Analisis Domain Keamanan Sistem Informasi KurirNet
PT. Titipan Kurir Jaya
Tugas Mata Kuliah IKI-83408T Proteksi dan Keamanan Sistem Informasi Jurusan Manajemen Teknologi Informasi Fakultas Ilmu Komputer Universitas Indonesia
Disusun oleh: Kelompok 77 Arif Rustam Hadi (7203011057) Kodrat Mahatma (7203011286)
Lisensi Dokumen: Copyright © 2005 Kelompok 77 Dokumen ini dapat digunakan, dimodifikasi, dan disebarkan secara bebas untuk tujuan bukan komersil (nonprofit), dengan syarat tidak meghapus atau mengubah atribut penulis dan selama tetap mencantumkan nota hak cipta ini.
Daftar Isi Daftar Isi Daftar Gambar Daftar Tabel Abstrak I.
Pendahuluan 1.1. 1.2. 1.3. 1.4. 1.5.
II.
Latar Belakang ……..……………………………………………………………………………. Tujuan ….……………..……………………………………………………………………….. Ruang Lingkup Pembahasan …………………….…………………………………………….. Sekilas Info : PT. Titipan Kurir Jaya ……………….………………..………………..………. 1.4.1. Struktur organisasi …..……………………..................…..………….………………. 1.4.2. Ruang lingkup bidang usaha ………………………………………..……..…………. Sistem informasi KurirNet ……………….………….………………..………………..……….
1 1 1 1 1 3 3
Analisis Domain Keamanan 2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
Access control system and methodology ……….…………………..………………..………. 8 2.1.1. Overview ……..…………….………………..................…..………….………………. 8 2.1.2. Identifikasi ………………….………………..................…..………….………………. 9 2.1.3. Autentikasi ………………………….………………………………..……..…………. 9 2.1.4. Autorisasi ……………………..………………………..…….....…………….………. 10 2.1.5. Akuntabiliti …………………………….………………..……………………………. 10 2.1.6. Rekomendasi Implementasi ……………………..…..……....………………………. 10 Keamanan jalur telekomunikasi dan jaringan ……………………….….………………...... 12 2.2.1. Overview ………………………………..………............………..….………………. 12 2.2.2. Keamanan jalur telekomunikasi ……………….............………….………………. 12 2.2.3. Keamanan jaringan ……………..….………………………….…...……..…………. 13 2.2.4. Rekomendasi implementasi ………….……………………...………………………. 14 Security Management Practice …………………….…...…………...………………………. 14 2.3.1. Overview …………………..……….………………………………..……..…………. 14 2.3.2. Kebijakan Keamanan (security policies) ............................………………………. 14 2.3.3. Standar (standards) ….……………….………………..…….....……………………. 14 2.3.4. Prosedur (procedures) …..………………………..……….....………………………. 14 2.3.5. Panduan (guidelines) …..……………….……………………………………………. 15 2.3.6. Rekomendasi implementasi …...……………………..………….…………………. 15 Application and software development security ………………....………………………. 15 2.4.1. Overview …………………………….…………………………..……..…………. 15 2.4.2. Software development life cycle …………………………………..……..…………. 16 2.4.3. Rekomendasi implementasi …………………………………..……………………. 16 Kriptografi ………………………………………..…………...…………...……………………. 16 2.5.1. Overview ……………………………….…………………………..……..…………. 16 2.5.2. Enkripsi data ……………………..……………………………….……………………. 16 2.5.3. Digital signature ……..………………………………..….....………………………. 16 2.5.4. Rekomendasi implementasi …….……………………..…….....……………………. 16 Security Architecture Model ………………………..…...…………...………………………. 17 2.6.1. Overview ………………………….………………………………..……..…………. 17 2.6.2. Problem ……………………….………………..…….....………………………. 17 2.6.3. Rekomendasi implementasi ..……………………..…….....………………………. 17 Operations security ……………………………………………………….……………. 17 2.7.1. Overview ……………..………………….…………..…….....………………………. 17 2.7.2. Problem ………………………………………………………………………………. 17
Daftar Isi ii
2.7.3. Rekomendasi implementasi …..…………………..…….....………………………. 18 Busines continuity and disaster recovery plan ………………………………………………. 20 2.8.1. Overview ……………………….…………………………………..……..…………. 20 2.8.2. Problem ………………………….………………..…….....………………………. 20 2.8.3. Rekomendasi Implementasi ….……………………..…….....………………………. 20 2.9. Laws, investigations and ethics ………………………………………………………………. 22 2.9.1. Overview ……………………….…………………………………..……..…………. 22 2.9.2. Problem ……………………….………………..…….....………………………. 22 2.9.3. Rekomendasi Implementasi ……………..…….....………………………. 22 2.10. Physical security ………………………………………………….……………………………. 24 2.10.1. Overview ….…………………….…………………………………..……..…………. 24 2.10.2. Problem …………………………….………………..…….....………………………. 24 2.10.3. Rekomendasi Implementasi …………………..…….....………………………. 24 2.11. Audit and assurance …………………………………………….……………………………. 25 2.11.1. Overview ….…………………….…………………………………..……..…………. 25 2.11.2. Problem …………………………….………………..…….....………………………. 25 2.11.3. Rekomendasi Implementasi …………………..…….....………………………. 26 2.8.
III. Kesimpulan dan saran 3.1. 3.2.
Kesimpulan ………………………………………………………………………..………. 28 Saran ……………………………………………………………………………………..………. 28
IV. Lampiran 4.1. 4.2. 4.3.
Daftar gaji karyawan ……….…………………………………………………………..………. 31 Daftar nomor telepon penting ………..………………………………………………..………. 31 Jadual Penjagaan Kantor …………………………………………………………....………. 32
V. Referensi
Daftar Isi iii
Daftar Gambar Gambar Gambar Gambar Gambar
1. 2. 3. 4.
Struktur organisasi PT. Titipan Kurir Jaya ………….……..…………………………………. 2 Delivery tracking services ……….…………………………..…………………………………. 4 System DFD SI KurirNet ……………………………..……..…………………………………. 7 Diagram jaringan komputer PT. Titipan Kurir Jaya ………..……..………………………. 13
Daftar Isi iv
Daftar Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel Tabel
1. Komposisi personalia PT. Titipan Kurir Jaya ……….…………….…………………………. 2 2. Jabatan dan tugas ………………………………………..………….…………………………. 3 3. Konfigurasi sistem komputer ……………………………………….…………………………. 6 4. Daftar email ………………………………………………………..….…………………………. 7 5. Matriks kendali akses database …………………………….……….………………………. 11 6. Matriks kendali akses sistem ……………………………….……….………………………. 11 7. Possible threat and countermeasures ……….………….……….…………………………. 13 8. Arsitektur model keamanan ……..……………………….……….…………………………. 18 9. Matriks kendali akses database ……..………………….……….…………………………. 29 10. Daftar gaji karyawan PT. Titipan Kurir Jaya ….….………..…….…………………………. 30 11. Daftar nomor telepon penting ……………….………………..……….………………………. 30 12. Jadual jaga satpam ………..………………………………..……….…………………………. 31
Daftar Isi v
Abstrak Tulisan ini membahas keamanan sistem informasi yang diimplementasikan suatu organisasi berdasarkan 11 domain keamanan sistem informasi. Ke-11 domain keamanan sistem informasi yang dijadikan dasar pembahasan merupakan kerangka acuan standar yang digunakan dalam mengaudit sistem informasi yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) dan digunakan secara luas di dunia dalam melakukan audit terhadap suatu sistem informasi. Fokus pembahasan ke-11 domain keamanan sistem informasi adalah Sistem Informasi KurirNet yang dikembangkan dan digunakan oleh PT. Titipan Kurir Jaya. PT. Titipan Kurir Jaya adalah sebuah usaha kecil menengah yang bergerak dibidang jasa pengiriman barang dalam kota. PT. Titipan Kurir Jaya memiliki karyawan 46 orang dan menempati sebuah ruko 3 lantai di suatu kawasan bisnis di selatan Jakarta. Dalam melakukan kegiatan bisnisnya, PT. Titipan Kurir Jaya telah mengembangkan suatu sistem informasi yang disebut Sistem Informasi KurirNet yang ditujukan untuk membantu kelancaran operasional bisnis pengiriman barang. PT. Titipan Kurir Jaya yang menjadi pusat pembahasan dalam tulisan ini adalah sebuah perusahaan fiktif. Bila terdapat kesamaan nama, tempat, situasi, dan hal lainnya dengan dunia nyata, hal itu bukanlah suatu kesengajaan.
Abstrak vi
1. Pendahuluan 1.1 Latar Belakang Tulisan ini dibuat sebagai bagian dari mata kuliah Proteksi dan Teknik Keamanan Sistem Informasi pada jurusan Manajemen Teknologi Informasi, Fakultas Ilmu Komputer, Universitas Indonesia. Dalam mata kuliah Proteksi dan Teknik Keamanan Sistem Informasi dipelajari aspek-aspek yang memegang peran penting dalam menjamin keamanan suatu sistem informasi berdasarkan kerangka acuan yang dikembangkan oleh ISACA (Information Systems Audit and Control Association). Kerangka acuan yang digunakan untuk menganalisis keamanan sistem informasi dalam tulisan ini merupakan standar yang umum digunakan di dunia dalam melakukan audit sistem informasi.
1.2 Tujuan Untuk meningkatkan pemahaman mengenai keamanan suatu sistem informasi melalui pengalaman langsung melakukan analisis keamanan sistem informasi berdasarkan 11 domain keamanan.
1.3 Ruang Lingkup Pembahasan Tulisan ini dipusatkan pada pembahasan 11 domain keamanan sistem informasi berdasarkan kerangka acuan yang dikembangkan oleh ISACA (Information Systems Audit and Control Association). Pembahasan dilakukan terhadap Sistem Informasi KurirNet yang dikembangkan dan digunakan oleh suatu perusahaan fiktif PT. Titipan Kurir Jaya. Penggunaan sistem fiktif dilakukan sesuai dengan prasyarat pembuatan makalah sebagai telah disebutkan pada bagian latar belakang dengan tidak mengurangi nilai dan bobot akademik dari analisis yang dilakukan.
1.4 Sekilas Info : PT. Titipan Kurir Jaya PT. Titipan Kurir Jaya didirikan oleh dua bersaudara Dodo dan Dodi 5 tahun yang lalu, saat badai krisis ekonomi menerpa Indonesia. Pada awalnya, Dodo dan Dodi yang di PHK dari perusahaan tempat mereka bekerja sebelumnya, membuka usaha baru dengan menjadi agen dari suatu perusahaan jasa pengiriman barang. Mula-mula usaha mereka hanyalah menjadi agen dari perusahaan jasa pengiriman barang yang lebih besar dan mapan. Dodo dan Dodi membuka penerimaan pengiriman barang di rumah mereka yang dijadikan loket sekaligus gudang dan menerima komisi dari setiap paket yang dititipkan. Seiring dengan berjalannya waktu, kerja keras tak kenal lelah dari kedua bersaudara Dodo dan Dodi akhirnya berkembang pesat dan maju sehingga mampu mendirikan perusahaan sendiri seperti sekarang.
1.4.1 Struktur Organisasi Struktur organisasi PT. Titipan Kurir Jaya tergambar dalam diagram berikut.
Analisis Domain Keamanan 7
Presiden Direktur
Sekretaris
Direktur Keuangan dan Personalia
Staff Keuangan
Staff Personalia
Satpam
Direktur Operasional
Officeboy
Staff Logistik
Staff Gudang
Kurir
Gambar 1. Struktur Organisasi PT. Titipan Kurir Jaya Saat ini perusahaan yang dipimpin Dodo dan Dodi memiliki 46 karyawan, menempati ruko 3 lantai di kawasan bisnis di Jakarta Selatan dengan wilayah kerja meliputi Jabodetabek. Dari 3 lantai yang ditempati, lantai 1 dan 2 dijadikan sebagai loket, gudang dan bagian logistik sedangkan lantai 3 adalah kantor operasional, ruang direksi serta ruang pertemuan. Dalam struktur organisasi, Dodo sang kakak, menduduki posisi sebagai Presiden Direktur sementara Dodi adiknya menduduki posisi Direktur Keuangan dan Personalia perusahaan. Tabel berikut memperlihatkan komposisi personalia dari PT. Titipan Kilat Jaya. Jabatan Presiden Direktur Direktur Keuangan dan Personalia Direktur Operasional
Dodo Dodi A01
Nama
Jumlah 1 1 1
Sekretaris Direksi Staff Keuangan Staff Personalia Staff Logistik Staff Gudang Satpam Office Boy Agen Lapangan (Kurir)
A02 A03, A04 A05, A06 A07, A08, A09 A10, A11, A12 A13, A14, A15, A16 A17, A18 A19 s/d A46 Total
1 2 2 3 3 4 2 28 48
Tabel 1. Komposisi personalia PT. Titipan Kurir Jaya Secara umum, fungsi masing-masing jabatan dalam organisasi PT. Titipan Kurir Jaya diuraikan dalam tabel fungsional dibawah ini.
Analisis Domain Keamanan 8
Jabatan Presiden Direktur Direktur Keuangan dan Personalia Direktur Logistik dan Umum Sekretaris Direksi Staff Keuangan
Staff Personalia
Staff Logistik Staff Gudang Satpam Office Boy Agen Lapangan (Kurir)
Tugas Memimpin perusahaan, merumuskan strategi bisnis dan melakukan pengembangan usaha serta membuat kebijakan umum untuk perusahaan. Mengatur, mengendalikan, merumuskan kebijakan dan melakukan pengawasan dan manajemen keuangan dan personalia perusahaan Mengatur, mengendalikan, merumuskan kebijakan dan melakukan pengawasan bidang logistik dan umum Membantu kelancaran tugas PresDir Melakukan administrasi harian bidang keuangan seperti penerimaan pembayaran, melakukan penagihan, pembayaran pajak, gaji, bonus, tunjangan dan lain-lain. Melakukan administrasi harian bidang personalia seperti pencatatan absensi, overtime, perhitungan gaji, bonus, pengaturan shift, pengawasan tugas dan tanggung jawab karyawan, dll Melakukan administrasi harian bidang logistik seprti pencatatan barang yang keluar-masuk, penentuan jadwal pengiriman, pengaturan kurir, dll Melakukan administrasi gudang seperti pengaturan penyimpanan barang, pemuatan, pengepakan, pengaturan alur keluar-masuk barang, dll Mengamankan asset-aset perusahaan Menyediakan dan melayani kebutuhan umum karyawan, menjaga kebersihan, melayani tamu, dll Melakukan pengiriman barang ke tujuan dan menerima paket barang dari pelanggan Tabel 2. Jabatan dan Tugas
1.4.2 Ruang Lingkup Bidang Usaha PT. Titipan Kurir Jaya bergerak dibidang jasa pengiriman barang (kurir) dalam kota. Ruang lingkup kerjanya adalah wilayah Jabodetabek. Untuk melakukan delivery, PT. Titipan Kurir Jaya memiliki 28 orang kurir yang dilengkapi dengan 6 unit mobil box dan 16 unit sepeda motor. Fasilitas mobil box digunakan untuk pengiriman barang dengan volume besar sedangkan motor digunakan oleh kurir pengiriman dokumen dan barang dengan volume lebih kecil. Selain menerima barang langsung dari pelanggan melalui loket penerimaan barang, PT. Titipan Kurir Jaya juga menjalin kerjasama dengan satu perusahaan pengiriman barang internasional sebagai agen lokal untuk pengiriman barang di wilayah jabodetabek, menjadi rekanan PT. Pos dan Telekomunikasi serta menjadi perusahaan kurir khusus untuk beberapa bank swasta di Jakarta. Layanan yang diberikan oleh PT. Titipan Kurir Jaya terbagi dalam beberapa kategori : • Kilat : maksimum 4 jam untuk pengiriman wilayah Jabodetabek • Khusus : maksimum 1 hari untuk pengiriman wilayah Jabodetabek • Standar : maksimum 2 hari untuk pengiriman wilayah Jabodetabek
Analisis Domain Keamanan 9
Fasilitas lain yang diberikan PT. Titipan Kurir Jaya adalah fasilitas delivery tracking melalui web dan SMS (Short Message Services) yang dapat diakses pelanggan untuk mengetahui status barang yang dikirim.
Gambar 2. Delivery Tracking Services Untuk meningkatkan efisiensi dan produktifitas pengiriman barang, PT. Titipan Kurir Jaya menerapkan strategi Cell Delivery. Kurir bermotor dibagi dalam beberapa sel dengan cakupan wilayah tertentu sesuai tempat tinggalnya. Setiap sore sebelum pulang ke rumah, mereka kembali ke kantor pusat (bila memungkinkan) dan membawa barang yang harus dikirim kerumah. Keesokan harinya, mereka dapat langsung menuju tujuan pengiriman dalam selnya tanpa harus datang ke kantor pusat terlebih dahulu. Strategi Cell Delivery membutuhkan integrasi antara sistem Personalia dan Logistik untuk memastikan selalu ada kurir yang tempat tinggalnya berdekatan atau berada dalam suatu sel dan menjamin proses absensi dan distribusi agen lapangan secara merata. Untuk efektivitas cell delivery, setiap staff dilengkapi dengan perangkat HP yang berfungsi untuk mengirimkan notifikasi bahwa barang sampai ke kantor, untuk diteruskan pada konsumen, secara (mendekati) real-time. Meskipun notifikasi bisa dikirimkan langsung kpd pelanggan, tapi untuk keperluan koordinasi, menjaga kejujuran kurir, untuk kontrol prestasi kurir, maka: • •
data dikirim ke pusat via sms untuk ditangani dan dikoordinasi oleh kantor kantor pusat bisa memodifikasi dan melakukan personalisasi pesan (bisa memilih jalur dan bentuk : email, telepon, atau tetap menggunakan sms, atau gabungan beberapa bentuk)
PT. Titipan Kurir Jaya juga menerapkan strategi strategi pemasaran Call n Pick up. Dengan strategi ini, pelanggan cukup menelpon nomor hotline PT. Titipan Kurir Jaya, menyebutkan alamat lengkap dimana baran dapat diambil dan perkiraan berat, volume serta tujuan barang yang akan dikirim. Selanjutnya PT. Titipan Kurir Jaya akan menghubungi kurir terdekat yang paling mungkin untuk mengambil dan mengepak
Analisis Domain Keamanan 10
barang. Strategi ini mendorong kurir PT. Titipan Kurir Jaya untuk menerima barang secara langsung dari pelanggan dan bila mungkin mengirimnya saat itu juga ke alamat tujuan. Pelanggan cukup menyerahkan barang dan biaya pengiriman kepada kurir dan mengirim nomor bukti pengiriman barang melalui telepon atau fax untuk diproses oleh kantor pusat. Kurir yang menerima barang mendapat komisi dalam jumlah tertentu. Strategi ini cukup berhasil dengan banyaknya kurir yang selain melakukan penerimaan dan penjemputan barang juga membuka loket penerimaan barang dirumahnya masingmasing seperti yang dulu dilakukan Dodo dan Dodi sebelum mendirikan PT. Titipan Kurir Jaya. PT. Titipan Kurir Jaya juga memfokuskan usahanya pada perusahaan yang membutuhkan jasa kurir seperti bank, toko, super market dan bisnis lain. Saat ini, PT. Titipan Kurir Jaya telah menjadi kurir tetap dari beberapa bank swasta di Jakarta, sejumlah super market yang melayani penjualan online, beberapa toko buku, serta melayani pengiriman parsel hari raya.
1.5 Sistem Informasi KurirNet Satu tahun yang lalu, PT. Titipan Kurir Jaya mulai mengembangkan sistem informasi untuk mendukung operasional harian bisnisnya. Sistem informasi yang dikembangkan PT. Titipan Kurir Jaya disebut sebagai SI KurirNet, yang terdiri dari : Software aplikasi menggunakan PHP, MySQL, dan Linux untuk aplikasi : • Aplikasi Logistik : Cell Delivery, Call n Pick up, Web and SMS Tracking System • Aplikasi Keuangan : Cash Flow, Accounting, Pajak • Aplikasi HRD : Absensi, Cuti, Payroll • Aplikasi Pemasaran : Web and SMS Promo PT. Titipan Kurir Jaya juga memiliki sebuah web site yang dihosting pada satu penyedia jasa web hosting. Web site ini berfungsi menampilkan informasi mengenai PT. Titipan Kurir Jaya dan aplikasi Web and SMS Tracking System yang diupdate secara otomatis setiap 11 menit dari server aplikasi dikantor pusat menggunakan metoda file transfer. Aplikasi SI KurirNet dikembangkan oleh software developer lokal PT. Satu Manunggal dan dirancang untuk mengintegrasikan fungsi-fungsi operasional bisnis yang dilakukan PT. Titipan Kurir Jaya dari hulu ke hilir. Aplikasi SI KurirNet dikembangkan berbasis perangkat lunak open source. PT. Titipan Kurir Jaya tidak memiliki staff IT yang khusus menangani sistem informasi yang dimilikinya. Untuk aplikasi dibeli putus tanpa kontrak maintenance sedangkan untuk jaringan lokal dan perawatan komputer ditangani oleh salah seorang staff personalia yang kebetulan memiliki pengetahuan yang memadai dibidang komputer. Infrastruktur sistem informasi KurirNet yang dimiliki PT. Titipan Kurir Jaya:
Analisis Domain Keamanan 11
Komponen Server
PC Direksi
PC Karyawan
Modem ADSL
LAN Switch
Printer Mesin Tik UPS
Konfigurasi Hardware • Pentium IV 2GHz • 1 GB Memory • 2x40 GB Harddisk drive • 1 ethernet card 10/100 Mbps • DDS 3 Tape Drive • CDRW Drive • Monitor 15”, Keyboard, mouse • Siemens M35 GSM Modem Software • RedHat Linux 9 • Apache Web Server • MySQL Database Server • PHP 4 • Samba Server Hardware • Pentium IV 1.5 GHz • 256 GB Memory • 20 GB Harddisk drive • CDROM Drive • 1 ethernet card 10/100 Mbps • Monitor 15”, Keyboard, mouse • Speaker Software • Windows XP Home Edition • Microsoft Office 2000 Hardware • Pentium IV 1.5 GHz • 128 GB Memory • 20 GB Harddisk drive • CDROM Drive • 1 ethernet card 10/100 Mbps • Monitor 15”, Keyboard, mouse Software • Windows XP Home Edition • Microsoft Office 2000 SpeedStream 5500 • Modem Router • Firewall TrendNet • 24 port 10/100 Mbps • Auto MDI/MDIX Epson Stylus Color 480 Epson LX 800 Brother APC 3000 VA
Fungsi/Aplikasi Aplikasi : • Accounting • Logistik • HRD • Pemasaran • GSM Gateway • File Server
Keterangan 1 Unit
Aplikasi office
2 Unit Lisensi OEM
Aplikasi office
7 Unit Lisensi OEM
1 Unit
1 Unit
Printing
2 Unit 2 Unit 1 Unit
Tabel 3. Konfigurasi Sistem Komputer
Analisis Domain Keamanan 12
Diagram berikut menggambarkan interaksi SI KurirNet dengan aktor eksternal yang menggunakan SI KurirNet.
Gambar 3. System DFD SI KurirNet Dengan berlangganan koneksi internet ADSL, PT. Titipan Kurir Jaya berhak menggunakan 15 email address yang saat ini baru digunakan digunakan sebagian untuk: Email
[email protected] [email protected] [email protected] [email protected] [email protected] [email protected] [email protected]
Nama Dodo Dodi A01 Dodi, A03, A04 Dodo, Dodi, A01, A03, A04, A07, A08, A09 Dodi, A05, A06 A01, A07, A08, A09
Keterangan
Tabel 4. Daftar email
Analisis Domain Keamanan 13
2. Analisis Domain Keamanan Bagian kedua: Analisis Domain Keamanan membahas 11 domain keamanan sistem informasi. Ke-11 domain keamanan sistem informasi yang dimaksud adalah : 1. Access control systems and methodology 2. Telecommunication and network security 3. Security management practices 4. Application and systems development security 5. Cryptography 6. Security architecture and models 7. Operations security 8. Disaster recovery and business continuity plan 9. Laws, investigations and ethics 10. Physical security 11. Audit and assurance Pada akhir setiap sub bab akan diuraikan kesimpulan dari analisis keamanan sistem informasi KurirNet dan rekomendasi langkah-langkah perbaikan yang diperlukan untuk meningkatkan keamanan sistem informasi KurirNet pada domain terkait.
2.1 Access Control Systems and Methodology 2.1.1 Overview Domain pertama keamanan sistem informasi. Sistem dan metodologi kontrol akses (access control systems and methodology) meliputi mekanisme dan metodologi yang digunakan untuk melakukan kontrol terhadap akses ke sumber daya sistem informasi yang tersedia oleh pengguna. Sistem dan metodologi kontrol akses memastikan hanya pengguna yang berhak yang dapat mengakses sumber daya dan mencegah akses dari pihak yang tidak berkepentingan. Ada 3 prinsip dasar dalam keamanan sistem informasi, yaitu kerahasiaan (confidentiality), integritas (integrity), dan ketersediaan (availability). Analisis berikut menguraikan bagaimana ketiga prinsip tersebut dapat dipengaruhi dan dilindungi melalui penerapan sistem dan metodologi kontrol akses sistem informasi. Untuk dapat mengakses sumber daya dalam suatu sistem informasi seperti data, layanan (services), atau fasilitas, setiap pengguna atau seseorang yang mengklaim sebagai pengguna yang sah harus dapat menunjukkan identitas dirinya untuk diperiksa dan diverifikasi kebenaran dan hak (rights) yang dimilikinya terhadap akses yang diminta. Selanjutnya diperlukan mekanisme untuk memantau dan merekam setiap aktivitas yang dilakukan pengguna dan menerapkan akuntabilitas terhadap setiap kegiatan. Proses-proses diatas melibatkan 4 tahapan utama kegiatan kontrol akses yaitu : • Identifikasi (identification) • Autentikasi (authentication) • Autorisasi (authorization) • Akuntabilitas (accountability)
Analisis Domain Keamanan 14
2.1.2 Identifikasi Prosedur atau mekanisme untuk mengenali atau mengidentifikasi seseorang yang mengklaim sebagai pengguna yang sah sebelum memperoleh akses ke sumber daya sistem informasi. Prosedur umum yang banyak digunakan untuk melakukan proses identifikasi adalah dengan menggunakan username. Prosedur lain adalah dengan menggunakan fingerscan, palm scan, voice verification, hand geometry, retina pattern dan masih banyak lagi. Identifikasi terhadap pengguna atau seseorang yang mengklaim sebagai pengguna yang berhak mengakses sistem informasi KurirNet hanya dilakukan menggunakan username. Karena PT. Titipan Kurir Jaya tidak memiliki staf IT, fungsi administrator dipegang oleh salah seorang staf personalia yang kebetulan memiliki pengetahuan di bidang komputer. Staf inilah yang memegang daftar username untuk server, router ADSL dan web site PT. Titipan Kurir Jaya dan memiliki hak untuk melakukan perubahan username dan password. User lain yang juga memiliki hak akses ke SI KurirNet, menggunakan username masingmasing yang telah ditetapkan sebelumnya. Tidak ada sistem identifikasi lain selain penggunaan username, hal ini berarti bila username diketahui orang lain, dan memang terjadi demikian, maka orang tersebut dapat mengakses sistem bila mengetahui password dari username yang diketahuinya. Username dalam SI KurirNet secara umum terbagi menjadi dua bagian : • •
username untuk mengakses sistem operasi dan aplikasi umum yang tersedia. username aplikasi yang di gunakan untuk mengakses aplikasi SI KurirNet.
Mekanisme identifikasi lain belum diterapkan oleh PT. Titipan Kurir Jaya karena dianggap belum diperlukan.
2.1.3 Autentikasi Autentikasi adalah prosedur untuk memastikan identitas yang diklaim seseorang untuk mengakses ke sistem informasi adalah benar. Prosedur ini melibatkan proses verifikasi antara identitas yang diberikan dengan data dari identitas yang benar yang disimpan sistem. Penggunaan pasangan username dan password adalah prosedur autentikasi yang umum digunakan. Selain itu, prosedur identifikasi lain seperti fingerscan, palm scan, voice verification, hand geometry, retina pattern memerlukan verifikasi antara hasil scan dengan data yang tersimpan. Untuk autentikasi, digunakan password. Setiap username memiliki password yang berbeda. Salah satu kekurangan dari aplikasi SI KurirNet adalah tidak adanya fasilitas penggantian password yang dapat dilakukan secara langsung oleh pengguna tanpa perantaraan administrator. Username dan password dibuat pada saat user account dibuat oleh administrator. Bila pengguna ingin mengganti password, mereka harus melakukannya dengan perantaraan administrator yaitu memberitahukan kepada administrator password yang baru yang diinginkannya untuk selanjutnya administrator yang melakukan penggantian password. Kekurangan lain implementasi SI KurirNet adalah password yang digunakan tidak dibuat berdasarkan kaidah standar keamanan seperti: • password merupakan kombinasi angka dan huruf (besar dan kecil), • minimal 8 karakter
Analisis Domain Keamanan 15
• • • •
tidak menggunakan nama, alamat, tanggal lahir, kota kelahiran, nama departemen/divisi, dan bentuk lain yang mudah diterka tidak menggunakan kata yang umum terdapat dalam kamus diganti secara periodik dan lain lain
2.1.4 Autorisasi Autorisasi adalah pemberian hak terhadap penggunaan sumber daya sistem informasi sesuai dengan hak yang telah ditentukan. Misalnya, pengguna yang memiliki hak akses hanya-baca terhadap suatu file tidak akan dapat mengubah atau menghapus file tersebut dan bila ia melakukannya sistem akan menolaknya karena ia tidak mempunyai hak untuk itu. Setiap staf yang memiliki akses ke komputer menguasai sepenuhnya sumber daya yang tersedia di komputer tersebut karena mereka mengetahui password user dengan privilege administrator dari sistem operasi. Hal ini diperparah dengan penggunaan password administrator komputer yang sama dan mudah diterka, sehingga staf lain yang sebenarnya tidak memiliki hak untuk mengakses komputer dapat menggunakan komputer tersebut. Penggunaan username yang memiliki tingkat wewenang yang lebih terbatas belum diterapkan oleh manajemen PT. Titipan Kurir Jaya, msekipun hal itu sangat mudah dilakukan karena sudah dimiliki oleh sistem operasi yang digunakan yaitu Windows XP.
2.1.5 Akuntabilitas Akuntabilitas adalah mekanisme untuk memantau dan merekam setiap aktivitas yang dilakukan pengguna. SI KurirNet lemah dalam hal pencatatan aktifitas (log) dan pelaporannya. Sebagian catatan aktifitas tidak dapat ditampilkan dalam format yang mudah dimengerti dan masih menggunakan format log standar dari sistem operasi yang digunakan. Hanya catatan aktifitas khusus seperti akunting, payroll, absent yang memiliki fasilitas untuk menyimpan dan melihat catatan aktifitas yang dilakukan pengguna dalam format yang mudah dipahami.
2.1.6 Rekomendasi Implementasi Beberapa rekomendasi yang dapat diterapkan untuk SI KurirNet, yang dapat meningkatkan tingkat keamanan sistem informasi dan mungkin dilakukan pada tingkat penggunaan sistem informasi SI KurirNet diantaranya: 1. Pembagian tingkatan hak dan wewenang pengguna dalam mengakses sumber daya dalam beberapa tingkat disesuaikan dengan kebutuhan pengguna yang bersangkutan. Hal ini dapat dilakukan pada akses komputer dan akses ke aplikasi SI KurirNet. Pada akses komputer, administrator dipegang oleh satu atau beberapa orang yang berwenang penuh terhadap komputer tersebut. Pengguna dapat mengakses komputer menggunakan username dan password yang terpisah dengan pembatasan hak dan wewenang tergantung kebutuhan, misalnya pengguna hanya dapat menggunakan suatu aplikasi tapi tidak memiliki hak untuk menginstal atau mengubah konfigurasi aplikasi, pembatasan waktu penggunaan komputer hanya pada waktu-waktu tertentu yang telah ditentukan.
Analisis Domain Keamanan 16
Untuk tujuan tersebut, akan sangat memudahkan bila telah ada suatu matriks yang memetakan antara user, aplikasi dan hak akses yang dimilikinya. Aplikasi Aplikasi Keuangan
Personalia
Logistik
Pemasaran
Basis Data DB_Cashflow DB_Cost DB_Revenue DB_Tax DB_Payroll DB_Absensi DB_Shift DB_Schedule DB_Incentive DB_Staff DB_Order DB_Delivery DB_Inventory DB_Schedule DB_Agent DB_Sales DB_Customer DB_Advertisement
C
R
U
D
Keterangan
Tabel 5. Matriks kendali akses database Role Administrator Administrator Administrator User Administrator User Administrator User Administrator User Administrator Administrator
Sistem Server Client Aplikasi Keuangan Aplikasi Keuangan Aplikasi Logistik Aplikasi Logistik Aplikasi Personalia Aplikasi Personalia Aplikasi Pemasaran Aplikasi Pemasaran ADSL Modem MySQL Database
Staff Berwenang A05 A05, A01 A05, Dodi A03, A04 A01, A05 A07, A08, A09 Dodi, A05 A05, A06 Dodo, Dodi, A05, A01 Customer A05 A05
C
R
U
D
Keterangan
Tabel 6. Matriks kendali akses sistem
2.2 Keamanan Jalur Telekomunikasi dan Jaringan 2.2.1 Overview Domain kedua keamanan sistem informasi. Membahas keamanan sistem informasi ditinjau dari sistem telekomunikasi dan jaringan.
Analisis Domain Keamanan 17
2.2.2 Keamanan jalur telekomunikasi Sistem Informasi KurirNet menggunakan teknologi GSM (Global Mobile Communication) dan teknologi ADSL(Asymmetric Digital Subscribers Line) . GSM digunakan untuk melayani aplikasi delivery tracking yang berbasis SMS (Short Message Services) dan web. Melalui aplikasi ini, pelanggan dapat mengetahui status barang yang dikirimnya melalui PT. Titipan Kurir Jaya melalui pesan SMS. ADSL digunakan untuk mengakses internet dan sinkronisasi antara GSM Gateway yang berada dikantor pusat PT. Titipan Kurir Jaya dengan aplikasi web based delivery tracking. Melalui ADSL line ini juga proses komunikasi antara web site PT. Titipan Kurir Jaya dan internal server dilakukan. ADSL adalah shared network, yang dibagi pakai oleh sejumlah pengguna secara bersamaan. Dalam proses update data logistik teradi transfer data antara server dan web server menggunakan protokol FTP. Data yang ditransfer adalah data text dengan username dan password untuk FTP juga menggunakan clear text. Dalam proses ini ada kemungkinan informasi penting diketahui orang lain seperti username untuk FTP. Penggunaan enkripsi belum dilakukan karena aplikasi yang dikembangkan masih sederhana dan mengutamakan fungsi yaitu mengupdate data secara periodik dan menampilkannya pada web site. Penggunaan media komunikasi yang bersifat shared (bagi pakai) semakin umum dilakukan dengan alasan ekonomis dan optimalisasi utilitas. Penggunaan shared network berpotensi menimbulkan celah keamanan yang potensial karena data dari banyak penguna ditransmisikan melalui mediaum yang sama. Penggunaan teknik-teknik enkripsi sangat direkomendasikan dalam kondisi seperti ini.
2.2.3 Keamanan jaringan Jaringan komputer PT. Titipan Kurir Jaya tidaklah rumit. Terdiri dari 10 komputer, sebuah server, 1 LAN switch, sebuah modem ADSL dan link ADSL 512 kbps unlimited. ADSL modem memiliki beberapa fungsi sekaligus yaitu sebagai router dan firewall selain menjadi perangkat akses ke jaringan ADSL yang menjadi link utama PT. Titipan Kurir Jaya untuk terhubung ke internet. Komputer clients berbasis windows dengan aplikasi Office sebagi aplikasi utama dan aplikasi SI KurirNet berbasis web untuk operaisional bisnis rutin seperti keuangan, personalia, logistic dan pemasaran yang semuanya terinsatll pada server. Selain aplikasi, server juga sekaligus menjadi SMS Gateway dengan dilengkapi modem GSM M35. Jaringan komputer PT. Titipan Kurir Jaya cukup rawan terhadap potensi kerawanan keamanan dari beberapa hal seperti akses illegal, serangan virus, hacker, dan beberapa potensi masalah lainnya. Diagram jaringan komputer PT. Titipan Kurir Jaya:
Analisis Domain Keamanan 18
Gambar 4. Diagram jaringan komputer PT. Titipam Kurir Jaya Potensi celah keamanan PT. Titipan Kurir Jaya pada level jaringan: • Tidak ada firewall untuk melindungi jaringan PT. Titipan Kurir Jaya dari akses tidak sah dari luar. • Belum digunakannya anti virus secara optimal. Kemungkinan Kerawanan SI dan Cara Mengatasinya Ancaman DoS attack Serangan hacker Web Deface Pencurian data Spamming Virus attack Trojan
Kerawanan Melumpuhkan jaringan Illegal akses
Cara Mengatasi Mengimplementasikan firewall gateway Mengimplementasikan Intrusion Detection Mengimplrmrntasikan enkripsi
Abuse Menyebabkan kerusakan file Abuse
Mengimplementasikan antivirus
Tabel 7. Possible threat and countermeasures
2.2.4 Rekomendasi Implementasi •
• •
Memaksimalkan perangkat modem router ADSL yang digunakan PT. Titipan Kurir Jaya sebagai firewall. Sebenarnya modem ADSL yang digunakan sudah memiliki fasilitas firewall sederhana yang dapat digunakan untuk memberikan tingkat keamanan yang lebih baik bagi komputer dan server serta aplikasi yang digunakan namun karena keterbatasan sumber daya manusia hal ini tidak dilakukan. Mengimplementasikan anti virus yang tersentalisasi dan terintegrasi yang memiliki kapabilitas perlindungan terhadap serangan virus yang datang dengan beragam cara. Penggunaan enkripsi untuk melindungi data dalam proses update data antara web server dan internal server.
Analisis Domain Keamanan 19
2.3 Security Management Practices 2.3.1 Overview Domain ketiga keamanan sistem informasi. Membahas keamanan sistem informasi ditinjau dari praktek manajemen keamanan sistem informasi. Terintegrasinya operasional bisnis dengan sistem informasi memunculkan potensi keamanan yang dalam tingkatan tertentu dapat menyebabkan proses bisnis terganggu. Hal ini belum banyak disadari oleh manajemen PT. Titipan Kurir Jaya. Belum ada misalnya, analisis berapa biaya yang terbuang bila server mengalami kerusakan dan proses entry data atau data yang tersimpan hilang. Belum lagi ancaman serangan virus yang semakin meluas dan sulit ditanggulangi tanpa sistem proteksi yang kuat dan terintegrasi. Resiko kerusakan ditimbulkan terhadap bisnis yang terjadi akibat kelemahan keamanan sistem informasi belum dianalisis dan oleh karena itu belum dilakukan langkah-langkah antisipasi bila hal itu terjadi.
2.3.2 Kebijakan Keamanan (Security Policies) Belum ada kebijakan yang mengatur mengenai keamanan sistem informasi secara khusus. Kebijakan keamanan yang ada adalah kebijakan keamanan secara umum seperti keamanan gedung, gudang, logistik dan kendaraan serta pengaturannya termasuk didalakanya rotasi kerja satuan pengamanan (satpam). Kebijakan pengamanan sistem informasi lebih banyak bersifat fisik dan menyangkut hal hal yang dapat kasat mata seperti server, computer perangkat komunikasi namun belum menyentuh data yang tersimpan didalam computer dan server, aplikasi
2.3.3 Prosedur (Procedures) Prosedur yang terkait dengan sistem informasi belum dibuat. Berbeda dengan prosedur dalam keuangan, logistic atau kepegawaian. Beberapa prosedur yang perlu dikembangkan: • Prosedur update server/web site • Prosesudur perawatan (maintenance) • Prosedur akses • Prosedur backup • Prosedur lainnya Prosedur yang sudah ada: • Prosedur penggunaan aplikasi logistik, keuangan, HR dan marketing sudah ada Prosedur inni dibuat bersamaan dengan pengembangan aplikasi. Karena terkait langsung dengan operasional bisnis maka prosedur operasionalisasi aplikasi cukup lengkap dan terdokumentasi dengan baik.
2.3.4 Standar (Standards) Belum digunakan standar. Pengadaan perlengkapan tidak didasarkan pada standar ayang ditentukan atau direncanakan tapi lebihh pada pertimbangan kebutuhan dan
Analisis Domain Keamanan 20
ekmampuan untuk pembiayaaan. Misalnya standar komputer yang digunakan, sistem operasi, dll. Beberapa standar yang perlu dikenbangkan: • Standar perangkat fisik • Standar perangkat lunak • Standar protokol • Standar lainnya
2.3.5 Panduan (Guidelines) Belum ada panduan baku yang dapat digunakan untuk pelatihan atau pengembangan. Dokumentasi belum tertata rapid an jelas. Panduan penggunaan, trouble shooting, perawatan belum lengkap. Masih bersifat adhoc dan tergantung pada skill individual.
2.3.6 Rekomendasi Implementasi • • • • • •
Membuat kebijakan, panduan, standard an prosedur baku yang menjadi pedoman dalam melakukan kegiatan yang terkait dengan penggunaan sistem informasi, pengembangan sistem informasi. Dalam waktu dekat, hal hal yang perlu diperhatikan dilakukan secara bertahap : Pembakuan kebijakan Panduan pengembangan SI Prosedur pemanfaatan atau eksploitasi sistem informasi Koleksi standar-standar yang dapat diterapkan dalam hal perangkat keras dan lunak, protokol, mekanisme, dll
2.4 Application and Systems Development Security 2.4.1 Overview Domain keempat keamanan sistem informasi. Membahas keamanan sistem informasi ditinjau dari pengembangan sistem dan aplikasi.
2.4.2 Software Development Life Cycle Pengembangan aplikasi KurirNet dilakukan oleh pengembang perangkat lunak lokal. Dalam pengembangan sistem aplikasi SI KurirNet masalah keamanan dari aplikasi yang dikembangkan kurang mendapat perhatian yang serius. Pengembangan aplikasi SI KurirNet lebih difokuskan pada fungsi yang harus dipenuhi oleh aplikasi tersebut. Dalam tahapan pengembangan aplikasi dari Analisis, Desain, Implementasi dan Pengetesan, aspek keamanan hamper tidak dilakukan. Salah satu aspek keamanan yang digunakan adalah penggunaan username dan password. Pada tahapan pengetesan aplikasi tidak dilakukan pengetesan potensi celah keamanan aplikasi terhadap ancaman keamanan. Karena proses pengembangan dilakukan dengan menekan biaya, maka keamanan aplikasi menjadi salah satu aspek yang dikorbankan. Untuk meningkatkan keamanan aplikasi yang saat ini digunakan tanpa harus melakukan perubahan besar dapat dilakukan dengan membatasi akses terhadap aplikasi. Saat ini aplikasi SI KurirNet hanya digunakan untuk keperluan internal. Sebagian informasi yang dihasilkan dari pengolahan data oleh aplikasi digunakan untuk mengupdate web site.
Analisis Domain Keamanan 21
Untuk kasus PT. Titipan Kurir Jaya maka pembatasan akses luar terhadap aplikasi cukup efektif. Bila tingkat keterkaitan antara aplikasi internal dan eksternal semakin tinggi, dalam arti semakin banyak interaksi pengguna diluar organisasi PT. Titipan Kurir Jaya seperti pelanggan, maka diperlukan peninjauaan kembali desain dan arsitektur aplikasi yang digunakan. Bila diperlukan, pengembangan lanjutan dapat dilakukan dengan memberi porsi yang cukup besar terhadap masalah keamanan dan hal tersebut dilakukan pada setiap tahap pengembangan aplikasi.
2.4.3 Rekomendasi Implementasi Rekomendasi untuk peningkatan keamanan software: • Pembatasan akses luar terhadap apliksi internal. Dapat dilakukan dengan menggunakan firewall. • Membuat aplikasi perantara antara aplikasi internal dan apliaksi eksternal. Aplikasi perantara dapat juga dikembangkan dalam upaya untuk melakukan migrasi dari aplikasi yang ada dengan tingkat keamanan rendah menuju aplikasi baru dengan tingkat keamanan yang lebih tinggi secara bertahap. • Melakukan redesign arsitektur aplikasi bilamana diperlukan dengan memperbesar fokus pada aspek keamanan aplikasi.
2.5 Kriptografi 2.5.1 Overview Domain kelima keamanan sistem informasi. Membahas keamanan sistem informasi ditinjau dari penggunaan enkripsi data.
2.5.2 Enkripsi Data Enkripsi belum digunakan dalam SI KurirNet. Penggunaan enkripsi hanya sebatas enkripsi password yang menjadi bagian integral dari sistem operasi. Untuk aplikasi tidak digunakan enkripsi dalam proses distribusi data. Bahkan password disimpan dalam bentuk clear text.
2.5.3 Digital signature Penggunaan digital signature cukup penting terutama pada aplikasi distribusi barang seperti Call n pickup dan Cell delivery. Dengan digital signature sulit pemalsuan panggilan akan dapat dikurangi. Dengan digital signature, kurir yang melakukan pengiriman dan penerimaan barang dapat dipastikan sehingga tidak terjadi penyalahgunaan identitas.
2.5.4 Rekomendasi Implementasi Rekomendasi untuk SI KurirNet dalam penggunaan kriptografi: • • •
Enkripsi data pada proses transfer data antara server dan web site Enkripsi password yang tersimpan pada aplikasi Penggunaan SSL dan HTTPS untuk web site PT. Titipan Kurir Jaya
Analisis Domain Keamanan 22
2.6 Security Architecture Model 2.6.1 Overview Domain keenam keamanan sistem informasi. Domain ini meneliti mengenai konsep, prinsip, dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan system yang aman. Meliputi pula pembahasan mengenai standard internasional mengenai pengukuran keamanan dan pengaruhnya pada platform yang berbeda tipenya. Domain ini meneliti mengenai konsep: • Arsitektur komputer • Trusted computing base dan mekanisme sekuriti • Komponen dalam Sistem Operasi • Model sekuriti yang digunakan dalam pengembangan software • Kriteria sekuriti dan pemeringkatan • Proses sertifikasi dan akreditasi • Security Policy untuk OS dan Aplikasi
2.6.2 Problem Beberapa aspek yang bisa diterapkan untuk PT. Titipan Kurir Jaya: • Membuat security policy untuk OS dan Aplikasi • Mendefinisikan arsitektur komputer, dan komponen dalam OS yang digunakan.
2.6.3 Rekomendasi Implemantasi Implementasi untuk Sistem Informasi KurirNet, PT Titipan Kurir Jaya: Dalam sistem KurirNet, meskipun aplikasinya tidak terlalu kompleks, namun dibutuhkan kehandalan khususnya karena ada aspek aplikasi yang diakses langsung oleh pelanggan, yaitu aplikasi delivery tracking yang sebaiknya tersedia dalam jangka waktu yang panjang. Service Level Agreement Untuk itu TKJ telah menetapkan suatu service level agreement sbb: system mampu diakses dalam jam kerja standard ditambah beberapa jam di awal dan akhir hari untuk memudahkan pelanggan. Jadi availability sistem ini adalah dari jam 05.00 pagi sd jam 23.00 malam (istirahat 6 jam, jam 23.00 sd 06.00) bisa untuk perawatan dll. Sistem Operasi Digunakan web server dengan OS Linux yang relatif lebih tahan terhadap serangan virus dan gangguan terhadap jaringan yang lain. Security Policy Sekumpulan peraturan, praktek, dan prosedur yang mengarahkan bagaimana informasi akan dikelola, dilindungi, dan didistribusikan. Security Policy adalah istilah yang sama yang bisa diterapkan pada pada berbagai sasaran. Pada domain ini aplikasinya adalah pada OS dan Aplikasi.
Analisis Domain Keamanan 23
Meskipun perusahan kecil, TKJ sadar bahwa kemungkinan berkembang besar karena peluang di bisnis ini masih luas, karena itu TKJ mulai mendefinisikan hal-hal yang mendasar sebagai komponen sbb: Untuk mengatur siapa bisa mengakses apa, maka TKJ membuat suatu matriks tanggung jawab (role) yang akan memetakan antara personil (yang punya akses ke aplikasi) dengan role-nya pada sistem. Matriks hak akses yang akan memetakan personil dengan sistem yang bisa diakses dan lebih detil lagi ke fungsi apa dalam aplikasi tersebut yang bisa diakses, seperti diperlihatkan pada Tabel 6. Arsitektur dan Model Keamanan untuk KurirNet yang ada saat ini adalah mengikuti pada Tabel 8 berikut. Pilihan ini cukup memadai, sehingga tidak diperlukan modifikasi.
Aspek Network Access Control
Model Sekuriti Mengikuti credential dari operating sistem
Application Logon
Mengikuti credential dari operating system
Operating System Logon
Mengikuti credential dari operating system Database menggunakan Access dan mengikuti credential dari operating system Akses file sesuai dengan Access Control List
Database Table File System Level
Tabel 8. Arsitektur model keamanan
2.7 Operations Security 2.7.1 Overview Domain ke tujuh keamanan sistem informasi.Domain ini membahas mengenai kontrol terhadap personil (SDM), hardware/software, system, dan teknik audit dan monitor (pemeriksaan dan pengendalian). Domain ini juga mengenai penyalahgunaan kanal (channel abuse) dan bagaimana cara mengenali dan menanganinya. Tindakan apapun yang menjadikan sistem beroperasi secara aman, terkendali, dan terlindung. • • • •
Manajemen administratif berkenaan fungsi personil dan pekerjaannya (job function) Kontrol (direktif, preventif, korektif, dan pemulihan/recovery) Konsep pemeliharaan berkaitan dengan aktivitas pelatihan, audit, dan proteksi sumberdaya, dan antivirus Pemenuhan standard compliance
2.7.2 Problem Beberapa aspek yang bisa diterapkan untuk TKJ: • Mencegah attack terhadap SI/TI: melakukan pengamanan system dan data dengan menentukan langkah-langkah pengendalian yang tepat untuk melindungi email, aplikasi, dan jaringan. • Mendefinisikan jenis dan level control/kendali untuk SI/TI. • Melakukan monitoring pemakaian system.
Analisis Domain Keamanan 24
•
Ada audit sederhana yang dilakukan berkala untuk menjamin sistem SI/TI berjalan dengan baik dan lancar. Rekomendasi secara lebih lengkap mengenai audit akan dibahas pada bagian 2.11 laporan ini.
2.7.3 Rekomendasi Implementasi • • • • • •
• •
•
Mencegah serangan (attack) terhadap SI/TI: Pengamanan system dan data dengan menentukan langkah-langkah pengendalian yang tepat untuk melindungi email, aplikasi, dan jaringan. Melakukan kontrol/pengendalian operasional. Mendefinisikan otoritas akses untuk aplikasi (internal) dan system delivery tracking (eksternal). Mendefinisikan matriks akses role (siapa berhak melakukan apa) pada sistem KurirNet, baik pada aplikasi internal maupun eksternal Menyiapkan dokumen mengenai operasional system secara lengkap Mendefinisikan dokumentasi daftar kejadian yang mungkin mengganggu lancarnya system dan tindakan untuk mengantisipasinya dengan mengacu konsep pengendalian : o Direktif o Preventif o Korektif dan o Pemulihan (recovery) Menyiapkan/melakukan: o komunikasi dengan pembuat sistem Æ agar sistem nya uptodate o komunikasi dengan penyedia jasa web hosting Æ agar selalu up to date Mencegah attack terhadap service web dan e-mail: o Melakukan instalasi antivirus o Melakukan setting firewall secara tepat o menyediakan proteksi terhadap incoming e-mail o melakukan blocking terhadap situs-situs pada kategori yang tidak menunjang aktivitas kantor dan berpotensi virus o melakukan update antivirus secara berkala Memonitor Pemakaian System Untuk mencegah penyalahgunaan pemakaian system dan deteksi, maka diadakan pencatatan transaksi yang dilakukan, setidaknya siapa yang melakukan login, waktunya, dan aplikasi apa yang diaksesnya dilakukan secara otomatis dari login system
2.8 Disaster recovery and business continuity plans 2.8.1 Overview Domain ke delapan keamanan sistem informasi. Domain ini menyangkut pemeliharaan kelangsungan aktivitas bisnis ketika menghadapi gangguan dan bencana. Hal-hal yang penting untuk dibahas menyangkut identifikasi resiko, penilaian resiko, dan langkah penanggulangannya. Yang menjadi bahan pembahasan bukan hanya sistem informasi tapi resiko bisnis secara keseluruhan: • Identifikasi sumber daya bisnis dan nilainya • Business Impact Analysis dan prakiraan prediksi kehilangan • Management krisis dan prioritas unit
Analisis Domain Keamanan 25
2.8.2 Problem Beberapa aspek yang bisa diterapkan untuk TKJ : • Identifikasi sumber daya dan nilainya • Identifikasi jenis gangguan dan bencana • Tindakan untuk melindungi sumber daya terhadap jenis gangguan
2.8.3 Rekomendasi Implementasi Rekomendasi Implementasi Umum: • Membuat dokumen yang berisi daftar sumber daya yang dimiliki • Membuat dokumen yang jenis gangguan dan bencana yang mengancam bisnis PT TKJ • Membuat dokumen yang berisi gangguan dan cara/prosedur penanggulangannya (recovery) Rekomendasi Implementasi Detail: Identifikasi aset meliputi semua aset yang berkaitan dengan TI ataupun tidak. Identifikasi jenis bencana yang mengancam (langsung) : • Bencana alam o Banjir, yang menyebabkan pengiriman terhambat atau sulit dilakukan o Dan berbagai bencana lain yang mungkin Identifikasi jenis gangguan yang mungkin terjadi • Gangguan transportasi o Macet yang menambah waktu tempuh o Hujan deras, badai yang akan mempengaruhi armada pengiriman (khususnya dng motor) o Rusaknya kendaraan pengangkutan o Demo, huru-hara, pemogokan, yang menganggu lalu lintas • Gangguan o Gangguan HP pada sistem/operator ataupun pada peralatannya o Gangguan yang berpengaruh langsung pada TI o Listik mati o Gangguan telekomunikasi : pada penyedia telekomunikasi (telkom dll) atau pada jaringan lokal TKJ Rencana Perlindungan terhadap Aset : •
Perlindungan terhadap fasilitas komunikasi Fasilitas komunikasi adalah salah satu fasilitas terpenting dalam bisnis TKJ, karena digunakan untuk menerima order, berkomunikasi dengan staff di lapangan, dan juga untuk mengirimkan notifikasi mengenai sampainya order kepada pelanggan. Untuk itu, TKJ mempunyai backup yaitu menyediakan jalur komunikasi utama dengan beberapa provider (Telkom, Indosat ), selain itu antar kantor mempunyai fasilitas komunikasi radio langsung.
•
Perlindungan terhadap operasional IT o Backup Data Melakukan backup data secukupnya dan meletakkan backup data ini diluar kantor utama (misal pada fasilitas safe deposit di bank), atau karena usaha sifatnya UKM, data masih bisa disimpan di rumah pemilik usaha. Data lokal yang ada di kantor cabang harus diduplikasi juga di
Analisis Domain Keamanan 26
kantor pusat. Karena staff TKJ sedikit, maka prosedur backup bisa diotomatisasi dengan job schedulling software •
Perlindungan terhadap aset bisnis : o Melakukan kehati-hatian dengan melakukan prosedur pengamanan (lihat domain Physical Security) o Melakukan perawatan terhadap aset pengiriman, yaitu mobil dan motor. Sebaiknya dilakukan “kontrak maintenance” dengan usaha bengkel tertentu sehingga selain lebih murah, kualitasnya bisa lebih terjamin,
•
Hal lain yang bisa dilakukan o Mempunyai peta alternatif yang lengkap sehingga bila ada gangguan transportasi, bisa dengan cepat o Melakukan kerjasama dengan usaha pengiriman lain sehingga jika ada gangguan yang fatal, misalnya bisa melakukan “outsourcing” sehingga kelancaran bisnis tetap terpelihara, sementara perusahaan bisa melakukan pemulihan. o Selalu melakukan proses backup secara reguler baik terhadap aplikasi, data, maupun dokumentasi yang menyangkut data, sehingga jika terjadi sesuatu atas yang sebenarnya, data dan aplikasi masih bisa diselamatkan. o Melakukan dan mendaftarkan asuransi untuk berbagai aset dan fasilitas vital. o Menyiapkan daftar kontak penting, berupa daftar telepon instansi yang terkait (pemadam kebakaran, polisi, dll), instansi penting (kantor telepon, telekomunikasi, bengkel) dan daftar nomor kontak pegawai. o Secara berkala memeriksa fasilitas-fasilitas penting : jaringan listrik, jaringan telepon, alarm kebakaran. Bila perlu melakukan prosedur evakuasi sederhana untuk menjaga kesiapan terhadap terjadinya bencana.
•
Dokumentasi: o TKJ bisa menyediakan SOP untuk prosedur manual pengganti jika ITnya mengalami gangguan o Melakukan tindakan pencegarahan terhadap bencana dengan menyediakan peralatan yang memadai : alarm kebakaram, alat pemadam kebakaran sederhana. o Mendefinisikan siapa yang akan bertanggungjawab jika terjadinya bencana dan gangguan
•
Hal-hal yang belum perlu dilakukan: o Karena fasilitas IT masih sederhana, maka konsep cold, warm dan hot site akan terlalu mahal untuk diimplementasikan. o Membackup aplikasi dengan sistem atau jaringan yang redundan
2.9 Laws, investigations and ethics 2.9.1 Overview Domain ke sembilan keamanan sistem informasi. Domain ini menyangkut kejahatan komputer, hukum, dan regulasi. Termasuk didalamnya teknik-teknik menyelidiki sebuah kejahatan, pengumpulan bukti, dan prosedur penanganannya. Domain ini mempelajari
Analisis Domain Keamanan 27
berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika dalam dunia komputer. Aspek kajian sistem informasi KurirNet yang terkait dengan domain ini: • Hukum, etika, kejahatan komputer, transaksi elektronik, HAKI, piracy, penyelidikan, security import & export, dan berbagai isu kerahasiaan/privacy yang lain . • Mempelajari berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik serta etika dalam dunia komputer.
2.9.2 Problem • • • •
Melindungi dari serangan virus dan attacker lain atas sistem informasi Melindungi dari kejahatan dan computer crime yang lain, baik oleh orang dalam maupun dari luar Aspek hak cipta atas karya yang penting, mematenkan sistem yang mungkin bisa ditiru dan dijiplak oleh pesaing bisnis Aspek regulasi dalam bisnis
2.9.3 Rekomendasi implementasi Rekomendasi implementasi dalam masalah hukum, investigasi dan etika sistem informasi KurirNet yang dapat diterapkan: Melindungi terhadap serangan virus gangguan lain • Gangguan yang mungkin terjadi karena sistem terkait internet : DOS, wiretapping, spamming, virus, dll. • Mengenai proteksi terhadapa virus dan gangguan jaringan ini, telah dibahas pada bagian/domain lain Aspek regulasi etika bisnis dan hukum • Menyiapkan persyaratan dan regulasi yang cukup memadai karena area kerjanya bersinggungan dengan instansi lain seperti kantor pos, sehingga tidak melanggar peraturan yang ada. • Agar tidak bersangkutan dengan pelanggaran hukum, maka TKJ juga perlu berhati-hati mengenai jenis barang yang dikirimkannya, tidak termasuk barang terlarang. Software Licence and Protection • Karena software dibuat dari resource yang open source (Linux, PHP, mysql) , maka tidak ada kewajiban untuk membeli licence software untuk itu. • Hal yang perlu dilakukan adalah menjaga agar software yang ada dan penting bagi bisnis ini ( khususnya yang dikembangkan sendiri dan unik ) seperti track delivery system tetap terlindungi dari pencurian, terutama oleh staff atau “orang dalam” yang menguasai dan mengerti bisnis ini, karena dengan data pelanggan dan adanya sistem ini cukup untuk membuka bisnis baru yang selain menjadi pesaing baru juga mencuri pelanggan • Untuk software yang dibeli (dibuat oleh pihak lain), maka perlu melakukan perlindungan terhadap adanya kemungkinan gangguan yang terkait dengan software ini. Misalnya adanya logic bomb, atau program ilegal yang lain. Melindungi data pelanggan • Data pelanggan adalah hal yang sangat berharga karena berisi pelanggan yang saat ini bekerjasama dengan TKJ atau calon pelanggan yang sedang
Analisis Domain Keamanan 28
ditargetkan (prospek). Data ini sangat berharga bagi kompetitor karena dengan melihat volume data transaksinya pelanggan, maka kompetitor bisa berhitung mengenai keuntungan yang mungkin diperolehnya dan menawarkan service yang sama dengan harga yang lebih bersaing atau melakukan upaya persaingan yang tidak sehat lainnya. Melindungi bisnis • Secara umum, menjaga agar pegawai tidak membuka rahasia perusahaan dan pelanggan dengan tidak menyediakan peluang (hole) pada aplikasi yang bisa dimanfaatkan pelanggan, misalnya mengcopy data transaksi ke removable disk, dll. • Melindungi kemungkinan kecurangan yang dilakukan staff (yang berkolusi dengan pelanggan untuk mendapatkan keuntungan pribadi), misalnya dengan melakukan input data palsu dalam hal jumlah barang, berat barang, dan jenis barang. Pengembangan e-Commerce • Dimasa depan TKJ akan menerapkan konsep e-Commerce yang lebih terintegrasi untuk menangani transaksi yang lebih kompleks seperti pembayaran dan penagihan secara elektronik via internet. Untuk itu perlu dipersiapkan mengenai sistem bertransaksi yang aman, dengan memilih teknologi yang tepat dan mempersiapkan aspek legalnya dengan baik. Aspek Property Right • Hal-hal tambahan yang perlu diantisipasi - bila dianggap perlu - adalah misalnya mematenkan (atau hak atas karya cipta) mengenai prosedur kerja dan sistem yang unik. Meskipun kemungkinannya kecil, hal ini perlu diantisipasi klaim dari pihak lain yang terlebih dahulu mematenkan sistem ini. Sistem bisnis di TKJ relatif unik, sehingga ada kemungkinan ada sistem yang serupa (atau yang justru yang meniru) yang kemudian melakukan klaim atas hak cipta ini (yang sebenarnya dikembangkan sendiri). Perlindungan terhadap kejahatan yang dilakukan personil • Berkaitan dengan fasilitas TI, melindungi akses terhadap aplikasi dan data dengan dari konsultan, vendor, staff yang tidak perlu, dan mantan karyawan (termination of access right after termination) • Melakukan pelatihan secukupnya terahdap staff, operator, dan administrator, sehingga tidak ada kesalahan/gangguan karena kesalahan pemakaian • Manusia adalah bagian yang paling rapuh dalam sistem keamanan sistem, sehingga perlu diperhatikan faktor ini dalam pengaturan keamanan.
2.10 Physical security 2.10.1 Overview Domain ke sepuluh keamanan sistem informasi. Domain ini mengenai ancaman, resiko, dan penanganan untuk melindungi fasilitas, hardware, data, media, dan personil. Domain ini meliputi pula pemilihan fasilitas, metoda penanganan otoritas masuk, dan prosedur pengamanan dan lingkungan.
Analisis Domain Keamanan 29
Beberapa aspek penting dalam keamanan fisik sistem informasi KurirNet: • Pemilihan lokasi dan pengamanan fisik, berkaitan dengan segi administratif, teknis dan fisik. • Jenis ancaman dan gangguan yang mungkin timbul terhadap keamanan fisik dan cara penanggulangannya • Pencegahan, pendeteksian, dan teknik-teknik mengatasi kebakaran • Pembagian area, metoda dan kendali otorisasi • Pemasangan detektor gerakan, sensor, dan alarm • Pendeteksian penyusupan (intrussion detection) • Pemagaran, security guard
2.10.2 Problem Problem yang dihadapi dalam meningkatkan keamanan fisik sistem informasi KurirNet: • Pengamanan gedung, ruang kantor dan ruang komputer secara umum • Mengamankan fasilitas dari bahaya kebakaran dan gangguan dari pencurian, kerusakan, dan huru-hara • Melindungi fasilitas SI/Ti secara umum
2.10.3 Rekomendasi Implementasi Rekomendasi implementasi dalam keamanan fisik sistem innformasi KurirNet uyang dapat diterapkan: •
Pengamanan gedung, ruang kantor dan ruang komputer secara umum o Keamanan gedung pada umumnya, dengan kunci, pagar o Karena terletak di ruko, dengan lalu lintas orang yang tinggi, maka TKJ perlu menyediakan pengamanan dengan membatasi akses terhadap ruang komputer o Menyediakan personil keamanan (satpam) yang cukup dengan pembekalan teknik-teknik pengamanan yang memadai. o Mengatur instalasi perkabelan dengan baik : jalur komunikasi, jalur listrik, jalur pasokan gas (bila ada) dengan resiko yang minimal dan dilakukan oleh ahlinya.
•
Pengamanan terhadap bahaya kebakar o Menyediakan detektor panas dengan alarm dan sistem penyemprot air otomatis(sprinkler) o Menyediakan alat pemadam kebakaran portable, secukupnya, pada tempattempat yang strategis ( dibahas juga pada domain BCP - Disaster )
•
Pengamanan karena faktor lokasi o Meletakkan ruang komputer dan server dalam ruang yang terlindung o Ruang tidak berhadapan langsung dengan jalan o Tidak dekat jendela (resiko tampias air hujan) o Menyediakan kunci dan pengaman yang lain o Perlu dijaga akses kedalam ruangan yang dilakukan secara ilegal, misalnya dari langit-langit. o Karena perangkat CCTV semakin murah, maka untuk pengamanan di dalam ruang komputer disediakan CCTV. o Disediakan alarm untuk mendeteksi akses yang tidak terotorisasi
•
Melindungi sistem komputer
Analisis Domain Keamanan 30
o o •
Memilih hardware yang handal, dengan MTBF (mean time beetwen failure) yang besar Memilih hardware dengan kapasitas yang cukup sehingga tidak terjadi kerusakan atau kerugian karena aktivitas yang terlalu besar untuk yang ada.
Kendali terhadap personil o Akses fisik yang benar dan teliti, tidak semua orang meskipun staff boleh memasuki ruangan.
Hal-hal yang belum perlu dilakukan: • Isu-isu lingkungan yang besar karena kurang applicable terhadap situasi bisnis saat ini, namun perlu dipersiapkan dengan baik sehingga aktivitas bisnis tidak merugikan lingkungan.
2.11 Audit dan Assurance 2.11.1 Overview Domain khusus tambahan (“ke sebelas”) dalam keamanan sistem informasi. Secara umum, berdasarkan tujuannya, audit ada beberapa jenis: • Financial audit: meneliti kebenaran laporan keuangan perusahaan • Operational audit: mengetahui ada/tidak dan berfungsi/tidaknya internal control dalam perusahaan. • Administrative audit: Mengetahui efisiensi operasioal sebuah perusahaan • Information System audit: Meneliti resiko-resiko operasional dan kendali, serta mengidentifikasi control objectives dalam perencanaan audit sistem informasi perusahaan Beberapa aspek penting dalam domain ini adalah proses audit, perencanaan audit,kode etik, controls dan control objectives, kategori audit, dan pelaporan audit.
2.11.2 Problem Problem yang dihadapi untuk menjamin keamanan sistem informasi KurirNet: di TKJ belum ada proses audit, bahkan ‘ide’ mengenai audit sistem informasi juga belum ada, sehingga perlu dimulai dan diperkenalkan.
2.11.3 Rekomendasi Implementasi Karena keterbatasan dana, tenaga dan waktu yang ada pada perusahaan, maka perusahaan melakukan beberapa pendekatan yang mengakomodasi kebutuhan untuk melakukan audit dengan memperhatikan faktor keterbatasan ini. Perusahaan melihat untuk memprioritaskan dua audit berikut : • Financial Audit dan • Information System Audit
Analisis Domain Keamanan 31
Financial Audit Untuk financial audit, sementara masih dilakukan secara internal, dengan melibatkan Direktur Utama, dengan perangkat dan alat control yang didefinisikan bersama oleh Direktur Utama dan Direktur Keuangan. Secara rutin sebenarnya telah dilakukan pemeriksaan keuangan ini, namun belum dilakukan dalam kerangka financial audit yang standard. Karena sifat kepemilikan usaha, maka audit jenis ini masih dirasa memadai IT/IS Audit (Audit SI/TI) Karena pertamakali dilakukan, dengan berbagai keterbatasan yang ada maka Audit SI/TI tidak bisa begitu saja mengikuti standard proses SI/TI yang ada, dan perlu melakukan simplifikasi (dan adaptasi) proses. Maka direncanakan proses Audit IS dilakukan dalam langkah-langkah sebagai berikut: • Menentukan Tujuan Audit • Menentukan Ruang Lingkup (scope) Audit • Menentukan Pelaksana Audit • Menentukan Frekuensi Audit Tujuan Audit: •
Existing IT condition assesment: Mengingat TKJ belum mempunyai divisi atau bagian TI, bahkan staff TI, maka diharapkan hasil audit akan menyimpulkan secara obyektif perlunya bagian TI kebutuhan SI/TI perusahaan dengan melihat kondisi TI dan perusahaan saat ini. Selain itu, audit diharapkan juga bisa mengevaluasi strategi, kebijakan, standard, prosedur, dan praktek yang berhubungan dengan managemen, perencanaan, dang pengorganisasian SI/TI TKJ.
•
Mendefinisikan kebutuhan SI/TI Jika disimpulkan bahwa diperlukan penanganan masalah SI/TI yang lebih komprehensif , maka diharapkan auditor bisa menghasilkan rekomendasi kebutuhan sebagai berikut: o Spesifikasi kebutuhan TI perusahaan, dengan mengingat kebutuhan sekarang dan antisipasi kebutuhan yang akan datang. o Spesifikasi staff TI yang diperlukan o Spesifikasi kendali atas proses yang diperlukan o Dokumen yang diperlukan untuk menjamin standard-standard yang ditetapkan bisa diimplementasikan
•
Menjamin Kelancaran Operasional SI/TI Dari proses audit diharapkan akan menghasilkan rekomendasi-rekomendasi bagi perusahaan mengenai hal-hal yang harus dilakukan baik dalam bentuk panduan sampai langkah operasional.
•
Menentukan perangkat audit Diharapkan dalam persiapan audit, dihasilkan perangkat audit sbb : o Tujuan kendali o Alat kendali o Alat evaluasi o Alat test
Analisis Domain Keamanan 32
Scope (cakupan) Audit: Menentukan sistem, fungsi dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai batasan ruang lingkup yang jelas. Pelaksana Audit Karena keterbatasan kondisi diatas, maka team audit dilakukan secara internal terdiri dari lima orang staff TKJ yang mewakili beberapa bagian di TKJ, dengan bantuan seorang konsultan dari luar yang membantu proses audit ini. Sebelum audit dilakukan, diadakan workshop dan simulasi sehingga proses audit bisa berjalan dengan efisien. Dengan audit partisipasif ini diharapkan perusahaan nantinya bisa melakukan audit secara periodik, sekaligus meningkatkan rasa tanggungjawab staff (bahwa pekerjaan mereka ‘dimonitor’). Namun perusahaan juga berhati-hati dalam memilih tim pelaksana untuk menjaga obyektifitas proses audit. Frekuensi Audit Salah satu proses audit adalah dengan menempatkankan alat kendali (control) di berbagai proses. Untuk SI/TI, diharapkan dalam workshop bisa dihasilkan jenis-jenis control yang diperlukan agar sistem TI bisa berjalan dengan baik, keamanan terjamin (dalam berbagai aspek), dan operasional perusahaan bisa terus berjalan dalam berbagai kondisi. Dengan adanya alat kendali ini, sebenarnya proses monitoring terhadap proses terus dilakukan sepanjang waktu. Evaluasi terhadap kondisi SI/TI perusahaan secara keseluruhan ini dilakukan secara khusus setahun sekali. Hasil Audit Hasil audit yang berupa temuan-temuan dan rekomendasi akan dilaporkan kepada manajemen untuk dilakukan tindak lanjut yang sesuai, baik dengan skala prioritas maupun dari kemampuan perusahaan.
Analisis Domain Keamanan 33
3. Kesimpulan dan Saran Bagian ketiga: Kesimpulan dan Saran merangkum hasil analisis keamanan sistem informasi KurirNet dalam bentuk kesimpulan dan saran yang direkomendasikan untuk meningkatkan keamanan SI KurirNet.
3.1 Kesimpulan Analisis keamanan sistem informasi KurirNet milik PT. Titipan Kurir Jaya yang dilakukan dengan mengacu pada 11 domain keamanan sistem informasi menghasilkan kesimpulan sebagai berikut: 1. Belum maksimalnya tingkat keamanan pada sistem informasi KurirNet milik PT. Titipan Kurir Jaya. Hal ini lebih banyak disebabkan oleh tingkat penggunaan teknologi informasi yang belum meluas dan mendalam dalam proses bisnis PT. Titipan Kurir jaya. 2. Pengembangan sistem informasi KurirNet terbentur pada budget dan prioritas. Pengembangan SI KurirNet dilakukan dengan pertimbangan menekan biaya operasional. Karena itu fokus pengembangan belum mengutamakan aspek keamanan namun lebih mengutamakan aspek fungsi dan kinerja. Karena pada level ini telah tercapai KurirNet bisa melangkah ke tahapan-tahapan yang direkomendasikan, secara bertahap. 3. Penerapan sistem informasi sebagai business-enabler seperti e-commerce belum dilakukan. Karena semakin pentingnya peranan SI/TI, terutama kearah penerapan ini, maka perhatian ke aspek ini perlu lebih ditingkatkan, sehingga sumber daya SI/TI juga mulai perlu mendapat perhatian. 4. Penggunaan aplikasi web-based delivery tracking yang memiliki sebagian fungsi CRM (Customer Relationships Management) masih terbatas dan belum dikembangkan berdasar requirement yang baku. Bisnis delivery dengan fasilitas tracking ini akan menjadi kebutuhan pelanggan, dan menjadi salah satu daya saing bisnis delivery di masa yang akan datang, sehingga perlu lebih dikembangkan
3.2 Saran Beberapa rekomendasi yang bertujuan untuk memaksimalkan tingkat keamanan sistem infomasi KurirNet dengan pertimbangan diuraikan secara detail pada tiap akhir sub bab. Rekomendasi implementasi dibuat dengan dasar pertimbangan: 1. 2. 3. 4.
Biaya implementasi dapat ditekan serendah mungkin Sesuai dengan kebutuhan PT. Titipan Kurir Jaya Mengacu pada standar-standar keamanan sistem informasi Feasible, dapat diterapkan, membumi, tidak merupakan wacana. Kondisi ideal diupayakan tercapai dengan penyesuaian yang diperlukan.
Lampiran 34
Rekomendasi Rekruit Staff Baru (IT Staff): Karena IT selama ini dirasa telah banyak membantu mengefisienkan pekerjaan, maka perusahaan mulai melihat pentingnya IT ini dan menginginkan agar IT ditangani lebih baik. Oleh karena itu kemudian perusahaan mulai mengagendakan untuk merekrut staff IT baru. Selain untuk melakukan maintenance dan support.
Posisi
Keterangan
IT Support
Staff Pengembangan Sistem Informasi
Tugas : • Befungsi sebagai helpdesk untuk membantu dan melayani staff internal • Melakukan maintenance aplikasi internal • Bertanggung jawab terhadap fungsi dan optimalisasi SI KurirNet Spesifikasi : • D3 Teknik computer • Memiliki pengalaman minimum 1 tahun sebagai helpdesk komputer berbasis Windows • Memiliki kemampuan dan pengetahuan komputer dan jaringan • Memiliki kemampuan dan pengalaman administrasi Linux Tugas : • Melihat pengembangan aplikasi e-commerce ke depan • Mendefinisikan requirement, analysis dan design Spesifikasi : • S1 dengan kemampuan analysis yang baik • Berpengalaman mimimal 2 tahun • Memiliki kemampuan dibidang programming dengan bahasa PHP lebih diutamakan • Memiliki pengalaman pengembangan aplikasi open source
Jumlah 1 orang
1 orang
Tabel 9. Penambahan IT Staff Untuk pengembangan aplikasi nantinya akan dilihat dari hasil requirement dan analysis. Jika memungkinkan, maka pekerjaan akan dilakukan oleh staff internal, atau akan dilakukan oleh konsultan yang membuat aplikasi dengan system joint development, dimana staff internal akan mempunyai keahlian yang cukup untuk melakukan maintenance dan pengembangan lanjutan. Namun, karena aplikasi beragam, maka tidak semua aplikasi akan dilakukan pengembangan secara internal, hanya aplikasi yang bersifat melayani pelanggan langsung dan menjadi pendukung core bisnis, yaitu aplikasi web-based delivery tracking dan e-commerce.
Lampiran 35
4. Lampiran 4.1 Daftar Gaji Staff Jabatan
Nama
Presiden Direktur Direktur Keuangan & Personalia Direktur Operasional Sekretaris Direksi Staff Keuangan Staff Personalia Staff Logistik Staff Gudang Satpam Office Boy Agen Lapangan (Kurir)
Dodo Dodi A01 A02 A03, A04 A05, A06 A07, A08, A09 A10, A11, A12 A13, A14, A15, A16 A17, A18 A19 s/d A46
Salary 20.000.000 15.000.000 15.000.000 2.500.000 2.000.000 2.000.000 1.500.000 1.500.000 850.000 650.000 850.000
Take home pay Bonu Overtime s * x * x * x * x * ** * ** * ** * ** * ** * ** *
Komisi x x x x x x x x x x *** 2.5%
Tabel 10. Daftar Gaji Karyawan PT. Titipan Kurir Jaya Catatan: * Nilai bonus ditentukan dalam rapat direksi dan diberikan setiap akhir tahun takwim. ** Berdasarkan peraturan Depnaker Rumus : 1/273 x Salary *** Berlaku untuk Paket A, yaitu paket yang diterima oleh agent secara mandiri untuk dikirimkan menggunakan jasa pengiriman PT. Titipan Kurir Jaya. x Tidak memperoleh komisi.
4.2 Daftar nomor telepon penting Nama/Instansi
Nomor Telp.
Polisi
110
Pemadam kebakaran Ambulance Rumah sakit Direktur operasional
119 112 113 (021) 8715436 0812 5354567 (021) 8093996 0856 4445555 0856 5678921 0856 5678922 (021) 5359012 0812 93458034 0856 76458034 0856 5554321
Direktur keuangan/personalia Staff logistic Staff gudang Bengkel Derek A05
Kasus Pencurian, perampokan, dan tindak kriminal lainnya. Kebakaran Kecelakaan kerja, gawat darurat Kecelakaan kerja, gawat darurat Masalah mendesak untuk urusanlogistik, gudang dan kurir Masalah mendesak dibidang keuangan Masalah logistik Masalah gudang Bengkel untuk maintenance Untuk membantu jika ada transportasi Masalah IT/IS
gangguan
Tabel 11. Daftar telepon penting
Lampiran 36
4.3 Jadual Penjagaan Kantor Faktor manusia adalah faktor yang penting dan vital dalam keamanan SI/TI. Oleh karena itu, dilampirkan juga daftar shift satuan pengamanan penanggungjawab kemananan fisik, terutama diluar jam kantor. Termasuk disini adalah petugas yang memegang kunci kantor. Hari Senin Selasa Rabu Kamis Jumat Sabtu Minggu
Shift pagi A13, A14 A13, A14 A13, A15 A13, A15 A15, A16 A15, A16 A14, A15
Shift Malam A15, A16 A15, A16 A14, A16 A14, A16 A13, A14 A13, A14 A13, A16
Tabel 12. Jadual jaga Satpam
Lampiran 37
5. Referensi CISA Review Manual. 2002. Certified Information System Auditor. Information System Audit And Control Association. Printed in the United Stated of America. Harris, Shon. 2002. CISSP Certification Exam Guide. Mcgraw Hill/Osborn 2600 Tenth Street Berkeley, California 94710.
Lampiran 38
