ANALISA PROTEKSI DAN TEKNIK KEAMANAN
SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA
TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI
DAFTAR ISI
BAB I Pendahuluan
4
1.1 Profil Perusahaan
4
1.2 Visi dan Misi Perusahaan
4
1.3 Struktur Organisasi Perusahaan
5
1.4 Topologi Jaringan
7
1.5 Denah Kantor
8
BAB II Praktek-Praktek Manajemen Keamanan
9
2.1 Dasar Teori
9
2.1.1 Keamanan Sistem Informasi
9
2.1.2 Pengelompokkan Informasi
10
2.1.3 Kebijakan Keamanan
13
2.1.4 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur
14
2.1.5 Manajemen Resiko
15
2.2 Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi
Maju Bersama
15
2.2.1 Pengelompokan Informasi
15
2.2.2 Kebijakan Keamanan
20
2.2.3 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur
22
BAB III Sistem Kendali Akses
23
3.1 Dasar Teori
23
3.2 Analisa dan Rekomendasi
23
BAB IV Keamanan Telekomunikasi dan Jaringan
28
4.1 Dasar Teori
28
4.2 Analisa dan Rekomendasi
30
BAB V Kriptografi
34
5.1 Dasar Teori
34
5.2 Analisa dan Rekomendasi
35
BAB VI Arsitektur dan Model-Model Keamanan
37
6.1 Dasar Teori
37
6.2 Analisa dan Rekomendasi
38
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
2
Page 3
BAB VII Keamanan Operasi-Operasi
39
7.1 Dasar Teori
39
7.2 Analisa dan Rekomendasi
39
BAB VIII Pengembangan Aplikasi dan Sistem
41
8.1 Dasar Teori
41
8.2 Analisa dan Rekomendasi
41
BAB IX Business Continuity Planning dan Disaster Recovery Planning
43
9.1 Dasar Teori
43
9.2 Analisa dan Rekomendasi
43
BAB X Hukum, Investigasi, dan Etika
46
10.1 Dasar Teori
46
10.2 Analisa dan Rekomendasi
47
BAB XI Keamanan Fisik
48
11.1 Dasar Teori
48
11.2 Analisa dan Rekomendasi
49
BAB XII Audit dan Assurance
51
12.1 Dasar Teori
51
12.2 Analisa dan Rekomendasi
52
BAB XIII Kesimpulan
54
Daftar Pustaka
55
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
3
Page 4
BAB I
PENDAHULUAN
1.1Profil Perusahaan
PT. Asuransi Maju Bersama merupakan sebuah perusahaan asuransi jiwa dan
kesehatan. Perusahaan ini berdiri pada tahun 1998, berawal dari 15 orang karyawan
dengan modal 100 juta, dan berkonsentrasi untuk melayani klien di Jakarta saja. Dengan
kondisi saat ini, PT. Asuransi Maju Bersama berkembang dengan sangat pesat, dan di
tahun 2005 ini pegawainya sudah mencapai 50 orang dan mulai mengembangkan
usahanya sampai ke Pulau Jawa. Berdasarkan data tahun 2003, PT. Asuransi Maju
Bersama memiliki lebih dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih
dari Rp 10 Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp
233,8 juta (tumbuh 15,6 %).
1.2Visi dan Misi Perusahaan
PT. Asuransi Maju Bersama memiliki Nilai-Nilai Utama Perusahaan, Budaya
Perusahaan, Misi dan Visi Perusahaan, sebagai berikut:
Nilai-Nilai Utama Perusahaan:
Siapapun pelanggan kami dan apapun yang mereka kerjakan, kami dapat menyesuaikan
dengan kebutuhan mereka. Karena tujuan kami menjadi perusahaan asuransi jiwa pilihan
di Indonesia, kami berkomitmen untuk memberikan produk-produk yang inovative dan
pelayanan yang sesuai dengan kebutuhan pelanggan melalui para agen professional
kami. Nilai nilai utama kami yaitu Integritas, Inisiatif dan Rasa Keikutsertaan yang akan
ditanamkan kepada setiap karyawan dan agen untuk menjadi dasar dalam bertindak.
Budaya perusahaan:
Kami akan mengamalkan Misi kami dan menjunjung tinggi Nilai-Nilai Utama kami melalui:
Integritas, Inisiatif dan Rasa Keikutsertaan yang tinggi kepada pelanggan dan pekerjaan
kami dengan Inovatif dan Proaktif
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
4
Page 5
Visi perusahaan:
Berkomitment memberikan perlindungan finansial untuk setiap pelanggan kami. Dikenal
karena kesempurnaan dalam pelayanan dan memegang teguh sikap integritas, Inisiatif
dan rasa keikutsertaan dalam setiap langkah penyelenggaraan bisnis.
Misi perusahaan:
Menjadi Perusahaan Asuransi Jiwa pilihan di Indonesia, yang dikenal karena produk-
produk yang berkualitas, pelayanan pelanggan yang tak kenal henti berdasarkan pada
nilai-nilai utama kami dan saluran distribusi yang efektif.
1.3Struktur Organisasi Perusahaan
Puncak organisasi PT Asuransi Maju Bersama diduduki oleh beberapa komisaris
utama dan pembina sebagai penanam saham atau investor. Kemudian di bawahnya
diikuti oleh direktur utama sebagai penanggung jawab perusahaan yang membawahi
ketua umum, sekretariat, dan ketua-ketua teknis dan non-teknis. Masing-masing ketua
membawahi beberapa kepala departemen dan staf. Struktur organisasi PT Asuransi Maju
Bersama dapat dilihat pada Gambar 1.1 berikut. Tabel 1.1 menjelaskan posisi dan
jabatan masing-masing personil sesuai dengan bagiannya.
Gambar 1. 1 Struktur Organisasi
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
5
Page 6
DIVISI
NAMA
TUGAS/JABATAN
President Director
A01
President director
Director
A02
Director
Operation and
Technology
A03
Head of Optech
A04
Head of NBU
A05
Supervisor
A06
Consultant
A07
Staff
A08
Head of CS/Claim
A09
Staff
A10
Staff
A11
Head of IT
A12
System administrator
A13
Data support
A14
Help desk
A15
Head of IS
A16
Programmer
A17
Programmer
ACTUARY
A18
Head of actuary
A19
Staff
A20
Staff
FINANCE
A21
Head of finance
A22
Accounting supervisor
A23
Cashier
A24
Finance staff
A25
Premium collector
A26
Finance staff
A27
OSD staff
A28
Office boy
A29
Office boy
A30
Office boy
A31
Office boy
A32
Office boy
A33
Office boy
A34
Security guard
A35
Security guard
Marketing
A36
Head of marketing
A37
Head of ADS
A38
ADS staff
A39
Head of bancassurance
A40
Bancassurance staff
A41
Marketing support supervisor
A42
Marketing support staff
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
6
Page 7
DIVISI
NAMA
TUGAS/JABATAN
A43
Marketing & promotion supervisor
A44
Marketing support staff
A45
Graphic designer
A46
Research & product staff
A47
Bancassurance staff
CCC
A48
Head of CCC
A49
Secretary
A50
Receptionist
HR
A51
Head of HRD
A52
HRD staff
A53
HRD staff
Tabel 1 1 Matriks Karyawan
1.4Topologi Jaringan
Gambar 1.2 menunjukkan topologi LAN yang dimiliki PT Asuransi Maju Bersama.
Gambar 1. 2 Topologi Jaringan
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
7
Page 8
1.5Denah Kantor
Gambar 1.3 menunjukkan denah kantor PT Asuransi Maju Bersama.
A01
PRESIDENT DIRECTOR
A51
A18
A19
A15
OPREATION &
TECHNOLOGY
A03
A06
A09
A11
A06
A08
FINANCE
A22
A24
A37
A
3
9
MARKETING
A
4
1
A50
RECEPTIONIST
A
4
7
A38
A
5
3
DIRECTOR
PANTRY
A02
A48
A49
A17
A16
A14
A12
A13
CCC
HRD
A21
A52
A04
A05
ACTUARY
A25
A
2
3
A36
A43
A45
A20
A
2
7
A
2
6
A40
A42
A44
A
4
6
F
ILL
IN
G
R
O
O
M
MARKETING STAFF
IT STAFF
Gambar 1. 3 Denah Kantor
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
8
Page 9
Confidentiality
Integrity
Availability
BAB II
PRAKTEK-PRAKTEK MANAJEMEN KEAMANAN
2.1Dasar Teori
2.1.1Keamanan Sistem Informasi
Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan
informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan,
standar-standar, pedoman-pedoman, dan prosedur-prosedur. Ia mendefinisikan praktek-
praktek manajemen klasifikasi data dan manajemen resiko. Ia juga membahas masalah
confidentiality (kerahasiaan), integrity (integritas), dan availibility (ketersediaan) dengan
cara mengidentifikasi ancaman-ancaman, mengelompokkan aset-aset organisasi, dan
menilai vulnerabilities (bentuk jamak dari vulnerability yang berarti bersifat mudah untuk
diserang) mereka sehingga kendali-kendali keamanan yang efektif dapat
diimplementasikan.
Di dalam domain Keamanan Sistem informasi dikenal tiga buah konsep yakni
Confidentiality, Integrity, dan Availibility (C.I.A.), seperti yang ditunjukkan oleh Gambar
2.1. Ketiga konsep ini mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh
kendali-kendali keamanan informasi, dan upaya-upaya perlindungan, serta semua
ancaman-ancaman, vulnerabilities, dan proses keamanan mengacu pada ukuran CIA.
Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya
penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari
suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui
keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan
hak-hak jaringan.
Gambar 2.1 C.I.A Triad
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
9
Page 10
Integrity. Konsep integrity menjamin bahwa:
▪ Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang
tidak sah.
▪ Modifikasi-modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau
proses yang sah.
▪ Data bersifat konsisten baik secara internal maupun eksernal; dengan kata lain, bahwa
informasi internal bersifat konsisten di antara semua subentitas dan bahwa informasi
internal bersifat konsisten dengan situasi eksternal dan di dunia nyata.
Availability. Konsep availability menjamin bahwa akses terhadap data atau
sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai.
Dengan kata lain, availability menjamin bahwa sistem selalu “up and running” bila
dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan
yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia.
Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampak-
dampak dari ancaman-ancaman keamanan dan vulnerabilities ke suatu tingkat yang
dapat ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan
penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah organisasi
dan besarnya peluang terjadinya ancaman. Proses yang menganalisa skenario ancaman
dan menghasilkan nilai representatif dari perkiraan kehilangan potensial disebut Analisa
Resiko.
2.1.2Pengelompokkan Informasi
Informasi dapat menimbulkan dampak global pada bisnis organisasi, tidak hanya
pada unit bisnis atau tingkat lini operasi. Tujuan dari pengelompokan informasi adalah
untuk meningkatkan confidentiality, integrity, dan availability dan untuk meminimalisasi
resiko-resiko organisasi. Sebagai tambahan, dengan berfokus pada mekanisme-
mekanisme proteksi dan kendali-kendali pada area informasi yang paling membutuhkan
akan diperoleh rasio biaya-manfaat yang lebih efisien.
Di dalam domain keamanan sistem informasi, pengelompokan informasi digunakan
untuk mencegah penyingkapan yang tidak sah terhadap informasi dan dampak dari
hilangnya confidentiality. Pengelompokan informasi dapat juga digunakan untuk mematuhi
peraturan-peraturan pemerintah, atau untuk menjaga daya kompetitif organisasi di dalam
pasar yang penuh persaingan.
Di samping tujuan-tujuan di atas, pengelompokan informasi juga memberi manfaat
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
10
Page 11
sebagai berikut:
▪ Mendemonstrasikan komitmen sebuah organisasi dalam upaya perlindungan
keamanan.
▪ Membantu mengidentifikasi informasi mana yang paling sensitif atau vital bagi sebuah
organisasi.
▪ Mendukung prinsip C.I.A.
▪ Membantu mengidentifikasi proteksi-proteksi mana saja yang sesuai dengan informasi
tertentu.
▪ Mungkin diperlukan untuk kebutuhan regulasi, compliance, atau legal.
Informasi yang dihasilkan atau diproses sebuah organisasi harus dikelompokkan
sesuai dengan sensitivitas organisasi terhadap kehilangan atau penyingkapan informasi
tersebut. Pemilik-pemilik data bertanggung jawab mendefinisikan tingkat sensitivitas data.
Pendekatan ini memungkinkan kendali-kendali keamanan diimplementasikan secara tepat
sesuai dengan skema pengelompokan.
Istilah-istilah klasifikasi berikut umum digunakan di dalam sektor swasta:
1. Public (publik). Semua informasi perusahaan yang tidak termasuk ke dalam kategori-
kategori selanjutnya dapat dianggap sebagai public. Informasi ini mungkin sebaiknya
tidak disingkap. Namun apabila terjadi penyingkapan diperkirakan tidak akan
menimbulkan dampak yang serius terhadap perusahaan.
2. Sensitive (sensitif). Informasi yang memerlukan tingkat pengelompokan lebih tinggi
dari data normal. Informasi ini dilindungi dari hilangnya confidentiality dan integrity
akibat perubahan yang tidak sah.
3. Private (pribadi). Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk
penggunaan perusahaan saja. Penyingkapan terhadap informasi ini dapat berdampak
buruk terhadap perusahaan atau pegawai-pegawainya. Sebagai contoh, tingkat gaji
dan informasi medis dianggap informasi yang pribadi.
4. Confidential (rahasia). Informasi yang dianggap sangat sensitif dan dimaksudkan
untuk untuk penggunaan perusahaan saja. Penyingkapan yang tidak sah dapat
berdampak serius dan negatif terhadap perusahaan. Sebagai contoh, informasi
mengenai pengembangan produk baru, rahasia-rahasia dagang, dan negosiasi merger
dianggap informasi rahasia.
Kriteria-kriteria berikut digunakan untuk menentukan pengelompokan sebuah
obyek informasi:
1. Nilai. Nilai merupakan kriteria nomor satu yang umum digunakan. Jika suatu informasi
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
11
Page 12
bernilai bagi sebuah organisasi atau pesaing-pesaingnya, maka ia perlu
dikelompokkan.
2. Usia. Pengelompokan informasi dapat diturunkan jika nilai informasi tersebut
berkurang seiring berjalannya waktu.
3. Waktu guna. Jika informasi dibuat menjadi kadaluwarsa karena informasi baru,
perubahan substansial di dalam perusahaan, atau alasan-alasan lain, informasi
tersebut dapat tidak dikelompokkan lagi.
4. Asosiasi pribadi. Jika informasi secara pribadi diasosiasikan dengan individu-individu
tertentu atau dilindungi oleh hukum privasi, ia perlu dikelompokkan. Misalnya,
informasi penyelidikan yang mengungkap nama-nama informan mungkin perlu
dikelompokkan.
Langkah-langkah pembuatan sistem pengelompokan adalah sebagai berikut:
1. Identifikasi administrator atau pemelihara.
2. Tentukan kriteria bagaimana cara pengelompokan dan beri tanda ke tiap informasi.
3. Kelompokkan data berdasarkan pemilik, yang tunduk pada peninjauan seorang
pengawas.
4. Tentukan dan buat dokumentasi tiap pengecualian terhadap kebijakan
pengelompokan.
5. Tentukan kendali-kendali yang akan diterapkan ke tiap tingkat pengelompokan.
6. Tentukan prosedur-prosedur terminasi untuk mendeklasifikasi informasi atau untuk
memindahkan pemeliharaan informasi ke pihak lain.
7. Buat program kesadaran perusahaan akan kendali-kendali pengelompokan.
Berikut adalah peran-peran dari semua partisipan di dalam program
pengelompokan informasi:
1. Pemilik. Seorang pemilik informasi dapat berupa seorang eksekutif atau manajer di
dalam organisasi. Orang ini bertanggung jawab terhadap aset informasi yang harus
dilindungi. Pemilik memiliki tanggung jawab korporat final terhadap perlindungan data.
Sedangkan fungsi sehari-hari dari perlindungan data berada di tangan pemelihara
data. Tanggung jawab pemilik data adalah sebagai berikut:
▪ Membuat keputusan awal tentang tingkat pengelompokan yang diperlukan suatu
informasi, yang berdasarkan kebutuhan-kebutuhan bisnis dalam perlindungan data.
▪ Meninjau ulang penentuan klasifikasi secara periodik dan membuat perubahan
sesuai dengan perubahan kebutuhan bisnis.
▪ Menyerahkan tanggung jawab perlindungan data kepada pemelihara data.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
12
Page 13
2. Pemelihara (Custodian). Pemilik informasi menyerahkan tanggung jawab perlindungan
data kepada pemelihara data. Umumnya staf IT melaksanakan peran ini. Tugas-tugas
pemelihara data adalah sebagai berikut:
▪ Menjalankan proses-proses backup dan secara rutin menguji validitas dari data
yang di-backup.
▪ Melakukan pemulihan data dari backup bila diperlukan.
▪ Menjaga data-data tersebut sesuai dengan kebijakan pengelompokan informasi
yang telah dibuat.
3. Pemakai. Pemakai adalah setiap orang (operator, pegawai, atau pihak luar) yang
secara rutin menggunakan informasi sebagai bagian dari pekerjaannya. Orang ini
dapat dianggap sebagai konsumen data, yakni seseorang yang membutuhkan akses
harian ke suatu informasi untuk menjalankan tugas-tugasnya. Berikut adalah hal-hal
penting sehubungan dengan pemakai:
▪ Pemakai-pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan
dalam sebuah kebijakan keamanan organisasi, dan mereka harus mematuhi
pedoman-pedoman cara penggunaan yang dikeluarkan.
▪ Pemakai-pemakai harus menjaga baik-baik keamanan dari informasi selama
melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam kebijakan pemakaian
informasi korporat). Mereka harus mencegah terjadinya “open view”, yakni terbukanya
informasi sehingga dapat diakses oleh orang yang tak berhak.
▪ Pemakai-pemakai harus menggunakan sumber daya komputer perusahaan hanya
untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.
2.1.3Kebijakan Keamanan
Kebijakan dapat berarti banyak di dalam dunia keamanan informasi. Sebagai
contoh, terdapat kebijakan keamanan di dalam firewall, yang mengacu kepada informasi
access control dan daftar routing. Sedangkan standar-standar, prosedur-prosedur, dan
pedoman-pedoman juga disebut sebagai kebijakan-kebijakan dalam konteks keamanan
informasi yang lebih besar.
Berikut adalah jenis-jenis dari kebijakan:
1. Pernyataan kebijakan manajemen senior. Merupakan pernyataan kebijakan umum dan
tingkat tinggi, yang mengandung elemen-elemen sebagai berikut:
▪ Sebuah pernyataan tentang pentingnya sumber daya komputer terhadap model
bisnis.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
13
Page 14
▪ Sebuah pernyataan tentang dukungan untuk keamanan informasi di seluruh
perusahaan.
▪ Sebuah komitmen untuk menyetujui dan mengatur definisi standar-standar,
prosedur-prosedur, dan pedoman-pedoman tingkat rendah.
2. Regulasi (Regulatory). Merupakan kebijakan-kebijakan keamanan yang harus
diimplementasi oleh perusahaan akibat peraturan pemerintah. Tujuan dari regulasi
adalah sebagai berikut:
• Untuk menjamin bahwa perusahaan yang terkait mengikuti prosedur-prosedur
standar atau best practices operasi di dalam industrinya.
• Untuk memberikan keyakinan kepada sebuah organisasi bahwa ia telah mengikuti
standar dan kebijakan industri yang telah diakui.
3. Advisory. Merupakan kebijakan keamanan yang tidak harus dipatuhi namun sangat
disarankan, mungkin dengan konsekuensi serius seperti pemecatan, surat peringatan,
dan lain-lain. Sebuah perusahaan dengan kebijakan seperti ini menginginkan agar
sebagian besar pegawai menganggapnya kewajiban. Sebagian besar kebijakan
masuk dalam kategori ini.
4. Informatif. Merupakan kebijakan yang ada untuk memberikan informasi kepada
pembaca internal maupun eksternal.
2.1.4Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur
Standar-standar, pedoman-pedoman, dan prosedur-prosedur merupakan elemen
dari implementasi kebijakan yang mengandung detil aktual dari kebijakan, seperti
bagaimana kebijakan seharusnya diimplementasikan dan standar-standar dan prosedur-
prosedur apa saja yang seharusnya digunakan. Mereka diterbitkan ke seluruh organisasi
melalui buku-buku petunjuk, intranet, buku-buku panduan, dan kelas-kelas pelatihan.
Penting untuk diketahui bahwa standar-standar, pedoman-pedoman, dan prosedur-
prosedur merupakan dokumen-dokumen yang terpisah namun berhubungan dengan
kebijakan-kebijakan umum (terutama pernyataan tingkat manajemen senior).
Berikut adalah penjelasan dari masing-masing elemen:
1. Standar. Standar menetapkan penggunaan teknologi-teknologi spesifik dalam cara
yang seragam. Standarisasi terhadap prosedur operasi ini dapat menguntungkan
sebuah organisasi dengan menetapkan metodologi-metodologi seragam yang
digunakan untuk kendali-kendali keamanan. Standar umumnya merupakan kewajiban
dan diimplementasi di seluruh organisasi untuk keseragaman.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
14
Page 15
2. Pedoman. Pedoman serupa dengan standar – mereka merujuk kepada metodologi
dalam mengamankan sistem, namun pedoman hanya berisi tindakan-tindakan yang
sifatnya disarankan dan bukan merupakan kewajiban
3. Prosedur. Prosedur mengandung langkah-langkah detil yang perlu dilakukan untuk
menjalankan tugas tertentu. Prosedur merupakan kegiatan-kegiatan detil yang harus
diikuti seorang personil. Prosedur termasuk dalam tingkat terendah di dalam rantai
kebijakan. Tujuannya adalah untuk menyediakan langkah-langkah detil untuk
mengimplementasi kebijakan-kebijakan, standar-standar, dan pedoman-pedoman
yang telah dibuat sebelumnya.
2.1.5Manajemen Resiko
Fungsi utama manajemen resiko adalah untuk memperkecil resiko hingga
mencapai tingkat yang dapat diterima oleh sebuah organisasi. Manajemen resiko dapat
diartikan sebagai identifikasi, analisa, kendali, dan minimalisasi kerugian akibat suatu
peristiwa.
Identifikasi resiko memerlukan definisi tentang elemen-elemen dasar berikut:
▪ Ancaman aktual
▪ Kemungkinan konsekuensi-konsekuensi dari ancaman yang diketahui.
▪ Peluang frekuensi terjadinya suatu ancaman.
▪ Tingkat keyakinan kita bahwa suatu ancaman akan terjadi.
Proses manajemen resiko memiliki beberapa elemen sebagai berikut:
1. Analisa Resiko, termasuk analisa biaya-manfaat terhadap suatu tindakan
perlindungan.
2. Implementasi, peninjauan ulang, dan memelihara tindakan perlindungan.
2.2Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT
Asuransi Maju Bersama
2.2.1Pengelompokan Informasi
Saat ini di PT Asuransi Maju Bersama sama sekali belum dilakukan pendefinisian
terhadap informasi secara formal. Untuk itu maka penulis merekomendasikan
pendefinisian aset informasi yang dimiliki perusahaan tersebut. Langkah pertama adalah
mengidentifikasikan aset-aset informasi yang dimiliki. Selanjutnya adalah mengidentifikasi
administrator atau pemelihara masing-masing informasi tersebut.
Berikut adalah aset-aset ICT milik PT Asuransi Maju Bersama yang berhasil
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
15
Page 16
diidentifikasi:
Aset tangible, terdiri dari
a) 4 server HP
b) 2 server berbasis PC
c) 1 Tape backup drive HP
d) 2 UPS APC
e) 1 Cable modem
f) 45 buah PC
g) 1 printer dot matrix Epson LQ-2180
h) 1 printer dot matrix Epson LX-300
i) 2 printer laser HP 2300
j) 1 printer laser HP 6P
k) 2 printer laser HP 1010
l) 6 printer bubble jet HP 690C
m) 2 print server D-Link
n) 1 print server HP JetDirect
o) 2 scanner HP
p) 1 PABX
q) 45 pesawat telepon
Aset intangible, terdiri dari
a) 6 license Windows 2000 Server
b) 45 license Windows XP Professional
c) Informasi pemegang polis
d) Informasi keuangan
e) Informasi kepegawaian
f) Informasi agen asuransi
g) Informasi produk asuransi
h) Informasi cadangan asuransi
i) Informasi topologi jaringan
j) Informasi source code aplikasi asuransi
k) Informasi alamat dan password e-mail Internet
Tidak semua informasi dipelihara oleh Departemen IT. Ada beberapa data yang
dipelihara oleh departemen yang bersangkutan, dan bahkan ada yang dipelihara oleh
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
16
Page 17
pihak vendor. Untuk lebih jelasnya dapat dilihat di Tabel 2.1. Langkah selanjutnya adalah
menentukan kriteria pengelompokan. Pengelompokan dilakukan dengan menggunakan
istilah-istilah dan nilai-nilai yang telah dijelaskan di bagian sebelumnya. Tabel 2.1
menunjukkan penandaan dari setiap informasi yang ada di dalam perusahaan.
No.
Nama Informasi
Klasifikasi
Pemilik
Pemelihar
a
Pemakai
1
Basis data keuangan
Confidential
Divisi
Finance
Pengemba
ng aplikasi
Divisi Finance
2
Basis data kepegawaian
Confidential
Divisi
Human
Capital
Pengemba
ng aplikasi
Divisi Human Capital dan
pegawai yang
bersangkutan
3
Basis data pemegang polis
Confidential
Manajeme
n
IT
Divisi Operasi, Divisi
Marketing, Divisi Finance,
dan pemegang polis yang
bersangkutan
4
Basis data agen asuransi
Confidential
Manajeme
n
IT
Divisi Operasi, Divisi
Marketing, Divisi Finance,
dan agen yang
bersangkutan
5
Definisi produk asuransi
Confidential
Divisi
Aktuaria
Divisi
Aktuaria
Divisi Aktuaria dan Divisi
Operasi
6
Cadangan Asuransi
Confidential
Divisi
Aktuaria
Divisi
Aktuaria
7
Alamat dan password e-
mail perusahaan
Confidential
Manajeme
n
IT
Pemegang e-mail yang
bersangkutan
8
Source code aplikasi
Confidential
Manajeme
n
IS
Departemen IS
9
Topologi jaringan
Confidential
IT
IT
IT
Tabel 2 1 Pengelompokan Informasi
Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam
PT Asuransi Maju Bersama:
1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui
berapa margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas
data harus dijaga karena berhubungan dengan penagihan kepada pemegang polis
dan vendor; apabila integritas data terganggu maka kredibilitas perusahaan dapat
terganggu. Ketersediaan data juga penting karena penagihan harus dilakukan tepat
waktunya untuk menjaga arus cash flow perusahaan.
2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh
mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji,
penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi
tersebut.
3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas
informasi ini akan dapat merugikan baik pemegang polis maupun perusahaan.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
17
Page 18
4. Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan
baik agen asuransi maupun perusahaan.
5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat
merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing.
6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan
kesehatan finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk
mendiskreditkan perusahaan.
7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh
ke pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha
perusahaan yang umumnya bersifat rahasia dapat diketahui.
8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk
pengembangan aplikasi tersebut.
9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan
melakukan akses ilegal ke dalamnya.
Setelah mengidentifikasi aset informasi yang dimiliki perusahaan beserta
penilaiannya, langkah berikutnya adalah mengidentifikasi ancaman-ancaman potensial
yang mungkin dapat mengganggu confidentiality, integrity, dan availability dari informasi-
informasi tersebut. Tabel 2.2 menunjukkan ancaman-ancaman potensial yang berhasil
diidentifikasi.
Threat Agent
Vulnerability
Kemungkinan hasil dari resiko
Virus
Tidak ada software antivirus, atau antivirus tidak ter-
update dengan rutin
Infeksi virus, hilangnya data, kerusakan pada
komputer
Hacker
Ketidaksempurnaan software firewall yang digunakan
dan tidak termonitornya firewall tersebut.
Tidak digunakannya enkripsi dalam pengiriman e-mail
Akses ilegal terhadap data penting perusahaan
Pemakai
Miskonfigurasi operating system
Akses ilegal terhadap data penting perusahaan,
kerusakan pada komputer
Kebakaran
Tidak memadainya sistem pemadam kebakaran
Kerusakan pada komputer dan teknologi informasi
lainnya, termasuk data di dalamnya
Internal User
Kelemahan pada sistem audit
Terganggunya integrasi data
Terputusnya
akses
Tidak adanya koneksi Internet cadangan
Terganggunya proses bisnis perusahaan yang
berhubungan dengan pihak luar
Pencurian
Kurangnya informasi latar belakang dari pegawai
perusahaan
Kerugian akibat jatuhnya informasi rahasia
perusahaan ke tangan pesaing
Kontraktor
Lemahnya kontrol terhadap kontraktor
Pencurian data perusahaan
Tabel 2 2 Ancaman dan Dampaknya
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
18
Page 19
Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama
disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut:
1. Pencegahan. Tindakan pencegahan dilakukan dengan cara:
• Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.
• Pembelian perangkat keras firewall.
• Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall
secara rutin.
• Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.
• Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.
• Pemakai tidak diberikan hak akses administrator di PC-nya.
• Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan
komputer dan elektronik lainnya.
• Penggunaan akses Internet dial-up sebagai cadangan.
• Memperketat proses pemeriksaan latar belakang calon pegawai.
• Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan
memerlukannya.
• Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk
dibawa keluar dari perusahaan.
• Dibuat prosedur keamanan yang berlaku di dalam perusahaan.
• Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang
benar.
• Penerapan rencana disaster recovery dan business continuity.
2. Deteksi. Tindakan deteksi dilakukan dengan cara:
▪ Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk
menghindari terjadinya kegagalan perangkat keras.
▪ Melakukan pemeriksaan komputer secara rutin terhadap virus.
▪ Melakukan pemeriksaan terhadap backup yang dihasilkan.
3. Represi. Tindakan Represi dilakukan dengan cara:
▪ Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan
Access Control List, MAC address, dan Virtual LAN.
▪ Melakukan pembatasan akses internet hanya untuk bagian yang memang harus
berhubungan dengan pihak di luar perusahaan.
4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
19
Page 20
yang benar.
5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas
keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah
yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar
masalah tersebut tidak terulang kembali.
2.2.2Kebijakan Keamanan
Saat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah
kebijakan IT perusahaan tersebut:
1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk
informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab
seluruh staff untuk menjaga kerahasiaan data nasabah.
2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan
oleh perusahaan.
3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan
komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan
kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server.
4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec.
5. Seluruh Komputer harus mengaktifkan ‘screen saver’ untuk menghindarkan dari
pemakai yang tidak berhak.
6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan
datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang
dihasilkan tidak tersanggah (non repudiation)
7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery.
Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di
implementasikan. Backup Strategy sudah mencakup rencana backup harian.
8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui
oleh Kepala Divisi Optec.
9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun
disetujui oleh Kepala Divisi Optec dan Presiden Direktur.
10.Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh
Kepala Divisi Optec dan disetujui oleh Presiden Direktur.
11.Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem
produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
20
Page 21
12.Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi
yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus
User-ID serta merubah hak akses.
13.Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus
diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7
(tujuh) password yang sebelumnya.
14.User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang
bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan
User-ID-nya.
15.Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh
‘system owner’ sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji
ulang dan didokumentasikan oleh ‘system owner’.
16.Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang
sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus
mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di
perusahaan.
17.Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari
pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu
kunjungan.
18.Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan
support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus
dihentikan sesaat setelah pekerjaan diselesaikan.
19. ‘Disaster Recovery Plan’ harus di tes setiap tahun.
20.Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan
dan atas persetujuan dari ‘Board Of Director’.
21.Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali
telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.
22.Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke
dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala
Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data
dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus.
23.Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of
Director.
24.IT berkewajiban memastikan ‘Data Network’ aman dan terlindungi dari akses oleh
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
21
Page 22
pihak yang tidak diberi ijin.
25.Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada
Kepala Divisi Optec dan Board Of Director.
26.Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer
dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan
perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada
pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
27.Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan
disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan
kebijakan ini, harus mendapatkan persetujuan dari Board Of Director.
2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur
Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-
standar, pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan
pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan
pembuatannya dengan disetujui dan disponsori oleh board of director kemudian
disosialisasikan ke seluruh pegawai.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
22
Page 23
BAB III
SISTEM KENDALI AKSES
3.1Dasar Teori
Sistem Kendali Akses adalah suatu fitur dari keamanan yang mengendalikan
bagaimana pemakai dan sistem dapat berinteraksi dan berkomunikasi dengan sistem dan
sumber daya yang lain. Sistem Kendali Akses melindungi sistem dan sumber daya dari
akses pihak yang tidak berkepentingan. Sistem Kendali Akses juga memberikan tingkatan
otorisasi tertentu kepada pihak yang telah di otentifikasi untuk menggunakan sumber daya
yang ada. Untuk itu diperlukan administrasi dari kendali akses. Aspek administrasi dari
kendali akses ditangani oleh dukungan TI internal perusahaan. Apabila diperlukan dan
disetujui oleh pihak manajemen, maka dukungan TI dapat berkonsultasi dan meminta
pendapat dari praktisi di bidang keamanan TI.
Adapun Tugas-tugas administrasi dari kendali akses adalah sebagai berikut:
1. Menambahkan control list pada suatu resource.
2. Meng-update control list pada suatu resource.
3. Menghapus hak akses pada suatu resource.
3.2Analisa dan Rekomendasi
Saat ini pada PT. Adiperkasa Distribusindo terdapat lima sistem yang dibatasi
penggunaannya, yaitu sistem domain Windows 2000, sistem proxy Wingate, sistem
asuransi GEL, sistem keuangan FIT, dan sistem sumber daya manusia HR. Akses
terhadap sistem-sistem tersebut dibatasi hanya pada divisi yang menggunakan sistem
tersebut. Sistem kendali akses yang digunakan adalah dengan menggunakan password,
dan khusus untuk sistem sumber daya manusia HR menggunakan pemindaian sidik jari.
Di samping itu, PT Asuransi Maju Bersama menggunakan metode file-sharing
untuk hal-hal sebagai berikut:
1. Menjalankan aplikasi asuransi individunya.
2. Berbagi informasi, misalnya informasi pemegang polis dan klaim yang diajukan, di
antara sesama pegawai dalam satu departemen atau antar departemen yang
membutuhkan.
3. Berbagi-pakai printer.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
23
Page 24
Matriks dari kendali akses untuk file sharing dapat dilihat pada Tabel 3.1.
NAMA
TUGAS/
JABATAN
SHARED FOLDER DAN LOKASINYA
Master
(Proxy
server)
Gel_Ind
(Application
server 1)
shared folder untuk
fungsi internal tiap
departemen (PC staf
departemen terkait)
shared folder untuk
fungsi antar departemen
(PC staf departemen-
departemen terkait)
A03
Head of Optech
N/A
N/A
*
**
A04
Head of NBU
N/A
R/W
*
**
A05
Supervisor
N/A
R/W
*
**
A06
Consultant
N/A
N/A
*
**
A07
Staff
N/A
R/W
*
**
A08
Head of CS/Claim
N/A
R/W
*
**
A09
Staff
N/A
R/W
*
**
A10
Staff
R/W
R/W
*
**
A11
Head of IT
R/W
R/W
*
**
A12
System
administrator
N/A
R/W
*
**
A13
Data support
R/W
R/W
*
**
A14
Help desk
N/A
R/W
*
**
A15
Head of IS
N/A
N/A
*
**
A16
Programmer
N/A
N/A
*
**
A17
Programmer
N/A
N/A
*
**
A18
Head of actuary
N/A
R/W
*
**
A19
Staff
N/A
R/W
*
**
A20
Staff
N/A
R/W
*
**
A21
Head of finance
N/A
R/W
*
**
A22
Accounting
supervisor
N/A
N/A
*
**
A23
Cashier
N/A
R/W
*
**
A24
Finance staff
N/A
R/W
*
**
A25
Premium collector
N/A
R/W
*
**
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
24
Page 25
NAMA
TUGAS/
JABATAN
SHARED FOLDER DAN LOKASINYA
Master
(Proxy
server)
Gel_Ind
(Application
server 1)
shared folder untuk
fungsi internal tiap
departemen (PC staf
departemen terkait)
shared folder untuk
fungsi antar departemen
(PC staf departemen-
departemen terkait)
A26
Finance staff
N/A
R/W
*
**
A27
OSD staff
N/A
N/A
*
**
A28
Office boy
N/A
N/A
*
**
A29
Office boy
N/A
N/A
*
**
A30
Office boy
N/A
N/A
*
**
A31
Office boy
N/A
N/A
*
**
A32
Office boy
N/A
N/A
*
**
A33
Office boy
N/A
N/A
*
**
A34
Security guard
N/A
N/A
*
**
A35
Security guard
N/A
N/A
*
**
A36
Head of marketing
N/A
N/A
*
**
A37
Head of ADS
N/A
N/A
*
**
A38
ADS staff
N/A
N/A
*
**
A39
Head of
bancassurance
N/A
N/A
*
**
A40
Bancassurance
staff
N/A
N/A
*
**
A41
Marketing support
supervisor
N/A
R/W
*
**
A42
Marketing support
staff
N/A
R/W
*
**
A43
Marketing &
promotion
supervisor
N/A
R
*
**
A44
Marketing support
staff
N/A
R/W
*
**
A45
Graphic designer
N/A
N/A
*
**
A46
Research &
product staff
N/A
N/A
*
**
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
25
Page 26
NAMA
TUGAS/
JABATAN
SHARED FOLDER DAN LOKASINYA
Master
(Proxy
server)
Gel_Ind
(Application
server 1)
shared folder untuk
fungsi internal tiap
departemen (PC staf
departemen terkait)
shared folder untuk
fungsi antar departemen
(PC staf departemen-
departemen terkait)
A47
Bancassurance
staff
N/A
N/A
*
**
A48
Head of CCC
N/A
N/A
*
**
A49
Secretary
N/A
N/A
*
**
A50
Receptionist
N/A
N/A
*
**
A51
Head of HRD
N/A
N/A
*
**
A52
HRD staff
N/A
N/A
*
**
A53
HRD staff
N/A
N/A
*
**
Keterangan:
*
R/W untuk anggota dept. terkait, N/A untuk dept. Lain
**
R/W untuk anggota dept. terkait, R untuk dept. Lain
Tabel 3.1 matriks Kendali Akses File Sharing
Sedangkan matriks dari kendali akses untuk print sharing dapat dilihat pada tabel
berikut:
NAMA TUGAS/JABATAN
PRINTER
LQ-2180
LASERJET 2300
LX-300
LASERJET 6P
DESKJET 690C
A01 President Director
T
Y
Y
Y
Y
A02 Director
T
Y
Y
Y
Y
A03 Head of Optech
T
Y
Y
Y
Y
A04 Head of NBU
T
Y
Y
Y
Y
A05 Supervisor
T
Y
Y
Y
Y
A06 Consultant
T
Y
Y
Y
Y
A07 Staff
Y
Y
Y
Y
Y
A08 Head of CS/Claim
T
Y
Y
Y
Y
A09 Staff
T
Y
Y
Y
Y
A10 Staff
T
Y
Y
Y
Y
A11 Head of IT
T
Y
Y
Y
Y
A12 System administrator
Y
Y
Y
Y
Y
A13 Data support
T
Y
Y
Y
Y
A14 Help desk
Y
Y
Y
Y
Y
A15 Head of IS
T
Y
Y
Y
Y
A16 Programmer
T
Y
Y
Y
Y
A17 Programmer
T
Y
Y
Y
Y
A18 Head of actuary
T
Y
Y
Y
Y
A19 Staff
T
Y
Y
Y
Y
A20 Staff
T
Y
Y
Y
Y
A21 Head of finance
T
Y
Y
Y
Y
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
26
Page 27
A22
Accounting
supervisor
T
Y
Y
Y
Y
A23 Cashier
T
Y
Y
Y
Y
A24 Finance staff
T
Y
Y
Y
Y
A25 Premium collector
Y
Y
Y
Y
Y
A26 Finance staff
T
Y
Y
Y
Y
A27 OSD staff
T
Y
Y
Y
Y
A28 Office boy
T
Y
Y
Y
Y
A29 Office boy
T
Y
Y
Y
Y
A30 Office boy
T
Y
Y
Y
Y
A31 Office boy
T
Y
Y
Y
Y
A32 Office boy
T
Y
Y
Y
Y
A33 Office boy
T
Y
Y
Y
Y
A34 Security guard
T
Y
Y
Y
Y
A35 Security guard
T
Y
Y
Y
Y
A36 Head of marketing
T
Y
Y
Y
Y
A37 Head of ADS
T
Y
Y
Y
Y
A38 ADS staff
T
Y
Y
Y
Y
A39
Head of
bancassurance
T
Y
Y
Y
Y
A40 Bancassurance staff
T
Y
Y
Y
Y
A41
Marketing support
supervisor
T
Y
Y
Y
Y
A42
Marketing support
staff
T
Y
Y
Y
Y
A43
Marketing &
promotion supervisor
T
Y
Y
Y
Y
A44
Marketing support
staff
T
Y
Y
Y
Y
A45 Graphic designer
T
Y
Y
Y
Y
A46
Research & product
staff
T
Y
Y
Y
Y
A47 Bancassurance staff
T
Y
Y
Y
Y
A48 Head of CCC
T
Y
Y
Y
Y
A49 Secretary
T
Y
Y
Y
Y
A50 Receptionist
T
Y
Y
Y
Y
A51 Head of HRD
T
Y
Y
Y
Y
A52 HRD staff
T
Y
Y
Y
Y
A53 HRD staff
T
Y
Y
Y
Y
Tabel 3.2 Matriks Kendali Akses Print Sharing
Dengan melihat kedua matriks di atas dapat disimpulkan bahwa PT Asuransi Maju
bersama telah memiliki kendali akses yang cukup baik.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
27
Page 28
BAB IV
KEAMANAN TELEKOMUNIKASI DAN JARINGAN
4.1Dasar Teori
Sehubungan dengan keamanan telekomunikasi dan jaringan, ada beberapa hal
yang perlu untuk diperhatikan, yaitu:
1. Keamanan komunikasi dan jaringan sehubungan dengan pengiriman suara, data,
multimedia, dan faximili dalam suatu local area, wide area, dan remote access.
2. Teknik pengamanan komunikasi untuk mencegah, mengetahui, dan memperbaiki
kesalahan sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi
melalui jaringan dapat terpelihara.
3. Internet/intranet/extranet sehubungan dengan firewalls, routers, gateways, dan
berbagai protocols.
4. Teknik dan manajemen keamanan komunikasi, yang meliputi pencegahan, pelacakan,
dan perbaikan kesalahan, sehingga integritas, ketersediaan, dan kerahasiaan dari
berbagai transaksi melalui jaringan dapat terpelihara.
Berikut beberapa konsep manajemen keamanan komunikasi dan jaringan yang
sebaiknya diperhatikan:
1. The C.I.A triad, meliputi Confidential, Integrity, dan Availability.
1.1 Confidential. Bertujuan untuk menjaga kerahasiaan dari isi data. Untuk
mencapai tujuan tersebut ada beberapa hal yang dapat dilakukan, yaitu:
• Network security protocols
• Network authentication services
• Data encryption services
1.2 Integrity. Merupakan jaminan bahwa pesan yang dikirim dan yang diterima
merupakan pesan yang sama, dalam arti lengkap. Beberapa hal yang dapat
digunakan, yaitu:
• Firewall services
• Communications security management
• Intrusion detection services
1.3 Availability. Memastikan bahwa koneksi yang dibutuhkan akan selalu tersedia
kapan saja dibutuhkan. Beberapa hal yang dapat digunakan, yaitu:
• Back up and redundant disk system
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
28
Page 29
• Acceptable logins and operation process performance
• Reliable and interoperable security process and network security
mechanisms
2. Remote access manajemen, Merupakan manajemen elemen teknologi yang digunakan
untuk remote computing, yang meliputi:
2.1 Dial up, async, and remote internet connectivity
2.2 Securing enterprise and telecommuting remote connectivity
2.3 Remote user management issues
3. Intrusion detection and response, terdiri dari dua konsep, yaitu:
3.1 Intrusion Detection Systems, yang meliputi:
• Memonitor host dan jaringan
• Notifikasi setiap kejadian
3.2 Computer Incodent Response Teams (CIRT), yang meliputi:
• Menganalisa notifikasi setiap kejadian
• Memberikan resposn perbaikan untuk kejadian tersebut
• Memperketat prosedur
• Memberikan laporan follow-up
4. Network availability, meliputi
4.1 Redundant Array of Inexpensive Disk (RAID)
4.2 Backup concepts:
• Full back up methods
• Incremental back up methods
• Differential back up methods
4.3 Managing single points of failure, yang meliputi:
• Cabling failures
• Topology failures (ethernet, token ring, fiber distributiion data, fiber
distribution data interface (FDDI), leased lines, dan frame relay)
5. Network attacks and abuses. Berikut ancaman jaringan dan penangannya yang umum
terjadi:
5.1 Penyusupan ke jaringan
Penanganan: Firewalls
5.2 Pemanfaatan bugs pada software, buffer overflows
Penanganan: Intrusion Detection Systems
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
29
Page 30
5.3 Denial of service
Penanganan: Intrusion Detection Systems
5.4 Packet sniffing
Penanganan: Encryption (SSH, SSl. HTTPS)
5.5 Masalah sosial
Penanganan: Pelatihan, awareness program
6. Trusted network interpretation (TNI)
Sedangkan untuk konsep teknologi beberapa hal yang dapat diperhatikan adalah
sebagai berikut:
6.1 Protocols
• Layer architecture concept
• Open systems interconnect (OSI) model
• Transmission control protocol/internet protocol (TCP/IP) model
• Security-enhanced and security-focused protocols
6.2 Firewall types and architectures
6.3 Virtual private Networks (VPNs)
• VPN Protocol standards
• VPN Devices
6.4 Data Networking Basics
• Data Network types
• Common data network services
• Data networking technologies
• Local Area Network (LAN) technologies
• Wide Area Network (WAN) technologies
• Remote access technologies
• Remote identification and authentication technologies
4.2Analisa dan Rekomendasi
PT. Asuransi Maju Bersama memiliki Local Area Network (LAN) berbasis TCP/IP,
akses Internet kabel, dan telekomunikasi internal dengan PABX. LAN digunakan oleh
perusahaan untuk melakukan proses bisnis perusahaan, yakni menjalankan seluruh
sistem yang ada dan juga berkomunikasi melalui email dan chat. Seluruh sistem berjalan
pada servers perusahaan yang disimpan di dalam sebuah ruangan server.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
30
Page 31
Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan
secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai
sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan untuk
keperluan email melalui sebuah proxy server. Sedangkan untuk akses lain seperti
browsing hanya dapat dilakukan oleh direktur, manajer, kepala divisi, kepala departemen,
dan staf departemen TI.
Terdapat beberapa kelemahan di dalam keamanan jaringan di PT Asuransi Maju
Bersama sebagai berikut:
1. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga hanya
terdapat satu network, yakni 192.168.0.0 dengan subnet mask 255.255.255.0. Hal ini
dapat menimbulkan masalah di kemudian hari saat jumlah host yang digunakan
semakin banyak, karena dengan hanya menggunakan sebuah network, setiap host
akan menerima setiap paket broadcast yang dikirimkan oleh suatu host lain. Apabila
jumlah paket broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain
itu, penggunaan satu network tidak menyediakan pembatasan akses terhadap
sumber daya komputer penting seperti server. Setiap host dapat mengakses server
karena berada dalam network yang sama. Kelemahan lain adalah penentuan IP
address yang bersifat statik untuk seluruh host yang ada. Penggunaan IP address
statik adalah hal yang sangat disarankan untuk hosts yang penting seperti server dan
router. Namun penggunaan alamat statik untuk PC adalah suatu hal yang merepotkan
dengan semakin banyaknya jumlah PC.
2. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub meskipun
jumlahnya sedikit. Seperti diketahui bahwa hub memiliki bandwidth yang kecil. Di
samping itu, seluruh switch yang digunakan merupakan switch unmanaged atau
sederhana yang tidak memiliki fitur-fitur canggih seperti pembatasan akses
berdasarkan MAC address host dan Spanning Tree Protocol. Tidak adanya fitur
keamanan di dalam switch yang digunakan akan memungkinkan akses ilegal ke dalam
LAN perusahaan. Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat
availability LAN, karena desain LAN tersebut tidak bersifat redundant.
3. Windows domain controller dan mail server. Tidak adanya backup domain controller di
dalam sistem jaringan PT Asuransi Maju Bersama akan sangat mengurangi tingkat
availability LAN. Apabila terjadi kegagalan pada Primary Domain Controller Windows
2000 maka PC klien tidak dapat menggunakan sumber daya komputer yang dibagi-
pakai seperti file-sharing dan printer. Potensi masalah ini semakin meningkat dengan
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
31
Page 32
disatukannya fungsi primary domain controller dan mail server Microsoft Exchange
Server 2000 dalam satu server.
4. RAID. Semua server yang digunakan tidak memiliki atau tidak memanfaatkan fitur
RAID. Setiap server hanya memiliki sebuah hard disk, sehingga apabila terjadi
kegagalan maka server tersebut tidak dapat beroperasi untuk waktu yang cukup lama
sehingga akan menghentikan proses bisnis perusahaan. Meskipun terdapat proses
backup yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena
tidak adanya hard disk cadangan yang siap sedia.
5. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan kabel
listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan komputer.
6. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak, yakni Zone
Alarm, dan ditambah dengan proxy server Wingate. Permasalahannya adalah bahwa
server yang digunakan untuk menjalankan firewall tersebut juga digunakan untuk
menjalankan mail server eksternal. Hal tersebut akan sangat memberatkan kerja
server. Sedangkan server yang digunakan adalah server berbasis PC rakitan yang
tidak didesain untuk menjalankan fungsi server, dengan jumlah RAM hanya 256 MB,
dan tidak adanya fungsi RAID.
Berikut adalah rekomendasi-rekomendasi yang diajukan untuk meningkatkan
keamanan telekomunikasi dan jaringan PT Asuransi Maju Bersama:
1. Penggunaan router dengan fitur firewall. Kini telah tersedia router multifungsi yang
memiliki beberapa fitur penting seperti firewall, VPN, dan VoIP. Router jenis ini sangat
sesuai digunakan untuk UKM dengan dana terbatas. Dengan menggunakan router
maka dapat dibuat beberapa subnet yang memisahkan host penting seperti server
dengan host klien, dan memisahkan host klien di suatu divisi atau departemen dengan
host klien di divisi atau departemen yang lain. Router juga memiliki fungsi DHCP
server yang akan menentukan IP address host klien secara dinamis, sehingga
meningkatkan skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall,
router tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan
kinerja yang lebih baik.
2. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki fitur
pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya host yang
diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur Spanning Tree
Protocol, LAN dapat didesain secara redundant, dimana apabila sebuah alat jaringan
atau hubungan kabel mengalami kegagalan, maka alat jaringan atau hubungan
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
32
Page 33
cadangan dapat segera beroperasi untuk menggantikannya. Dan dengan adanya fitur
VLAN maka penggunaan port switch dan kabel dapat menjadi lebih efisien, karena
digunakannya koneksi kabel yang sama untuk lebih dari dua subnet.
3. Backup domain controller dan mail server. Dengan adanya server backup domain
controller, host klien masih dapat mengakses domain dan menggunakan sumber-
sumber daya komputer yang dibagi-pakai.
4. RAID. Setiap server perlu ditambah satu buah hard disk lagi dengan fungsi RAID level
1, dimana data yang berada di dalam hard disk utama diduplikasi ke dalam hard disk
kedua. Apabila hard disk utama mengalami kegagalan maka dapat secara otomatis
digantikan oleh hard disk kedua.
5. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan kabel listrik
untuk menghindari noise terhadap sinyal jaringan.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
33
Page 34
BAB V
KRIPTOGRAFI
5.1Dasar Teori
Tujuan dari kriptografi adalah memproteksi informasi agar tidak dibaca ataupun
digunakan oleh pihak yang tidak berwenang atas informasi tersebut. Dengan kata lain
informasi yang dikirimkan tidak boleh sampai kepada penerima yang tidak seharusnya.
Untuk mencapai tujuan tersebut dilakukan kriptografi yaitu penulisan rahasia atau
penyandian informasi. Kriptografi terdiri dari lima bagian, yaitu:
1. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya.
2. Encryption algoritm, proses enkripsi merupakan transformasi dari “plaintext” ke
“chipertext”
3. Secret key
4. Chipertext, merupakan sebuah pesan dalam bentuk kode rahasia (tersandi).
5. Decrytion algorithm, proses deskripsi merupakan transformasi dari “chipertext” ke
“plaintext”.
Terdapat dua jenis sistem kriptografi yakni sistem kriptografi private dan public key.
Sistem kriptografi private key berdasar pada algoritma enkripsi simetris yang
menggunakan private (rahasia) key untuk mengenkripsi teks biasa menjadi ciphertext, dan
kunci yang sama digunakan juga untuk mendekripsi ciphertext tadi menjadi teks biasa.
Dalam hal ini, kunci tersebut simetris karena kunci enkripsi sama dengan kunci dekripsi.
Sistem kriptografi public key menggunakan sepasang kunci. Kunci pertama, yakni
private key, digunakan untuk mengenkripsi data, dan kunci kedua, yakni public key,
digunakan untuk mendekripsi data. Masing-masing kunci dapat digunakan untuk
mengenkripsi maupun mendekripsi data. Public key dapat diperoleh secara bebas untuk
mengenkripsi dan mengirim sebuah pesan. Berikut adalah beberapa hal penting
mengenai sistem kriptografi public key:
• Public key tidak dapat mendekripsi pesan yang telah dienkripsi oleh public key itu
sendiri.
• Idealnya, private key tidak dapat diturunkan atau didapat dari public key.
• Sebuah pesan yang dienkripsi oleh salah satu key dapat didekripsi oleh kunci yang
lain.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
34
Page 35
• Private key harus dirahasiakan.
Kriptografi juga digunakan dengan tujuan untuk menjaga integritas pesan atau data
yang dikirim dengan menggunakan digital signature. Digital signature dibuat dengan
memproses isi pesan menggunakan hash function untuk menghasilkan sebuah message
digest yang bersifat unik untuk setiap pesan. Message digest tersebut kemudian
dienkripsi dengan private key milik pengirim dan dilampirkan bersama dengan pesan
aslinya, barulah pesan tersebut dikirim. Penerima mendekripsi message digest yang
terlampir menggunakan public key milik pengirim. Apabila berhasil berarti identifikasi
pengirim berhasil diverifikasi. Selanjutnya penerima membuat message digest dari pesan
yang diterima menggunakan hash function yang sama dengan yang digunakan pengirim.
Apabila kedua message digest sama maka dapat disimpulkan bahwa isi pesan tidak
dimodifikasi.
5.2Analisa dan Rekomendasi
Data-data yang bersifat confidential di dalam perusahaan ini telah dilindungi pada
level Access Control List. Sedangkan pengiriman e-mail baik internal maupun eksternal
belum menggunakan metode pengamanan dengan kriptografi. Maka penulis
merekomendasikan kepada PT Asuransi Maju Bersama untuk menggunakan kriptografi
berbasis Public Key Infrastructure. Untuk menghemat anggaran, perusahaan dapat
menggunakan PKI yang bersifat open source seperti Pretty Good Privacy yang memiliki
kehandalan yang cukup baik.
Dari sudut pandang jaringan komputer, perusahaan ini sama sekali belum
menggunakan metode enkripsi untuk pengamanan pengiriman data melalui jaringan, baik
untuk pengiriman data internal maupun dengan pihak luar. Hingga kini, PT Asuransi Maju
Bersama belum melakukan kegiatan e-bisnis yang melibatkan perusahaan lain, selain
melalui e-mail, sehingga belum memerlukan implementasi keamanan jaringan dengan
pihak eksternal. Namun apabila di masa depan diputuskan untuk melakukan kerja sama
e-bisnis dengan perusahaan lain, PT Asuransi Maju Bersama harus mempertimbangkan
implementasi keamanan jaringan demi kepentingannya sendiri dan kepentingan
perusahaan mitra.
Untuk keamanan pengiriman data di dalam LAN perusahaan, penulis
merekomendasikan penggunaan metode enkripsi IPSec. IPSec adalah sebuah standar
yang menyediakan enkripsi, kendali akses, non-repudiation, dan otentikasi dari pesan-
pesan yang dikirimkan melalui IP. Untuk implementasi IPSec ini, perusahaan dapat
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
35
Page 36
menggunakan fitur IPSec yang dimiliki oleh sistem operasi Windows 2000 Server. Untuk
memperoleh tingkat keamanan sistem informasi, perusahaan disarankan untuk
menggunakan IPSec untuk pengiriman data oleh setiap komputer di dalam perusahaan.
Hal ini dapat dicapai melalui penerapan kebijakan keamanan domain Active Directory
Windows 2000 Server.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
36
Page 37
BAB VI
ARSITEKTUR DAN MODEL-MODEL KEAMANAN
6.1Dasar Teori
Arsitektur keamanan dari sebuah sistem informasi sangat dibutuhkan untuk
menentukan kebijakan keamanan informasi sebuah organisasi. Karena itu hal-hal seperti
arsitektur komputer, mekanisme proteksi, isu-isu keamanan lingkungan, dan model formal
untuk framework kebijakan keamanan harus dipahami. Kebijakan keamanan yang biasa
dilakukan antara lain:
1. Proteksi. Merupakan teknik proteksi yang umum dalam suatu sistem.
Misal: Virtual memory melakukan isolasi address space dari setiap user.
2. Trusted Computing Based (TCB), merupakan kombinasi mekanisme proteksi yang ada
dalam sistem komputer (enforce security).
Basis atau pusta sistem yang paling aman.
3. Path of Logical Access: computing system
• Network
• Operating system platform
• Database
• Application layers
4. Proteksi terluar: networks
• Front-end system: perimeter dengan eksternal un-trusted systems
• Back-end systems: perimeter dengan user internal melalui login ke domain (OS)
TCB
5. Logical access control software
Kontrol akses ke operating sistem secara umum memiliki fungsi sebagai berikut:
1. User identification and authentication mechanisms
2. Restricted logon Ids
3. Rules for access to specific information resources
4. Create individual accountability and auditability
5. Create or change user profiles log events
6. log user activity
7. report capability
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
37
Page 38
Kontrol akses ke database biasanya memiliki fungsi-fungsi berikut:
1. Membuat atau mengganti data dan profile database
2. Verify user authorization at the application and transaction levels
3. Verify user authorization whitin the application
4. Verify user authorization at the field level for changes whithin database
5. Verify subsystem athorization for the user at the file level
6. Log database/data communications access activities for monitoring access
violations.
6.2Analisa dan Rekomendasi
Penggunaan model dan arsitektur sekuriti mengikuti model sekuriti dan arsitektur
dari operating sistem yang dipakai. Tidak ada suatu arsitektur dan model yang khusus
yang diterapkan pada perusahaan ini. Model sekuriti dapat terlihat seperti pada tabel di
bawah ini:
Aspek
Model Keamanan
Network Access Control Network mengikuti credential dari Active Directory
Application Logon
mengikuti credential dari Active Directory
Database
mengikuti credential dari DBMS yang digunakan
File System
mengikuti credential dari Active Directory
Tabel 6.1 Model Keamanan
Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login dan
password untuk masuk ke aplikasi tersebut, sehingga hanya user yang memiliki hak akses
yang dapat menggunakan aplikasi tertentu. Sedangkan pada level database, keamanan
data dijaga selain dengan dilakukan back-up file, ada aturan tidak semua data dapat
diubah melalui aplikasi, terutama data-data keuangan, hal ini untuk menjaga keabsahan
data. Selain itu, seluruh karyawan juga diberikan pengetahuan mengenai penggunaaan
komputer melalui berbagai pelatihan dan disesuaikan dengan kebutuhan.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
38
Page 39
BAB VII
KEAMANAN OPERASI-OPERASI
7.1Dasar Teori
Keamanan operasi merupakan serangkaian kegiatan yang bertugas untuk
melakukan pengawasan terhadap semua fasilitas perangkat keras komputer, data, dan
orang-orang yang menggunakan fasilitas-fasiltas tersebut. Semua itu dilakukan agar
ketiga aspek penting dalam teknologi informasi dapat tetap terpelihara, yaitu
confidentiality, integrity, dan availability (C.I.A). Beberapa hal yang dapat dilakukan untuk
melakukan pengawasan ini adalah:
1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya
2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan
3. Pengawasan terhadap terjadinya kesalahan I/O
Domain ini seperti domain-domain lainnya juga memperhatikan ketiga aspek
berikut:
1. Threat. Dapat didefinisikan sebagai hal-hal yang dapat menyebabkan gangguan
keamanan operasi komputer yang disebabkan oleh pihak luar.
2. Vunerability. Merupakan kelemahan dari sistem itu sendiri yang dapat menyebabkan
gangguan keamanan operasi komputer.
3. Asset. Hal-hal yang berhubungan dengan perangkat lunak dan keras, data, serta
orang-orang yang menggunakan fasilitas tersebut.
7.2Analisa dan Rekomendasi
Dalam melakukan keamanan operasi PT. Asuransi Maju Bersama mencoba untuk
menerapkan beberapa tindakan pengawasan berdasarkan tiga aspek pengawasa berikut:
1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya
2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan
3. Pengawasan terhadap terjadinya kesalahan I/O
Tindakan-tindakan pengawasan yang dilakukan adalah sebagai berikut:
1. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna
dapat menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak
semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
39
Page 40
penerapan akses kontrol.
2. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh
masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan
password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan
akses kontrol dan penerapan VLAN pada sistem perusahaan.
3. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan
perbaikan terhadap sistem teknologi informasi perusahaan.
4. Change Management Control. Tindakan perbaikan atau perubahan dalam sistem
teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh
perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan
pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara
tidak sengaja karena adanya perbaikan dan perubahan tersebut.
5. Adminstrative Control. Untuk melakukan pemasangan software baru dan perawatan
sistem dilakukan oleh bagian TI yang bertanggung jawab secara khusus.
6. Record Retention. Menerapkan berapa lama data akan disimpan dalam database
perusahaan.Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam
media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media
yang dapat dihapus harus dengan prinsip kehati-hatian.
7. Media Security Control. Menerapkan akses kontrol dan metode logging pada server
untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses
kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu
media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang
dan dihancurkan dengan cara yang tepat, agar data yang terdapat dimedia itu tidak
dapat di akses lagi oleh orang yang tidak berhak.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
40
Page 41
BAB VIII
PENGEMBANGAN APLIKASI DAN SISTEM
8.1Dasar Teori
Tujuan dari penerapan applicaton dan system development security adalah
menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang harus
memahami betul beberapa aspek antara lain:
1. Software life cycle development process
2. Software process capability maturity model
3. Object-oriented systems
4. Artificial intelligence system
5. Database systems:
• Database security issues
• Data warehousinng
• Data mining
• Data dictionaries
6. Application Controls
Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu
menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan
keamanan pengembangan aplikasi dan sistem.
8.2Analisa dan Rekomendasi
Aplikasi-aplikasi yang digunakan pada perusahaan ini adalah aplikasi yang
dikembangkan oleh pihak ketiga. Aspek keamanan dari aplikasi-aplikasi tersebut
mengikuti fitur keamanan yang telah disertakan oleh pengembang perangkat lunak
tersebut. Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah:
1. GEL Insurance system
2. FIT finance system
3. HR system
GEL adalah sebuah sistem yang berbasis Clipper dengan platform DOS, yang
secara logis adalah merupakan sebuah shared folder yang berisi sub-sub folder yang
terdiri dari file executable dan database berbasis file. Untuk menjalankan sistem ini, PC
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
41
Page 42
klien harus membuat sebuah map network drive dengan hak akses read write ke server
dimana sistem GEL tersebut berada. Hal ini sangat membahayakan confidentiality dan
integrity dari sistem tersebut. Seseorang yang memiliki sedikit pengetahuan dan keahlian
dalam bidang komputer berbasis Windows akan dengan mudah membuka dan
mengacak-acak isi dari sistem tersebut. Oleh karena itu maka penulis merekomendasikan
kepada PT Asuransi Maju Bersama untuk segera mengganti sistem asuransi GEL
tersebut dengan sistem baru yang memiliki tingkat keamanan data lebih tinggi, misalnya
sistem dengan RDBMS, sehingga seorang pemakai tidak dapat mengakses langsung
basis data sistem.
Meskipun FIT dan HR merupakan sistem berbasis RDBMS dengan metode akses
menggunakan ODBC, namun keamanan basis data masih dapat terancam. Vulnerability
sistem tersebut tetap ada dengan adanya sebuah jalan pintas menuju basis data sistem
tersebut. Sebagai contoh, untuk memperoleh data yang dibutuhkan oleh pihak
manajemen dan pemakai, seorang staf data support menggunakan tool administrasi
RDBMS seperti MS Enterprise Manager untuk melakukan query data yang dibutuhkan
tersebut. Hal ini dapat terjadi sebab sistem yang ada tidak menyediakan fasilitas query
yang cukup baik. Penggunaan tool administrasi RDBMS tersebut sangat berbahaya,
sebab apabila tidak hati-hati, data di dalam RDBMS tersebut dapat secara sengaja
maupun tidak sengaja berubah, sehingga integritas data menjadi terganggu. Oleh karena
itu maka penulis merekomendasikan kepada perusahaan ini untuk melarang penggunaan
tool administrasi RDBMS tersebut dan menggantikannya dengan tool query yang lebih
aman seperti Seagate Crystal Report.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
42
Page 43
BAB IX
BUSINESS CONTINUITY PLANNING DAN
DISASTER RECOVERY PLANNING
9.1Dasar Teori
Perencanaan Disanter Recovery dan business continuity adalah untuk segera
dapat menanggulangi apabila ada gangguan atau bencana terhadap sistem di
perusahaan khususnya sistem komputer. Perencanaan ini diharapkan apapun yang
terjadi bisnis tetap dapat beroperasi, dan melakukan penyelamatan sistem informasi. Ada
beberapa hal yang dapat dilakukan, yaitu
1. Pembuatan Business Continuity Plan (BCP)
Merupakan proses (otomisasi maupun manual) yang dirancang untuk mengurangi
ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas
layanan bagi operasi yang penting.
2. Pembuatan Disaster Recovery Plan (DRP)
Saat business continuity berlangsung, maka juga dimulailah langkah-langkah untuk
‘penyelamatan’ (recovery) terhadap fasilitas IT dan sistem informasi. Dapat dikatakan
juga DRP berupakan bagian dari BCP.
Pembuatan BCP dan DRP harus disesuaikan dengan jenis-jenis bencana yang
terjadi, misalkan penanganan untuk bencana kebakaran akan berbeda dengan banjir atau
kecurian, dan lain sebagainya.
9.2Analisa dan Rekomendasi
PT Asuransi Maju Bersama telah memiliki perencanaan disaster recovery dan
business continuity yang cukup baik. Namun hingga saat ini belum terdapat jadwal uji
coba terhadap perencanaan tersebut. Penulis merekomendasikan kepada perusahaan ini
untuk membuat jadwal rutin uji coba perencanaan disaster recovery dan business
continuity.
Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu
meyakinkan sistem operasional yang berkelanjutan mencakup IAS, FIT, GEL, E-mail, dan
Exchange di lingkungan PT. Asuransi Maju Bersama. Sasaran khusus dari rencana ini
termasuk:
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
43
Page 44
1. Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti.
2. Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.
3. Untuk bekerja cepat dan lengkap atas pemulihan bencana.
4. Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT.
Berikut adalah tugas dari masing-masing anggota tim pemulihan bencana:
1. Ketua Tim Manajemen. Bertanggung jawab penuh untuk mengkoordinir strategi
pemulihan bencana PT. Asuransi Maju Bersama dan meyakinkan bahwa seluruh
karyawan sadar atas kebijakan pemulihan bencana dan merupakan tanggung jawab
mereka untuk melindungi informasi perusahaan.Tugas-tugasnya antara lain:
1) Memimpin pemulihan bencana
2) Mengumumkan rencana pemulihan bencana.
3) Menunjuk Koordinator pemulihan bencana.
2. Koordinator Pemulihan Bencana. Bertanggung jawab untuk mengkoordinir
pengembangan pemulihan bencana seperti digambarkan oleh kebijakan dan
mengarahkan implementasi dan uji coba rencana. Tugas-tugasnya antara lain:
1) Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana.
2) Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan
departemen terkait.
3) Bertanggung jawab untuk menjaga inventori aset IT yang terkini.
4) Mengelola pengetesan dan laporan hasil tes.
Pernyataan Bencana. Keputusan untuk menyatakan sebuah pemulihan bencana
merupakan wewenang Ketua Tim Manajemen setelah meneliti situasi yang berlangsung.
Jika Ketua Tim Manajemen memutuskan untuk menyatakan pelaksanaan prosedur
pemulihan bencana, maka seluruh anggota tim pemulihan bencana akan mengikuti
prosedur yang tercantum di dalam manual sampai pemulihan tuntas. Ketidaktersediaan
sistem, atas apapun penyebabnya, akan mengacu kepada tingkat kewaspadaan dengan
kode warna sebagai berikut:
WASPADA MERAH - Suatu kerusakan total pusat data yang menyebabkan perbaikan
jangka panjang, lebih dari tiga minggu.
WASPADA BIRU - Bencana lokal, misal kebakaran pada ruangan komputer, yang dapat
menyebabkan operasi terganggu lebih dari satu minggu.
WASPADA KUNING - Ketidaktersediaan ruangan komputer yang dapat menyebabkan
terganggunya operasi tiga hari sampai satu minggu.
WASPADA HIJAU - Kerusakan minor seperti kerusakan hardware yang dapat
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
44
Page 45
menyebabkan pemulihan antara satu sampai tiga hari.
Apa Yang Harus Dilakukan Jika Terjadi Bencana. Bagian paling kompleks dan
kritis dari manajemen sumber daya adalah perencanaan dan organisasi personil yang
diperlukan sepanjang pelaksanaan rencana. Personil yang berpengalaman dan terlatih
akan jarang memerlukan prosedur terperinci tetapi mereka harus berada di tempat pada
waktu yang tepat, dan memastikan tugas mereka berjalan dengan lancar. Langkah
pertama jika terjadi kerusakan fatal adalah menilai sifat dan luas dari masalah itu.
Prioritas Pertama Dalam Situasi Darurat Adalah Meyakinkan Evakuasi
Seluruh Personil Secara Aman:
1. Semua karyawan berkumpul di luar lokasi gedung.
2. Manajemen gedung harus segera dihubungi atas situasi darurat, keamanan, dan pihak-
pihak yang berwenang.
3. Lengkapi lembaran konfirmasi bencana.
4.Memberi suatu penilaian awal kepada koordinator pemulihan bencana. Derajat
kerusakan pada bangunan dan peralatan dan status staf. Juga melaporkan tindakan
apa yang telah diambil.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
45
Page 46
BAB X
HUKUM, INVESTIGASI, DAN ETIKA
10.1Dasar Teori
Ada beberapa peraturan yang dapat diaplikasikan dalam keamanan sistem
informasi. Peraturan tersebut dapat suatu prosedur, aturan perusahaan, dan lain-lain
sampai dengan etika. Untuk peraturan seperti prosedur, pedoman, dan lain-lain
merupakan sesuatu yan tertulis, sedangkan etika perlakuannya sedikit berbeda. Etika
adalah sebuah prinsip antara yang benar dan yang salah, yang dapat digunakan sebagai
komitmen untuk sebuah konsep tindakan kejahatan dalam IT. Konsep dasar dari etika
dalam masyarakat informasi meliputi tanggung jawab, accountability, dan kewajiban.
Selain etika ada juga yang dikenal sebagai privasi, yakni perlindungan terhadap individu
dari intervensi oleh pihak lain. Dalam kasus TI juga dapat diterapkan information privacy.
Berikut adalah jenis-jenis umum dari kejahatan komputer:
1. Denial of Service dan Distributed Denial of Service.
2. Pencurian password.
3. Intrusi jaringan.
4. Emanation eavesdropping.
5. Social engineering.
6. Illegal content of material.
7. Fraud.
8. Software piracy.
9. Dumpster diving.
10.Malicious code.
11.Spoofing of IP address.
12.Information warfare.
13.Spionase.
14.Penghancuran atau perubahan informasi.
15.Penggunaan scripts yang tersedia di Internet.
16.Masquerading.
17.Embezzlement.
18.Data-diddling.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
46
Page 47
19.Terorisme.
10.2Analisa dan Rekomendasi
Indonesia belum memiliki hukum kejahatan komputer, kecuali untuk masalah
pembajakan perangkat lunak. Namun bukan berarti bahwa kejahatan komputer dapat
dibiarkan begitu saja tanpa ada sanksi yang memberatkan. Minimal suatu perusahaan
dapat membuat peraturan yang mengakomodasi kejahatan komputer yang dilakukan
pegawai-pegawainya beserta konsekuensi atau sanksinya. PT Asuransi Maju Bersama
secara umum telah menyinggung masalah ini di dalam kebijakan TI-nya sebagai berikut:
Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan
seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan perusahaan
lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan
hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
Khusus domain ini PT. Asuransi Maju Bersama, memang tidak secara jelas
menuliskan peraturan yang bersifat etika dalam peraturan perusahaan. Peraturan tertulis
yang dimiliki perusahaan sehubungan dengan keamanan teknologi informasi antara lain
standard, guidelines dan prosedur. Sedangkan untuk etika dalam teknologi informasi
perusahaan akan mengacu pada nilai-nilai kebaikan yang berlaku umum di lingkungan
perusahaan. Misalkan hal-hal yang dapat mengakibatkan kerusakan pada sistem yang
dilakukan secara sengaja oleh orang tertentu dapat dikategorikan sebagai tindakan
kejahatan TI, berusahaan untuk melindungi data-data rahasia perusahaan, dan lain-lain.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
47
Page 48
BAB XI
KEAMANAN FISIK
11.1Dasar Teori
Domain keamanan fisik membahas ancaman-ancaman, kelemahan-kelemahan,
dan tindakan-tindakan pengamanan yang dapat diutilisasi untuk secara fisik melindungi
sumber daya dan informasi sensitif perusahaan. Sumber daya ini meliputi pegawai,
fasilitas tempat pegawai bekerja, dan data, peralatan, sistem-sistem pendukung, dan
media yang digunakan.
Triad Confidentiality, Availability, dan Integrity berada pada kondisi beresiko di
dalam lingkungan fisik, dan oleh sebab itu harus dilindungi. Berikut adalah contoh-contoh
ancaman-ancaman terhadap keamanan fisik:
1. Keadaaan darurat, meliputi
• Kebakaran dan kontaminan asap.
• Keruntuhan atau ledakan gedung.
• Utility loss (tenaga listrik, AC, pemanasan).
• Kerusakan air (kebocoran pipa).
• Terlepasnya material beracun.
2. Bencana alam, meliputi
• Gempa dan tanah longsor.
• Badai (salju, es, dan banjir).
3. Campur tangan manusia, meliputi
• Sabotase.
• Vandalisme.
• Perang.
• Serangan.
Keamanan fisik aset-aset IT dapat dijalankan dengan suatu metode kontrol. Secara
umum aspek-aspek pengawasan meliputi:
1. Kendali-kendali administratif, meliputi
• Perencanaan kebutuhan-kebutuhan fasilitas. Membahas konsep diperlukannya
perencanaan untuk kendali-kendali keamanan fisik di tahap awal dari
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
48
Page 49
pembangunan sebuah fasilitas data. Elemen-elemen keamanan fisik yang
terlibat di dalam tahap pembangunan meliputi pemilihan dan proses desain
sebuah situs aman. Pemilihan situs yang aman harus mempertimbangkan
masalah visibility, pertimbangan-pertimbangan lokal, potensi bencana alam,
transportasi, kepemilikan gedung (joint tenancy), dan layanan-layanan eksternal.
Sedangkan proses desain harus memperhatikan masalah jenis dinding, jenis
atap, jenis lantai, jendela, pintu, sistem sprinkler, pipa zat cair dan gas, air
conditioning, dan kebutuhan-kebutuhan listrik.
• Manajemen keamanan fasilitas. Membahas audit trail dan prosedur-prosedur
darurat.
• Kendali-kendali personel administratif. Meliputi proses-proses administratif yang
umumnya diimplementasi oleh departemen SDM selama proses rekrut dan
pemecatan.
2. Kendali-kendali lingkungan dan keselamatan jiwa. Meliputi kendali-kendali keamanan
fisik yang dibutuhkan untuk menopang baik lingkungan operasi komputer maupun
lingkungan operasi personel. Meliputi
• Tenaga listrik. Hal-hal yang dapat mengancam sistem listrik misalnya noise,
brownout, dan kelembaban udara.
• Deteksi dan supresi kebakaran. Hal-hal yang perlu diperhatikan antara lain
adalah kelas-kelas kebakaran, bahan-bahan yang mudah terbakar, pendeteksi
kebakaran, sistem-sistem pemadam kebakaran, medium-medium pemadam,
serta kontaminasi dan kerusakan.
• Pemanasan, ventilasi, dan air conditioning (HVAC).
3. Kendali-kendali fisik dan teknis. Meliputi
• Kebutuhan-kebutuhan kendali fasilitas, yang terdiri dari satuan pengamanan,
anjing penjaga, pemagaran, pencahayaan, kunci, dan CCTV.
• Alat-alat kendali akses fasilitas. Meliputi kartu-kartu akses keamanan dan alat-
alat biometrik.
• Pendeteksi intrusi dan alarm.
• Kendali inventori komputer.
• Kebutuhan-kebutuhan penyimpanan media.
11.2Analisa dan Rekomendasi
PT Asuransi Maju Bersama memiliki sebuah ruang khusus untuk menyimpan
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
49
Page 50
server, yang berada di lantai yang sama dengan ruang kerja. Lokasi kantor cukup
strategis dan terhindar dari banjir, karena berada di lantai 16. Namun karena berada di
wilayah bisnis, transportasi dapat terganggu terutama pada jam-jam sibuk. Hal ini dapat
mengganggu akses mobil pemadam kebakaran di saat terjadi kebakaran. Satu-satunya
hal yang dapat dilakukan adalah meningkatkan kualitas sistem pemadam kebakaran
secara mandiri. Dari kepemilikan gedung, karena PT Asuransi Maju Bersama dan
perusahaan lain menyewa kantor yang digunakan, kendali terhadap listrik, sistem
pemadam kebakaran, dan HVAC tidak berada di tangan perusahaan. Hal ini dapat
menjadi masalah saat terjadinya bencana. Penulis merekomendasikan kepada
perusahaan ini untuk membicarakan masalah service level agreement dengan pengelola
gedung untuk menjamin ketersediaan layanan tadi.
Secara desain, ruang kantor perusahaan memiliki banyak kelemahan. Tidak
terdapat pertimbangan di dalam pemilihan jenis bahan dinding, atap, lantai, dan pintu.
Jenis dan lokasi sistem sprinkler tidak tercatat dengan baik oleh perusahaan. Katup-katup
pipa air, uap, atau gas berada di dalam bilik yang dikunci oleh pengelola gedung. Penulis
merekomendasikan kepada perusahaan ini untuk membicarakan masalah ini dengan
pengelola gedung untuk memperoleh solusinya.
Terdapat buku tamu dan catatan aktivitas di dalam ruang server. Namun tidak ada
penggunaan fitur audit trail di dalam sistem operasi server maupun PC untuk mencatat
aktivitas pemakai. Direkomendasikan untuk mengaktifkan fitur audit trail yang terdapat di
sistem operasi yang digunakan.
Untuk masalah tenaga listrik, perusahaan ini telah memiliki dua buah UPS. Namun
ini kurang mencukupi, baik dari segi jumlah maupun daya listrik. Selain itu server yang
menggunakan UPS ini belum dikonfigurasi untuk secara otomatis mematikan server
tersebut apabila listrik mati. Penulis merekomendasikan untuk menambah jumlah dan
daya listrik UPS serta melakukan konfigurasi yang sesuai.
Secara keamanan gedung maka keamanan menjadi tanggung jawab building
management untuk menyediakan tenaga keamanan. Bagian IT bertanggung jawab
terhadap keamanan dari ruang server. Selain itu lokasi, lingkungan, dan layout dari
gedung juga sangat menentukan keamanan dari aset-aset kantor.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
50
Page 51
BAB XII
AUDIT DAN ASSURANCE
12.1Dasar Teori
Tujuan dari audit bisa sangat beragam antara lain adalah untuk evaluasi terhadap
sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan
maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan
secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit
ini juga perlu dilakukan. Tahapan-tahapan audit yang dapat dilakukan adalah sebagai
berikut:
1. Audit Subject.
• Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan
hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak
termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan
menyimpang dari tujuannya.
2. Audit Objective.
• Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari
pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit.
Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui
dengan pasti tujuan dari pelaksanaan audit.
3. Audit Scope (ruang lingkup).
• Menentukan sistem, fungsi dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai
batasan ruang lingkup yang jelas.
4. Preaudit Planning.
• Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan
dalam pelaksanaan audit.
• Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.
• Menentukan tempat dilaksanakannya audit.
5. Audit Procedures & Steps for data Gathering
• Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.
• Menentukan orang-orang yang berhubungan dengan permasalahan untuk
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
51
Page 52
diwawancarai.
6. Evaluasi Hasil Pengujian dan Pemeriksaan
• Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan
dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau
masih ada faktor-faktor lain yang harus dipertimbangkan.
7. Prosedur Komunikasi dengan Pihak Manajemen
• Setelah dilaksanakan audit maka pihak yang mengaudit harus
mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan
audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak
manajemen, agar audit dapat berjalan dengan lancar.
8. Audit Report Preperation
• Menentukan bagaimana cara mereview hasil audit yang diperoleh.
• Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari
organisasi yang diaudit.
12.2Analisa dan Rekomendasi
PT Asuransi Maju Bersama telah menerapkan proses audit secara rutin yang
dilakukan oleh pihak ketiga. Audit harus dilakukan secara periodik terhadap faktor-faktor
yang telah disebutkan di atas oleh bagian IT dan oleh pihak eksternal. Dokumen audit
harus mendapat persetujuan dari pihak manajemen dan jika ada hal-hal yang perlu
diperbaiki menjadi tanggung jawab bagian IT. Audit meliputi:
• Perencanaan strategis sumber daya informasi
• Operasi sistem informasi
• Kerjasama dengan pihak ketiga
• Keamanan informasi
• Business continuity plan
• Implementasi dan pemeliharaan sistem aplikasi
• Dukungan dan implementasi database
• Dukungan jaringan
• Dukungan perangkat lunak
• Dukungan perangkat keras
Sehubungan dengan audit tersebut maka diperlukan dokumentasi-dokumentasi
sebagai berikut:
1. Struktur organisasi dan rincian tugas departemen IT.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
52
Page 53
2. Rencana kerja departemen IT untuk jangka pendek dan panjang.
3. BCP dan DRP.
4. Diagram jaringan komputer.
5.Daftar hardware dan software yang digunakan (termasuk sistem aplikasi yang
digunakan).
6. Dokumentasi sistem aplikasi.
7. Kebijakan keamanan sistem informasi.
8. Prosedur pengembangan sistem informasi.
9. Prosedur pengoperasian sistem komputer.
10.Prosedur pengamanan sistem informasi.
11.Prosedur pemeliharaan dan pengembangan jaringan komputer.
12.Perjanjian kerja sama dengan vendor atau pihak ketiga dalam pemeliharaan hardware
dan software.
Dari informasi-informasi tersebut maka dapat disimpulkan bahwa PT Asuransi Maju
Bersama telah memiliki proses audit yang baik.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
53
Page 54
BAB XIII
KESIMPULAN
Berdasarkan analisa terhadap kendali keamanan Sistem Informasi di PT Asuransi
Maju Bersama dapat disimpulkan beberapa hal berikut:
1.PT Asuransi Maju Bersama sebaiknya dapat mengakomodir pendefinisian aset
informasi yang dimiliki perusahaan tersebut. Perusahaan dapat mempertimbangkan
kembali administrator atau pemelihara masing-masing informasi tersebut sesuai
dengan kebijakan manajemen puncak.
2. Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-standar,
pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan
pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan
pembuatannya dengan disetujui dan disponsori oleh board of director kemudian
disosialisasikan ke seluruh pegawai.
3. Kebijakan IT yang telah dimiliki oleh perusahaan harus secara berkala (minimal 1 tahun
sekali) di uji atau direvisi untuk penyempurnaannya disesuakain dengan kondisi dan
tuntutan bisnis saat itu.
4. PT Asuransi Maju Bersama belum secara serius memperhatikan masalah keamanan
fisik di lingkungan kerjanya.
5. Audit harus dilakukan secara periodik terhadap faktor-faktor kritis oleh bagian IT dan
oleh pihak auditor eksternal. Dokumen audit harus mendapat persetujuan dari pihak
manajemen dan jika ditemukan ada hal-hal yang perlu diperbaiki menjadi tanggung
jawab bagian IT.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
54
Page 55
DAFTAR PUSTAKA
Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc.
Cisa review manual 2005. 2005. Illinois: Information System Audit and Control
Association.
Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik Keamanan
Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil Juni, 8, 2005 dari
http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2004/78/78-m-update-
AdiperkasaDistribusindo.pdf.
й 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
55
Baca Terusannya »»
