan sah dan mendeteksi ada / tidaknya penyimpangan. Kegiatan ini dilakukan secara outsourcing pada lembaga akuntan publik.
•
Corrective control: i. Apabila terjadi kegagalan sistem, UKM ini menyediakan fasilitas backup & recovery, ii. UKM ini belum/ tidak memiliki disaster recovery center (DRC), karena biayanya yang mahal. Namun dalam blue print perencanaan teknologi informasi yang dibuat oleh bagian IT, telah disusun rencana pembuatan DRC apabila skala usaha PT. Mass net telah memenuhi syarat.
X.1. Kebijakan Audit Sistim Informasi Sebagaimana dijelaskan di atas, PT. Mass Net aktifitas melakukan internal audit secara outsourcing satu tahun sekali.
Demikian pula dalam hal sistim informasi, PT.
Mass Net juga menggunakan jasa konsultan / auditor eksternal untuk mengaudit implementasi sistim informasi di orgnanisasi ini. Adapun kebijakan PT. Mass Net yang berkaitan dengan audit sistem informasi adalah pemeriksaan implementasi seluruh kebijakan teknologi informasi di PT. Mass Net, antara lain sebagai berikut:
UKM MASS NET FILE NAME
108-4.DOC
PAGE
51 OF 55
1. Hal-hal yang berkaitan dengan pengembangan sistim Memeriksa kesesuaian pelaksanaan prosedur dan dokumentasi analisa kebutuhan sistem. Memeriksa kesesuaian dokumentasi perancangan sistem, meliputi baik rancangan
fisik,
rancangan
logika,
maupun
rancangan
infrastruktur
pendukung. Memeriksa kesesuaian dokumentasi funtional specification. Memeriksa kesesuaian dokumentasi program specification. Memeriksa kesesuaian dokumentasi pengujian program meliputi unit test, regresi test, integrasi test, dan akseptansi test. 2. Hal-hal yang berkaitan dengan implementasi sistim Memeriksa kesesuaian prosedur dan dokumentasi pelaksanaan system deployment. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan password, perubahan password, dan inventory barkas / amplop pengaman password. Memeriksa prosedur dan dokumentasi pemberian otorisasi user pengguna sistem apakah telah sesuai dengan surat keputusan / penunjukan organisasi. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan peralatan mobile (laptop). 3. Hal-hal yang berkaitan dengan pemeliharaan sistem Memeriksa prosedur, pelaksanaan dan dokumentasi pemeliharaan sistem meliputi antara lain pemeliharaan secara berkala komputer server, personal komputer, dan laptop. Memeriksa
prosedur,
pelaksanaan
infrastruktur seperti cabelling,
dan
dokumentasi
pemeliharaan
hub, UPS, saluran saluran listrik, dan
peralatan elektronik lainnya. 4. Hal-hal yang berkaitan dengan penataan bagian teknologi informasi Memeriksa kelengkapan dokumentasi instruksi kerja meliputi antara lain faktor faktor berikut ini: standar kualitas, uraian pekerjaan, petunjuk keselamatan kerja, perawatan peralatan, yang disusun dalam form standar khusus.
UKM MASS NET FILE NAME
108-4.DOC
PAGE
52 OF 55
Daftar Pustaka 1. Eric Maiwald, Fundamental of Network Security, McGraw-Hill Technology Education, 2004. 2. Richard H Baker, Network Security, McGraw-Hill, 1996. 3. Ronald L Krutz, Russel Dean Vines, The CISSP prep guide, Robert Ipsen, 2003