Tugas Proteksi dan Teknik Keamanan Sistem Informasi pada PT Adiperkasa Distribusindo
Copyright (c)
2004
Edo Kurniawan - 7203010138 Heriyadi - 720301020Y Kirana Ferdinan - 7202014237 ____________________________________________________________ Magister Teknologi Informasi Universitas Indonesia Desember 2004
GNU FREE DOCUMENTATION LICENSE ............................................................................. 4 BAB 1 PENDAHULUAN............................................................................................................. 11 1.1
PROFIL PERUSAHAAN................................................................................................... 11
1.2 MODAL DISETOR .................................................................................................................. 12 1.3 STRUKTUR ORGANISASI ....................................................................................................... 12 1.4 DIVISI ................................................................................................................................... 12 1.5 APLIKASI YANG DIGUNAKAN ................................................................................................ 15 1.6 PROSES BISNIS PT. ADIPERKASA DISTRIBUSINDO ................................................................ 16 BAB 2 TUJUAN DAN LINGKUP .............................................................................................. 18 BAB 3 KEAMANAN SISTEM INFORMASI ........................................................................... 19 3.1 ACCESS CONTROL SYSTEM & METHODOLOGY .................................................................... 19 3.1.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 19 3.1.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 20 3.1.3 Rekomendasi bagi PT. Adiperkasa Distribusindo ....................................................... 20 3.2 TELECOMMUNICATIONS AND NETWORK SECURITY .............................................................. 21 3.2.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 21 3.2.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 21 3.2.3 Rekomendasi bagi PT. Adiperkasa Distribusindo ....................................................... 22 3.3 SECURITY MANAGEMENT PRACTICES .................................................................................. 22 3.3.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 23 Jenis-jenis ancaman terhadap PT. Adiperkasa Distribusindo.............................................. 24 3.3.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 25 3.3.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 25 3.4 APPLICATION & SYSTEM DEVELOPMENT SECURITY ............................................................ 27 3.4.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 27 3.4.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 28 3.4.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 28 3.5 CRYPTOGRAPHY ................................................................................................................... 28 3.5.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 29 3.5.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 29 3.5.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 29 3.6 SECURITY ARCHITECTURE AND MODEL ............................................................................... 29 3.6.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 30 3.6.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 30 3.6.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 30 3.7 OPERATION SECURITY .......................................................................................................... 30
3.7.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 31 3.7.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 31 3.7.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 31 3.8 DISASTER RECOVERY & BUSINESS CONTINUITY PLAN ........................................................ 32 3.8.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 33 3.8.2 Kekurangan sistem yang diterapkan saat ini............................................................... 33 3.8.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 33 3.9 LAWS, INVESTIGATIONS AND ETHICS ................................................................................... 33 3.9.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 33 3.9.2 Kekurangan sistem yang diterapkan saat ini............................................................... 34 3.9.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 34 3.10 PHYSICAL SECURITY .......................................................................................................... 34 3.10.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ..................................................... 34 3.10.2 Kekurangan Sistem yang diterapkan saat ini ............................................................ 36 3.10.3 Rekomendasi untuk PT. Adiperkasa Distribusindo.................................................... 37 3.11 AUDIT AND ASSURANCE ..................................................................................................... 37 3.11.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ..................................................... 37 3.11.2 Kekurangan Sistem yang diterapkan saat ini ............................................................ 37 3.11.3 Rekomendasi untuk PT. Adiperkasa Distribusindo.................................................... 38
333
GNU Free Documentation License Version 1.1, March 2000 Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA Everyone is permitted to copy and distribute verbatim copies of this license document, but changing it is not allowed.
0. PREAMBLE The purpose of this License is to make a manual, textbook, or other written document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not being considered responsible for modifications made by others. This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a copyleft license designed for free software. We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book. We recommend this License principally for works whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS This License applies to any manual or other work that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. The "Document", below, refers to any such manual or work. Any member of the public is a licensee, and is addressed as "you". A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language. A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (For example, if the Document is in part a
4
textbook of mathematics, a Secondary Section may not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position regarding them. The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, whose contents can be viewed and edited directly and straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup has been designed to thwart or discourage subsequent modification by readers is not Transparent. A copy that is not "Transparent" is called "Opaque". Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and standard-conforming simple HTML designed for human modification. Opaque formats include PostScript, PDF, proprietary formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated HTML produced by some word processors for output purposes only. The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text.
2. VERBATIM COPYING You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also follow the conditions in section 3.
5
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY If you publish printed copies of the Document numbering more than 100, and the Document's license notice requires Cover Texts, you must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other respects. If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages. If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or with each Opaque copy a publicly-accessible computer-network location containing a complete Transparent copy of the Document, free of added material, which the general network-using public has access to download anonymously at no charge using public-standard network protocols. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License, with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these things in the Modified Version: A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History section
6
B.
C. D. E. F.
G. H. I.
J.
K.
L.
M. N.
of the Document). You may use the same title as a previous version if the original publisher of that version gives permission. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors of the Document (all of its principal authors, if it has less than five). State on the Title page the name of the publisher of the Modified Version, as the publisher. Preserve all the copyright notices of the Document. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the Addendum below. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice. Include an unaltered copy of this License. Preserve the section entitled "History", and its title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page. If there is no section entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the Modified Version as stated in the previous sentence. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document itself, or if the original publisher of the version it refers to gives permission. In any section entitled "Acknowledgements" or "Dedications", preserve the section's title, and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles. Delete any section entitled "Endorsements". Such a section may not be included in the Modified Version. Do not retitle any existing section as "Endorsements" or to conflict in title with any Invariant Section.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section titles. You may add a section entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard.
7
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover, previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the previous publisher that added the old one. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice. The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. In the combination, you must combine any sections entitled "History" in the various original documents, forming one section entitled "History"; likewise combine any sections entitled "Acknowledgements", and any sections entitled "Dedications". You must delete all sections entitled "Endorsements."
6. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this License in all other respects regarding verbatim copying of that document.
8
7. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, does not as a whole count as a Modified Version of the Document, provided no compilation copyright is claimed for the compilation. Such a compilation is called an "aggregate", and this License does not apply to the other self-contained works thus compiled with the Document, on account of their being thus compiled, if they are not themselves derivative works of the Document. If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one quarter of the entire aggregate, the Document's Cover Texts may be placed on covers that surround only the Document within the aggregate. Otherwise they must appear on covers around the whole aggregate.
8. TRANSLATION Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a translation of this License provided that you also include the original English version of this License. In case of a disagreement between the translation and the original English version of this License, the original English version will prevail.
9. TERMINATION You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so long as such parties remain in full compliance.
10. FUTURE REVISIONS OF THIS LICENSE The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/. Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this
9
License "or any later version" applies to it, you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.
10
BAB 1 Pendahuluan
1.1
Profil Perusahaan Perusahaan PT. Adiperkasa Distribusindo adalah perusahaan distribusi makanan
yang didirikan pada tahun 1990 di Medan. Perusahaan ini merupakan perusahaan distribusi minuman serbuk, makanan & minuman diet/suplemen fitness/untuk penderita diabetes. Cakupan perusahaan pada awalnya adalah toko-toko semi grosir dan toko-toko biasa di kota Medan. Sekarang
PT. Adiperkasa Distribusindo juga melayani
supermarket, minimarket, grosir dan sektor healthcare (tempat-tempat fitness dan kebugaran lainnya). Perusahaan ini sekarang melayani sekitar 300 outlet di daerah Medan dan sekitarnya. Perusahaan ini hanya mempunyai satu kantor di kota Medan. Dan mempunyai 48 orang pegawai. Terdiri dari 30 orang bagian pemasaran, 5 orang bagian gudang dan logistik, 2 orang bagian keuangan, 5 orang bagian administrasi dan 15 orang petugas lain-lain. Perusahaan ini mempunyai investasi teknologi informasi saat ini : •
Platform
: Microsoft Windows 2000 (Server), Windows 98 dan XP untuk klien
•
Server
: 1 buah untuk DC dan juga application server
•
Client
: 12 orang (Finance 2, Sales 4, Logistik 4, Lain –
lain 2) •
Jaringan
•
Network devices : Hub 10/100. Modem external
•
Jaringan internet : Dial up – Telkomnet instant
•
Email
: LAN 10/100 MBps – TCP/IP
: Yahoo! Mail – free
11
1.2 Modal Disetor Jumlah modal disetor pada awal pendirian perusahaan tahun 1990 adalah sebesar Rp 300.000.000,00 perusahaan terus mengalami perkembangan sejak saat itu sehingga besarnya kapital pada tahun 2004 ini adalah sebesar Rp 600.000.000,00
1.3 Struktur Organisasi Ini adalah gambar struktur organisasi PT. Adiperkasa Distribusindo
Gambar 1. 1 Struktur Organisasi
1.4 Divisi Ada beberapa divisi di PT. Adiperkasa Distribusindo ini yang dibagi berdasarkan fungsi kerjanya. Adapun divisi ini adalah sebagai berikut :
12
a. Marketing & Sales Divisi ini merupakan tulang punggung bagi perusahaan. Hal ini dikarenakan divisi inilah yang menghasilkan penjualan (cash in) bagi perusahaan. Selain melakukan penjualan divisi ini juga merangkap tugas untuk marketing dan promosi.
Divisi ini secara umum bertugas untuk : -
Merencanakan, melaksanakan dan mengevaluasi kegiatan promosi yang berkenaan dengan produk – produk yang dijual baik di Outlet nasional, channel moderen maupun channel tradisional.
-
Memantau penempatan produk (display) di setiap outlet untuk menghasilkan tingkat penjualan yang optimal
-
Melakukan order taking di setiap outlet yang menjadi pelanggan PT. Adiperkasa Distribusindo sesuai dengan target perusahaan
-
Mengembangkan cakupan pasar dari PT. Adiperkasa Distribusindo dengan menambah pelanggan – pelanggan baru sesuai dengan target perusahaan
-
Membuat perencanaan penjualan (forecast) dan secara berkala meninjaunya
-
Mengevaluasi dan membuat laporan pencapaian penjualan
Jumlah orang dalam divisi ini ada sekitar 30 orang yang terdiri dari 1 supervisor, 25 orang salesman (dan merangkap juga petugas promosi dan marketing di lapangan) dan 4 orang petugas data entry / administrasi.
b. Logistik Divisi ini bertanggung jawab atas penerimaan, penyimpanan dan pengiriman barang. Divisi ini juga sangat penting karena tanpa adanya delivery maka tidak akan ada penjualan barang juga. Selain itu kredibilitas perusahaan juga sangat bergantung pada ketepatan pengiriman divisi ini.
Adapun tugas – tugas divisi ini adalah diantaranya sebagai berikut :
13
-
Melakukan administrasi atas penerimaan barang dari prinsipal ataupun dari pelanggan (retur)
-
Melakukan administrasi atas pengiriman barang kepada prinsipal (retur prinsipal) ataupun dari pelanggan
-
Melakukan pencatatan atas keluar masuknya barang dan melakukan stock opname secara berkala
-
Menjaga ketersediaan barang dengan membuat forecast bersama – sama dengan divisi Marketing / sales.
-
Melakukan pelaporan stok barang secara berkala
Ada sekitar 5 orang petugas di divisi ini, termasuk dengan supervisornya.
c. Finance Divisi ini merupakan tulang punggung kedua bagi perusahaan. Divisi inilah yang mengatur cash flow dari perusahaan. Tanpa adanya proses yang baik pada divisi ini dalam perusahaan maka cash flow dari perusahaan dapat terganggu yang pada akhirnya dapat mengganggu keberadaan bisnis perusahaan.
Adapun pekerjaan dari divisi ini diantaranya adalah sebagai berikut : -
Menerbitkan faktur penjualan yang akan digunakan untuk melakukan penagihan pada pelanggan.
-
Melakukan administrasi pembayaran dan keuangan lainnya dalam perusahaan.
-
Memantau cash flow dari perusahaan dan membuat laporan keuangan yang dibutuhkan secara berkala
Bagian finance dibawahi langsung oleh wakil pemilik perusahaan, dan memiliki 2 staff administrasi.
d. General affair / lain - lain Divisi ini pada intinya bertanggung jawab atas sarana – prasarana pendukung bisnis, misalnya kebersihan, telepon, listrik, air dan lain lain. Selain itu mereka juga
14
membantu divisi lain dalam berbagai hal, misalnya saat stock opname dan loading barang mereka membantu divisi logistik, atau membantu divisi marketing saat penyiapan promosi di suatu outlet. Ada 15 orang yang ada di divisi ini.
1.5 Aplikasi yang digunakan Aplikasi untuk keperluan distribusi mereka menggunakan suatu aplikasi custom-made lokal. Program ini dibangun diatas bahasa pemrograman clipper dan sudah digunakan sejak tahun 1995. Aplikasi ini adalah aplikasi yang diberikan oleh distributor pusat kepada seluruh distributor daerah. Aplikasi ini mencakup modul berikut : -
Penjualan (Sales) o Pembuatan Sales order o Cetak Sales order o Pembuatan Sales order retur o Cetak Sales order retur o Posting harian o Pembuatan report penjualan o Cetak faktur
-
Pembelian (Purchase) o Pembuatan purchase order o Cetak purchase order o Pembuatan purchase order retur o Cetak purchase order retur o Posting harian o Pembuatan report pembelian
-
Persediaan barang (Inventory) o Pencetakan delivery order o Stock opname
-
Keuangan (Finance) o General Ledger o Account Payable o Account Receivable 15
o Laporan keuangan
1.6 Proses Bisnis PT. Adiperkasa Distribusindo Secara umum proses bisnis yang terjadi pada PT. Adiperkasa Distribusindo
16
Gambar 1. 2 Alur Proses Bisnis
17
BAB 2 Tujuan dan Lingkup
Tujuan tulisan ini adalah untuk memberikan gambaran kondisi, kekurangan dan rekomendasi keamanan sistem informasi dalam penerapan Teknologi Informasi (teknologi
informasi)
di
PT.
Adiperkasa
Distribusindo.
Dalam
penerapannya
rekomendasi sistem keamanan teknologi informasi ini di bagi menjadi 11 domain yaitu:
1. Access Control System. 2. Telecommunication and Network Security. 3. Security Management Practices 4. Application and System Development Security 5. Cryptography 6. Security Architecture and Models 7. Operations Security 8. Disaster Recovery and Business Continuity Planning. 9. Laws, Investigation, and Ethics 10. Physical Security 11. Audit and Assurance
18
BAB 3 Keamanan Sistem Informasi 3.1 Access Control System & Methodology Tujuan dari pembagian domain ini adalah adanya mekanisme dan metode yang digunakan oleh para administrator/manajer untuk mengontrol apa yang boleh diakses pengguna, termasuk apa yang boleh dilakukan setelah otentikasi dan otorisasi, termasuk pemantauannya.
Secara umum acess control system & methodology di bagi ke dalam tiga cara. 1. Identification: melakukan identifikasi terhadap pengguna yang akan memasuki resource, dengan menanyakan apa yang diketahui oleh pengguna tersebut. Misalnya: Password. 2. Authentication: melakukan autentifikasi terhadap pengguna yang akan memasuki resource, dengan menanyakan apa yang dimiliki oleh pengguna tersebut. Misalnya: smart card 3. Authorization: melakukan autorisasi terhadap pengguna yang akan memasuki resource dengan melakukan pengecekan terhadap daftar orang yang memiliki autorisasi.
3.1.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Saat ini pada PT. Adiperkasa Distribusindo terdapat 4 aplikasi yang dibatasi penggunaannya, yaitu aplikasi gudang, aplikasi keuangan, aplikasi penjualan dan aplikasi pembelian. Akses terhadap aplikasi-aplikasi tersebut dibatasi hanya pada divisi yang menggunakan aplikasi tersebut. Cara yang digunakan adalah sebelum menggunakan aplikasi tersebut pengguna harus melakukan identifikasi dengan memasukan login dan password yang tepat.
19
3.1.2 Kelemahan dalam Sistem yang diterapkan saat ini Saat ini login dan password hanya dilakukan berdasarkan divisi, sehingga semua pegawai dalam satu divisi menggunakan login dan password yang sama. Selain itu setiap orang yang telah masuk ke dalam aplikasi dapat melakukan seluruh kegiatan akses seperti read, write, create, update dan delete tanpa pembatasan.
3.1.3 Rekomendasi bagi PT. Adiperkasa Distribusindo Sistem identifikasi dan pembatasan akses terhadap aplikasi adalah cara yang tepat. Kekurangan yang ada di sini adalah identifikasi akses yang masih berdasarkan divisi, seharusnya setiap pegawai mempunyai akses masing-masing untuk mengakses aplikasi, sehingga aplikasi dapat mencatat secara tepat siapa pengguna aplikasi tersebut dan bukan hanya divisi penggunanya. Hal ini dibutuhkan karena jika terjadi kesalahan dapat di lihat secara lebih tepat di mana kesalahannya dan siapa yang harus bertanggung jawab atas kesalahan tersebut. Selain itu diperlukan juga adanya pembatasan terhadap akses pada aplikasi, jadi tidak seluruh pengguna dapat melakukan semua kegiatan akses, terutama untuk akses update dan delete, dibatasi hanya pada level supervisor dan manajer saja. Ini memberikan kontrol penggunaan yang lebih baik, sehingga pada akhirnya menjamin keakuratan data yang dimiliki. Perusahaan PT. Adiperkasa Distribusindo saat ini hanya melakukan identification dalam access control system & methodology hal ini dirasakan mencukupi karena terbatasnya ruang lingkup perusahaan dan data yang dimiliki perusahaan. Penambahan autentification dan authorization dirasakan belum diperlukan pada kondisi perusahaan saat ini, karena hanya akan menambah ketidaknyamanan pengguna.
20
3.2 Telecommunications and Network Security Domain ini adalah penjabaran bagaimana penerapan aspek keamanan yang terkait dengan jaringan komputer atau telekomunikasi pada PT. Adiperkasa Distribusindo . Pada domain ini dibahas bagaimana penerapan keamanan yang memadai untuk infrastruktur jaringan dan telekomunikasi yang ada, ancaman dan kelemahan yang dimiliki dan cara terbaik untuk melindungi jaringan komputer perusahaan.
3.2.1 Kondisi saat ini di PT. Adiperkasa Distribusindo PT. Adiperkasa Distribusindo mempunyai jaringan komputer dan telekomunikasi pada kantornya. Masing-masing jaringan ini berdiri sendiri, jaringan telekomunikasi memanfaatkan PABX. Jaringan komputer yang ada merupakan jaringan Local Domain Network (LAN), hubungan dengan jaringan telekomunikasi hanya pada titik tertentu yaitu pada bagian administrasi dan bagian manajemen yang memiliki modem dial-up untuk berkomunikasi dengan internet memanfaatkan jaringan telekomunikasi. Jarignan ini dimanfaatkan oleh perusahaan untuk melakukan kegiatan perusahaan, seluruh divisi terhubung secara langsung ke server perusahaan dan dapat menggunakan aplikasiaplikasi yang terdapat pada server perusahaan. Seluruh aplikasi perusahaan disimpan pada server perusahaan yang disimpan pada satu ruangan khusus server. Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan oleh bagian administrasi dan manajemen dengan memanfaatkan modem dial-up. Akses pada bagian administrasi ini digunakan khusus hanya untuk mengirimkan dan menerima email dari perusahaan distributor pusat.
3.2.2 Kelemahan dalam Sistem yang diterapkan saat ini Perusahaan belum memiliki metode dan cara untuk mengamankan telekomunikasi dan network yang dimiliki.
21
3.2.3 Rekomendasi bagi PT. Adiperkasa Distribusindo Pengamanan jaringan telekomunikasi dapat dilakukan dengan menyediakan saluran komunikasi alternatif menggunakan handphone untuk mencegah terputusnya komunikasi secara total jika terjadi kerusakan jaringan telekomunikasi. Untuk perlindungan internal jaringan perusahaan dari akses yang tidak berhak, dapat digunakan virtual local domain network (VLANs), sehingga setiap divisi mempunyai jaringan virtual domain networknya masing-masing. Hal ini dapat mengurangi resiko pencurian data dari dalam perusahaan karena terbatasnya akses komputer masing-masing divisi. Selama ini komputer perusahaan tidak terlindungi atas akses dari luar. Perlindungan terhadap komputer perusahaan atas akses dari luar dapat diterapkan dengan pemanfaatan firewall. Pemanfaatan firewall pada PT. Adiperkasa Distribusindo ini cukup yang berupa software, misalnya Zona Alarm, software ini dapat diperoleh secara gratis dan dianggap cukup memadai untuk melindungi komputer di PT. Adiperkasa Distribusindo karena hubungan komputer perusahaan dengan jaringan internet sangat terbatas. Perusahaan selama ini hanya memanfaatkan internet untuk mengirimkan data hasil penjualan harian kepada distributor pusat. Selain itu dapat juga ditambahkan intrusion detection software yang dapat melindungi jaringan komputer perusahaan dari serangan dari luar.
3.3 Security Management Practices Domain ini menjabarkan cara untuk menerapkan cara identifikasi aset perusahaan yang berupa informasi berikut cara terbaik untuk menentukan tingkat keamanannya, serta anggaran yang patut untuk implementasi keamanannya. Manajemen keamanan yang dilakukan adalah bagaimana penerapan proses manajemen dalam lingkup tingkat keamanan dan IT services. Faktor penting nilai dari informasi adalah kerahasiaan, intergritas dan ketersediaan informasi. Faktor-faktor penting inilah yang harus dijaga dan dikelola agar tidak merugikan nilai dari informasi baik karena hal yang disengaja atau tidak disengaja. Keamanan informasi adalah
22
gabungan dari teknologi dan metode yang digunakan untuk mengamankan kerahasiaan, intergritas dan ketersediaan infomasi dan komputer, sistem dan jaringan yang membuat memproses, menyimpan dan mengkomunikasikan informasi tersebut.
3.3.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Identifikasi Aset pada PT. Adiperkasa Distribusindo a. Aset tangible 1. Server Komputer 2. Komputer Desktop 3. Perangkat keras lainnya. 4. Pegawai 5. Ruangan
b. Aset intangible (Software dan data) 1. Aplikasi-aplikasi perusahaan 2. Informasi data inventori 3. Informasi data penjualan 4. Informasi data keuangan
Information Asset valuation pada restoran PT. Adiperkasa Distribusindo Tabel 3. 1 Information asset valuation Information Asset valuation Data
Data
keuangan
penjualan
Confidentiality
X
X
Integrity
X
X
X
Availability
X
X
X
Data inventori
Ini adalah penilaian aset informasi PT. Adiperkasa Distribusindo . 1. Data Keuangan : Kerahasiaan harus terjaga karena data ini tidak boleh diketahui semua orang, berapa margin yang diperoleh dari setiap item dan sebagainya 23
adalah rahasia perusahaan. Intergritas data juga harus tinggi karena hal ini berkaitan dengan penagihan kepada klien, jika hal ini salah dilakukan dapat mengancam kelangsungan perusahaan. Ketersediaan data juga penting karena penagihan harus dilakukan tepat waktunya untuk menjaga arus cash flow perusahaan. 2. Data Penjualan : Kerahasiaan data penjualan harus dilakukan terutama dari pihak pesaing perusahaan. Integritas data sangat penting karena kesalahan dalam data bisa berakibat biaya tinggi, misalnya kesalahan pengiriman pesanan sehingga pesanan harus di kirim ulang dapat membebani perusahaan. Ketersediaan data penjualan juga sangat penting, sebab data ini yang digunakan bagian keuangan untuk membuat penagihan. 3. Data Inventori : Kerahasiaan data inventori tidak terlalu penting walau sebaiknya tetap di jaga untuk strategi perusahaan menghadapi persaingan. Integritas data sangat penting, karena ini berkaitan langsung dengan persediaan barang yang ada di gudang. Data ini diperlukan untuk mengecek persediaan saat ada pesanan dari klien. Ketersediaan data sangat penting, karena data ini yang digunakan untuk memutuskan apakah suatu pesanan dapat dipenuhi atau tidak. Jenis-jenis ancaman terhadap PT. Adiperkasa Distribusindo 1. Kehilangan data. Kehilangan data ini dapat terjadi karena berbagai hal, mulai dari kerusakan data itu sendiri, kerusakan hardware, kesalahan pengguna, hal-hal ini dapat terjadi baik secara sengaja maupun tidak sengaja. 2. Pemutusan akses Pemutusan akses ini dapat terjadi pada akses telekomunikasi dan jaringan komputer ke luar. Pemutusan telekomunikasi berarti hilangnya komunikasi dengan pelanggan yang dapat menyebabkan hilangnya pendapatan yang cukup besar, sebab seluruh komunikasi dengan pelangga tetap biasanya dilakukan dengan telepon atau pengiriman fax barang yang di pesan. Pemutusan akses internet dapat berakibat fatal sebab distributor pusat melakukan pengiriman barang berdasarkan data penjualan harian yang dikirimkan PT. Adiperkasa
24
Distribusindo sehingga dengan terputusnya akses internet dapat terjadi kesalahan pengiriman barang karena tidak adanya data yang realiable. 3. Pencurian Pencurian data dapat dilakukan oleh pegawai pada perusahaan yang ingin menjual data tersebut pada perusahaan pesaing, atau karena ketidakpuasan pegawai tersebut pada perusahaan. 4. Pengubahan data. Ancaman ini terjadi karena berbedanya data yang dimasukkan dengan kenyataan yang ada di lapangan. Hal ini juga dapat terjadi dengan sengaja maupun tidak sengaja.
3.3.2 Kelemahan dalam Sistem yang diterapkan saat ini Tidak ada prosedur secara khusus yang ditetapkan untuk mengatasi kemungkinan ancaman-ancaman yang terjadi.
3.3.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Untuk menghindari ancaman-ancaman tersebut perlu adanya prosedur-prosedur pengamanan yang dilakukan oleh perusahaan. Penerapan pengawasan dan kontrol pada PT. Adiperkasa Distribusindo. a. Pencegahan Tindakan pencegahan dilakukan dengan cara: 1. Informasi hanya dapat dibuat oleh orang yang berwenang. 2. Pengiriman informasi laporan harian dibatasi dan harus disetujui oleh manajer. 3. Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang. 4. Melakukan enkripsi semua data yang bersifat rahasia 5. Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall secara rutin. 6. Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan memerlukannya.
25
7. Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk dibawa keluar dari perusahaan. 8. Dibuat prosedur keamanan yang berlaku di dalam perusahaan. 9. Melakukan backup secara rutin dan dengan menggunakan prosedur back up yang benar. 10. Penerapan Business Continuity Plan
b. Deteksi Tindakan deteksi dilakukan dengan cara: 1. Pengecekan ulang pada secara berkala oleh bagian administrasi terhadap data yang ada pada komputer dengan data di lapangan. 2. Melakukan pengecekan kondisi fisik perangkat keras secara rutin untuk menghindari terjadinya kegagalan perangkat keras. 3. Melakukan pengecekan komputer secara rutin terhadap virus, spyware, backdoor dll. 4. Melakukan pengecekan terhadap backup yang dihasilkan apakah dapat digunakan dengan baik atau tidak.
c. Represi Tindakan Represi dilakukan dengan cara: 1. Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan Virtual LAN. 2. Melakukan pembatasan akses internet hanya untuk bagian administasi yang memang harus berhubungan dengan pihak di luar perusahaan dengan menggunakan e-mail dan manajemen.
d. Perbaikan Tindakan perbaikan dilakukan dengan cara: 1. Melakukan prosedur backup yang benar.
26
e. Evaluasi Tindakan Evaluasi dilakukan dengan cara: Melakukan evaluasi tahunan atas keamanan sistem teknologi informasi yang dimiliki, melihat ulang segala masalah yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar masalah tersebut tidak terulang kembali.
3.4 Application & System Development Security Pada domain ini ditentukan bagaimana aspek keamanan dan kontrol-kontrol yang terkait pengembangan sistem informasi. Tujuan dari penerapan applicaton & system development security adalah menjamin keamanan operasi aplikasi, mecegah serangan yang mungkin dan timbul dan mencegah kerusakan dan kehilangan data.
3.4.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Sistem operasi yang digunakan PT. Adiperkasa Distribusindo adalah sistem operasi yang berbasis windows. Aplikasi yang diterapkan di PT. Adiperkasa Distribusindo adalah aplikasi custom-made berupa terpadu yang menggabungkan inventori, penjualan, keuangan dan pembelian. Aplikasi ini sendiri adalah aplikasi yang diberikan oleh perusahaan distributor pusat untuk digunakan di PT. Adiperkasa Distribusindo. Jadi seluruh pengembangan aplikasi dan sistem yang menjadi inti pada PT. Adiperkasa Distribusindo di suplai oleh distributor pusat. Keamanan yang diterapkan pada database juga telah diterapkan PT. Adiperkasa Distribusindo akses ke database hanya dapat dilakukan melalui aplikasi yang telah ditentukan, dan database tidak dapat di akses langsung dari luar.
27
3.4.2 Kelemahan dalam Sistem yang diterapkan saat ini Sistem operasi dan aplikasi dibiarkan apa adanya, tidak pernah dilakukan patch pada aplikasi dan penerapan-penerapan sistem keamanan yang dilakukan hanya dari segi fisik saja. Tidak ada penerapan keamanan dari sisi teknologi pada sistem teknologi informasi perusahaan. Software antivirus yang dipasang tidak pernah dilakukan update signature databasenya, dan tidak pernah ada pengecekan virus secara rutin terhadap komputer perusahaan.
3.4.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Melakukan patch untuk seluruh komputer perusahaan secara terus-menerus untuk sistem operasi dan aplikasi-aplikasi yang digunakan. Melakukan pemasangan antivirus dan melakukan update secara rutin pada antivirus untuk mencegah serangan yang mungkin timbul pada aplikasi dan melakukan pengecekan komputer secara rutin terhadap serangan virus. Melaporkan segala kesalahan yang ditemukan pada aplikasi pada distributor pusat agar memperoleh perbaikan. Sebaiknya PT. Adiperkasa Distribusindo mempunyai tenaga teknologi informasi tersendiri yang dapat mengatasi seluruh masalah teknologi informasi yang terjadi di dalam perusahaan. Selama ini jika ada masalah yang terjadi pada aplikasi dan sistem maka harus melapor ke distibutor pusat dan menunggu bantuan dari distributor pusat. PT. Adiperkasa Distribusindo selama ini masih menerapkan sistem manual bersama-sama dengan Teknologi Informasi, sistem manual ini masih dapat dimanfaatkan untuk melakukan pengecekan pengerjaan yang menggunakan sistem teknologi informasi.
3.5 Cryptography Domain ini mempelajari berbagai metode dan teknik penyembunyian data menggunakan kriptografi. Kriptografi ini sangat penting untuk melindungi data perusahaan dari orang-orang yang tidak berhak. 28
Tujuan dari kriptografi adalah sebagai sarana untuk menjaga kerahasiaan, melacak intergritas data dan melakukan otentifikasi data. Jadi walaupun misalnya karena satu dan lain hal data perusahaan dapat diperoleh oleh orang yang tidak berhak, mereka tidak dapat membaca data tersebut karena data tersebut telah dienkripsi.
3.5.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Kriptografi pada PT. Adiperkasa Distribusindo selama ini baru dilakukan pada email laporan penjualan harian, mingguan dan bulanan yang dikirimkan ke distributor pusat.
3.5.2 Kelemahan dalam Sistem yang diterapkan saat ini Kriptografi hanya diterapkan pada laporan yang dikirimkan ke distributor pusat, hal ini pun dilakukan karena adanya perintah dari distributor pusat. Perusahaan tidak pernah berusahan mengamankan data yang dimiliki pada server perusahaan dengan melakukan kriptografi data.
3.5.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Selain melakukan enkripsi pada data yang dikirim ke distributor pusat maka sebaiknya ditambahkan juga digital signature pada emai tersebut. Enkripsi tidak hanya dilakukan pada pengirimin laporan penjualan harian saja, tetapi data yang berada di dalam server perusahaan pun harus dienkripsi untuk melindunginya dari orang-orang yang tidak berhak. Enkripsi yang digunakan dapat menggunakan software Pretty Good Privacy yang dapat diperoleh secara gratis.
3.6 Security Architecture and Model Tujuan dari domain ini adalah untuk mempelajari konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Penerapan security architecture dan model yang baik akan sangat membantu keamanan sistem perusahaan secara keseluruhan. 29
3.6.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Model jaringan komputer di PT. Adiperkasa Distribusindo yang tidak terhubung terus menerus dengan internet mengurangi resiko diakses dari luar dan hanya dua titik yang dapat mengakses internet sudah cukup baik dalam prinsip keamanan. Tetapi akses yang masih terbuka untuk setiap orang dalam satu divisi tidak cukup baik diterapkan.
3.6.2 Kelemahan dalam Sistem yang diterapkan saat ini Akses terhadap aplikasi masih berdasarkan divisi dan bukannya perseorangan. Ini merupakan resiko keamanan yang cukup tinggi, walaupun sifatnya berupa resiko keamanan internal.
3.6.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Setiap orang di dalam perusahaan yang berhak menggunakan komputer mempunyai aksesnya masing-masing. Akses ini hanya berlaku untuk pegawai tersebut menjalankan pekerjaannya, dan tidak dapat digunakan untuk memasuki aplikasi yang tidak berhubungan dengan pekerjaannya. Selain itu semua orang di dalam perusahaan harus diberi pengetahuan tentang keamanan perusahaan, sehingga setiap orang akan ikut berpartisipasi dalam menjaga keamanan perusahaan. Pengamanan arsitektur untuk data, dengan membatasi akses pegawai terhadap peralatan komputer secara langsung. Sistem komputer dibuat tertutup, segala peralatan input/output dibatasi dengan ketat penggunaannya. Sehingga pegawai tidak memiliki akses untuk memasukkan atau mengeluarkan data secara mudah dari lingkungan perusahaan.
3.7 Operation Security Pada domain ini ditentukan bagaimana aspek pengamanan sistem informasi yang terkait
dengan
SDM,
perangkat
keras/lunak,
termasuk
teknik
auditing
dan
30
pemantauannya. Tujuan dari operation security adalah tindakan apa yang diperlukan untuk menjadikan sistem beroperasi secara aman, terkendali dan terlindung.
3.7.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Tidak ada tindakan khusus melakukan pengamanan di PT. Adiperkasa Distribusindo , tindakan pengamanan yang diambil masih tergantung individu-individu yang menggunakan sistem itu.
3.7.2 Kelemahan dalam Sistem yang diterapkan saat ini Belum
adanya
prosedur
yang
diterapkan
dalam
sistem
pengamanan
telekomunikasi dan informasi perusahaan.
3.7.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Dalam mendukung operation security di PT. Adiperkasa Distribusindo maka perlu di adakannya tindakan-tindakan yang harus dilakukan dalam melakukan pengamanan sistem telekomunikasi dan informasi perusahaan. 1. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna dapat menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan penerapan akses kontrol. 2. Separation of duties Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh masingmasing divisi. Hal ini selama ini dilakukan dengan memberikan login dan password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan akses kontrol dan penerapan VLAN pada sistem perusahaan. 3. Categories of Control Melakukan tindakan-tindakan pencegahan, deteksi dan perbaikan terhadap sistem teknologi informasi perusahaan. 4. Change Management Control
31
Tindakan perbaikan atau perubahan dalam sistem teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara tidak sengaja karena adanya perbaikan dan perubahan tersebut. 5. Adminstrative Control Untuk melakukan pemasangan software baru dan perawatan sistem dilakukan oleh satu orang yang bertanggung jawab secara khusus. Untuk PT. Adiperkasa Distribusindo yang tidak memiliki bagian teknologi informasi secara terpisah dapat mengangkat satu orang pegawai khusus untuk mengatasi segala permasalahan teknologi informasi yang ada atau jika hal ini tidak dimungkinkan pekerjaan ini dapat di rangkap oleh salah seorang pegawai yang memiliki pengetahuan komputer yang memadai. 6. Record Retention Menerapkan berapa lama data akan disimpan dalam database perusahaan. Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media yang dapat dihapus harus dengan prinsip kehati-hatian, karena data ini dapat saja dimunculkan kembali dengan forensik. 7. Media Security Control Menerapakan akses kontrol dan metode logging pada server untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang dan dihancurkan dengan cara yang tepat, agar data yang terdapat di media itu tidak dapat di akses lagi oleh orang yang tidak berhak.
3.8 Disaster Recovery & Business Continuity Plan Pada domain ini dibahas bagaimana agar bisnis tetap beroperasi meskipun ada gangguan, dan bagaimana agar sistem informasi selamat dari bencana. 32
3.8.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Seluruh sistem selain dijalankan secara teknologi informasi juga dijalankan secara manual dengan menggunakan kertas. Sehingga jika terjadi bencana pada sistem teknologi informasi maka seluruh informasi masih dapat diperoleh dari dokumen yang ada.
3.8.2 Kekurangan sistem yang diterapkan saat ini Sistem teknologi informasi yang ada saat ini tidak mempunyai perencanaan skenario terjadinya bencana yang mungkin timbul dan cara mengatasi bahaya tersebut. Seluruh sistem difungsikan secara manual saja jika terjadi bencana.
3.8.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Harus dirancang bagaimana mengatasi masalah yang mungkin timbul jika terjadi bencana pada sistem teknologi informasi. Sistem tidak dapat hanya bergantung pada sistem manual, sebab cara ini memakan waktu yang lebih lama dan mempunyai kemungkinan kesalahan yang cukup besar. Jika terjadi bencana pada sistem teknologi informasi perusahaan yang harus dipastikan selamat pertama kali adalah data perusahaan. Data ini dapat diperoleh dari backup yang dilakukan secara rutin dengan prosedur back-up data yang benar.
3.9 Laws, Investigations and Ethics Pada domain ini dibahas berbagai aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika dalam dunia komputer.
3.9.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Perusahaan menggunakan software windows sebagai sistem operasi, microsoft office sebagai penunjang office automation, dan software aplikasi distribusi dari distributor pusat. Seluruh software yang digunakan adalah legal dan PT. Adiperkasa Distribusindo memiliki lisensi penggunaannya.
33
3.9.2 Kekurangan sistem yang diterapkan saat ini PT. Adiperkasa Distribusindo tidak mempunyai rencana yang jelas untuk pengembangan sistem teknologi informasinya, sehingga kebijakan pengadaan software tidak mempunyai arah. Kadang-kadang para pegawai menginstall begitu saja softwaresoftware yang ingin mereka gunakan (software bajakan) tanpa memikirikan dampaknya pada perusahaan.
3.9.3 Rekomendasi untuk PT. Adiperkasa Distribusindo PT. Adiperkasa Distribusindo memberlakukan beberapa kebijakan-kebijakan sehubungan dengan legalitas transaksi elektronik dan copy right sbb: 1. Semua software yang dipakai adalah software asli dan bukan bajakan. 2. Semua pengguna komputer dilarang menginstall software yang tidak berasal dari perusahaan. 3. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada. Jika aplikasi yang dibutuhkan tidak tersedia maka diusahakan mencari aplikasi yang gratis dan terbukti kehandalannya.
3.10 Physical Security
Pada domain ini diterapkan sistem kontrol untuk menghadapi berbagai ancaman terhadap fasilitas sistem informasi. Lingkup mencakup : Physical access control (Guards, fences, keys and locks, badges, escorts, monitoring / detection system), environmental protection ( power protection, water protection, fire detection, fire suppression, evacuation, environment monitoring/detection).
3.10.1 Kondisi saat ini di PT. Adiperkasa Distribusindo PT. Adiperkasa Distribusindo adalah perusahaan skala kecil – menengah, sehingga perangkat teknologi informasi yang mereka gunakan juga masih sederhana. 34
Demikian pula dengan informasi yang mereka miliki masih terpusat di satu lokasi dan dengan ukuran yang cenderung kecil. Walapun demikian physical security sangat diperlukan.
1. Desain pemilihan tempat & konfigurasinya Pada perusahaan skala kecil – menengah umumnya lokasi server adalah lokasi perusahaan itu sendiri. Oleh karena itu selain memikirkan aspek bisnis sebaiknya pemilihan tempat usaha juga memikirkan aspek keamanan teknologi informasi. Hal – hal yang perlu diperhatikan diantaranya : -
Tingkat keamanan di lingkungan tersebut. PT. Adiperkasa Distribusindo saat ini memilih lokasi di daerah bisnis dengan tingkat keamanan yang cukup baik. Lokasi ini terletak di domain bisnis dengan beberapa pintu masuk yang dijaga petugas keamanan. Selain itu perusahaan lain yang ada di samping lokasi usaha PT. Adiperkasa Distribusindo cukup dapat dipercaya.
-
Lokasi usaha yang dipilih PT. Adiperkasa Distribusindo sudah memiliki emergency exit yang dapat digunakan saat terjadi bencana.
-
Power supply di lokasi yang dipilih PT. Adiperkasa Distribusindo memang masih kurang stabil. Oleh karena itu PT. Adiperkasa Distribusindo memiliki UPS yang cukup untuk semua server dan komputer mereka. Selain itu PT. Adiperkasa Distribusindo memiliki generator kecil yang dapat digunakan apabila listrik padam dalam waktu yang cukup lama. Generator ini digunakan untuk server dan komputer yang berhubungan langsung dengan penjualan. Ini penting agar penjualan tidak terganggu dengan padamnya listrik. Hanya saja memang saat ini belum ada jadwal pemeriksaan rutin terhadap kondisi UPS dan generator yang ada. Sebaiknya ini perlu dilakukan untuk memastikan bahwa perangkat tersebut dalam kondisi baik saat dibutuhkan.
35
2. Lokasi dan desain ruang server -
Lokasi ruang server PT. Adiperkasa Distribusindo sendiri ada dalam satu ruangan yang terkunci sehingga hanya orang tertentu yang bisa masuk ke sana. Ruangan ini memiliki kaca yang dapat digunakan untuk melihat kondisi server dari luar ruangan tersebut.
-
Di dalam lokasi tersebut diletakkan tabung pemadam kebakaran. Hal ini penting untuk menjaga jika terjadi kebakaran di dalam ruangan.
-
Selain UPS dan generator yang disiapkan untuk mengatasi permasalahan dengan listrik yang umum (misalnya : blackout, brownout, sag, spike, dll.) maka disiapkan suatu alat untuk penangkal petir. Penangkal petir yang digunakan bukanlah yang dipasang diatas gedung karena manajemen lokasi tidak mengijinkan pemasangan tersebut dan lokasi ini terletak di daerah yang jarang terkena petir. Alat penangkal petir yang digunakan dipasang antara power outlet dengan UPS / perangkat. Alat ini mampu memutuskan aliran listrik apabila ada lonjakan yang sangat tinggi dikarenakan petir.
-
Lokasi server juga dilengkapi dengan alat pendingin ruangan. Hal ini sangat penting mengingat lokasi usaha adalah di kota yang dekat garis katulistiwa yang umumnya memiliki suhu agak tinggi. Sehingga perlu disesuaikan suhu di ruangan servernya. AC yang digunakan berdaya sekitar 0,5 PK untuk ruangan sebesar 2,5 X 2,5 m. Ini diperlukan untuk menjaga suhu ruangan di bawah 23o C.
3.10.2 Kekurangan Sistem yang diterapkan saat ini Saat ini tidak ada prosedur dan kebijakan keamanan yang baku di PT. Adiperkasa Distribusindo, sehingga jika terjadi bencana maka yang dilakukan adalah yang menurut masing-masing pegawai terbaik. Juga masih dapat ditingkatkannya pengamanan secara fisikal terhadap lokasi dari perangkat keras.
36
3.10.3 Rekomendasi untuk PT. Adiperkasa Distribusindo -
Yang paling penting bagi PT. Adiperkasa Distribusindo adalah untuk menyiapkan prosedur dan policy keamanan yang saat ini belum ada. Prosedur ini mencakup misalnya : prosedur penanganan kebakaran, serangan petir, kerusakan server, dsb. Sedangkan policy yang diperlukan adalah untuk mengatur akses ke ruang server, dll. Hal ini penting karena tanpa prosedur yang jelas maka physical security yang sudah ada tidak akan berguna.
-
Penting untuk PT. Adiperkasa Distribusindo menganggarkan dana untuk meningkatkan physical security dari lokasinya secara gradual sesuai dengan berkembangnya bisnisnya. Misalnya dengan kunci yang lebih baik untuk ruang servernya, alarm kebakaran / smoke detector, dll.
3.11 Audit and Assurance Pada domain ini ditetapkan bagaimana menerapkan auditing sistem informasi terkait dengan masalah keamanan sistem informasi.
Pengauditan dilakukan dengan mengimplementasikan strategi audit berbasis risk manajemen serta control practice yang dapat disepakati semua pihak.
3.11.1 Kondisi saat ini di PT. Adiperkasa Distribusindo Belum ada audit and assurance yang dilakukan
3.11.2 Kekurangan Sistem yang diterapkan saat ini Belum ada audit and assurance yang dilakukan
37
3.11.3 Rekomendasi untuk PT. Adiperkasa Distribusindo Secara periodik diadakan pengecekan terhadap aspek aspek keamanan sistem informasi di PT. Adiperkasa Distribusindo . Pegawai yang melakukan pengecekan adalah manajer PT. Adiperkasa Distribusindo menggunakan tahapan-tahapan sebagai berikut: 1. Audit Subject Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan menyimpang dari tujuannya. 2. Audit Objective Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit. Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui dengan pasti tujuan dari pelaksanaan audit. 3. Audit Scope (ruang lingkup) Menentukan sistem, fungsi dan bagian dari organisasi yang secara spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai batasan ruang lingkup yang jelas. 4. Preaudit Planning Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan dalam pelaksanaan audit. Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit. Menentukan tempat dilaksanakannya audit. 5. Audit Procedures & Steps for data Gatehring Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol. Menentukan orang-orang yang berhubungan dengan permasalahan untuk diwawacanrai. 6. Evaluasi Hasil Pengujian dan Pemeriksaan Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau masih ada faktor-faktor lain yang harus dipertimbangkan. 7. Prosedur Komunikasi dengan Pihak Manajemen 38
Setelah
dilaksanakan
audit
maka
pihak
yang
mengaudit
harus
mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak manajemen, agar audit dapat berjalan dengan lancar. 8. Audit Report Preperation Menentukan bagaimana cara mereview hasil audit yang diperoleh. Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari organisasi yang diaudit.
Tujuan dari audit bisa sangat beragam pada PT. Adiperkasa Distribusindo adalah untuk evaluasi terhadap sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit ini juga perlu dilakukan.
39
