Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Oleh : Malikuswari - 7203012173 Yusron Avivi – 7203012335 Imelda – 7203010227 Sasongko Budhi - 7203012238

Magister Teknologi Informasi Universitas Indonesia Ganjil - 2005

DAFTAR ISI BAB I . PENDAHULUAN ..................................................................................................... 1 1.1. Latar Belakang..............................................................................................................................1 1.2. Struktur Organisasi.......................................................................................................................2 1.3. Aktifitas Bisnis...............................................................................................................................4 1.4. Visi dan Misi Perusahaan.............................................................................................................5 1.5 Aplikasi Yang Digunakan ..............................................................................................................5 1.5 Investasi Teknologi Informasi........................................................................................................6

BAB II. Manajemen Keamanan .......................................................................................... 8 II.1. Pendahuluan.................................................................................................................................8 II.2. Klasifikasi Informasi ......................................................................................................................8 II.2.1 Penyimpanan Dokumen.............................................................................................................9 II.2.2. Prosedur Pengklasifikasian Dokumen......................................................................................9 II.3. Manajemen Resiko.....................................................................................................................11 II.3.1. Analisa Kerawanan .................................................................................................................11 II.3.2. Analisa Ancaman.....................................................................................................................12 II.3.3 Analisa Resiko..........................................................................................................................13

BAB III. Sistem Kontrol Akses .........................................................................................17 III.1 Pendahuluan...............................................................................................................................17 III.2 Kontrol Identifikasi dan Otentikasi.............................................................................................17 III.3. Kontrol Akses.............................................................................................................................18 III.4 Monitoring Kontrol Akses ...........................................................................................................21 III.5 Kepedulian Pada Keamanan .....................................................................................................22

BAB IV. Keamanan Telekomunikasi dan Jaringan.......................................................24 IV.1 Konfigurasi Jaringan ..................................................................................................................24 IV.2. Kebijakan Keamanan jaringan .................................................................................................25

BAB V. Cryptography dan Security Architecture & Models........................................28 V.1. Keamanan Jaringan...................................................................................................................28 V.2. Authentication. Database tentang user. ....................................................................................28 V.3. Authorization ..............................................................................................................................30 V.4. Gateway .....................................................................................................................................31 V.5. Attack..........................................................................................................................................31 V.6. Monitoring...................................................................................................................................32

BAB VI. Operations Security............................................................................................33 VI.1. Administration Controls.............................................................................................................33 VI.2. Record Retention ......................................................................................................................33 VI.3. Privileged Entity Controls..........................................................................................................33 VI.4. Audit Trails.................................................................................................................................33

UKM MASS NET FILE NAME

108-4.DOC

PAGE

3 OF 55

BAB VII. Pengembangan Aplikasi dan Sistem.............................................................34 BAB VIII. Disaster Recovery dan Business Continuity Plan......................................36 VIII.1. Ancaman .............................................................................................................................36 VIII.2. Penerapan...........................................................................................................................36 VIII.3. Identifikasi dan Notifikasi.........................................................................................................38

BAB IX. PHYSICAL SECURITY .......................................................................................40 IX.1. Ancaman-ancaman Keamanan Fisik......................................................................................41 IX.2. Pengendalian Pengamanan Fisik ............................................................................................44 IX.3. Perencaaan Kebutuhan Fasilitas .............................................................................................44 IX.4. Manajemen Pengamanan Fasilitas..........................................................................................45 IX.5. Pengendalian Administrasi Personalia.....................................................................................45 IX.6. Kebutuhan Pengendalian Fasilitas...........................................................................................46 IX.7. Alarm dan deteksi intrusi...........................................................................................................46 IX.8. Pengendalian persediaan komputer ........................................................................................46 IX.9. Kebutuhan media penyimpanan ..............................................................................................47

BAB X. AUDIT SISTIM INFORMASI ................................................................................49 X.1. Kebijakan Audit Sistim Informasi ..............................................................................................50

Daftar Pustaka....................................................................................................................52

Hak cipta berada pada kelompok 108. Tulisan ini dapat dicopy, ditampilkan dalam web site dan disebarluaskan.


108-4..DOC

PAGE

1 OF 55

BAB I . PENDAHULUAN

1.1. Latar Belakang PT. Mass Network (MASS – NET) merupakan salah satu perusahaan yang bergerak di bidang bisnis consumer goods yang memasarkan produknya dengan metode pemasaran multi level. MASS-NET didirikan pada Oktober 2003 merupakan perusahaan multilevel marketing. Perusahaan MLM itu beroperasi sesuai dengan prinsip-prinsip syariah. Multi Level Marketing merupakan salah satu teknik pemasaran yang menggunakan konsep hierarki dalam memasarkan hasil produksi. Konsep hierarki dalam Multi Level Marketing diterapkan pada setiap anggota yang juga sebagai konsumen atau pemakai dari barang-barang hasil produksi.

Keanggotaan MLM

terbagi atas dua jenis, yaitu upline member dan downline member. Upline member dikenal dengan istilah parent, merupakan member yang mempunyai anggota lain di bawahnya. Sedangkan downline member merupakan member yang berada di bawah upline member, yang lebih popular disebut dengan Child.

Kedalaman Hierarki

disebut juga sebagai level. Dalam aturan perusahaan MASS Net, level terendah adalah 20. Seiring dengan semakin berkembangnya skala bisnis PT MASS-Net, yang salah satunya ditandai dengan semakin banyaknya orang yang tertarik dengan sistem yang ditawarkan, maka perusahaan telah mengembangkan suatu sistem informasi yang dapat mendukung kegiatan bisnis seperti proses jual beli produk (transaksi), pemrosesan data member dan pengadaan barang (inventory). Sampai saat ini jumlah member sekitar 10.000 orang yang tersebar di beberapa daerah Kantor PT. Mass Net berkedudukan di Jakarta.

di Indonesia.


108-4.DOC

PAGE

2 OF 55

1.2. Struktur Organisasi

Kom isaris

D irektur Utam a

D irektur Pem asaran & Pengem bangan N etw ork

M anager Pem asaran

M anajer Penanganan Anggota

Staf Pem asaran

Staff Penanganan Anggota

D irektur O perasional & TI

M anager Kepegaw aian dan Um um

Staf U m um & G udang

Pram ubakti

PT.

Staf Kepegaw aian

Sopir

M anajer TI

M anager Akunting

Staf TI

Staf Akunting

Satpam

Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM),

yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Adapun komposisi pegawai adalah sebagai berikut:


108-4.DOC

PAGE

3 OF 55

No.

Nama

Jabatan

1.

A01

Komisaris

2.

A02

Komisaris

3.

A03

Direktur Utama

4.

A04

Direktur Pemasaran dan Pengembangan Network

5.

A05

Direktur Operasional dan TI

6.

A06

Manager Pemasaran

7.

A07

Manager Penanganan Anggota

8.

A08

Manager Kepegawaian dan Umum

9.

A09

Manager TI

10.

A10

Manager Akuntansi

11.

A11 .. A20

Staf Pemasaran (10 orang )

12.

A21 .. A24

Staf Penanganan Anggota ( 5 orang )

13.

A25 .. A32

Staf Umum dan Gudang ( 8 orang )

14.

A33 .. A37

Staf Kepegawaian ( 5 orang )

15.

A38 .. A40

Staf TI ( 3 orang )

16.

A41 .. A43

Staf Akunting ( 3 orang )

17.

A44.. A47

Satpam ( 4 orang )

18.

A48 .. A 49

Pramubakti ( 2 orang )

19

A50 .. A51

Sopir ( 2 orang )

Jumlah jam kerja pada perusahaan ini adalah 8 jam sehari, 5 hari dalam satu minggu. Namun ada kekhususan jam kerja sistem shift bagi pekerja tertentu seperti satpam. Dalam satu tahun, setiap pekerja berhak mendapatkan jumlah hari cuti sebesar 12 hari. Selain itu, setiap lima tahun sekali, setiap pekerja mendapatkan hak cuti besar selama 30 hari atau dapat diganti uang tunai.


108-4.DOC

PAGE

4 OF 55

Perusahaan ini berlokasi pada sebuah kompleks rumah kantor (ruko), dengan mengambil 3 buah petak ruko berlantai 3. Pada lokasi ruko terdapat satuan pengamanan kompleks ruko yang dikelola oleh pengembang

kompleks.

Satuan

pengamanan bekerja 3 shift, yaitu : 1. Jam 6.00 pagi – 14.00 siang 2. Jam 14.00 siang – 22.00 malam 3. Jam 22.00 malam – 6.00 pagi Khusus untuk satuan pengamanan, setiap kerja 3 hari libur 1 hari.

1.3. Aktifitas Bisnis Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM), yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang Setelah melakukan evaluasi atas empat bulan perjalanan operasi bisnis, pendekatan MLM terasa kurang cocok sebagai model bisnis MASS-NET. Hal tersebut karena adanya temuan itu antara lain, citra MLM di mata sebagian

masyarakat

Indonesia kurang baik. Kesan setengah memaksa, kesan menjadikan setiap orang sebagai prospek. Juga ada keharusan menjual. Tidak jarang harus membeli barang di luar kebutuhan untuk tutup poin. Ada juga yang mengatakan sistem MLM terlalu rumit. Selain itu, produk kebutuhan sehari-hari yang dijual oleh MASS-NET kurang cocok jika di-MLM-kan. Akhirnya diputuskan untuk mengubah pendekatan bisnis MASS-NET dari MLM menjadi klub belanja eksklusif. Klub Belanja Mass, adalah klub belanja eksklusif yang menawarkan

produk-produk

keanggotaannya

dilakukan

kebutuhan melalui

sehari-hari

referensi

yang

berjenjang

metode (refereel

rekrutmen marketing).

Sepintas, kata dia, tidak ada bedanya dengan sistem MLM. Namun, akan terlihat bedanya jika memperhatikan paradigma baru yang diterapkan oleh MASS-NET. mengubah beberapa istilah khas MLM menjadi istilah klub belanja. Istilah upline diganti dengan referen, downline menjadi anggota (sahabat), jaringan menjadi jalinan, stokis menjadi outlet, marketing plan menjadi sistem bonus dan hadiah, serta leader menjadi konsultan. Setelah MASS-NET diubah dari MLM jadi klub belanja, terjadi peningkatan anggota yang sangat signifikan. Dalam satu bulan, jumlah anggota naik dari 4.000 menjadi 6.000 orang.


108-4.DOC

PAGE

5 OF 55

Saat ini Klub Belanja Mass menjual sekitar 40 item. Terdiri dari makanan (food) dan non makanan (nonfood).

Barang-barang tersebut umumnya adalah

barang kebutuhan sehari-hari.

1.4. Visi dan Misi Perusahaan Visi dari perusahaan adalah menjadi perusahaan terbesar dalam bisnis produk consumer goods yang menerapkan metode pemasaran Multi Level, sedangkan misi dari perusahaan adalah meningkatkan efisiensi dan efektifitas perusahaan sehingga memiliki keunggulan kompetitif (competitive advantage).

1.5 Aplikasi Yang Digunakan Aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota menggunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Aplikasi yang dipergunakan saat ini adalah sebagai berikut: •

•

•

Aplikasi Akuntansi o

General Ledger

o

Account Payable

o

Account Receivable

o

Laporan Keuangan

Aplikasi Administrasi Gudang o

Monitoring Stok Gudang

o

Pembuatan Purchase Order

o

Pembuatan Delivery Order

o

Pembuatan Report Stok Opname

Aplikasi Administrasi Pemasaran dan Penjualan o

Pembuatan Sales Order

o

Pembuatan Laporan Penjualan


108-4.DOC

•

•

PAGE

6 OF 55

Aplikasi Administrasi Keanggotaan o

Pendaftaran Anggota Baru

o

Pemeliharaan Data Anggota

o

Perhitungan Bonus Bulanan Anggota

Aplikasi Administrasi Kepegawaian o

Database Pegawai

o

Administrasi Penggajian (Payroll)

1.5 Investasi Teknologi Informasi Teknologi informasi (TI) dan otomatisasi sistem informasi merupakan elemen yang sangat penting dalam mendukung kebanyakan bisnis operasi untuk menjamin suksesnya suatu organisasi.

Oleh karena itu, jasa Teknologi Informasi menjadi

sangat penting untuk dapat beroperasi dengan efisien dan efektif tanpa gangguan dan kendala yang berarti.

Dalam mengelola data transaksi usaha MLMnya, PT.

Mass Net telah memilih investasi TI yang dipandang efisien sesuai skala bisnis UKM. Perusahaan ini mempunyai investasi teknologi informasi saat ini sebagai berikut: Sistem Operasi : Linux redhat 9.1 untuk server database, Windows XP Home edition untuk computer pengguna. 1 buah Server: Intel Pentium 4, 3GHz, Memory 1GB, Harddisk 2x80GB (Mirroring), FastEthernet •

Sistem Operasi RedHat Linux 9.1 (freeware)

•

Database Server MySQL (freeware)

•

Web Server Apache (freeware)

28 PC Klien: •

Pentium 4 Celeron, Memory 128MB, Harddisk 40GB, FastEthernet

•

Sistem operasi Windows XP Home Edition (OEM)

•

Jaringan : LAN 10/100 MBps

•

Perangkat network : Firewall modem router ADSL 1 buah dan hubswitch 1 buah

•

Jaringan internet : ADSL 128 Kbps


108-4.DOC

PAGE

7 OF 55

•

Email :

•

5 alamat e-mail dari internet provider untuk keperluan manajemen

•

Yahoo!mail untuk pegawai lainnya

Konfigurasi jaringan computer yang ada saat ini adalah sebagai berikut:

Internet

ADSL modem / router /firewall Network Pemasaran & Penanganan anggota

Network Gudang & Kepegawaian

Network Akuntansi

File server

`

`

`

`

`

`

Gambar 1 Konfigurasi Jaringan Komputer


108-4.DOC

PAGE

8 OF 55

BAB II. Manajemen Keamanan

II.1. Pendahuluan Dalam konsep manajemen keamanan, terdapat 3 konsep yang akan dibahas, yaitu : -

Konfidensialitas

(Confidentiality),

integritas

(Integrity)

dan

availabilitas

(availability) -

Identifikasi, autentikasi, akuntabilitas, autorisasi dan privasi

-

Objek kontrol keamanan ( objective of security controls ).

Konsep konfidensialitas adalah menyangkut kerahasiaan dari suatu informasi. Atau menjaga agar informasi tidak diakses oleh orang-orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep integritas memastikan agar modifikasi hanya dilakukan oleh seseorang yang berhak dan tidak dilakukan oleh orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan. Konsep availabilitas memastikan agar informasi tersedia bila dibutuhkan. Atau availabilitas menjamin bahwa sistem informasi berjalan dengan baik. Hal ini dilakukan dengan sistem penyimpanan yang baik.

Ketiga hal diatas akan dibahas dan diterapkan dalam sistem keamanan yang akan diterapkan dalam Usaha Kecil Menengah Multi Level Marketing PT. Mass Network

II.2. Klasifikasi Informasi Klasifikasi informasi dilaksanakan karena tidak semua data mempunyai value yang sama pada perusahaan.


108-4.DOC

PAGE

9 OF 55

Dalam pengklasifikasian dokumen ini, dokumen akan dibagi sebagai berikut : No.

Definisi

Keterangan

1.

Umum

Informasi yang dapat dipublikasikan

2.

Internal umum

3.

Internal divisi

4.

Rahasia

Informasi yang hanya dipergunakan untuk keperluan internal perusahaan dan tidak untuk eksternal perusahaan Informasi yang hanya dipergunakan untuk keperluan internal perusahaan, dan hanya divisi yang memiliki data tersebut yang boleh mengetahui Informasi ini rahasia, hanya boleh diketahui oleh pemilik dan orang-orang yang diijinkan oleh pemilik

Tabel II-1 Klasifikasi Dokumen

II.2.1 Penyimpanan Dokumen Dari segi phisik dokumen, terdapat 2 jenis dokumen, yaitu o

Dokumen berupa kertas Dokumen berupa kertas, disimpan di dalam lemari dokumen yang terbuat dari besi dan terkunci. Yang memiliki lemari besi dokumen yaitu : Komisaris, Direktur utama, Direktur Pemasaran dan pengembangan network, Direktur operasinal dan Teknologi Informasi, Manager pemasaran, Manajer penanganan anggota, manajer kepegawaian dan umum, manajer Teknologi Informasi, manajer akunting, staf umum (1lemari), staf kepegawaian (1 lemari), staf teknologi informasi (1lemari), staf akunting ( 1 lemari), staf pemasaran (1 lemari) dan staf penanganan anggota ( 1 lemari).

o

Dokumen berupa file Dokumen berupa file dapat disimpan dalam komputer masing-masing. Dimana setiap pengguna menyimpan dalam folder “my document” masing-masing. File juga dapat disimpan dalam folder user yang berada pada server. Selain itu terdapat folder yang dapat diakses oleh masing-masing bagian.

II.2.2. Prosedur Pengklasifikasian Dokumen Elemen kunci dari pengklasifikasian dokumen adalah sebagai berikut : 1. Pemilik


108-4.DOC

PAGE

10 OF 55

Pemilik dokumen adalah seorang manager, direktur dan komisaris. Seorang pemilik dokumen berkewajiban menentukan pengklasifikasian informasi, merubah klasifikasi informasi secara periodik, memberikan hak akses kepada orang/divisi lain dan mendelegasikan kewenangan kemananan dokumen kepda kustodian. 2. Kustodian Pemilik informasi mendelegasikan tanggungjawab keamanan dokumen pada kustodian dalam hal ini karyawan pada divisi Teknologi Informasi. Tugas dari kustodian yaitu: melakukan backup secara periodik, melakukan restorasi data backup bila diperlukan dan memelihara catatan-catatan informasi kebijakan pengklasifikasian 3. Pengguna Pengguna adalah orang-orang yang boleh membaca dokumen tersebut. Kewajiban dari seorang pengguna adalah mengikuti operasional prosedur keamanan sistem informasi pada perusahaan.

Prosedur untuk pengklasifikasian dokumen berupa kertas, adalah sebagai berikut: 1. Setiap pemilik dokumen diwajibkan untuk menuliskan / mengecap pada awal dokumen mengenai klasifikasi dokumen ( umum, internal umum, internal divisi atau rahasia). 2. Menuliskan / mengecap pada awal dokumen tanggal penulisan atau tanggal penerimaan dokumen

Prosedur untuk pengklasifikasian dokumen berupa file, adalah sebagai berikut: 1. Setiap dokumen / file yang dibuat, diwajibkan untuk menuliskan hak akses, tanggal dibuat dan dimodifikasi, dan klasifikasi informasi (umum, internal umum, internal divisi atau rahasia). 2. Setiap divisi memiliki direktori file. Dalam direktori file tersebut terdapat direktori yang sesuai dengan klasifikasi informasi tersebut. Jadi terdapat direktori umum, direktori internal umum, direktori internal divisi dan direktori rahasia. Setiap pemilik dokumen diwajibkan meletakkan file-file tersebut sesuai dengan klasifikasi informasinya.


108-4.DOC

PAGE

11 OF 55

II.3. Manajemen Resiko Manajemen resiko dimaksudkan untuk mengurangi resiko hingga mencapai sebuah tingkatan yang dapat diterima oleh perusahaan. Didalam manajemen resiko ini akan dilakukan Analisa resiko. Resiko adalah potensial kerugian yang membutuhkan proteksi 1. Untuk menganalisa resiko ini, akan dianalisa kerawanan (vulnerability) dan ancaman (threat) yang akan mungkin terjadi. Tujuan utama dari analisa resiko adalah untuk mengkuantifikasi dampak dari ancaman potensial

II.3.1. Analisa Kerawanan Kerawanan adalah jalan yang potensial untuk menyerang. Kerawanan dapat terjadi karena sistem komputer dan jaringan (sistem terbuka sehingga dapat memungkinkan diserang) atau dapat pula karena prosedur administratif. Dalam perusahaan ini dianalisa kemungkinan-kemungkinan kerawanan yang ada yaitu : 1. Lokasi bangunan Bangunan berada pada kompleks perkantoran. Penjagaan dilakukan oleh satuan pengamanan kompleks 2. Keamanan bangunan Keamanan bangunan disini yaitu siapa saja yang memegang kunci pintu. Yang boleh memegang pintu kunci ruangan adalah setiap manager yang bersangkutan. Satuan pengaman hanya memegang kunci pintu utama. Disini juga terpasang CCTV yang dapat mengamati ruangan pada tiap lantai. Rekaman CCTV ini terdapat pada ruang server. 3. Pembagian ruangan setiap departemen Dengan adanya pembagian ruangan, maka selain kunci yang dipegang oleh manager, juga hanya orang-orang tertentu boleh masuk ke ruang tertentu. Seperti gudang hanya dapat dimasuki oleh karyawan gudang, ruang keuangan hanya boleh dimasuki oleh karyawan keuangan, karyawan lain yang ingin berhubungan dengan staf keuangan harus melalui loket yang tersedia. Ruang server hanya boleh dimasuki oleh karyawan divisi Teknologi Informasi.


108-4.DOC

PAGE

12 OF 55

4. Meja karyawan yang memungkinkan informasi tercecer Meja karyawan diharuskan selalu bersih oleh dokumen-dokumen. 5. Lemari tempat penyimpanan dokumen Lemari tempat penyimpanan dokumen harus selalu terkunci, dan tidak ditinggalkan dalam keadaan tidak terkunci 6. Pengklasifikasian dokumen Setiap dokumen haruslah diklasifikasikan agar menjamin integritas dan confidensialitas. 7. Hak akses Diadakan aturan terhadap hak akses bagi setiap karyawan. Hak akses akan dibahas pada bab II 8. Pemakaian server secara bersama Dengan pemakaian server secara bersama, staff Teknologi Informasi haruslah selalu melakukan kontrol terhadap sistem secara keseluruhan dan prioritas hak yang diberikan pada masing-masing file.

II.3.2. Analisa Ancaman Ancaman adalah sebuah tindakan atau kejadian yang memungkinkan tindakan yang melawan keamanan sistem informasi. Ancaman-ancaman yang dapat terjadi : 1. Virus Hal ini diatasi dengan memberikan anti virus AVG free pada setiap PC komputer. Setiap pengguna komputer haruslah meng-update anti virus ini. Apabila memasukan disket, CD atau USB haruslah men-scan-nya terlebih dahulu. 2. Pegawai Pegawai mempunyai akses langsung ke sumber informasi karena pekerjaannya. Tetapi adanya pegawai yang tidak puas, dapat merusak sistem informasi yang ada. Sehingga setiap pegawai dapat dianggap sebagai ancaman 3. Mantan pegawai Mantan pegawai mempunyai pengetahuan mengenai seluk beluk sistem informasi yang ada, sehingga hal ini patut diwaspadai 4. Hacker


108-4.DOC

PAGE

13 OF 55

Hacker dapat datang dari luar (internet) ataupun dari dalam. Dari luar dapat ditanggulangi dengan penempatan firewall. 5. Pesaing Pesaing dapat saja mencoba untuk masuk dalam sistem informasi perusahaan. 6. Pelanggan Pelanggan yang datang juga dapat dicurigai sebagai ancaman, karena bila terdapat informasi yang tercecer dimeja, atau pada saat staff penjualan tidak berada ditempat, pelanggan dapat mencoba untuk masuk ke dalam sistem informasi. 7. Tamu Tamu terkadang ditempatkan di dalam ruangan. Apabila tamu tersebut tidak diawasi, dan terdapat informasi yang tercecer, maka informasi tersebut dapat diketahui oleh tamu yang datang 8. Bencana alam Bencana alam dapat merusak bangunan dan penyimpanan informasi yang ada. 9. Kecerobohan Yang termasuk kecerobohan seperti tertumpah air, berserakan, jatuh tercecer dan lain-lain

II.3.3 Analisa Resiko Resiko adalah kombinasi dari ancaman (threat)dan kerawanan (vulnerability). Resiko dapat diukur secara kuantitatif dan kualitatif. Dengan pendekatan kuantitatif, resiko diukur dengan pendekatan secara finansial. Dengan pendekatan kualitatif, pendekatan dilakukan dengan menggunakan “scoring system”. Dalam tulisan ini, kami melakukan pendekatan kualitatif sebagai berikut 1: 1. Rendah Posisi kerawanan pada perusahaan cukup rendah atau hal ini sangat jarang terjadi. Tindakan untuk menghilangkan kerawanan ini akan diambil bila memungkinkan,

tetapi

faktor

biaya

juga

mendapat

perhatian

untuk

menghilangkan kerawanan ini. 2. Medium Posisi kerawanan pada perusahaan cukup tinggi terhadap konfidensialitas, integrity, availabilitas dan akuntanbiliatas dari sistem informasi perusahaan. Hal


108-4.DOC

PAGE

14 OF 55

ini sangat mungkin terjadi. Tindakan untuk menghilangkan kerawanan ini sangatlah dianjurkan. 3. Tinggi Posisi kerawanan pada perusahaan sangat tinggi dan sangat membahayakan terhadap konfidensialitas, integritas, availabilitas dan

atau akuntabilitas dari

sistem informasi perusahaan. Tindakan untuk menghilangkan kerawanan ini harus segera dilakukan.


No

Aset

108-4.DOC

PAGE

15 OF 55

Kerawanan

Ancaman

Resiko

Klasifikasi resiko

Dicuri, terbakar, rusak terkena air

Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan

Data hilang, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Data hilang, aset fisik hilang Data hilang, aset fisik hilang

Tinggi

Penanggulangan

Aset Fisik 1

Server

2

Modem Router firewall ADSL

3

Peripheral Komputer server

4

CD perangkat lunak

5

Rekaman CCTV

6

Eksternal Hard Disk, CD dan kaset untuk Backup Komputer user

7

8

Peripheral komputer user

Dicuri, terbakar, rusak terkena air

Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan

Medium

Rendah

Ditempatkan di ruang server. Pada ruang ini, pegawai tidak boleh makan, minum dan merokok. Yang boleh masuk ruang server hanya pegawai pada divisi Teknologi Informasi.

Tinggi

Medium

Tinggi

Data disimpan dalam save deposit box.

Data hilang, aset fisik hilang

Medium

Sistem tidak berfungsi, aset fisik hilang

Rendah

Keluar masuk barang harus ada izin tertulis dari atasan dan petugas keamanan Setiap user bertanggung jawab pada komputernya, dan petugas keamanan mengawasi keluar masuk barang


9

Kabel Jaringan

10

HUB

11

Lemari Besi

12

Disket, CD, USB

108-4.DOC

PAGE

16 OF 55

Sistem tidak berfungsi, aset fisik hilang Sistem tidak berfungsi, aset fisik hilang Data hilang, aset fisik hilang

Rendah

Terdapat cadangan kabel

Rendah

Terdapat cadangan HUB

Data hilang, aset fisik hilang

Rendah

Tinggi

Petugas keamanan mengawasi keluar masuk barang. Terdapat kebijakan keamanan perusahaan yang mengenakan sanksi pada pencurian


108-4.DOC

PAGE

17 OF 55

BAB III. Sistem Kontrol Akses

III.1 Pendahuluan Akses kontrol adalah jantung dari keamanan. Akses kontrol adalah : -

Kemampuan untuk mengijinkan hanya kepada pengguna yang berhak

-

Memberikan atau tidak memberikan hak akses, sesuai dengan model keamanan tertentu, dengan izin tertentu untuk mengakses suatu sumber informasi

-

Seperangkat prosedur yang diterapkan pada perangkat keras, perangkat lunak dan adminstrator untuk memonitor akses, mengidentifikasi pengguna, mencatat akses yang telah dilakukan dan memberikan atau menolak akses berdasarkan peraturan yang telah dibuat.

Kontrol diimplementasikan untuk mengurangi resiko dan potensial kerugian. Kontrol dapat berupa : -

Preventif : mencegah terjadinya insiden

-

Detektif : mendeteksi terjadinya insiden

-

Korektif : memperbaik terjadinya insiden

Dalam bab ini akan membahas akses kontrol seperti yang telah dijelaskan di atas yang dapat diterapkan pada Usaha Kecil dan Menengah PT Mass Network.

III.2 Kontrol Identifikasi dan Otentikasi Identifikasi adalah proses atau aksi yang dilakukan oleh pengguna untuk membuktikan siapa (identitas) dirinya kepada sistem. Otentikasi adalah verifikasi pengguna tersebut sesuai dengan identitas yang diberikan. Untuk identifikasi dan otentikasi yang diterapkan pada PT Mass Network, digunakan nama login dan password. Setiap pengguna pada komputer , wajib memasukkan namalogin dan password. Kebijakan keamanan pada login yaitu : -

Minimal terdapat dua nama login pada setiap komputer klien. Satu nama login administrator dan satu nama login pengguna

-

Nama login pengguna masuk dalam kelompok pengguna (bukan administrator)

-

Nama login tidak boleh diberikan kepada orang lain


-

108-4.DOC

PAGE

18 OF 55

Apabila karyawan sudah tidak menjadi pegawai PT Mass Network, maka nama login-nya akan dihapus

Kebijakan pada password yaitu : -

Password paling sedikit terdiri dari delapan karakter tanpa spasi.

-

Password merupakan kombinasi angka dan huruf

-

Password pengguna diberikan oleh petugas pada divisi teknologi informasi, dan haruslah diganti pada saat pertama kali login.

-

Password harus dirubah sebulan sekali untuk pengguna dan dua minggu sekali untuk server

-

Password haruslah diingat dan tidak boleh dicatat

-

Password tidak boleh sesuatu yang mudah ditebak, seperti nama keluarga, tanggal lahir dan lain sebagainya.

-

Password tidak boleh diberikan kepada orang lain

-

Password yang pernah dipergunakan tidak boleh dipergunakan kembali.

III.3. Kontrol Akses Kontrol akses secara phisik yang dilakukan pada PT Mass Network, yaitu : 1. Setiap kunci lemari arsip dipegang oleh manager atau petugas yang diberikan tanggung jawab tersebut. 2. Setiap kunci ruangan dipegang oleh manager divisi yang bersangkutan atau petugas/karyawan yang ditunjuk. Petugas keamanan hanya memegang kunci utama. 3. Kunci untuk kotak save deposit sebagai tempat penyimpanan backup hard disk dipegang oleh manager TI 4. Aset informasi/dokumen yang tersimpan pada lemari arsip harus diklasifikasikan sesuai dengan klasifikasi informasi 5. Setiap lemari arsip diberi label yang menunjukkan siapa saja yang boleh membuka lemari tersebut. 6. Media penyimpanan seperti disket, CD, USB dan lain-lain haruslah diletakkan sesuai dengan klasifikasi informasi. 7. Apabila ada tamu atau pihak ketiga yang berhubungan dengan perusahaan haruslah ditemani oleh minimal seorang pegawai.


108-4.DOC

PAGE

19 OF 55

8. Apabila ada pekerjaan yang berhubungan dengan perusahaan dikerjakan oleh pihak lain, maka harus ada penanggung jawab terhadap pekerjaan tersebut. 9. Setiap pegawai wajib mengenakan papan nama, yang menunjukan nama dan divisinya. Apabila pegawai tidak membawa papan nama, maka petugas keamanan akan memberikan papan nama sementara. Untuk tamu diberikan papan nama tamu. 10. Apabila informasi itu dibuang, maka harus dipastikan bahwa informasi tersebut sudah tidak dapat dibuka kembali. Hal yang dapat dilakukan seperti sebelum membuang kertas dokumen, maka dokumen tersebut wajib untuk dihancurkan melalui mesin penghancur kertas. Apabila dalam bentuk disket, CD atau tempat penyimpanan lain, pastika media tersebut benar-benar hancur.

Kontrol akses pada file yang tersimpan pada komputer : 1. Setiap pengguna komputer mempunyai nama login yang unik. Setiap pengguna hanya boleh menyimpan pada “my documents” dari pengguna, dan tidak diperkenankan untuk mencoba membuka file selain dari folder tersebut. 2. Login pengunna dibatasi hanya dapat membuka file pada folder “my documents”. Pengguna dibatasi untuk tidak dapat meng-install program pada komputer. 3. Apabila pengguna memerlukan tambahan aplikasi perangkat lunak selain yang telah di-install, maka pengguna harus menghubungi petugas Teknologi Informasi. 4. Setiap pegawai diperkenankan untuk berhubungan dengan internet, tetapi hanya untuk keperluan bisnis. 5. Setiap pengguna dapat memiliki nama login pada server data. 6. Terdapat direktori untuk semua divisi pada server. Hak akses pada file-file tersebut diberikan oleh pemilik informasi. Hak akses untuk group dan untuk umum. Baik untuk group dan untuk umum, hak akses tersebut terbagi tiga yaitu melihat, mengedit dan mengeksekusi. 7. Dalam server Linux, petugas Teknologi informasi membuat nama login dan memasukkan nama login tersebut dalam sebuah grup yang berhubungan dengan divisi orang tersebut.

Kontrol akses yang diterapkan pada aplikasi dan server data adalah sebagai berikut:


Nama

108-4.DOC

PAGE

20 OF 55

Aplikasi

Aplikasi

Aplikasi

Aplikasi

Aplikasi

Server

Akuntansi

Administrasi

Administrasi

Administrasi

Administrasi

Data

Gudang

Pemasaran

Keanggotaan Kepegawaian

dan Penjualan A01

baca

baca

Baca

baca

baca

baca, tulis

A02

baca

baca

Baca

baca

baca

baca, tulis

A03

baca

baca

Baca

baca

baca

baca, tulis

A04

-

-

Baca,tulis

Baca,tulis

-

Baca, tulis

A05

Baca,

Baca , tulis

-

-

Baca, tulis

tulis A06

-

Baca, tulis

-

Baca, tulis

baca

-

Baca, tulis

A07

-

-

baca

Baca, tulis

-

Baca, tulis

A08

-

-

-

-

Baca, tulis

Baca, tulis

A09

-

-

-

-

-

Baca, tulis

A10

Baca,

-

-

-

-

tulis A11..

Baca, tulis

-

-

Baca, tulis

baca

-

Baca

-

-

baca

Baca, tulis

-

Baca

-

Baca, tulis

-

-

-

Baca

-

-

-

-

Baca, tulis

Baca

A20 A21.. A24 A25.. A28 A33.. A35


108-4.DOC

A38..

-

-

PAGE

21 OF 55

-

-

-

Baca,

A40

tulis

A41..

Baca,

A43

tulis

-

-

-

-

Baca

Tabel 3.1. Tabel Akses kontrol untuk aplikasi dan server data

Kontrol akses pada aplikasi : 1. Pada

Aplikasi

Administrasi

pemasaran

dan

penjualan

staf

pemasaran

memasukkan data, persetujuan hanya dapat diberikan dari manajer pemasaran atau direktur pemasaran dan pengembangan network. 2. Pada

aplikasi

administrasi

keanggotaan,

staff

penanganan

anggota

memasukkan data, persetujuan hanya dapat diberikan dari manajer penanganan anggota atau direktur pemasaran dan pengembagan network. 3. Pada aplikasi administrasi gudang, staff umum dan gudang memasukkan data, persetujan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional & Teknologi Informasi. 4. Pada aplikasi kepegawaian, staff kepegawaian memasukkan data, persetujuan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional dan Teknologi Informasi. 5. Pada aplikasi kepegawaian staf kepegawaian hanya dapat melihat data kepegawaian hingga level manajer. Level direktur dan komisaris hanya dapat dilihat oleh manajer kepegawaian dan umum, dan disetujui oleh direktur operasional dan Teknologi Informasi. 6. Pada aplikasi akuntansi, staf akunting hanya dapat memasukkan data, persetujuan dari manajer akunting atau direktur operasional dan teknologi informasi. Untuk persetujuan keuangan diatas Rp 20.000.000, persetujuan harus disetujui oleh direktur operasional dan teknologi.

III.4 Monitoring Kontrol Akses Untuk memonitor kontrol akses ini, hal-hal yang dapat dilakukan yaitu : 1. Penggunaan Intrusion Detection System (IDS). Pembahasan lebih lanjut mengenai IDS akan dibahas pada BAB keamanan telekomunikasi dan jaringan .


108-4.DOC

PAGE

22 OF 55

2. Petugas divisi teknologi informasi akan mengecek setiap komputer 2 minggu sekali. Dalam pengecekan ini akan dilakukan pengecekan anti virus dan nama login serta hak ases terhadap setiap nama login. Apabila ditemukan nama login yang lain atau terdapat perubahan hak akses, maka kejadian ini dapat dilaporkan ke Direktur operasional dan Teknologi Informasi. 3. Pemilik informasi berkewajiban untuk selalu mengecek hak akses pada setiap informasi yang dimiliki. 4. Minimal setiap seminggu sekali terdapat full backup data. Backup data tersimpan pada sebuah Harddisk eksternal, yang tersimpan pada safe deposit bank. Backup data ini di rotasi setiap 6 minggu. 5. Setiap bulan sekali terdapat full backup data. Backup data ini tersimpan dalam kaset, yang tersimpan pada manajer Teknologi Informasi. Backup data ini bertahan sampai 3 tahun. 6. Apabila terjadi kecurigaan terhadap integritas data, maka dengan seijin pemilik data, petugas teknologi informasi dapat merestorasi informasi yang diinginkan.

III.5 Kepedulian Pada Keamanan

Kepedulian pada keamanan (security awareness) harus ditumbuh kembangkan. Untuk itu perlu diadakan pelatihan internal maupun eksternal. Pelatihan ini ditujukan pada pegawai, administrator (divisi teknologi informasi), direktur dan petugas keamanan.

Hal-hal yang ditekankan pada kepedulian keamanan yaitu : 1. Informasi tidak dapat dijaga tanpa dukungan dari seluruh karyawan. 2. Pelatihan dapat dilaksanakan pada kelas ataupun penyebaran artikel. 3. Karyawan harus diajarkan pentingnya keamanan pada perusahaan dan bagaimana untuk mengidentifikasikan dan melindungi informasi yang sensitif. Karyawan harus diberikan informasi mengenai kebijakan perusahaan dan ancaman dari lingkungan. 4. Administrator haruslah dilatih teknik keamanan yang terbaru, ancaman dan penanggulangannya.


108-4.DOC

PAGE

23 OF 55

5. Tanpa adanya dukungan dari pihak manajemen, program keamanan tidak dapat dijalankan. 6. Mempresentasikan secara berkala kepada pihak manajemen agar mereka selalu terinformasi status keamanan dari perusahaan. 7. Petugas sekuriti haruslah selalu tetap memberikan yang terbaik kepada perusahaan. 8. Kepada pihak manajer ditekankan bahwa keamanan bukan hanya masalah teknologi,tetapi juga masalah manusia2. 9. Manajemen haruslah berusaha untuk menghindari konflik-konlik yang dapat mengakibatkan karyawan yang loyal menjadi seseorang yang dapat menyabotase sistem informasi.


108-4.DOC

PAGE

24 OF 55

BAB IV. Keamanan Telekomunikasi dan Jaringan

Dalam bab ini akan dibahas keamanan jaringan dan telekomunikasi pada PT Mass Network.

IV.1 Konfigurasi Jaringan Konfigurasi jaringan pada PT Mass Network seperti tampak pada gambar 3.1.

Internet

ADSL modem / router /firewall Network Pemasaran & Penanganan anggota

Network Gudang & Kepegawaian

Network Akuntansi

File server

`

`

`

`

`

`

Gambar 4-1 Konfigurasi jaringan PT Mass Network

Seperti tampak pada gambar 3.1, konfigurasi jaringan PT Mass Network terdiri dari 3 buah Network yang terdiri dari 29 komputer yaitu :


108-4.DOC

PAGE

25 OF 55

1. Network Pemasaran & Penanganan anggota Pada network ini terhubung komputer yang digunakan oleh : A01,A04,A06,A07,A11,A12,A13,A14,A15,A21,A22,A23 dan A38 2. Network Gudang & Kepegawaian Pada network ini terhubung komputer yang digunakan oleh : A02,A05,A08,A25,A26,A27,A33,A34 dan A39 3. Network Akuntansi Pada network ini terhubung komputer yang digunakan oleh : A03,A09,A10,A40,A41,A42. 4. Network sentral data

Adapun keempat buah network tersebut terhubung ke Router/Modem/Firewall ADSL.

IV.2. Kebijakan Keamanan jaringan Kebijakan keamanan jaringan yang diterapkan pada PT Mass Network adalah sebagai berikut: 1. Instalasi software hanya boleh dilakukan oleh karyawan divisi Teknologi Informasi. 2. Sistem operasi yang digunakan oleh windows XP professional sp 2. 3. Setiap komputer harus di-install antivirus. Antivirus yang digunakan AVG Antivirus free edition. 4. Setiap Network tidak saling berhubungan, kecuali ke Network sentral data dimana diletakkan sebuah Linux server sebagai sentral data. 5. Setiap user tidak dibenarkan memberikan login account kepada orang lain. Dan bertanggung jawab terhadap login account tersebut. 6. Setiap komputer dapat terhubung ke internet melalui firewall ADSL 7. Internet hanya digunakan untuk keperluan kantor, dan tidak boleh mengakses situs porno dan yang berhubungan dengan crack atau hack. Hal ini disebabkan situs-situs tersebut tidak berhubungan dengan keperluan perusahaan dan banya virus bersumber pada situs-situs tersebut 8. Petugas pada divisi Teknologi Informasi harus membatasi akses-akses ke internet dengan memblok situs yang berhubungan dengan pornografi, crack dan hack. Pada saat ini dibatasi pada modem/firewall ADSL.


108-4.DOC

PAGE

26 OF 55

9. Pengguna tidak diperbolehkan mengubah setting keamanan pada sistem operasi, membuat user account, menggunakan perangkat untuk crack / hack, dan tindakan-tindakan yang dapat mengandung unsur kejahatan ( misal, pencurian data, scan IP, sniffing). 10. Konfigurasi

berbentuk

Star,

untuk

itu

perusahaan

mempunyai

ADSL

modem/router/firewall cadangan yang akan dipergunakan bila alat tersebut rusak. 11. Perusahaan mempunyai cadangan HUB bila hub yang dipergunakan rusak. 12. Firewall dan Intrusion Detection System

mempunyai log file, history, dan

memberitahukan melalui email bila terdapat kecurigaan terhadap adanya serangan. 13. Terdapat sebuah Intrusion Detection System pada Network akutansi, hal ini untuk menambah pengamanan terhadap serangan internal maupun eksternal. 14. Apabila memungkinkan Dapat pula dipasang Intrusion Detection System pada setiap Network. 15. Data pada komputer yang terpasang aplikasi akuntansi, administrasi gudang, administrasi pemasaran, administrasi keanggotaan, administrasi kepegawaian dan server data dibuat mirroring. 16. Setiap minggu data-data tersebut dibuat full backup, ke eksternal Hard Disk. Eksternal Hard Disk yang terbaru ini akan disimpan di save deposit box pada sebuah bank. External Hard disk yang lama di simpan di ruang server hingga 5 minggu / minggu ke 6 di rotasi. 17. Setiap bulan data-data tersebut dibuat full backup ke kaset. Kaset ini bertahan hingga 3 tahun. 18. Pada komputer data pada tiap aplikasi dan pada server data dipasang Uninterruptible Power Supply (UPS). 19. UPS yang terpasang harus mampu hidup selama minimal 20 menit bila listrik dari PLN padam. 20. Agar lebih efisien, web site PT Mass Network diletakkan pada web hosting sehingga pemeliharaan diserahkan pada perusahaan web hosting. 21. Sistem jaringan dibuat sentralisasi ,PABX, ADSL modem, IDS, Linux server data dan semua HUB diletakkan pada ruang server 22. Setiap karyawan yang meninggalkan komputer haruslah me-lock komputer agar tidak dipergunakan oleh oleh lain,


108-4.DOC

PAGE

27 OF 55

23. Setiap penanganan kerusakan, instalasi perangkat lunak, instalasi perangkat keras diharuskan mengisi log book. 24. Seluruh penyalahgunaan wewenang menjadi tanggung jawab pemegang otoritas.


108-4.DOC

PAGE

28 OF 55

BAB V. Cryptography dan Security Architecture & Models Inti dari cryptography adalah menjamin kerahasiaan (confidentiality) informasi dengan melakukan enkripsi (penyandian).

Keutuhan (integrity) atas data-data pembayaran

dilakukan dengan fungsi hash satu arah.

Jaminan atas identitas dan keabsahan

(authenticity) pihak-pihak yang melakukan transaksi dilakukan dengan menggunakan password atau sertifikat digital. Sedangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.

V.1. Keamanan Jaringan Keamanan: menjaga agar resource digunakan sebagaimana mestinya oleh pemakai yang berhak. Pemakaian alat (termasuk program) dapat menyebabkan kerusakan baik disengaja atau tidak. Pembatasan pemakaian bukan untuk mempersulit tetapi supaya efisien dan tidak merusak. Proteksi: •

authentication: pemakai harus dapat membuktikan dirinya. Contoh: user dan password. Dalam jaringan UNPAR ditambahkan sumber akses (komputer yang digunakan) dengan asumsi bahwa pada satu saat satu orang hanya dapat/boleh bekerja dengan satu komputer yang sama.

•

gateway: gerbang masuk menuju sistem dengan firewall

•

attack: serangan terhadap sistem.

•

authorization: pemakai diperbolehkan menggunakan pelayanan dan resource sesuai dengan haknya.

•

monitoring: pengawasan terhadap jaringan

•

Komunikasi terenkripsi: menggunakan enkripsi agar data tak dapat diintip

V.2. Authentication. Database tentang user. Informasi umum tentang pemakai disimpan di file /etc/passwd


108-4.DOC

PAGE

29 OF 55

Enter command # more /etc/passwd root:*:0:0:Bozz:/root:/bin/sh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin --- dipotong --www:*:10000:65533:WebMaster:/nonexistent:/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin gatut:*:21001:21001:Gatut:/home2/gatut:/usr/local/bin/tcsh wardojo:*:1004:20:Wardojo:/home2/wardojo:/usr/local/bin/tcsh ari:*:1005:20:Ari Nurcahyo:/home1/ari:/usr/local/bin/tcsh tres:*:1006:20:Theresia Maria Sri Prihatiningsih:/home2/tres:/usr/local/bin/tcsh --- dipotong --utilitas LINUX: finger Defaultnya, menampilkan daftar nama pemakai yang sedang aktif atau informasi lain tentang pemakai tertentu. [gatut@bsd02 gatut]$ finger [gatut@bsd02 gatut]$ finger gatut Login Name TTY Idle Login Time Office Phone gatut V Gatut Harijoso p0 Wed 00:13 PUSKOM utilitas LINUX: w dan who Mengetahui pemakai yang sedang aktif. [gatut@bsd02 gatut]$ w [gatut@bsd02 gatut]$ who

utilitas Linux : last Menampilkan daftar pemakai terakhir [gatut@bsd02 gatut]$ last pemake ttyp0 10.210.2.51 yuser ttyp9 167.205.136.3 7397023 ttyp1 10.210.2.48 --- dst -- dipotong --

Tue Jun 29 23:50 - 00:02 (00:11) Tue Jun 29 23:37 - 23:39 (00:02) Tue Jun 29 23:07 - 23:24 (00:16)


108-4.DOC

PAGE

30 OF 55

Pemakai hendaknya selalu memperhatikan pesan "last login from:" pada saat login agar dapat segera diketahui apabila terdapat pemakai lain yang menggunakan user-id tersebut. Authentikasi melalui sistem (yaitu, password) yang sesungguhnya disimpan dalam bentuk ter-enkripsi dalam file yang tak dapat dilihat oleh pemakai biasa, biasanya /etc/master.passwd atau /etc/shadow.

V.3. Authorization Pemakai yang sudah terbukti mendapatkan haknya untuk dilayani dan menggunakan resource. Karena pemakai memiliki hak penuh atas file yang dimilikinya, maka pemakai harus mengatur sendiri datanya. Utilitas LINUX: chmod Menentukan hak akses file dan directory. [gatut@bsd02 gatut]$ chmod [gatut@bsd02 /home]$ ls -l total 4 drwxr-xr-x

26 gatut

staff

2048 Jun 30 00:03 gatut

drwxr-xr-x

9 pemake

user

1024 May

8 09:41 pemake

drwxr-xr-x

2 noone

nobody

1024 Apr 16 11:53 noone

[gatut@bsd02 /home]$ chmod 0711 gatut [gatut@bsd02 /home]$ ls -l total 4 drwx--x--x

26 gatut

staff

2048 Jun 30 00:03 gatut

drwxr-xr-x

9 pemake

user

1024 May

8 09:41 pemake

drwxr-xr-x

2 noone

nobody

1024 Apr 16 11:53 noone

[gatut@bsd02 /home]$

Ada banyak aplikasi yang bekerja di server bekerja atas nama super-user, misalnya agar dapat membaca file password atau menulis data ke dalam sistem (lihat kembali perintah "ps aux"). Semakin kompleks aplikasi, semakin besar kemungkinan terdapat


108-4.DOC

PAGE

31 OF 55

kesalahan (bug). Program yang berjalan atas nama super-user dan salah bisa berakibat fatal. Oleh sebab itu, biasanya aplikasi client-server sebisa mungkin memisahkan akses yang menuntut hak super-user.

V.4. Gateway Gateway yang menghubungkan sistem ke luar dapat menjadi gerbang ke dalam, sehingga ada resiko perusakan atau pencurian data oleh publik yang jauh lebih luas. Firewall (dinding api) gateway yang menjaga keamanan sistem. •

Penyaringan packet: hanya paket dari dan ke host, tcp, udp tertentu yang boleh berkomunikasi. Program melakukan pemeriksaan dan penyaringan sehingga hanya pelayanan yang diketahui dan benar yang boleh lewat.

•

Gateway aplikasi: pengiriman dan penerimaan mail gateway untuk mempermudah pemeriksaan dan mengurangi beban jaringan.

V.5. Attack Password terbuka karena: pencurian, catatan yang tercecer, pengamatan (cara mengetik, mengintip paket) Membelokkan akses: dengan mengganti ip, dns, atau route membelokkan akses ke server palsu untuk menjebak password. Kesalahan program: tak ada gading yang tak retak Jangan menjalankan program yang tak diketahui. Penyebaran virus melalui email, java script, vb script. Membebani server dengan akses yang besar. Batu loncatan: biasanya akses dari komputer yang terletak di intranet kurang dibatasi. Apabila akses ke komputer di intranet terbuka, maka pemakai internet dapat masuk ke dalam komputer di intranet, kemudian menggunakan komputer tersebut sebagai batu loncatan.


108-4.DOC

PAGE

32 OF 55

V.6. Monitoring Mengetahui apa yang terjadi sebagai tindakan preventif dengan membaca catatan system. LINUX: catatan biasanya disimpan dalam directory /var/log. /var/log/messages Pesan-pesan dari sistem /var/log/maillog

Transaksi email (SMTP)

Komunikasi Terenkripsi Komunikasi melalui jaringan publik memungkinkan adanya penyadap ikut mendengarkan percakapan. Beberapa software: •

Secure Shell: pengganti telnet dengan enkripsi

•

HTTPS: secure HTTP

Akibat enkripsi, data yang dipertukarkan lebih besar.


108-4.DOC

PAGE

33 OF 55

BAB VI. Operations Security VI.1. Administration Controls Apabila terjadi pelanggaran yang dilakukan oleh pegawai yaitu : 1. dengan sengaja menghilangkan data, mengubah data dan merusak data 2. dengan sengaja merusak label cd, disket 3. mengambil cd, disket tanpa seijin departement IT maka akan dikenakan Surat Peringatan yang bertingkat tergantung jenjang pelanggaran yang dilakukan.

VI.2. Record Retention Medium yang dipergunakan untuk menyimpan data dan backup file pada PT. mass Net adalah CD, Kaset, dan external disk. Hal ini karena kepraktisan media ini dan memiliki Masa penyimpanan data adalah rata-rata bisa mencapai waktu kurang lebih 5 tahun.

VI.3. Privileged Entity Controls Manajemen Password pada PT.

Mass Net dilakukan oleh bagian Teknologi

informasi. Password diletakkan dalam amplop file tertutup yang akan dipergunakan apabila terjadi masalah. Apabila telah selesai digunakan, maka password diubah kembali, kemudian diletakkan pada amplop file tertutup dan disimpan dalam barkas TI.

VI.4. Audit Trails Kebijakan audit trail PT. Mass Net dalam hal Log file adalah menyimpan Log file audit dalam jangka waktu 1 tahun, sedangfkan data history disimpan dalam masa satu bulan. Audit logs berisi: tanggal, jam, orang yang login, terminal yang digunakan, security event, dan seluruh informasi data transaksi event-event tertentu.


108-4.DOC

PAGE

34 OF 55

BAB VII. Pengembangan Aplikasi dan Sistem

Mengacu

pada

standar

keamanan

Sistem

Informasi

untuk

bidang

pengembangan aplikasi dan sistem terdapat beberapa bidang yang perlu menjadi perhatian, yaitu: •

Proses siklus pengembangan aplikasi;

•

Sistem database; dan

•

Kontrol terhadap aplikasi

PT. MassNet sebagai sebuah perusahaan distribusi terbatas dan berskala Usaha Kecil Menengah mencoba untuk mengaplikasikan sebaik mungkin best practices dalam hal pengembangan aplikasi dan sistem. Terdapat tiga jenis aplikasi dan sistem yang digunakan oleh PT. MassNet ditinjau dari jenis pengembangan atau perolehannya, yaitu sebagi berikut: •

Paket aplikasi jadi yang dibeli;

•

Paket aplikasi freeware; dan

•

Aplikasi yang dikembangkan sendiri

Penanganan untuk aplikasi yang dikembangkan sendiri mengikuti standar kerja pengembangan sistem aplikasi yang baik dan terkontrol: •

Permintaan untuk mengembangkan aplikasi datang dari seluruh bagian internal perusahaan, dan harus mendapatkan persetujuan manajemen

•

Setelah mendapatkan persetujuan manajemen dan mendapatkan alokasi anggaran dana dan sumber daya manusia, bagian Teknologi Informasi akan mulai mengembangkan aplikasi menggunakan metode FAST dan kerangka kerja PIECES (Performance, Information and data, Economics, Control security, Efficiency, Service)

Sedangkan untuk aplikasi-aplikasi jadi baik yang harus dibeli maupun freeware, dan juga aplikasi hasil pengembangan internal, tanggung jawab pengoperasiannya berada pada bagian Teknologi Informasi, dan setiap perubahan setting yang dilakukan harus selalu dicatat dalam catatan log.


108-4.DOC

PAGE

35 OF 55

Untuk menjaga keamanan sistem maka pada PT. MassNet diperlakukan kebijakan sebagai berikut: •

Setiap personal komputer diinstall hanya oleh staf bagian Teknologi Informasi, dan password level administrator dipegang oleh staf bagian Teknologi Informasi

•

Password administrator untuk server aplikasi dipegang oleh staf bagian Teknologi informasi dan kepala bagian unit yang menggunakan aplikasi tersebut

•

Pegawai tidak diperkenankan mengubah-ubah konfigurasi personal komputer, termasuk melakukan install atau uninstall program ke dalam personal komputer mereka

Database bisnis perusahaan disimpan di server utama. Akses database dibuat berjenjang sesuai dengan kewenangan pegawai yang bersangkutan. Untuk menjaga keamanan data yang tersimpan dalam database server, PT. MassNet dalam memelihara database menggunakan pendekatan sebagai berikut: •

Aplikasi yang dikembangkan dalam mengakses database dibuat sedemikian rupa sehingga kesalahan-kesalahan input tidak diterima;

•

Dibuat kamus data dalam database yang menyimpan semua struktur data yang digunakan oleh sebuah aplikasi, tujuannya adalah agar pengembang aplikasi dapat memanfaatkan struktur data yang sama yang sudah ada.

•

Mengaktifkan system logging untuk mencatat aktifitas pemakai database

•

Secara berkala database dibackup dengan menggunakan penjadwalan harian, mingguan, dan bulanan. Backup database bulanan akan terus disimpan selama 3 tahun sebelum dihapus.


108-4.DOC

PAGE

36 OF 55

BAB VIII. Disaster Recovery dan Business Continuity Plan

Pembahasan

Disaster

Recovery

dan

Business

Continuity

Plan

selalu

berhubungan dengan urusan bisnis, hal-hal yang berhubungan dengan penerapan system keamanan, policy, atau akses tidak dibahas, akan tetapi lebih memperhatikan perencanaan bagaimana mencegah agar kerugian bisnis PT. MassNet tidak terjadi ketika terjadi ancaman bencana. Dua hal yang dibahas adalah, pertama Disaster Recovery Planning yang merupakan pencegahan terhadap terjadinya ancaman terhadap infrastruktur sistem informasi; dan yang kedua adalah Business Continuity Plan yang merupakan perencanaan bagaimana bisnis tetap dapat berjalan seandainya telah terjadi serangan atau bencana yang menimpa infrastruktur sistem informasi PT. MassNet.

VIII.1. Ancaman Bagi PT. MassNet data keuangan dan data pegawai adalah dua data terpenting untuk kelangsungan usahanya dari segi availability. Sementara berdasarkan analisa, PT. MassNet menghadapi ancaman ancaman sbb: 1. Penghapusan (destruction), misalnya: penghapusan data-data penjualan secara tidak sengaja , bencana banjir, kebakaran, kerusuhan, listrik mati atau virus. 2. Pencurian (theft/disclosure), misalnya: data penjualan atau rugi laba dari saung garing terungkap kepada semua pegawai. 3. Pengubahan (modification), misalnya: secara tidak sengaja mengubah nilai gaji dalam sistem penggajian pegawai. 4. Penipuan (fraud), misalnya: mengubah nilai gaji dalam sistem penggajian pegawai secara tidak sah, mengubah data penjualan secara tidak sah.

VIII.2. Penerapan Dalam

keadaan

Disaster

dan

darurat,

prioritas

utama

adalah

tetap

mengutamakan kesehatan dan keselamatan personil organisasi sebelum melanjutkan ke prosedur Identification and Notification. Prosedur Identification and Notification ini dapat diabaikan bilamana pertimbangan untuk melakukan suatu tindakan penanganan disaster merupakan tindak lanjut dari aktifitas resolusi Problem. Apabila terjadi disaster


108-4.DOC

PAGE

37 OF 55

maka personil yang harus diinformasikan perlu diidentifikasi secara jelas dalam Daftar Kontak Personil yang harus dibuat oleh organisasi. Dalam hal ini penanggung jawab utama disaster recovery plan adalah direktur utama.

Berikut ini adalah langkah2 yang diambil oleh PT. MassNet dalam rangka memastikan kelangsungan bisnis agar tidak terganggu. 1. Ancaman Penghapusan (destruction) a. Bencana banjir Server-server utama diletakkan di lantai 2 kantor utama PT. MassNet, ruangan dipilih yang tidak berada dibawah kamar mandi dari lantai diatasnya b. Kebakaran o PT. MassNet memasang fire extingguiser di sudut-sudut kantor yang mudah terjangkau untuk memudahkan penggunaan ketika terjadi kebakaran. Tabung fire extinguisher tersebut diperiksa secara berkala untuk memastikan racun apinya masih dalam kondisi baik. o Kaset-kaset backup database disimpan di lemari besi tahan api, dan untuk kaset backup bulanan diletakkan di lemari besi tahan api ditempat lain, yaitu di rumah salah satu pimpinan perusahaan c. Kerusuhan o Gedung kantor PT. MassNet diberi pagar yang cukup kuat dan dijaga oleh tenaga keamanan 24 jam sehari secara shift o PT. MassNet menjalin hubungan baik dengan warga sekitar kantor dan juga dengan kantor polisi setempat d. Listrik mati Semua komputer yang ada diharuskan tersambung ke UPS e. Virus o Semua komputer termasuk server diterapkan software anti virus, update data antivirusnya dilakukan secara berkala, dan setiap 2 minggu di cek oleh karyawan divisi Teknologi Informasi


108-4.DOC

PAGE

38 OF 55

o Software antivirus yang digunakan dipilih yang dapat diperoleh secara gratis tetapi cukup handal, saat ini pilihannya adalah program antivirus AVG dari Grisoft.com o Jika terjadi penyebaran virus atau salah satu personal komputer terjangkit virus, maka tindakan pengamanan yang dilakukan adalah mengisolasi penyebarannya dengan cara memutus personal computer yang terkena virus tersebut dari jaringan local area network kantor. 2. Pencurian (theft/disclosure) Tidak dibahas pada bab BCP, akan dibahas pada physical security. 3. Pengubahan (modification) Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol. 4. Penipuan (fraud) Tidak dibahas pada bab BCP, tetapi pada security management practices dan akses kontrol

VIII.3. Identifikasi dan Notifikasi Dalam konsep disaster recovery, prosedur Identification and Notification menjelaskan tindakan-tindakan awal yang harus segera dilakukan bilamana terjadi gangguan terhadap sistem TI dan/ atau kondisi Disaster telah terdeteksi atau sudah nampak dengan jelas. Adapun tujuan utama dari penyusunan prosedur Identification and Notification ini adalah untuk: 1. Menjelaskan aktifitas-aktifitas identifikasi terhadap suatu kondisi yang diduga merupakan suatu kondisi Disaster 2. Menjelaskan personil-personil terkait yang perlu diinformasikan dan yang bertanggung jawab untuk menaggulangi keadaan Disaster tersebut 3. Menjelaskan metoda yang akan digunakan untuk menginformasikan personilpersonil yang bersangkutan tersebut Prosedur Identification and Notification dalam prosedur ini mencakup: 1. Aktifitas identifikasi terhadap suatu kondisi yang merupakan atau diduga merupakan kondisi Disaster


2. Aktifitas

108-4.DOC

tindakan

penyelamatan

PAGE

awal

dengan

39 OF 55

prioritas

utama

adalah

penyelamatan kesehatan dan keselamatan personil organisasi. 3. Aktifitas notifikasi kepada personil yang bertanggung jawab dalam Organisasi Formal untuk diteruskan kepada Coordinator dalam Organisasi Matriks Kondisi Disaster 4. Aktifitas notifikasi kepada team personil dalam Struktur Organisasi Matriks

Kondisi Disaster untuk berada dalam posisi siaga dan/atau untuk koordinasi aktifitas selanjutnya.


108-4.DOC

PAGE

40 OF 55

BAB IX. PHYSICAL SECURITY Domain pengamanan fisik (physical security) mencakup unsur-unsur di sekitar lingkungan fisik dan mendukung infrastruktur yang mempengaruhi confidentiality, integrity dan availability sebuah sistem informasi.

Pengamanan fisik tidak kalah

pentingnya apabila dibandingkan dengan factor pengamanan lainnya. Keamanan fisik sering mengacu pada ukuran-ukuran yang diambil untuk melindungi sistem, bangunan / gedung, dan infrastruktur pendukung terhadap ancaman-ancaman lingkungan fisik. Dalam bahasan ini domain yang akan dibahas adalah ancaman, kerawanan, dan tindakan antisipasi yang dapat dilakukan untuk mengamankan secara fisik seluruh sumber daya enterprise dan informasi sensitif.

Sumber daya ini mencakup seluruh

personel, fasilitas tempat bekerja, data, peralatan, sistem pendukung, dan media yang digunakan untuk bekerja. Dengan kata lain, hal-hal yang membutuhkan pengamanan fisik meliputi seluruh aset perusahaan / UKM baik yang berupa hardware (bagunan ruko / gedung, mobil, peralatan kerja, komputer, dll), software (perangkat lunak komputer), dan brainware (direksi dan seluruh staf perusahaan). Seperti telah dijelaskan dalam Bab sebelumnya, UKM PT. Mass Net bergerak di bidang bisnis pemasaran secara multi level terhadap barang-barang kebutuhan konsumen (consumer goods) seperti mie instant, sabun mandi, sabun cuci, pasta gigi, peralatan kecantikan, gula, kopi, minuman kesehatan, dan lain-lain. Barang-barang ini diproduksi oleh produsen secara outsourcing dan hanya memproduksi untuk PT. Mass Net. Dengan demikian pihak luar selain PT. Mass Net tidak diperbolehkan membeli produk secara langsung kepada produsen, sehingga kebocoran produk yang dapat merugikan bisnis tidak terjadi. Pada studi kasus UKM PT, Mass Net, sasaran yang ingin dicapai dalam topik pengamanan fisik adalah sebagiai berikut: 1. Melakukan analisa terhadap faktor-faktor pemilihan dan perancangan lokasi fisik yang aman bagi UKM. 2. Menentukan metoda pengamanan akses fasilitas dari pihak-pihak yang tidak berhak. 3. Menentukan metoda pengamanan seluruh infrastruktur penunjang dan data yang menjadi aset UKM.


108-4.DOC

PAGE

41 OF 55

4. Menentukan tolok ukur pengamanan yang diperlukan untuk melindungi aset UKM yang sangat vital yakni karyawan, fasilitas lain, serta seluruh sumber daya.

IX.1. Ancaman-ancaman Keamanan Fisik Sebelum menentukan berbagai cara pengamanan fisik yang layak bagi sebuah UKM, terlebih dulu perlu diketahui aspek aspek lingkungan yang dapat berpotensi menjadi ancaman asset UKM.

Seluruh kemungkinan ancaman perlu disenaraikan

secara jelas dan rinci, terlebih apabila dilakukan suatu assessment atau analisa resiko, sehingga ketepatan informasi dapat terjamin dan terpercaya. Walaupun kemungkinan ancaman terjadi sangatlah kecil, assessment terhadap hal tersebut tetaplah diperlukan. Analisa resiko berbagai macam kemungkinan ancaman keamanan fisik dari UKM PT. Mass Net adalah dapat diuraikan sebagai berikut: 1. Analisa resiko terhadap hal-hal yang sifatnya emergency, terdiri dari kemungkinan hal berikut: a. Kebakaran dan pencemaran asap. Seluruh hal-hal yang menyebabkan kemungkinan terjadinya kebakaran harus dicermati dan sedini mungkin dihindari.

Sebagai contoh, sedapat mungkin dihindarkan sumber api.

UKM PT. Mass Net memiliki ruang dapur / pantry yang terletak di lantai II. Hal in dapat menjadi peluang terjadinya permasalahan ancaman kebakaran. Oleh karena itu diperlukan perhatian yang sangat khusus terhadap ruangan ini. Sumber-sumber api dan asap bisa saja berasal dari peralatan elektrik dan non elektrik, sehingga harus diperhatikan kondisi dan cara kerjanya.

Seluruh pengguna peralatan ini harus

memahami betul bagaimana mengoperasikannya. Sebaiknya dibuatkan kebijakan khusus pengguna pantry adalah petugas pramubakti, dalam hal ini berjumlah 2 (dua) orang.

Manajer bagian umum adalah orang yang

paling bertanggung jawab terhadap prosedur dan operasionalnya. Sumber-sumber api tdk hanya berasal dari ruang pantry saja, namun juga seluruh peralatan elektronik yang menggunakan sumber daya listrik, dan instalasi listrik itu sendiri.

Dalam bangunan UKM yang berlantai tiga,

setiap lantai telah memiliki circuit pemutus tersendiri sehingga cukup aman dari bahaya hubungan singkat / arus pendek. Posisi pemutus arus


108-4.DOC

PAGE

42 OF 55

ini juga sudah layak karena terletak di daerah yang mudah dijangkau, yakni di daerah sekitar tangga naik turun pada setiap lantai (tangga berbentuk huruf L). Secara berkala, misalnya 1 bulan sekali, UKM perlu melakukan perawatan dan pemeriksaan seluruh instalasi listik dan peripheral elektronik.

Apabila terdapat instalasi kabel terbuka akibat usia kabel

maupun gangguan serangga tikus, maka perlu segera diperbaiki / diganti dengan yang baru. Gangguan kebakaran bisa juga terjadi dari faktor alam seperti petir. UKM PT. Mass Net yang menempati bagunan ruko telah dilengkapi dengan penangkal petir yang memiliki sistem grounding baik. Namun demikian, instalasi inipun perlu dilakukan pemeriksaan secara berkala untuk memastikan peralatan bekerja dengan baik. b. Kerusakan atau keruntuhan gedung. Antisipasi terhadap hal ini telah dilakukan UKM, yakni dengan memilih kontraktor bangunan yang terpercaya,

dalam hal ini PT.

Mass net

mendapat jaminan kekuatan konstruksi selama kurang lebih 10 tahun. Selain itu bangunan juga telah dianti rayap (pondasi dan atap) serta menggunakan bahan konstruksi anti rayap.

Secara berkala (1 tahun

sekali) kontraktor juga selalu melakukan pemeliharaan gedung dan pemeriksaan hama rayap, serta memperbaiki konstruksi bangunan yang rusak maupun berkarat.

Dengan demikian tindakan pencegahan

terhadap kerusakan bangunan telah dilakukan. c. Kerusakan utilitas (sumber-sumber elektrik, air conditioning, pemanas). Selain

dapat

menyebabkan

hubungan

menimbulkan bahaya kebakaran, dipeliharakerjakan

sehingga

singkat

yang

berpotensi

seluruh utilitas elektronik perlu

fungsinya

selalu

tersedia

dan

tidak

mengganggu proses bisnis. d. Kerusakan saluran air. Kerusakan

saluran

air

merupakan

pengganggu kegiatan bisnis.

salah

satu

potensi

sumber

Oleh karena itu seluruh infrastruktur

peralatan ini harus dipastikan berfungsi dengan baik. Kondisi bangunan UKM yang berlantai tiga cukup rentan terhadap kebocoran instalasi pipa


108-4.DOC

PAGE

43 OF 55

air yang terletak di ruang plafon. Pemeriksaan instalasi saluran ini dapat dilakukan melalui lubang kontrol yang ada di setiap lantai. e. Bahaya pelepasan material beracun. Material beracun tentunya sangat berbahaya sehingga seluruh peripheral yang mengeluarkan zat beracun harus mendapatkan perhatian khusus. Salah satu contoh material beracun dalam studi kasus UKM ini adalah penggunaan battery pada UPS, dapat menghasilkan gas belerang yang sangat berbahaya bagi kesehatan. Oleh karena itu penempatan UPS diletakkan di lantai paling atas dengan mendapatkan sirkulasi udara yang memadai. 2. Analisa resiko yang sifatnya berupa bencana alam. a. Pergerakan / pergeseran tanah seperti yang disebabkan oleh gempa bumi dan tanah longsor. UKM PT. Mass Net terletak di sebuah komplek ruko / perkantoran di Jakarta. Pada umumnya kondisi daerah tersebut stabil (bukan di daerah longsor) dan relatif aman dari gempa.

Walaupun demikian, struktur

bangunan berlantai tiga tetap menjadi perhatian. Seperti telah dijelaskan sebelumnya, ruko tersebut dibangun oleh sebuah kontraktor dengan jaminan konstruksi selama 10 tahun. b. Bahaya badai / angin topan. Di Indonesia, bahaya badai dan angin topan relatif tidak ada, sehingga relatif aman dari gangguan ini. 3. Analisa resiko yang disebabkan oleh intervensi / campur tangan manusia. a. Sabotase: merupakan gangguan karena aktifitas manusia. Dalam bisnis hal ini bisa terhadi dari competitor yang melakukan persaingan tidak sehat. b. Vandalisme. c. Perang. d. Kerusuhan dan penyerangan. Di Indonesia hal ini cukup rawan sejak krisis moneter tahun 1998 yang mengusung demokrasi kebablasan. Resiko Operasional UKM PT. Mass Net yang terletak di ruko perkantoran adalah gudang, outlet pemasaran dan bangunan perkantoran yang menyatu. Seandainya terjadi kerusuhan yang menimpa

UKM tersebut, maka kegiatan bisnis UKM secara


108-4.DOC

PAGE

44 OF 55

otomatis lumpuh total oleh karena pada saat ini belum memiliki BCP (Business Contingency Plan) maupun fasilitas DRC (Disaster Recovery Center) yang dapat menanggulangi hal tersebut. Donn B. Parker ( Wiley, 1998) dalam Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003) telah melakukan kompilasi terhadap sumber-sumber gangguan fisik keamanan dari berbagai faktor antara lain temperatur

(sinar matahari, kebakaran,

panas listrik), gas (kelembababan, kekeringan udara, gangguan partikel udara), cairan (air dan bahan kimia), organisme (virus, bakteri, manusia, binatang, serangga), proyektil (meteor, benda jatuh, mobil, truk, ledakan, dan badai), pergerakan bumi, anomali energi.

IX.2. Pengendalian Pengamanan Fisik Pengendalian pengamanan fisik terdiri dari dua bagian yakni kendali administratif dan kendali fisik & teknik.

Krutz, Ronald L. dan Dean Vines, Russel (Wiley, 2003)

menyenaraikan elemen-elemen kedua kendali tersebut yang terdiri dari hal-hal berikut ini: 1. Kendali Administratif a. Perencanaan kebutuhan fasilitas b. Manajemen pengamanan fasilitas c. Pengendalian personal administratif 2. Kendali Fisik dan Teknik. a.

Kebutuhan kendali fasilitas

b. Alat-alat kendali akses fasilitas c. Alarm dan deteksi intrusi d. Pengendalian persediaan komputer e. Kebutuhan media penyimpanan

IX.3. Perencaaan Kebutuhan Fasilitas Domain

topik

ini

adalah

tentang

konsep

perencanaan

pengamanan fisik pda tahap awal konstruksi faslitas data.

pengendalian

Tahapan konstruksi ini

meliputi hal berikut: •

Pemilihan lokasi yang aman: UKM PT. Mass Net telah memilih lokasi yang aman terletak di sebuah komplek perkantoran / ruko.


•

108-4.DOC

PAGE

Perancangan sebuah lokasi yang aman:

45 OF 55

Hal-hal yang perlu diperhatikan dalam

perancangan ini antara lain: (1) Kontruksi bangunan yang meliputi elemen-elemen dinding, atap, lantai, jendela dan pintu.

UKM PT.

Mass Net menggunakan

bangunan ruko yang telah memenuhi standar keamananan tersebut. (2) Sarana penunjang seperti Air Conditioning, Kebutuhan elektrikal, dan saluran Air. Bangunan yang digunakan PT. Mass Net dalam hal ini telah dirancang menggunakan fasilitas tersebut sehingga saluran air dan saluran elektrik terpisah / tidak berdekatan. Demikian juga saluran AC telah disiapkan pada saat tahap perancangan bangunan.

IX.4. Manajemen Pengamanan Fasilitas •

Audit Trail merupakan sarana untuk mencatat kejadian-kejadian yang berhubungan dengan pengamanan fisik.

•

Prosedur emergency. Dalam UKM ini prosedur emergency berupa dokumen yang mengatur bagaimana melakukan shutdown system pada saat kejadian emergency, prosedur evakuasi, pengujian system dan peralatan secara periodik, employee training dan awareness program.

Semua prosedur ini merupakan dokumen

tersendiri yang disosialisasikan kepada seluruh staf UKM sehingga terbentuk awareness para staf UKM.

IX.5. Pengendalian Administrasi Personalia Pengendalian ini meliputi proses administrasi yang harus ditempuh oleh departemen personalia yang mencakup screening tenaga kerja selama rekrutmen, pemeriksaan administrasi tenaga kerja selama menjadi staf UKM dan prosedur pengunduran diri dari UKM.

Departemen personalia PT.

Mass Net telah memiliki

prosedur tetap antara lain: •

Wawancara alasan pengunduran diri.

•

Penghapusan akses jaringan dan password.

•

Pengembalian periperal komputer dan notebook.

Ketika salah satu staf mengundurkan diri, Departemen personalia akan meminta bagian IT untuk menutup seluruh akses staf tersebut.


108-4.DOC

PAGE

46 OF 55

IX.6. Kebutuhan Pengendalian Fasilitas Dalam

rangka

meengamankan

seluruh

fasilitas

organisasi,

UKM

ini

mengimplementasikan sistem keamanan sebagai berikut: •

Satpam: terdiri dari satpam lingkungan yang diatur

sepenuhnya oleh pihak

pengelola komplek perkantoran ruko dan 4 (empat) orang satpam internal yang bekerja secara shift. •

Pagar: Posisi bangunan ruko UKM PT. Mass Net yang diapit oleh bangunan lain di kiri dan kananya, hanya memerlukan pagar di depan dan belakang. Bagian atap yang berupa dak (cor beton) juga diberi pengaman pagar keliling dan teralis penutup.

•

Jendela: menggunakan jendela kaca tebal berpengaman kaca film dan rangka jendela aluminium sistem interlock yang aman / tidak bisa dibuka dari luar.

•

Penerangan: untuk menambah pengamanan Ukm juga menambahkan sistem penerangan malam hari

dengan posisi tiang penyangga yang cukup tinggi

sehingga mampu menerangi area parkir dan halaman belakang. •

Kunci pengaman: menggunakan kunci manual dengan sistem master key yang disimpan oleh manager kepegawaian dan umum.

IX.7. Alarm dan deteksi intrusi Skala usaha UKM PT.

Mass Net masih relatif berkembang sehingga belum

menerapkan alat-alat pendeteksi keamanan yang canggih seperti halnya pada sistem detektor intrusi, detektor gerak, dan audio detektor, serta sistem alarm yang otomatis memberikan tanda apabila terjadi gangguan keamanan. Sistem alarm yang digunakan oleh UKM ini adalah alarm kebakaran yang terhubung dengan sistem pengamanan kebakaran di plafon setiap lantai.

IX.8. Pengendalian persediaan komputer Untuk menjaga seluruh aset komputer aman dari bahaya pencurian maupun kehilangan, diperlukan tindakan pengendalian inventori komputer yang terdiri dari dua bagian penting yaitu: •

Pengendalian personal komputer secara fisik.


108-4.DOC

PAGE

47 OF 55

UKM ini menggunakan sarana berikut: 1. Pengunci kabel berupa bahan kawat baja dibungkus vynil yang mengikat personal komputer dan printer ke dalam meja. 2. Port control untuk mengamankan port data seperti floopy drive atau serial/paralel port. Selama tidak digunakan port data ini ditempatkan di lemari inventory yang diatur pengelolaannya oleh manager IT. 3. Switch control untuk melindungi switch power on-off

file server dari

gangguan keamanan. 4. Periperal switch control digunakan untuk memberi pengamanan (kunci) keyborad sehingga tidak digunakan oleh pihak yang tidak berhak. 5. Eletronic Security Board merupakan pengamanan personal komputer dengan password pada BIOS (Basic Input Output System). Seluruh PC aset UKM menggunakan standar password BIOS dan password ini hanya diketahui oleh pemakai PC yang bersangkutan.

Secara prosedur,

password yang telah dipilih pemakai, ditulis dan dimasukkan dalam amplop tertutup bersegel, selanjutnya diserahkan kepada manager IT untuk disimpan dalam inventory berkas keamanan.

Dengan demikian

password BIOS masih dapat diketahui oleh manager IT dalam keadaan darurat. •

Pengendalian Laptop / Notebook. Keamanan laptop / notebook baik secara fisik maupun data tergolong hal yang sulit karena sifatnya yang dinamis. Untuk meminimumkan peluang gangguan keamanan laptop, UKM ini menerapkan kebijakan tidak memperkenankan membawa laptop ke rumah, namun demikian masih dimungkinkan dalam kondisi yang sangat penting dengan ijin manager TI.

Seluruh penggunaan laptop

diregister dalam buku register laptop sehingga dapat diketahui statusnya, tanggal berapa digunakan, oleh siapa dan untuk kebutuhan apa.

IX.9. Kebutuhan media penyimpanan Agar media penyimpanan memiliki tingkat keamanan yang memadai maka UKM PT. Mass Net menerapkan kebijakan sebagai berikut: •

Secara fisik membatasi akses dengan menyediakan lemari besi tahan api dan ditempatkan di ruang inventori sistem.


108-4.DOC

PAGE

48 OF 55

•

Proteksi dari sumber api dan air dan menjaga kelembaban udara tetap stabil.

•

Memonitor dan mengontrol inventori media penyimpanan dengan meregister setiap penggunaan media-media baru. Dengan demikian dapat diketahui posisi inventori media penyimpanan.

•

Secara fisik menghancurkan media penyimpanan yang sudah tidak terpakai.


108-4.DOC

PAGE

49 OF 55

BAB X. AUDIT SISTIM INFORMASI Audit sistim informasi berhubungan dengan salah satu dari jenis kontrol yang terbagi menjadi 3 (tiga) bagian yaitu: •

Preventive control Merupakan tindakan mendeteksi permasalahan sebelum terjadi. Kontrol ini juga melakukan pemantauan operasi dan input, melakukan prediksi atas problem yang mungkin terjadi, dan juga mencegah error dan tindakan kejahatan. Contoh kontrol jenis ini adalah adanya pemisahan pekerjaan sesuai dengan wewenang dan tanggung jawab, menyediakan prosedur yang tepat untuk proses otorisasi dan menyediakan dokumen yang dirancang tepat bagi karyawan

•

Detective control Menggunakan kontrol untuk mendeteksi bahwa error, perubahan atau tindakan kejahatan (malicious) yang sudah terjadi, serta melaporkannya sehingga dapat diambil tindakan lebih lanjut.

Contoh kontrol jenis ini adalah hash, kalkulasi

ulang, internal audit, laporan kinerja sistem, dan check points dalam rantai produksi. •

Corrective control Kontrol ini ditujukan untuk beberapa hal antara lain meminimalisir dampak ancaman, mengidentifikasi sumber dari masalah, memperbaiki error dari sebuah masalah, dan mengubah sistem agar dapat meminimumkan jumlah ancaman di masa yang akan datang.

Contoh kontrol jenis ini antara lain contingency

planning, backup, dan re-run. Berdasarkan tujuannya, kegiatan audit dapat digolongkan sebagai financial audit untuk mengetahui kebenaran dari laporan keuangan perusahaan, operational audit untuk mengetahui ada/tidaknya maupun berfungsi/tidaknya interal kontrol dalam suatu perusahaan, administrative audit untuk mengetahui efisiensi produktifitas operasional dari sebuah perusahaan, dan yang terakhir adalah audit sistim informasi. Sedangkan tujuan audit bisa sangat beraneka ragam, dan sangat tergantung pada keinginan manajemen atau peraturan yang mengharuskan audit.

Misalnya evaluasi terhadap

internal kontrol, security audit, dan software quality assurance audit. Pada dasarnya tujuan audit adalah untuk menemukan suatu penyimpangan dari setiap ketentuan yang berlaku di sebuah organisasi.


108-4.DOC

PAGE

50 OF 55

Dalam upaya mengamankan seluruh aset organisasi, UKM PT. Mass Net telah menerapkan ketiga jenis kontrol tersebut di atas yaitu dalam hal berikut: •

Preventive control, dengan menerapkan kebijakan pemisahan tugas sesuai wewenang dan tanggung jawab.

Sebagai contoh dalam seluruh transaksi

keuangan, UKM ini menerapkan prinsip MCS, kepanjangan dari maker, checker, dan signer. Setiap transaksi keuangan input data (issue transaksi) dilakukan oleh front office liner, dan dilakukan pemeriksaan atau verifikasi transaksi oleh seorang checker, selanjutnya disetujui oleh petugas signer.

Transaksi baru

dianggap sah apabila memenuhi prinsip MCS tersebut. •

Detective control: i. Dengan menerapkan aktifitas pengendalian internal pada transaksi keuangan PT. Mass Net. Aktifitas ini dikerjakan oleh bagian akunting yang memegang fungsi sebagai internal controller (IC). Tugas IC adalah melakukan verfikasi laporan transaksi harian pada keesokan harinya. Dengan cara ini kemungkinan fraud dapat dideteksi secara dini. ii. Melakukan internal audit secara berkala (1 tahun sekali) untuk memastikan bahwa transaksi keuangan dilakukan dengan benar dan sah dan mendeteksi ada / tidaknya penyimpangan. Kegiatan ini dilakukan secara outsourcing pada lembaga akuntan publik.

•

Corrective control: i. Apabila terjadi kegagalan sistem, UKM ini menyediakan fasilitas backup & recovery, ii. UKM ini belum/ tidak memiliki disaster recovery center (DRC), karena biayanya yang mahal. Namun dalam blue print perencanaan teknologi informasi yang dibuat oleh bagian IT, telah disusun rencana pembuatan DRC apabila skala usaha PT. Mass net telah memenuhi syarat.

X.1. Kebijakan Audit Sistim Informasi Sebagaimana dijelaskan di atas, PT. Mass Net aktifitas melakukan internal audit secara outsourcing satu tahun sekali.

Demikian pula dalam hal sistim informasi, PT.

Mass Net juga menggunakan jasa konsultan / auditor eksternal untuk mengaudit implementasi sistim informasi di orgnanisasi ini. Adapun kebijakan PT. Mass Net yang berkaitan dengan audit sistem informasi adalah pemeriksaan implementasi seluruh kebijakan teknologi informasi di PT. Mass Net, antara lain sebagai berikut:


108-4.DOC

PAGE

51 OF 55

1. Hal-hal yang berkaitan dengan pengembangan sistim Memeriksa kesesuaian pelaksanaan prosedur dan dokumentasi analisa kebutuhan sistem. Memeriksa kesesuaian dokumentasi perancangan sistem, meliputi baik rancangan

fisik,

rancangan

logika,

maupun

rancangan

infrastruktur

pendukung. Memeriksa kesesuaian dokumentasi funtional specification. Memeriksa kesesuaian dokumentasi program specification. Memeriksa kesesuaian dokumentasi pengujian program meliputi unit test, regresi test, integrasi test, dan akseptansi test. 2. Hal-hal yang berkaitan dengan implementasi sistim Memeriksa kesesuaian prosedur dan dokumentasi pelaksanaan system deployment. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan password, perubahan password, dan inventory barkas / amplop pengaman password. Memeriksa prosedur dan dokumentasi pemberian otorisasi user pengguna sistem apakah telah sesuai dengan surat keputusan / penunjukan organisasi. Memeriksa kesesuaian prosedur dan dokumentasi penggunaan peralatan mobile (laptop). 3. Hal-hal yang berkaitan dengan pemeliharaan sistem Memeriksa prosedur, pelaksanaan dan dokumentasi pemeliharaan sistem meliputi antara lain pemeliharaan secara berkala komputer server, personal komputer, dan laptop. Memeriksa

prosedur,

pelaksanaan

infrastruktur seperti cabelling,

dan

dokumentasi

pemeliharaan

hub, UPS, saluran saluran listrik, dan

peralatan elektronik lainnya. 4. Hal-hal yang berkaitan dengan penataan bagian teknologi informasi Memeriksa kelengkapan dokumentasi instruksi kerja meliputi antara lain faktor faktor berikut ini: standar kualitas, uraian pekerjaan, petunjuk keselamatan kerja, perawatan peralatan, yang disusun dalam form standar khusus.


108-4.DOC

PAGE

52 OF 55

Daftar Pustaka 1. Eric Maiwald, Fundamental of Network Security, McGraw-Hill Technology Education, 2004. 2. Richard H Baker, Network Security, McGraw-Hill, 1996. 3. Ronald L Krutz, Russel Dean Vines, The CISSP prep guide, Robert Ipsen, 2003

Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

Recommend Documents