1 - Arhad Kamahayanikan Vratyastoma

advertisement
Dosen:
Prof. DR. Ir. Kudang B.Seminar, MSc
Dr. Ir. Arif Imam Suroso, M.Sc (CS)
TUGAS KELOMPOK
SISTEM INFORMASI MANAJEMEN
(PMB 561)
DATA SECURITY
Oleh KELOMPOK KELAPA – E 35
Arde Lindung Pambudi
P056100092.35E
Arhad Kamahayanikan Vratyastoma
P056100102.35E
Erfan Lenawan
P056091141.43
Helen Wiryani
P056100202.35E
Jodi Perdana
P056100252.35E
Retno Endah Windiani
P056100322.35E
PROGRAM STUDI MANAJEMEN DAN BISNIS
SEKOLAH PASCASARJANA
INSTITUT PERTANIAN BOGOR
2011
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
DAFTAR ISI
Daftar Isi …………………………………………………………………
i
Daftar Gambar …………………………………………………………..
ii
Daftar Tabel ……………………………………………………………...
ii
1
2
3
4
5
Pendahuluan
1.1
Latar Belakang ………………………………………………….
1
1.2
Tujuan dan manfaat
…………………………………………….
1
2.1
Keamanan Sistem Informasi ……………………………………
3
2.2
Pengelompokkan Informasi ……………………………………...
4
2.3
Kriptografi ……………………………………………………….
7
2.4
Pengembangan Aplikasi dan Sistem
……………………….
7
Tinjauan Pustaka
Profik Perusahaan
3.1
Profil Perusahaan
……………………………………………..
9
3.2
Struktur Organisasi Perusahaan …………………………………
9
3.3
Topologi Jaringan Perusahaan Sejarah
………………………..
10
Pembahasan
4.1
Analisa Keamanan Perusahaan……………………………………… 11
4.2
Access Control System ………………………………………….
18
4.3
Telecomunication and Network Security ………………………..
19
4.4
Kriptografi ………………………………………………………
22
4.5
Security Architecture and Models ……………………………….
22
4.6
Operations Security ……………………………………………..
23
4.7
Business Continuity Planning and Disaster Recovery Planning …
25
Kesimpulan dan Saran
5.1
Kesimpulan ………………………………………………………
26
5.2
Saran ……………………………………………………………..
29
Daftar Pustaka ............................................................................................
30
SISTEM INFORMASI MANAJEMEN
i
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
DAFTAR GAMBAR
Gambar 1. Struktur Organisasi PT XYZ ……………………………………
5
…….………………………..
12
Gambar 2. Topologi Jaringan PT XYZ
DAFTAR TABEL
Tabel 1.
Aset Sistem Informasi
……………………….…………………
11
Tabel 2.
Pengelompokan Informasi ……………………….……………..
12
Tabel 3.
Kemungkinan Ancaman dan Dampak ………………………….
14
Tabel 4.
Model Keamanan
.…………………………….……………….
23
SISTEM INFORMASI MANAJEMEN
ii
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
BAB I
PENDAHULUAN
1.1 Latar Belakang
Di era sekarang ini, IT dapat memberikan banyak kemudahan dan
dapat
meningkatkan
efektifitas
suatu
perusahaan.
Disamping
itu
perkembangan teknologi juga dapat membuat kebutuhan akan suatu sistem
penyimpanan data yang baik juga mengalami peningkatan. Oleh karena itu
banyak perusahaan menggunakan DBMS atau Database Management
System untuk mengelola data-data yang ada.
DBMS yang baik tidak hanya mempunyai fungsi-fungsi seperti
menyimpan, menampilkan dan memanipulasi serta fitur backup dan restore
tetapi juga harus mempunyai tingkat sekuritas yang memadai. Dan jika kita
membahas tentang sekuritas maka yang akan keluar adalah CIA
(Confidentiality, integrity, Availibility).Konsep CIA ini sudah mewakili tiga
prinsip fundamental dari keamanan informasi. Semua yang berhubungan
dengan keamanan data maka akan mengacu pada CIA Dalam pembahasan
ini, topik yang akan diulas adalah mengenai DBMS dan sekuritasnya.
Bagaimana suatu data dikelompokkan lalu apa saja yang menjadi kebijakan
keamanannya.
Jika kita berbicara mengenai kebijakan keamanan maka tentu
dibahas pula mengenai standar-standar yang digunakan, apa saja yang
menjadi pedoman lalu bagaimana prosedur-prosedur tersebut dilaksanakan.
Kemudian dilakukan manajemen resiko untuk mengetahui tingkat ancamanancaman yang ada atau yang kemungkinan dapat timbul dikemudian hari.
1.2 Tujuan dan Manfaat
1.2.1
Tujuan
Tujuan pembuatan paper ini adalah sebagai untuk pemenuhan tugas
mata kuliah Sistem Informasi Manajemen. Diharapkan pula pembahasan
yang disajikan dalam paper ini dapat sebuah panduan dalam menciptakan
suatu sistem database yang aman sehingga bisa diandalkan. Didalam
SISTEM INFORMASI MANAJEMEN
1
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
pembahasan ini sudah disertakan mengenai apa saja yang menjadi titik vital
dalam
perancangan
database
serta
apa
saja
yang
menjadi
titik
vulnerabilitasnya.
1.2.2
Manfaat
Manfaat pembahasan ini adalah untuk melengkapi atau memberikan
tambahan pengetahuan mengenai perancangan sistem basis data yang aman.
Banyak orang sudah membuat DBMS tetapi tanpa dilengkapi sistem
sekuritas yang memadai, sehingga menjadi rawan untuk kasus-kasus seperti
pencurian data dan sebagainya.
SISTEM INFORMASI MANAJEMEN
2
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
BAB II
TINJAUAN PUSTAKA
2.1 Keamanan Sistem Informasi
Keamanan sistem informasi mengacu pada perlindungan terhadap semua
sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak
berwenang. Perusahaan menerapkan suatu program keamanan sistem yang efektif
dengan pertama-tama mengidentifikasi berbagai kelemahan dan kemudian
menerapkan perlawanan dan perlindungan yang diperlukan.
Domain keamanan sistem informasi menggabungkan identifikasi dari asset
data dan informasi suatu organisasi dengan pengembangan dan implementasi
kebijakan, standar, pedoman, dan prosedur. Dapat didefinisikan juga sebagai
praktek-praktek manajemen klasifikasi data dan manajemen resiko, selain itu juga
membahas masalah confidentiality (kerahasiaan), integrity (integritas), dan
availability (ketersediaan) dengan cara pengidentifikasian ancaman-ancaman,
pengelompokkan asset-aset organisasi, dan penilaian vulnerabilities mereka
sehingga kendali keamanan yang efektif dapat diimplementasikan dengan baik.
Ada tiga buah konsep dalam domain sistem keamanan sistem informasi
yakni Confidentiality, Integrity dan Availibility (CIA). Konsep-konsep tersebut
mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh kendali
keamanan
informasi,
dan
upaya
perlindungan,
serta
semua
ancaman.
vulnerabilities, dan proses keamanan mengacu pada ukuran CIA.
1. Confidentiality
Konsep ini berupaya untuk mencegah terjadinya penyingkapan yang
tidak sah baik secara disengaja maupun tidak disengaja terhadap isi dari
satu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara,
seperti keluarnya informasi rahasia perusahaan secara sengaja atau melalui
penyalahgunaan hak-hak jaringan.
SISTEM INFORMASI MANAJEMEN
3
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
2. Integrity
Konsep ini menjamin bahwa:

Modifikasi tidak dilakukan terhadap data oleh personil atau proses
yang tidak sah.

Modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil
atau proses yang sah.

Data bersifat konsisten baik secara internal maupun eksternal; dengan
kata lain, bahwa informasi internal bersifat konsisten di antara semua
aspek dan bahwa informasi intenal bersifat konsisten dengan situasi
eksternal dan di dunia nyata.
3. Availibity
Konsep ini menjamin bahwa akses terhadap data atau sumber daya
komputer yang dapat diandalkan dan tepat waktu oleh personil yang tepat.
Dengan kata lain, availability menjamin sistem selalu “up and running”
saat dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa bentuk
layanan keamanan yang dibutuhkan oleh praktisi-praktisi kemanan selalu
siap sedia.
Tujuan utama dari kendali keamanan adalah untuk mengurangi dampak
serta ancaman keamanan dan vulnerabilities ke suatu tingkat yang dapat
ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan
penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah
organisasi dan besarnya peluang terjadinya ancaman. Analisa Resiko merupakan
proses untuk menganalisa skenario ancaman dan menghasilkan nilai representatif
dari perkiraan kehilangan potensial.
2.2 Pengelompokkan Informasi
Tujuan dari pengelompokkan informasi adalah untuk meningkatkan
Confidentiality, Integrity dan Availibility serta untuk meminimalisasi resikoresiko organisasi. Sebagai tambahan, dengan berfokus pada mekanismemekanisme proteksi dan pengendalian pada area informasi yang paling
dibutuhkan akan diperoleh rasio biaya-manfaat yang lebih efisien.
SISTEM INFORMASI MANAJEMEN
4
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
Berikut adalah istilah-istilah dalam pengelompokkan informasi yang umum
digunakan di dalam sektor swasta:
1. Public.
Semua informasi perusahaan yang tidak termasuk ke dalam kategorikategori selanjutnya dapat dianggap sebagai public. Informasi ini munkin
sebaiknya tidak disingkap. Namun apabila terjadi penyingkapan
diperkirakan tidak akan menimbulkan dampak yang serius terhadap
perusahaan.
2. Sensitive.
Informasi yang memerlukan tingkat pengelompokkan lebih tinggi dari
data normal. Informasi ini dilindungi dari hilangnya confidentiality dan
integrity akibat perubahan yang tidak sah.
3. Private.
Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk
penggunaan internal perusahaan saja. Penyingkapan terhadap informasi ini
dapat berdampak buruk terhadap perusahaan atau pegawai-pegawainya.
Sebagai contoh, tingkat gaji dan informasi medis dianggap sebagai
informasi yang bersifat pribadi.
4. Confidential.
Informasi yang dianggap sensitif dan dimaksudkan untuk penggunaan
internal perusahaan saja. Penyingkapan yang tidak sah dapat berdampak
serius dan negatif terhadap perusahaan. Sebagai contoh, informasi
mengenai pengembangan produk baru, rahasia dagang, dan negosiasi
merger dianggap informasi rahasia.
Berikut adalah serangkaian peran dari semua partisipan di dalam programprogram pengelompokkan informasi:
1. Pemilik.
Seorang pemilik informasi dapat berupa seorang eksekutif atau
manajer di dalam organisasi. Orang ini bertanggung jawab terhadap asset
informasi yang harus dilindungi. Pemilik memiliki tanggung jawab
SISTEM INFORMASI MANAJEMEN
5
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
korporat final terhadap perlindungan data. Tanggung jawab pemilik data
adalah sbb:

Membuat keputusan awal tentang tingkat pengelompokkan yang
diperlukan suatu informasi berdasarkan kebutuhan-kebutuhan bisnis
dalam perlindungan data.

Meninjau ulang penentuan klasifikasi secara periodik dan membuat
perubahan sesuai dengan perubahan kebutuhan bisnis.

Menyerahkan tanggung jawab perkindungan data kepada pemelihara
data.
2. Pemelihara.
Pemilik informasi menyerahkan tanggungjawab perlindungan
data
kepada pemelihara data. Umumnya staf IT yang melaksanakan peran ini.
Tugas-tugas pemeliharaan data adalah sbb:

Menjalankan proses backup data dan secara rutin menguji validitas
dari data yang di-backup

Melakukan pemulihan data dari backup bila diperlukan.

Menjaga data-data tersebut sesuai dengan kebijakan pengelompokkan
informasi yang telah dibuat.
3. Pemakai.
Pemakai adalah setiap orang (operator, pegawai atau pihak luar) yang
secara rutin menggunakan informasi sebagai bagian dari pekerjaannya.
Orang ini dapat dianggap sebagai konsumen data, yakni seseorang yang
membutuhkan akses harian ke suatu informasi untuk menjalankan tugastugasnya. Berikut adalah hal-hal penting sehubungan dengan pemakai:

Pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan
dalam sebuah kebijakan keamanan organisasi, dan mereka harus
mematuhi pedoman-pedoman cara penggunaan yang dikeluarkan.

Pemakai harus menjaga baik-baik keamanan dari informasi selama
melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam
kebijakan pemakaian informasi korporat). Mereka harus mencegah
SISTEM INFORMASI MANAJEMEN
6
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
terjadinya “open view”, yakni terbukanya informasi sehingga dapat
diakses oleh orang banyak yang tak berhak.

Pemakai harus menggunakan sumber daya komputer perusahaan hanya
untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.
2.3 Kriptografi
Tujuan dari kriptografi adalah memproteksi informasi agar tidak bisa
dibaca maupun digunakan oleh pihak yang tidak berwenang atas informasi
tersebut. Dengan kata lain informasi yang dikirimkan tidak boleh sampai kepada
penerima yang tidak seharusnya. Untuk mencapai tujuan tersebut dilakukan
kriptografi yaitu penulisan rahasia atau penyandian informasi. Kriptografi terdiri
dari lima bagian, yaitu:
a. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya.
b. Encryption algoritm, proses enkripsi merupakan transformasi dari
“plaintext” ke “chipertext”.
c. Secret key
d. Chipertext, merupaka sebuah pesan dalam bentuk kode rahasia (tersandi).
e. Decrytionalgorithm, proses deskripsi merupakan transformasi dari
“chipertext” ke “plaintext”.
2.4 Pengembangan Aplikasi dan Sistem
Tujuan dari penerapan application dan system development security adalah
menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang
harus memahami betul beberapa aspek antara lain:
a. Software life cycle development process
b. Software process capability maturity model
c. Object-oriented systems
d. Artificial Intelligence system
e. Application Controls
f. Database systems:

Database security issues

Data warehousing
SISTEM INFORMASI MANAJEMEN
7
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)

Data mining

Data dictionaries
Kelompok Kelapa
E35-Bogor
Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu
menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan
keamanan aplikasi dan sistem.
Contoh jenis-jenis umum kejahatan computer:
a. Denial of Service dan Distribuited Denial of Service
b. Pencurian password
c. Intrusi jaringan
d. Emanation eavesdropping
e. Social engineering
f. Illegal content of material
g. Fraud
h. Software piracy
i. Spoofing of IP address
j. Dumpster diving
k. Malicious code
l. Information warfare
m. Spionase
n. Penghancuran atau perubahan informasi
o. Penggunaan scripts yang tersedia di internet
p. Masquerading
q. Embezzlement
r. Data-diddling
.
SISTEM INFORMASI MANAJEMEN
8
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
BAB III
PROFIL PERUSAHAAN
3.1 Profil Perusahaan
Perusahaan ini berdiri pada tahun 1998, PT XYZ merupakan sebuah
perusahaan asuransi jiwa dan kesehatan., dengan modal 100 juta dan berawal dari
15 orang karyawan, dan berkonsentrasi untuk melayani klien di Jakarta saja.
Dengan kondisi saat ini, PT XYZ berkembang dengan cukup pesat, dan di tahun
2001 mulai mengembangkan usahanya sampai ke Pulau Jawa dan pegawainya
sudah mencapai 50 orang. Berdasarkan data tahun 2003, PT XYZ memiliki lebih
dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih dari Rp 10
Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp
233,8 juta (tumbuh 15,6 %).
3.2 Struktur Organisasi Perusahaan
Organisasi PT XYZ dipimpin oleh beberapa komisaris utama dan pembina
sebagai penanam saham atau investor. Jabatan di bawahnya diikuti oleh direktur
utama sebagai penanggung jawab perusahaan yang membawahi ketua umum,
sekretariat, dan ketua-ketua teknis dan non-teknis. Setiap ketua membawahi
beberapa kepala departemen dan staf. Berikut merupakan Struktur organisasi PT
XYZ :
.
SISTEM INFORMASI MANAJEMEN
9
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
Gambar 1. Struktur Organisasi PT XYZ
3.3 Topologi Jaringan Perusahaan
Berikut merupakan topologi jaringan Local Area Network (LAN) yang
dimiliki oleh PT XYZ :
Gambar 2. Topologi Jaringan PT XYZ
SISTEM INFORMASI MANAJEMEN
10
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
BAB IV
PEMBAHASAN
4.1 Analisa Keamanan Perusahaan
4.1.1
Pengelompokan Informasi
Pengelompokan informasi merupakan mengidentifikasikan aset-aset
informasi yang dimiliki. Selanjutnya adalah mengidentifikasi administrator atau
pemelihara
masing-masing
informasi
tersebut.
Berikut
adalah
aset-aset
Information and Communication Technologies (ICT) milik PT XYZ :
Tabel 1. Aset Sistem Informasi
Aset Tangible Sistem Informasi
Aset Intangible Sistem Informasi
4 server HP
6 License Windows 2000 Server
2 server berbasis PC
45 License Windows XP Professional
1 Tape Backup Drive HP
Informasi Pemegang Polis
2 UPS APC
Informasi Keuangan
45 buah PC
Informasi Kepegawaian
1 Printer Dot Matrix Epson LQ-2180
Informasi Agen Asuransi
1 Printer Dot Matrix Epson LX-300
Informasi Produk Asuransi
2 Printer Laser HP 2300
Informasi Cadangan Asuransi
1 Printer Laser HP 6P
Informasi Topologi Jaringan
2 Printer Laser HP 1010
Informasi Source Code Aplikasi Asuransi
6 Printer Bubble Jet HP 690C
Informasi Alamat Dan Password e-mail Internet
2 Print Server D-Link
1 Print Server HP JetDirect
2 Scanner HP
1 PABX
45 Pesawat Telepon
Seluruh informasi baik tangible maupun intangible dimaintain oleh
departemen IT, beberapa data yang dipelihara oleh departemen masing-masing
yang bersangkutan, dan beberapa bahkan ada yang dimaintain oleh pihak vendor.
Selanjutnya adalah menentukan kriteria pengelompokan. Pengelompokan
dilakukan berdasarkan identifikasi informasi tangible dan intangible, dimana
SISTEM INFORMASI MANAJEMEN
11
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
informasi tersebut dikelompokan sesuai dengan pihak atau masing-masing
departemen yang bersangkutan
Tabel 2 . Pengelompokan Informasi
No
1.
2.
Informasi
Basis Data
Keuangan
Basis Data
Kepegawaian
Klasifikasi
Rahasia
Pemilik
Divisi
Pengembangan
Finance
Aplikasi
Divisi
Rahasia
Pemelihara
Human
Capital
Pengembangan
Aplikasi
Pemakai Informasi
Divisi Finance
Divisi Human Capital
dan Pegawai yang
Bersangkutan
Divisi Operasi, Divisi
3.
Basis Data
Pemegang Polis
Rahasia
Manajemen
IT
Marketing, Divisi
Finance, dan Pemegang
Polis yang Bersangkutan
Divisi Operasi, Divisi
4.
Basis Data
Agen Asuransi
Rahasia
Manajemen
IT
Marketing, Divisi
Finance dan Agen yang
Bersangkutan
5.
6.
Definisi Produk
Asuransi
Cadangan
Asuransi
Rahasia
Rahasia
Divisi
Aktuaria
Divisi
Aktuaria
Divisi Aktuaria
Divisi Aktuaria
Divisi Aktuaria dan
Divisi Operasi
Divisi Aktuaria
Alamat dan
7.
Password email
Pemegang e-mail yang
Rahasia
Manajemen
IT
Rahasia
Manajemen
IS
Departemen IS
Rahasia
IT
IT
IT
Bersangkutan
Perusahaan
8.
9.
Source Code
Aplikasi
Topologi
Jaringan
Berikut adalah penjelasan dari masing-masing aset informasi yang berada
di dalam PT XYZ :
a. Informasi Keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh
mengetahui berapa margin yang diperoleh dari setiap produk, dan sebagainya.
Selain itu integritas data harus dijaga karena berhubungan dengan penagihan
SISTEM INFORMASI MANAJEMEN
12
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
kepada pemegang polis dan vendor; apabila integritas data terganggu maka
kredibilitas perusahaan dapat terganggu. Ketersediaan data juga penting
karena penagihan harus dilakukan tepat waktunya untuk menjaga arus cash
flow perusahaan.
b. Informasi Kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak
boleh mengetahui informasi kepegawaian dari pegawai yang lain, seperti
besar gaji, penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh
mengetahui informasi tersebut.
c. Informasi Pemegang Polis. Informasi ini adalah rahasia. Terganggunya
integritas informasi ini akan dapat merugikan baik pemegang polis maupun
perusahaan.
d. Informasi Agen Asuransi. Terganggunya integritas informasi ini akan dapat
merugikan baik agen asuransi maupun perusahaan.
e. Informasi Definisi Produk Asuransi. Terganggunya kerahasiaan informasi ini
akan dapat merugikan perusahaan dan sebaliknya dapat menguntungkan
pesaing.
f. Informasi Cadangan Asuransi. Informasi ini rahasia, sebab berhubungan
dengan kesehatan finansial perusahaan. Pihak yang tak berhak dapat
menggunakannya untuk mendiskreditkan perusahaan.
g. Informasi Alamat dan Password e-mail Perusahaan. Informasi ini rahasia.
Apabila jatuh ke pihak luar maka segala komunikasi di antara manajer,
pegawai, dan rekan usaha perusahaan yang umumnya bersifat rahasia dapat
diketahui.
h. Informasi Source Code Aplikasi. Informasi ini rahasia. Apabila diketahui
pihak luar maka akan sangat merugikan perusahaan, karena besarnya biaya
yang dikeluarkan untuk pengembangan aplikasi tersebut.
i. Informasi Topologi Jaringan. Informasi ini rahasia. Apabila diketahui pihak
luar maka akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN
perusahaan dan melakukan akses ilegal ke dalamnya.
Tujuan dilakukannya pengidentifikasian dan pengelompokkan informasi,
pemelihara informasi dan pengguna informasi adalah agar informasi yang terdapat
SISTEM INFORMASI MANAJEMEN
13
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
di setiap divisi dapat terjaga dengan baik sehingga informasi tersebut tidak
leak/bocor ke divisi lain, dampak baik lainnya adalah setiap divisi dapat fokus
mengelola datanya masing-masing, sehingga tidak mempengaruhi produktivitas
setiap divisi atau karyawan. Tujuan lainnya adalah mengidentifikasi kemungkinan
datangnya ancaman-ancaman potensial yang mungkin dapat mengganggu
confidentiality, integrity, dan availability dari informasi-informasi tersebut.
berikut adalah identifikasi dari ancaman-ancaman yang mungkin terjadi dan telah
terjadi di perusahaan.
Tabel 3. Kemungkinan Ancaman dan Dampak
Threat Agent
Virus
Hacker
Vulnerability
Risks
Tidak ada software antivirus atau
Infeksi virus, hilangnya data,
antivirus tidak terupdate secara rutin
kerusakan pada komputer
Ketidaksempurnaan software firewall
Akses ilegal terhadap data penting
yang digunakan dan tidak
perusahaan
termonitornya firewall tersebut, tidak
digunakannya enkripsi dalam
pengiriman e-mail
Pemakai
Miskonfigurasi operating system
Akses ilegal terhadap data penting
perusahaan dan kerusakan pada
komputer
Internal User
Kelemahan pada sistem audit
Terganggunya integrasi data
Terputusnya
Tidak adanya koneksi internet
Terganggunya proses bisnis
Akses/Jaringan
cadangan
perusahaan yang berhubungan
dengan pihak luar
Pencurian
Kurangnya informasi latar belakang
Kerugian akibat jatuhnya informasi
dari pegawai perusahaan
rahasia perusahaan ke tangan
pesaing
Perusahaan
Lemahnya kontrok terhadap
Asosiasi
perusahaan asosiasi
Pencurian data perusahaan
Untuk menghindari ancaman-ancaman tersebut maka PT. XYZ melakukan
pengawasan dan kendali keamanan sebagai berikut:
a. Langkah Pencegahan. Tindakan pencegahan dilakukan dengan cara:

Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.
SISTEM INFORMASI MANAJEMEN
14
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor

Pembelian perangkat keras firewall.

Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan
firewall secara rutin.

Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.

Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.

Pemakai tidak diberikan hak akses administrator di PC-nya.

Penggunaan akses internet dial-up sebagai cadangan.

Memperketat proses pemeriksaan latar belakang calon pegawai.

Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan
memerlukannya.

Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya
untuk dibawa keluar dari perusahaan.

Dibuat prosedur keamanan yang berlaku di dalam perusahaan.

Melakukan backup secara rutin dan dengan menggunakan prosedur backup yang benar.

Penerapan rencana disaster recovery dan business continuity.
b. Langkah Deteksi. Tindakan deteksi dilakukan dengan cara:

Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk
menghindari terjadinya kegagalan perangkat keras.

Melakukan pemeriksaan komputer secara rutin terhadap virus.

Melakukan pemeriksaan terhadap backup yang dihasilkan.
c. Langkah Represi. Tindakan represi dilakukan dengan cara:

Melakukan pembatasan akses jaringan internal perusahaan dengan
memanfaatkan Access Control List, MAC address, dan Virtual LAN,

Melakukan pembatasan akses internet hanya untuk bagian yang memang
harus berhubungan dengan pihak di luar perusahaan.
d. Langkah Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan
prosedur backup
e. Langkah Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan
evaluasi tahunan atas keamanan sistem teknologi informasi yang dimiliki,
meninjau ulang segala masalah yang terjadi dalam setahun terakhir, dan
bagaimana cara penanganannya agar masalah tersebut tidak terulang kembali.
SISTEM INFORMASI MANAJEMEN
15
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
4.1.2
Kelompok Kelapa
E35-Bogor
Security Policy
Security Policy atau kebijakan keamanan berisikan aturan-aturan dan
norma-norma yang di dalamnya mengatur semua komponen di perusahaan agar
semua aliran proses dan aliran sistem informasi dapat berjalan dengan baik.
Berikut adalah kebijakan TI pada PT XYZ tersebut :
1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan
tidak untuk informasikan / dipublikasikan kepada pihak yang tidak berhak.
Adalah tanggung jawab seluruh karyawanuntuk menjaga kerahasiaan data
nasabah.
2. Seluruh karyawan harus memahami kebijakan pengamanan informasi
yang dikeluarkan oleh perusahaan.
3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya.
Peralatan komputer harus dijauhkan dari minuman atau sesuatu yang dapat
mengakibatkan
kerusakan
peralatan.
Dilarang
membawa
makanan/minuman ke dalam ruang server.
4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh
Divisi Optec.
5. Seluruh
komputer
harus
mengaktifkan
‘screen
saver’
untuk
menghindarkan dari pemakai yang tidak berhak.
6. IT harus memastikan bahwa sistem komputer aman, integritas dan
kerahasiaan datanya terjaga, memiliki proses otentikasi yang semestinya,
serta informasi yang dihasilkan tidak tersanggah (non repudiation)
7. Setiap sistem produksi harus didukung oleh backup strategy and recovery
strategy. Semua strategi ini harus didokumentasikan, tes, dan dibuktikan
sebelum di implementasikan. Backup strategy sudah mencakup rencana
backup harian.
8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun
dan disetujui oleh Kepala Divisi Optec.
9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali
dalam setahun disetujui oleh Kepala Divisi Optec dan Presiden Direktur.
SISTEM INFORMASI MANAJEMEN
16
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
10. Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang
oleh Kepala Divisi Optec dan disetujui oleh Presiden Direktur.
11. Setiap perubahan, baik software maupun hardware, yang berdampak pada
sistem produksi harus disetujui, di tes, dan dibuktikan hasilnya serta
didokumentasikan.
12. Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari
kepala divisi yang bersangkutan. Hanya personil yang ditunjuk berhak
menambah dan menghapus User ID serta merubah hak akses.
13. Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak)
dan harus diganti setiap 90 hari. Setiap perubahan password baru harus
berbeda dengan 7 (tujuh) password yang sebelumnya.
14. User ID dan Password tidak untuk diberikan kepada orang lain. Setiap
orang bertanggung jawab terhadap setiap transaksi yang dilakukan dengan
menggunakan User ID-nya.
15. Setiap perubahan pada sistem aplikasi harus diotorisasi, di tes, dan
disetujui oleh ‘system owner’ sebagai bagian dari prosedur. Seluruh hasil
tes harus di kaji ulang dan didokumentasikan oleh ‘system owner’.
16. Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam
lingkungan yang sama sekali terpisah dari sistem produksi. Seluruh
kegiatan
pengembangan
harus
mengacu
kepada
metodologi
pengembangan perangkat lunak yang telah diterapkan di perusahaan.
17. Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan
persetujuan dari pihak yang ditunjuk dan selalu didampingi oleh personil
yang ditunjuk selama waktu kunjungan.
18. Hanya personil dari IT yang diijinkan untuk mengakses server produksi.
Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus
dihentikan sesaat setelah pekerjaan diselesaikan.
19. ‘Disaster Recovery Plan’ harus di tes setiap tahun.
20. Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan
sepengetahuan dan atas persetujuan dari ‘Board Of Director’.
21. Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun
kecuali telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.
SISTEM INFORMASI MANAJEMEN
17
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
22. Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh
dihubungkan ke dalam sistem komputer perusahaan sebelum mendapatkan
persetujuan dari Kepala Divisi Optec. Hal ini untuk menghindarkan dari
penyebaran virus. Seluruh media data dan sistem komputer harus diperiksa
secara periodik untuk memastikan bebas virus.
23. Pemberian akses ke internet hanya dapat diberikan dengan persetujuan
dari Board Of Director.
24. IT berkewajiban memastikan ‘Data Network’ aman dan terlindungi dari
akses oleh pihak yang tidak diberi ijin.
25. Penyalahgunaan,
pelanggaran,
dan
ketidaknormalan
harus
segera
dilaporkan kepada Kepala Divisi Optec dan Board Of Director.
26. Setiap karyawan, vendor, dan partner usaha yang menyalahgunakan
peralatan komputer dan seluruh aset perusahaan serta tidak mematuhi
kebijakan ini dan kebijakan perusahaan lainnya akan dikenakan sangsi
indispliner yang dapat berakibat pada pemutusan hubungan kerja,
pemutusan kontrak, atau pemutusan hubungan usaha.
27. Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun
sekali dan disetujui oleh Board Of Director. Setiap pengecualian, seperti
ketidakcocokan dengan kebijakan ini, harus mendapatkan persetujuan dari
Board Of Director.
4.2 Access Control System
Access Control System atau sistem kendali akses yang saat ini digunakan
oleh PT XYZ yaitu lima sistem yang dibatasi penggunaannya, yaitu Windows
2000 system domain, WinGate proxy system, GEL insurance system, Financial
Information Tools (FIT) financial system, dan sistem sumber daya manusia HR.
Akses terhadap sistem-sistem tersebut dibatasi hanya pada divisi yang
menggunakan sistem tersebut. Sistem kendali akses yang digunakan adalah
dengan menggunakan password, dan khusus untuk sistem sumber daya manusia
HR menggunakan pemindaian sidik jari. Selain itu, PT XYZ juga menggunakan
metode file-sharing yang tersedia pada Windows 2000 Operating System untuk
hal-hal sebagai berikut:
SISTEM INFORMASI MANAJEMEN
18
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
a. Menjalankan aplikasi asuransi individunya.
b. Berbagi informasi, misalnya informasi pemegang polis dan klaim yang
diajukan, di antara sesama pegawai dalam satu departemen atau antar
departemen yang membutuhkan.
c. Berbagi-pakai printer.
4.3 Telecomunication and Network Security
Telecomunication and Network Security atau keamanan telekomunikasi
dan jaringan yang dimiliki oleh PT. XYZ adalah Local Area Network (LAN)
berbasis TCP/IP, akses internet kabel, dan telekomunikasi internal dengan PABX.
LAN digunakan oleh perusahaan untuk melakukan proses bisnis perusahaan,
yakni menjalankan seluruh sistem yang ada dan juga berkomunikasi melalui email dan chat. Seluruh sistem berjalan pada server perusahaan yang disimpan di
dalam sebuah ruangan server.
Saat ini topologi jaringan LAN perusahaan menggunakan TCP/IP yang
sudah digunakan secara luas, dan mudah dikelola serta di dukung oleh windows
yang digunakan sebagai sistem operasi pada perusahaan. Akses keluar perusahaan
hanya dapat dilakukan untuk keperluan e-mail melalui sebuah proxy server.
Sedangkan untuk akses lain seperti browsing hanya dapat dilakukan oleh direktur,
manajer, kepala divisi, kepala departemen, dan staf departemen TI. Terdapat
beberapa kelemahan di dalam keamanan jaringan yang saat ini digunakan oleh PT
XYZ, yaitu :
a. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga
hanya terdapat satu network, yakni 192.168.0.0 dengan subnet mask
255.255.255.0. Hal ini dapat menimbulkan masalah di kemudian hari saat
jumlah host yang digunakan semakin banyak, karena dengan hanya
menggunakan sebuah network, setiap host akan menerima setiap paket
broadcast yang dikirimkan oleh suatu host lain. Apabila jumlah paket
broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain itu,
penggunaan satu network tidak menyediakan pembatasan akses terhadap
sumber daya komputer penting seperti server. Setiap host dapat mengakses
server karena berada dalam network yang sama. Kelemahan lain adalah
SISTEM INFORMASI MANAJEMEN
19
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
penentuan IP address yang bersifat statik untuk seluruh host yang ada.
Penggunaan IP address statik adalah hal yang sangat disarankan untuk host
yang penting seperti server dan router. Namun penggunaan statik address
untuk PC adalah suatu hal yang merepotkan dengan semakin banyaknya
jumlah PC.
b. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub
meskipun jumlahnya sedikit. Seperti diketahui bahwa hub memiliki
bandwidth yang kecil. Di samping itu, seluruh switch yang digunakan
merupakan switch unmanaged atau sederhana yang tidak memiliki fitur-fitur
canggih seperti pembatasan akses berdasarkan MAC address host dan
Spanning Tree Protocol. Tidak adanya fitur keamanan di dalam switch yang
digunakan akan memungkinkan akses ilegal ke dalam LAN perusahaan.
Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat
availability LAN, karena desain LAN tersebut tidak bersifat redundant.
c. Windows domain controller dan mail server. Tidak adanya backup domain
controller di dalam sistem jaringan PT XYZ akan sangat mengurangi tingkat
availability LAN. Apabila terjadi kegagalan pada Primary Domain
Controller Windows 2000 maka PC klien tidak dapat menggunakan sumber
daya komputer yang dibagi pakai seperti file-sharing dan printer. Potensi
masalah ini semakin meningkat dengan disatukannya fungsi primary domain
controller dan mail server Microsoft Exchange Server 2000 dalam satu
server.
d. Redudant Array of Independent Disks (RAID). Semua server yang digunakan
tidak memiliki atau tidak memanfaatkan fitur RAID. Setiap server hanya
memiliki sebuah harddisk, sehingga apabila terjadi kegagalan maka server
tersebut tidak dapat beroperasi untuk waktu yang cukup lama sehingga akan
menghentikan proses bisnis perusahaan. Meskipun terdapat proses backup
yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena
tidak adanya harddisk cadangan yang siap sedia.
e. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan
kabel listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan
komputer.
SISTEM INFORMASI MANAJEMEN
20
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
f. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak,
yakni Zone Alarm, dan ditambah dengan proxy server WinGate.
Permasalahannya adalah bahwa server yang digunakan untuk menjalankan
firewall tersebut juga digunakan untuk menjalankan mail server eksternal.
Hal tersebut akan sangat memberatkan kerja server. Sedangkan server yang
digunakan adalah server berbasis PC rakitan yang tidak didesain untuk
menjalankan fungsi server, dan tidak adanya fungsi RAID.
Kedepannya PT XYZ telah merencanakan pengembangan keamanan
telekomunikasi
dan
jaringan.
Berikut
telekomunikasi
dan
jaringan
agar
adalah
pengembangan
kelemahan-kelemahan
keamanan
pengembangan
keamanan telekomunikasi dan jaringan diatas dapat dieliminir :
a. Penggunaan router dengan fitur firewall. Kini telah tersedia router
multifungsi yang memiliki beberapa fitur penting seperti firewall, VPN, dan
VoIP. Dengan menggunakan router maka dapat dibuat beberapa subnet yang
memisahkan host penting seperti server dengan host klien, dan memisahkan
host klien di suatu divisi atau departemen dengan host klien di divisi atau
departemen yang lain. Router juga memiliki fungsi DHCP server yang akan
menentukan IP address host klien secara dinamis, sehingga meningkatkan
skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall, router
tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan
kinerja yang lebih baik.
b. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki
fitur pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya
host yang diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur
Spanning Tree Protocol, LAN dapat didesain secara redundant, dimana
apabila sebuah alat jaringan atau hubungan kabel mengalami kegagalan,
maka alat jaringan atau hubungan cadangan dapat segera beroperasi untuk
menggantikannya. Dan dengan adanya fitur VLAN maka penggunaan port
switch dan kabel dapat menjadi lebih efisien, karena digunakannya koneksi
kabel yang sama untuk lebih dari dua subnet.
SISTEM INFORMASI MANAJEMEN
21
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
c. Backup domain controller dan mail server. Dengan adanya server backup
domain controller, host klien masih dapat mengakses domain dan
menggunakan sumber-sumber daya komputer yang dibagi-pakai.
d. RAID. Setiap server perlu ditambah satu buah harddisk lagi dengan fungsi
RAID level 1, dimana data yang berada di dalam harddisk utama diduplikasi
ke dalam harddisk kedua. Apabila harddisk utama mengalami kegagalan
maka dapat secara otomatis digantikan oleh harddisk kedua.
e. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan
kabel listrik untuk menghindari noise terhadap sinyal jaringan.
4.4 Kriptografi
Kerahasiaan data-data yang di dalam perusahaan ini telah dilindungi pada
level Access Control List. Sedangkan pengiriman e-mail baik internal maupun
eksternal belum menggunakan metode pengamanan dengan kriptografi. Dalam
usaha pengembangan di masa yang akan datang, PT XYZ akan mengembangkan
sistem kerahasiaan datanya dengan cara :
a. Menggunakan kriptografi berbasis Public Key Infrastructure (PKI) yang
bersifat open source seperti Pretty Good Privacy yang memiliki kehandalan
yang cukup baik.
b. Penggunaan metode enkripsi IPSec. IPSec adalah sebuah standar yang
menyediakan enkripsi, kendali akses, non-repudiation, dan otentikasi dari
pesan-pesan yang dikirimkan melalui IP. Untuk implementasi IPSec ini,
perusahaan dapat menggunakan fitur IPSec yang dimiliki oleh sistem operasi
Windows 2000 Server. Untuk memperoleh tingkat keamanan sistem
informasi, perusahaan disarankan untuk menggunakan IPSec untuk
pengiriman data oleh setiap komputer di dalam perusahaan. Hal ini dapat
dicapai melalui penerapan kebijakan keamanan domain Active Directory
Windows 2000 Server.
4.5 Security Architecture and Models
Security Architecture and Models atau arsitektur dan model keamanan
yang digunakan PT XYZ masih mengikuti model keamanan dan arsitektur dari
SISTEM INFORMASI MANAJEMEN
22
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
sistem operasi yang dipakai. Tidak ada suatu arsitektur dan model yang khusus
yang diterapkan pada perusahaan ini. Model keamanan dapat terlihat seperti pada
tabel di bawah ini:
Tabel 4 Model Keamanan
Aspek
Network Access Control
Application Logon
Database
File System
Model Keamanan
Network mengikuti sistem Active
Directory
Mengikuti sistem Active Directory
Mengikuti sistem DBMS yang
digunakan
Mengikuti sistem Active Directory
Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login
dan password untuk masuk ke aplikasi tersebut, sehingga hanya user yang
memiliki hak akses yang dapat menggunakan aplikasi tertentu. Sedangkan pada
level database, keamanan data dijaga selain dengan dilakukan backup file, ada
aturan tidak semua data dapat diubah melalui aplikasi, terutama data-data
keuangan, hal ini untuk menjaga keabsahan data. Selain itu, seluruh karyawan
juga diberikan pengetahuan mengenai penggunaaan komputer melalui berbagai
pelatihan dan disesuaikan dengan kebutuhan.
4.6 Operations Security
Operations Security atau keamanan operasi yang dilakukan oleh PT XYZ
adalah dengan menerapkan beberapa tindakan pengawasan berdasarkan tiga aspek
pengawasan, yaitu pengawasan dengan pemisahan pekerjaan berdasarkan
fungsinya, pengawasan terhadap perangkat keras komputer dan media yang
digunakan, dan pengawasan terhadap terjadinya kesalahan I/O. Tindakan-tindakan
pengawasan yang dilakukan adalah sebagai berikut:
a. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna.
Pengguna dapat menggunakan aplikasi hanya sesuai dengan kebutuhan
SISTEM INFORMASI MANAJEMEN
23
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
pekerjaannya. Tidak semua pengguna dapat mengubah data. Hal ini
dilakukan dengan melakukan penerapan akses kontrol.
b. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan
oleh masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan
login dan password berdasarkan divisi. Penerapan ini dapat ditingkatkan
dengan melakukan akses kontrol dan penerapan VLAN pada sistem
perusahaan.
c. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan
perbaikan terhadap sistem teknologi informasi perusahaan.
d. Change Management Control. Tindakan perbaikan atau perubahan dalam
sistem teknologi informasi perusahaan harus atas seijin dan sepengetahuan
manajer. Seluruh perbaikan dan perubahan ini harus dites dan diuji coba
dahulu sebelum diterapkan pada sistem perusahaan. Hal ini untuk
menghindari hilangnya keamanan sistem secara tidak sengaja karena adanya
perbaikan dan perubahan tersebut.
e. Adminstrative Control. Untuk melakukan pemasangan software baru dan
perawatan sistem dilakukan oleh bagian TI yang bertanggung jawab secara
khusus.
f. Record Retention. Menerapkan berapa lama data akan disimpan dalam
database perusahaan. Data-data yang sudah tidak diperlukan dapat dihapus
dan di simpan dalam media backup di luar sistem jaringan perusahaan.
Penyimpanan data dalam media yang dapat dihapus harus dengan prinsip
kehati-hatian.
g. Media Security Control. Menerapkan akses kontrol dan metode logging pada
server untuk mengetahui siapa saja yang menggunakan dan memanfaatkan
aplikasi. Akses kontrol ini juga bermanfaat mencegah akses oleh orang yang
tidak berhak. Selain itu media-media penyimpanan data yang sudah tidak
dipergunakan lagi harus dibuang dan dihancurkan dengan cara yang tepat,
agar data yang terdapat dimedia itu tidak dapat di akses lagi oleh orang yang
tidak berhak.
SISTEM INFORMASI MANAJEMEN
24
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
4.7 Business Continuity Planning and Disaster Recovery Planning
Business Continuity Planning and Disaster Recovery Planning atau
perencanaan kelangsungan bisnis dan perencanaan penyelamatan terhadap
bencana yang telah dilakukan oleh PT XYZ telah cukup baik. Namun hingga saat
ini belum terdapat jadwal uji coba terhadap perencanaan tersebut. alangkah lebih
baik apabila perusahaan membuat jadwal rutin uji coba perencanaan
kelangsungan bisnis dan perencanaan penyelamatan terhadap bencana.
Sasaran utama dari rencana pemulihan bencana ini adalah untuk
membantu memastikan sistem operasional yang berkelanjutan mencakup IAS,
FIT, GEL, e-mail, dan Exchange di lingkungan PT. XYZ. Sasaran khusus dari
rencana ini termasuk:
a. Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti.
b. Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.
c. Untuk bekerja cepat dan lengkap atas pemulihan bencana.
d. Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT.
Berikut adalah tugas dari masing-masing anggota tim pemulihan bencana:
a. Ketua Tim Manajemen. Bertanggung jawab penuh untuk mengkoordinir
strategi pemulihan bencana PT. XYZ dan meyakinkan bahwa seluruh
karyawan sadar atas kebijakan pemulihan bencana dan merupakan tanggung
jawab mereka untuk melindungi informasi perusahaan.Tugas-tugas Ketua
Tim Manajemen antara lain:

Memimpin pemulihan bencana

Mengumumkan rencana pemulihan bencana.

Menunjuk Koordinator pemulihan bencana.
b. Koordinator Pemulihan Bencana. Bertanggung jawab untuk mengkoordinir
pengembangan pemulihan bencana seperti digambarkan oleh kebijakan dan
mengarahkan implementasi dan uji coba rencana. Tugas-tugas Koordinator
Pemulihan Bencana antara lain:
 Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan
bencana.
SISTEM INFORMASI MANAJEMEN
25
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
 Menyelenggarakan program kesadaran pemulihan bencana ke Departemen
IT dan departemen terkait.
 Bertanggung jawab untuk menjaga inventory aset IT yang terkini.
 Mengelola pengetesan dan laporan hasil tes.
Penanganan apabila uji coba tersebut dilakukan atau bencana benar-benar
terjadi adalah adanya pernyataan bencana yang merupakan wewenang Ketua Tim
Manajemen setelah meneliti situasi yang berlangsung.
Jika Ketua Tim Manajemen memutuskan untuk menyatakan pelaksanaan
prosedur pemulihan bencana, maka seluruh anggota tim pemulihan bencana akan
mengikuti prosedur yang tercantum di dalam manual sampai pemulihan tuntas.
Ketidaktersediaan sistem, atas apapun penyebabnya, akan mengacu kepada
tingkat kewaspadaan dengan kode warna sebagai berikut:
a. Waspada Merah - Suatu kerusakan total pusat data yang menyebabkan
perbaikan jangka panjang, lebih dari tiga minggu.
b. Waspada Biru - Bencana lokal, misal kebakaran pada ruangan komputer,
yang dapat menyebabkan operasi terganggu lebih dari satu minggu.
c. Waspada Kuning - Ketidaktersediaan ruangan komputer yang dapat
menyebabkan terganggunya operasi tiga hari sampai satu minggu.
d. Waspada Hijau - Kerusakan minor seperti kerusakan hardware yang dapat
menyebabkan pemulihan antara satu sampai tiga hari.
SISTEM INFORMASI MANAJEMEN
26
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
BAB V
KESIMPULAN
5.1 Kesimpulan
Berdasarkan analisa terhadap kendali keamanan system informasi di PT
Asuransi XYZ dapat disimpulkan beberapa hal berikut :
1. Pengelompokan informasi merupakan mengidentifikasikan aset-aset
informasi yang dimiliki
2. Seluruh informasi baik tangible maupun intangible di-maintain oleh
departemen IT, beberapa data yang dipelihara oleh departemen masingmasing yang bersangkutan, dan beberapa bahkan ada yang di-maintain
oleh pihak vendor.
3. Pengelompokan informasi dilakukan berdasarkan identifikasi informasi
tangible dan intangible, dimana informasi tersebut dikelompokan sesuai
dengan pihak atau masing-masing departemen yang bersangkutan
4. Sistem informasi PT. XYZ merupakan rahasia yang tidak boleh bocor
keluat perusahaan karena menyangkut integritas. Bahkan ada beberapa
data yang tidak bisa keluar dari satu divisi ke divisi lainnya.
5. Untuk menghindari ancaman-ancaman yang mungkin bisa timbul dari
bocornya data keluar perusahaan, PT XYZ melakukan berbagai berbagai
tindakan pengawasana dan kendali keamanan yang diantaranya adalah
sebagai berikut:

Langkah Pencegahan

Langkah Deteksi

Langkah Represi

Langkah Perbaikan

Langkah Evaluasi
6. Security Policy yang ditetapkan oleh PT XYZ telah dirancang sedemikian
rupa, dengan ketat, teliti demi menghindarkan ancaman-ancaman yang
mungkin datang.
7. Terdapat beberapa kelemahan yang dimiliki oleh jaringan informasi PT
XYZ, yaitu:
SISTEM INFORMASI MANAJEMEN
27
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)

Kelompok Kelapa
E35-Bogor
Desain logis jaringan. LAN di perusahaan ini tidak memiliki
router, sehingga hanya terdapat satu network

Desain fisik jaringan. LAN di perusahaan ini masih menggunakan
hub meskipun jumlahnya sedikit. Seperti diketahui bahwa hub
memiliki bandwidth yang kecil

Tidak adanya backup domain controller di dalam sistem jaringan
PT XYZ akan sangat mengurangi tingkat availability LAN

Semua server yang digunakan tidak memiliki atau tidak
memanfaatkan fitur RAID

Pemasangan kabel UTP di beberapa tempat berdampingan dengan
kabel listrik yang dapat menimbulkan gangguan sinyal (noise)
jaringan komputer.

Server yang digunakan untuk menjalankan firewall juga digunakan
untuk menjalankan mail server eksternal.

Kerahasiaan data-data yang di dalam perusahaan ini telah
dilindungi pada level Access Control List. Sedangkan pengiriman
e-mail baik internal maupun eksternal belum menggunakan
metode pengamanan dengan kriptografi.
8. Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login
dan password untuk masuk ke aplikasi tersebut, sehingga hanya user yang
memiliki hak akses yang dapat menggunakan aplikasi tertentu. Sedangkan
pada level database, keamanan data dijaga selain dengan dilakukan
backup file. Ada aturan tidak semua data dapat diubah melalui aplikasi,
terutama data-data keuangan.
9. Operations Security atau keamanan operasi yang dilakukan oleh PT XYZ
adalah dengan menerapkan beberapa tindakan pengawasan berdasarkan
tiga aspek pengawasan, yaitu pengawasan dengan pemisahan pekerjaan
berdasarkan fungsinya, pengawasan terhadap perangkat keras komputer
dan media yang digunakan, dan pengawasan terhadap terjadinya kesalahan
I/O.
10. Terdapat Business Continuity Planning and Disaster Recovery Planning
atau perencanaan kelangsungan bisnis dan perencanaan penyelamatan
SISTEM INFORMASI MANAJEMEN
28
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
terhadap bencana yang telah dilakukan oleh PT XYZ telah cukup baik.
Namun sayangnya belum pernah ada jadwal uji coba terhadap rencana
tersebut.
5.2 Saran
Meskipun telah memiliki seperangkat alat yang mendukung untuk
keamanan, PT XYZ belum masuk ke dunia E-Business. Padahal seperti diketahui
bahwa E-Business sudah mulai lazim digunakan di Indonesia.
Dengan masuk ke dalam dunia E-Business, PT. XYZ dapat memudahkan
berbagai pelayanan ke berbagai pihak, dimana dalam E-Business, perusahaan
dapat mengembangkan berbagai elemennya, seperti Customer Relationship
Management
(CRM);
Enterprise
Resource
Planning
(ERP);
Enterprise
Application Program (EAI); serta Supply Chain Management (SCM). Ke-empat
elemen tersebut akan sangat membantu perusahaan dalam mengembangkan bisnis
asuransi.
Perlu diingat bahwa, apabila ingin terjun ke E-Business, system keamanan
(E-Security) yang dikembangkan oleh perusahaan pun harus benar-benar terjaga,
karena akan sangat rentan bagi perusahaan untuk dimasuki oleh berbagai pihak
yang tidak bertanggung jawab.
SISTEM INFORMASI MANAJEMEN
29
DATABASE MANAGEMENT SYSTEM
SISTEM INFORMASI MANAJEMEN (PMB 561)
Kelompok Kelapa
E35-Bogor
DAFTAR PUSTAKA
Cisa review manual 2005. 2005. Illinois: Information System Audit and Control
Association.
Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc.
Cisa review manual 2005. 2005. Illinois: Information System Audit and Control
Association.
Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik
Keamanan Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil
Juni, 8, 2005 dari http://bebas.vlsm.org/v06/Kuliah/MTI-KeamananSistem-Informasi/2004/78/78-m-update- AdiperkasaDistribusindo.pdf.
©
SISTEM INFORMASI MANAJEMEN
30
Download