OLEH SM ROMI 7203010367 - … … · PT Arsitektur Jaya merupakan perusahaan Landscape Contractor yang melayani pekerjaan yang berkaitan dengan Landscaping ... Sistem Operasi menggunakan

TUGAS MATA KULIAHPROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

IKI 83408T

OLEHSM ROMI7203010367

MAGISTER TEKNOLOGI INFORMASIUNIVERSITAS INDONESIA

JAKARTA2004

Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer

http://www.go2pdf.com

https://www.youtube.com/user/Dewa89s

Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi

© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta

ini.

2

Nama perusahaan, susunan dewan direksi,staf, karyawan, jenis usaha, spesifikasi

perangkat teknologi yang digunakan dan lain-lain pada perusahaan ini hanya fiktif belaka.Jika ada kesamaan nama perusahaan, dewan

direksi, staf, karyawan, jenis usaha,spesifikasi perangkat teknologi yang

digunakan dan segala hal yang berkaitandengan perusahaan, itu hanya kebetulan

belaka.






ini.

3

PT ARSITEKTUR JAYA

DESKRIPSI PERUSAHAAN

PT Arsitektur Jaya merupakan perusahaan Landscape Contractor yang

melayani pekerjaan yang berkaitan dengan Landscaping (untuk saat ini baru

sebatas layanan konvensional dan baru akan mengembangkan layanan berbasis

web/internet) dengan scope pekerjaan sebagai berikut:

• Softscape:

Yang termasuk dalam pekerjaan softscape ini adalah landscaping yang

terkait dengan: groundcover (yaitu penutupan tanah dengan menggunakan

rumput dan belukar yang ditata rapi sehingga halaman tampak lebih hijau

dibanding sebelumnya), Exotic Plants (yaitu penanaman tanaman eksotis atau

tanaman yang didatangkan dari luar/negeri asing), Palm (yaitu penanaman

tanaman palem sebagai penghias jalan, halaman, taman dan sebagainya),

Shrubs (yaitu penanaman semak belukar sehingga memberi kesan tertentu

pada halaman), Turfing (yaitu penanaman rerumputan pada halaman), Trees

(yaitu penanaman atau peletakan pepohonan) dan Soiling (yaitu proses

penyuburan tanah sehingga tanah yang tadinya tandus atau marginal menjadi

subur dan dapat ditanami dengan tanaman hias).

• Hardscape:

Hardscape merupakan bagian dari Landscape, tapi lebih terkait dengan

bebatuan, ukiran dan sebagainya. Yang termasuk dalam pekerjaan hadscape

ini diantaranya adalah: Artificial Rock (yaitu proses peletakan batuan buatan

sehingga memberi nuansa tertentu pada suatu tempat/lokasi atau halaman

tertentu), Sculpture (yang terkait dengan ukiran, patung, pahatan, ataupun

pembuatan dan peletakan arca), Natural Stone (yaitu penggunaan bebatuan

alam sebagai penghias tempat atau lokasi tertentu sehingga memberi kesan

lebih natural), Decorative Wall (yaitu pengerjaan dekorasi pada dinding






ini.

4

dengan motif-motif tertentu tergantung keinginan dari konsumen tergantung

dari tema lokasi atau tempat atau halaman yang akan di dekor).

• Waterscape:

Bagian dari Landscaping yang umumnya terkait dengan penambahan

faktor air atau yang terkait langsung dengan air. Yang termasuk pekerjaan dari

Waterscape ini diantaranya: Fountain (yaitu pembuatan air mancur),

Swimming Pool (yang terkait dengan desain, pembuatan dan pengerjaan

kolam renang yang disesuaikan dengan tempat atau lokasi yang akan dibuat

kolam renang), Pond (yang terkait dengan kolam, bisa lebih kecil atau lebih

besar dari kolam renang, dan Waterfall (yaitu pembuatan air terjun).

INFORMASI UMUM PERUSAHAAN

• Tahun berdiri : 1994

• Jumlah modal yang disetor : Rp. 150 juta

• Susunan staf dan divisi : Pada gambar struktur organisasi dibawah:

Direktur

Landscape DivisionDipimpin oleh:

Project Manager

Finance DivisionDipimpin oleh:

Finance Manager

AdministrationDivision

Dipimpin oleh:Head of Administ.

Officer

Finance EmployeesBuilding ArchitectEmployees

Civil PlannerEmployees

AdministrationEmployees

AdministratorSystem and

Computer Network

Security Officers






ini.

5

• Direktur (A01)

Direktur PT Arsitek Jaya (A01) merupakan pimpinan tertinggi di

perusahaan. Direktur PT Arsitek Jaya bertugas sebagai penentu kebijakan

yang ada di perusahaan dan dibantu oleh beberapa divisi dalam pelaksanaan

aktifitas perusahaan. Dibawah direktur ada beberapa divisi seperti Landscape

Division (divisi Lansekap) yang dikepalai oleh Project Manager (Manajer

Proyek), Finance Division atau Divisi Keuangan yang dikepalai oleh Finance

Manager (Manajer Keuangan) dan Administration Division (divisi

administrasi) yang dikepalai oleh kepala kantor administrasi. Dibawah kendali

direktur juga ada Officer Security atau Satpam yang bertanggung jawab

kepada direktur secara langsung.

• Divisi:

• Divisi Lansekap (Landscape Division), dipimpin oleh Manajer

Proyek dengan kode A02 yang terdiri dari 4 Arsitek Pengembang

(A03, A04, A05, A06) dan 5 Insinyur sipil perencanaan dan

pengerjaan dengan kode A07, A08, A09, A10, A11.

• Divisi Keuangan (Finance Division), yang dikepalai oleh Manajer

Keuangan dengan kode A12 yang membawahi 4 karyawan bagian

keuangan dengan kode A13, A14, A15, dan A16.

• Divisi Administrasi (Administration Division), dipimpin oleh

kepala administrasi kantor (A17) yang bertanggung jawab pada

bagian administrasi dan membawahi 4 karyawan bagian

administrasi kantor dengan kode A18, A19, A20, dan A21.

• Struktur lainnya:

Administrator sistem dan jaringan komputer sejumlah 1 orang dengan

kode A22, bagian Security Officer atau Satpam (satuan pengaman) berada

langsung dibawah pengendalian direktur dan bertanggung jawab kepada

direktur yang berjumlah 4 orang dengan kode A23, A24, A25, dan A26.






ini.

6

• Total pegawai 50 orang dengan 28 karyawan tetap dan 22 orang

karyawan harian.

Karyawan tetap (termasuk direktur) dengan rincian sebagai berikut: ( 1

direktur, 1 manajer proyek, 4 arsitek pengembang, 5 insinyur sipil bagian

perencanaan dan pengerjaan, 1 finance manager yang mengepalai 4 karyawan

bagian keuangan, 1 kepala administrasi kantor yang membawahi 4 karyawan

administrasi kantor, 1 administrator sistem jaringan komputer, 4 security

officer atau satpam dan 2 cleaning service dengan kode A27 dan A28)

Karyawan harian adalah karyawan yang bekerja sebagai kuli lapangan

yang digaji per hari kerja. Dalam pengerjaan proyek dilapangan, karyawan

harian dipimpin oleh mandor yang diambil dari salah seorang karyawan tetap

dibagian Insinyur sipil perencanaan dan pengerjaan. Karena pada perusahaan

ini ada 5 insinyur sipil, maka biasanya manajer proyek memilih 1 diantara 5

karyawan insinyur sipil ini sebagai mandor tergantung dari jenis proyek dan

track record dari insinyur sipil yang bersangkutan. Jumlah karyawan harian

pada perusahaan ini 22 orang dengan kode A29 – A50.

Beberapa hal yang menjadi perhatian:

• Shift kerja per hari hanya 1 kali sehari bagi karyawan tetap (jika ada

penambahan waktu kerja maka dihitung lembur) dan 2 kali sehari untuk

bagian security officer (satpam )

• Shift kerja pada hari libur ditentukan bila proyek lanscape lagi banyak

• Jumlah SDM per tingkat pesuruh ( 2 cleaning service);

• Tugas cadangan/rangkap akibat cuti/sakit disesuaikan.

• Intensitas perangkat TI di perusahaan PT Arsitek Jaya termasuk

kategori High(>60%) dalam penggunaan teknologi informasi dan

komunikasi. Dikatakan masuk kategori bagian High karena penggunaan TI

dan komunikasi tinggi, sudah ada jaringan komputer yang terhubung

dengan LAN 10 Mbps dan perangkat komputer merupakan perangkat

penting dalam aktifitas perusahaan. Penggunaan perangkat teknologi pada

karyawan kantor dengan rincian sebagai berikut: direktur 1 pc, manager

proyek 1 pc, arsitek pengembang ada 4 pc dan bagian sipil perencanaan






ini.

7

dan pengerjaan ada 5 pc, finance manager 1 pc, karyawan keuangan 2 pc,

administrasi kantor 1 pc dan karyawan administrasi kantor 2 pc dan pc

server sebanyak 1.

• Jumlah PC (17 pc)

Spesifikasi:

Spesifikasi P4 2 GHz 256 MB memory DDR 30 Gb Harddisk 17” monitor

LCD untuk direktur dan manager Proyek, P4 2 GHz 1GB memory

RDRAM PC800 256 MB VGACard 120 GB Hard disk 19” monitor LCD

untuk bagian arsitek pengembang, P4 2 GHz 512 MB memory DDR 40

Gb Hard disk 17” monitor CRT untuk bagian sipil perencanaan dan

pengerjaan, P4 2 Ghz 128 memory DDR 40 Gb Hard disk 17” monitor

CRT untuk bagian keuangan (termasuk Finance Manager) dan

administrasi kantor.

Sistem Operasi:

Sistem Operasi menggunakan windows 2000 Profesional

• Jumlah Server (1 pc server)

Spesifikasi:

Spesifikasi Intel Xeon Processor MP 2 GHz 1 GB memory 160 GB hard

disk 17” monitor CRT dan dikelola oleh seorang administrator sistem dan

jaringan komputer perusahaan.

Sistem Operasi:

Sistem Operasi pada server menggunakan windows NT

• Jumlah perangkat tambahan

Printer:

Printer ada 10 dengan rincian ( 1 direktur, 1 manajer proyek, 2 arsitek

pengembang, 2 bagian sipil perencanaan dan pengerjaan, 2 bagian

keuangan dan 2 bagian administrasi)

Scanner:

Scanner ada 5 dengan rincian ( 1 manajer proyek, 2 bagian arsitek

pengembang dan 2 insinyur sipil)

Modem:

Modem ADSL






ini.

8

• Jumlah perangkat ponsel berbasis WAP

Ada 11 ponsel berbasis WAP yang digunakan karyawan tetap dengan

rincian: (1 direktur, 1 manajer proyek, 4 arsitek pengembang, 5 insinyur

sipil perencanaan dan pengerjaan). Penggunaan WAP untuk saat ini baru

sekedar digunakan untuk komunikasi antara direktur dan divisi

landscaping, yang merupakan divisi inti dalam perusahaan.

• LAN, Koneksi Internet, Perangkat IT/Komunikasi lainnya

Sudah menggunakan jaringan LAN 10 Mbps. Untuk menghubungkan

jaringan internal perusahaan digunakan modem ADSL, sedangkan untuk

mengantisipasi koneksi ADSL yang mungkin saja suatu saat bermasalah

disiapkan model dial-up.

Perangkat Komunikasi Lainnya:

•Fax ada 1 di ruang direktur, 1 di ruang finance manager dan 1

diruang administrasi kantor

•PABX ada yang berfungsi untuk membagi dan mengatur line

telpon yang ada diperusahaan (hotline).

•Saluran Telepon ada 1 di ruang direktur, 1 manager proyek, 1 di

arsitek pengembang, 1 di bagian sipil perencanaan dan pengerjaan,

1 di ruang account manager dan 1 dibagian keuangan, 1 diruang

kepala administrasi kantor dan 1 di bagian administrasi kantor

(karyawan)

INFORMATION SYSTEM SECURITY DOMAINS

Information System Security Domains atau Domain Keamanan

Sistem Informasi adalah beberapa hal yang terkait dengan masalah keamanan

sistem informasi. Berbicara mengenai masalah keamanan merupakan salah

satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah

keamanan ini justru sering kali kurang mendapat perhatian dari para pemilik

dan pengelola sistem informasi tersebut. Biasanya masalah keamanan menjadi






ini.

9

urutan kedua atau mungkin bisa jadi urutan terakhir dalam daftar hal-hal yang

dianggap penting didalam suatu organisasi, Usaha Kecil dan Menengah

(UKM) atau perusahaan besar sekalipun.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali

informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya

informasi ke tangan pihak lain (misalnya lawan bisnis) justru dapat

menimbulkan kerugian bagi pemilik informasi tersebut. Sebagai contoh saja,

banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan

diketahui oleh orang-orang tertentu dalam perusahaan tersebut, misalnya

informasi tentang produk baru yang sedang dalam pengembangan, algoritma-

algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk

tersebut. Untuk itu maka keamanan dari sistem informasi yang digunakan

harus terjamin dalam batas yang dapat diterima.

Menurut Object Managemen Group (OMG), sistem keamanan (sekuriti)

adalah proteksi umum suatu sistem informasi dari orang-orang yang akan

melakukan akses yang tak diizinkan maupun interferensi dalam pengiriman

informasi. OMG merupakan sebuah konsorsium yang terdiri dari 800

perusahaan. Secara umum, keamanan berkenaan dengan masalah:

• Confidentiality (informasi hanya diberikan pada user yang berhak

mengaksesnya)

• Integrity (informasi hanya boleh diubah oleh user yang berhak

mengubahnya)

• Accountability (aksi-aksi user yang berhbungan dengan keamanan selalu

dicatat)

• Avaiability (sistem selalu tersedia bagi user yang berhak mengaksesnya)

Sebagai tambahan dari hal-hal mendasar tersebut, spesifikasi OMG jugamenyebutkan sejumlah ancaman (threat) penting untuk mencapai tujuan

(goal) dari sistem kemananan.

Beberapa jenis ancaman yang dideskripsikan dalam spesifikasi OMG

adalah:

• Kontrol keamanan (security control) di-bypass oleh orang lain






ini.

10

• Seorang authorised user mendapatkan akses pada informasi yang

seharusnya disembunyikan darinya

• Seorang user menyamar sebagai orang lain dan mendapatkan akses,

sehingga aksinya tercatat dilakukan oleh orang lain tersebut. Pada sistem

terdistribusi, user mungkin saja mendelegasikan proses pada objek lain,

sehingga objek tersebut dapat digunakan untuk kepentingannya.

• Kurangnya accountability, misalnya identitas user yang tidak mencukupi

• Penyadapan untuk mendapatkan data yang seharusnya dirahasiakan

• Memodifikasi pada komunikasi antar objek (mengubah, menambah

maupun menghapus item)

Tulisan ini mencoba membahas domain yang terkait dengan keamanan

sistem informasi yang ada disuatu perusahaan yang bergerak dibidang

Landscaping. Domain keamanan sistem informasi tersebut dibagi atas 11

domain diantaranya adalah:

1. Access Control Systems & MethodologyDomain ini terkait dengan masalah bagaimana pengendalian sistem yang

ada disuatu perusahaan. Metode yang umum digunakan dalam pengedalian

akses ke suatu sistem perusahaan adalah dengan melalui beberapa fase

diantaranya: Identifikasi => Otentikasi => Otorisasi.

Identifikasi (identification)

Merupakan suatu metode yang menjamin atau memastikan bahwa sebuah

subjek (bisa berupa pengguna, program maupun proses) merupakan bagian

dari sebuah entitas (organisasi atau perusahaan). Proses identifikasi dapat

diverifikasi atau dibuktikan dengan menggunakan suatu alat pembukti seperti

username, personal identification number (PIN), smart card, digital signature,

account number, atau atribut dalam bentuk anatomi seperti bentuk tangan,

retina, suara, sidik jari, wajah, dsb.






ini.

11

Otentikasi (authentication)

Merupakan fase setelah identifikasi. Setelah seseorang diidentifikasi, maka

harus dibuktikan bahwa ia benar/asli dan ia harus membuktikan bahwa siapa

dia sebenarnya. Dalam melakukan otentikasi ada 3 tipe yaitu: a) sesuatu yang

diketahui seseorang (something a person knows) dapat berupa password, PIN,

nama ibu kandung sebelum menikah, atau dapat berupa kombinasi dari

beberapa kunci atau nomor rahasia, b) sesuatu yang dimiliki seseorang

(something a person has) misalnya berupa kunci, kartu akses atau dapat

berupa lencana atau tanda tertentu, dan c) sesuatu yang menunjukkan ciri

seseorang (something a person is) yang berkaitan dengan biometrik.

Otorisasi (authorization)

Merupakan fase dimana subjek dapat mengakses resource (sumber daya yang

ada) dan berarti subjek baru saja diberikan otorisasi atas resource tersebut.

PT Arsitektur Jaya dari sisi access control telah menerapkan beberapa hal.

Diantaranya pintu masuk ke kantor hanya ada satu pintu masuk yang dijaga

oleh security officer atau satpam. Satpam juga melakukan pemeriksaan bagi

orang luar (selain karyawan kantor) dengan metal detector dan pemeriksaan

barang bawaan/tas serta meninggalkan kartu identitas seperti KTP bila ingin

berurusan ke kantor PT Arsitektur Jaya. Hal ini dilakukan untuk mencegah

orang luar yang memiliki niat jahat seperti melakukan pencurian, perusakan

sistem dan jaringan atau hal lainnya.

Dari sisi karyawan beberapa kebijakan yang diterapkan diantaranya

mewajibkan setiap karyawan tetap yang akan memasuki kantor menggunakan

kartu identitas karyawan (name tag) dan mengisi absensi pada mesin absen

elektronis dengan memasukkan kartu khusus sesuai dengan identitas setiap

karyawan. Lalu bila karyawan ada yang akan menggunakan komputer (PC)

maka karyawan yang bersangkutan harus memasukkan username dan

password pada PC yang ada. Dengan username dan password ini, maka

pengguna yang akan mengakses PC yang ada dikantor harus melakukan fase

diantaranya: Fase Identifikasi yaitu pengguna yang berhak untuk mengakses






ini.

12

PC harus memiliki username dan password, jadi jika pengguna PC tidak

memiliki username dan password tidak dapat mengakses PC yang ada. Lalu

pada fase otentikasi, si pengguna yang telah memiliki username dan password

menggunakan username dan passwordnya jika ingin login pada PC yang ada

dikantor. Dengan memasukkan username dan password ini maka sistem akan

melakukan otorisasi dan bila sistem menganggap bahwa si pengguna memiliki

username dan password yang valid maka si pengguna dapat mengakses sistem

pada PC yang ada (fase Otorisasi).

Pengguna yang memiliki hak untuk mengakses sistem yang ada pada PC

di PT Arsitektur Jaya adalah karyawan tetap yang masih aktif sebagai

karyawan pada PT Arsitektur Jaya. Username dan password merupakan

kontrol akses yang diperoleh karyawan tetap dari administrator sistem dan

jaringan komputer perusahaan. Admin sendiri bertanggung jawab penuh pada

direktur perusahaan sehingga dengan hal ini diharapkan karyawan tidak

menggunakan komputer kantor untuk melakukan pekerjaan diluar dari

pekerjaan kantor. Akan ada sanksi dari pihak manajemen bila ada karyawan

yang menggunakan komputer dan akses internet pada jam kantor.

2. Telecommunications and Network Security

Domain Telecommunication and Network Security atau keamanan

jaringan komputer dan telekomunikasi lebih berbicara mengenai bagaimana

keamaan dari sisi telekomunikasi dan jaringan komputer yang ada. Bicara

mengenai Network Security tidak terlepas dari masalah-masalah seperti

ancaman dari internet itu sendiri (Internet Security Threats) seperti IP

Spoofing, yaitu suatu usaha yang bisa menggenerate paket IP secara langsung

dari aplikasi lalu meletakkan sejumlah nilai/value ke alamat IP sumber.

Misalkan A mengirim paket ke B, tapi ketika paket dikirim, C mencoba

menyamar seolah-olah sebagai B dan mengambil paket yang dikirim A.

Ancaman Keamanan lainnya:

• Mencoba memasuki jaringan => pencegahan dengan firewalls,

keuntungan firewall: mudah melakukan kontrol, kekurangan firewall:

jika terbakar atau rusak akan menyebabkan network terisolasi.






ini.

13

Keterbatasan firewall lainnya adalah fokus pada ancaman eksternal yaitu

membatasi akses dari luar, bagaimana dengan user internal? Bisa saja

program dapat masuk melalui mobile computer dan berada di internal

networks. Contoh firewall (bisa hardware maupun software): beberapa

router dengan fungsi tambahan sebagai firewall.

• Melakukan eksploitasi software bugs dan buffer overflows => mencegah

hal ini dapat dilakukan dengan menggunakan IDS (instrusion detection

systems) yang bisa mencari pola tertentu

• Denial of service => IDS dapat dipakai untuk mencegah Dos. DoS

membuat layanan di network jadi tidak dapat digunakan yang biasanya

disebabkan oleh overloadnya server atau network.

Dengan melihat beberapa hal yang telah dibahas mengenai domain ke dua

diatas, maka pada PT Arsitektur Jaya telah mengantisipasi jaringan komputer

yang ada diperusahaan dengan menggunakan firewall. Penggunaan firewall

pada jaringan tidak sepenuhnya dapat mencegah berbagai ancaman yang akan

mengganggu kinerja perusahaan, tapi setidaknya dengan memanfaatkan

firewall, maka serangan secara langsung terhadap sistem dapat diminimalisir.

Disamping itu, bila dalam pengiriman data atau paket data dari perusahaan ke

mitra perusahaan maka dilakukan dengan menggunakan enkripsi. Paket data

yang akan dikirim akan dienkripsi, dan dipastikan sipenerima menerima paket

data dari PT Arsitektur Jaya dalam keadaan utuh (data dan informasi tidak

berubah).

Penggunaan mobile device seperti laptop atau notebook untuk mengakses

situs internet tertentu juga harus mendapat konfirmasi dari admin. Dalam hal

ini admin memiliki hak untuk memblok situs-situs tertentu yang diperkirakan

dapat mengirim email spamming, atau bahkan virus dan trojan horse

sekalipun.

Sedangkan untuk menghubungkan jaringan internal perusahaan dengan

internet digunakan modem ADSL. Firewall yang digunakan ada 2, 1 firewall

yang ditempatkan antara modem ADSL dan PC Server, dan satu lagi firewall

yang ditempatkan antara PC Server dan PC Client.






ini.

14

Gambar jaringan arsitektur PT Arsitektur Jaya

3. Security Management PracticesSecurity Management Practices adalah bagaimana tindakan bagian

manajemen dalam menindaklanjuti masalah keamanan yang ada di jaringan

komputer saat ini, bagaimana prosedur yang terkait dengan kelemahan sistem,

dan bagaimana kebijaksanaan manajemen sekuriti secara normatif. Hal ini

tentu saja akan sangat terkait dengan informasi yang ada diperusahaan. Dapat

dikatakan bahwa informasi merupakan aset penting perusahaan.

Terkait dengan informasi, maka faktor penting dari nilai informasi:

kerahasiaan, integritas dan ketersediaan informasi (confidentiality, integrity

and availability). Sejauhmana tingkat kerahasiaan informasi, bagaimana agar

informasi tersebut utuh dan seberapa mudah informasi tersebut ada saat

dibutuhkan sangat tergantung dari kebijakan yang ada diperusahaan. Pada PT

Arsitektur Jaya, informasi penting yang ada diperusahaan merupakan aset

penting yang harus dijaga kerahasiaannya dari pihak-pihak yang berhak

mengakses, bagaimana keutuhan informasi tersebut sehingga dapat dimengerti

dan disaat diperlukan maka informasi apa saja yang dibutuhkan dapat

memberikan masukan bagi pihak manajemen perusahaan dalam mengambil

keputusan. Sudah jelas disebutkan di awal, bahwa perusahaan akan memberi

sanksi yang tegas bila ada karyawan yang menggunakan akses komputer






ini.

15

diluar jam kantor untuk pekerjaan yang tidak terkait dengan pekerjaan kantor.

Kebijakan ini diambil selain meminimalisir agar data-data perusahaan tidak

jatuh ke pihak lain, disamping itu juga meminimalisir agar tidak terbuka celah

bagi pihak lain untuk masuk ke jaringan komputer perusahaan dengan cara

melakukan IP Spoofing atau mengeksploitasi software yang penuh bug.

Dalam pengembangan model keamanan di PT Arsitektur Jaya menggunakan

istilah Security Model Development. Tahapan nya adalah: Security Policy

=> Risk Analysis => Procedure/Standard => Planning/Operational.

Security Policy atau yang disebut juga dengan istilah Information Risk

Management (IRM) Policy yang diterapkan di PT Arsitektur Jaya

memasukkan beberapa komponen didalamnya, diantaranya:

• Komitment dan dukungan direksi, tanpa ada dukungan dari top

managemen maka kebijakan dari sisi kemanan ini menjadi sia-sia saja.

• Prinsip pemberian akses, perlindungan dan otoritas. Tidak sembarang

pengguna dapat mengakses sistem yang ada. Tanpa memasukkan

username dan password maka pengguna yang tidak berhak tidak dapat

menggunakan PC yang ada diperusahaan.

• Kepatuhan terhadap aturan yang berlaku (code of conduct). Jelas, akan

ada sanksi tegas bagi karyawan yang mengakses sistem diluar jam

kantor dan melakukan pekerjaan diluar pekerjaan kantor. Sanksi dapat

berupa teguran tertulis dan sanksi paling berat adalah terkait dengan

pemotongan gaji atau pemecatan.

• Kesadaran sekuriti bagi seluruh pegawai. Hal ini perlu ditumbuhkan

ditiap-tiap karyawan, mengingat banyak keteledoran yang dilakukan

karyawan seperti meninggalkan kantor tanpa melakukan log-out pada PC

dan hal lain seperti menerima email yang tidak jelas yang ternyata berisi

virus atau menggunakan disket dan USB Flash disk yang ternyata telah

terinfeksi virus. Dengan kesadaran sekuriti ini maka prosedur yang dapat

menyebabkan hal-hal yang tidak diinginkan dapat diminimalisir atau

setidaknya dapat dicegah sedini mungkin.

• Audit keamanan sistem informasi. Audit keamanan pada sistem

informasi dan teknologi informasi seharusnya ada pada perusahaan yang






ini.

16

telah menggunakan IT. Namun pada PT Arsitektur Jaya audit keamanan

sistem informasi dilakukan secara internal, biasanya yang diaudit adalah

apakah keamanan sistem informasi yang ada saat ini diperusahaan cukup

baik, pengecekan infrastruktur jaringan yang bila ditemukan peralatan

yang tidak berfungsi maka dilakukan analisa jika memang sudah

seharusnya diganti maka dilakukan penggantian.

4. Application & Systems Development SecurityPengembangan aplikasi yang menjadi requirement adalah yang terkait

dengan fungsional yang utama. Application System Controls:

• Kendali terhadap input, akses dan proses

• Tujuan: menjamin keamanan operasi aplikasi, mencegah serangan dan

kerusakan data

• Sifat kontrol: preventif, deteksi dan koreksi

Pada PT Arsitektur Jaya, kendali terhadap input, akses dan proses yang

berjalan di perusahaan dikontrol dengan suatu prosedur umum seperti harus

memasukkan username dan password. Bila yang bersangkutan tidak diberi

otoritas untuk mengakses sistem yang ada maka yang bersangkutan tidak

dapat masuk ke dalam sistem yang ada di perusahaan. Dalam hal ini kontrol

yang berlaku diperusahaan bersifat preventif, yaitu mencegah akses yang tidak

berhak.

5. CryptographyJenis kriptografi yang lazim digunakan pada PT Arsitektur Jaya adalah

dengan metode konvensional yang disebut dengan istilah Symmetric Key

Cryptography. Metode ini menggunakan private key (single key) yang sama

antara sender atau si pengirim dengan recipient atau si penerima pesan. Secret

key dari sender juga diketahui oleh recipient, Aplikasinya dapat dijelaskan

seperti ini: bila PT Arsitektur Jaya mengirimkan data atau informasi kepada

karyawannya, maka data atau informasi itu akan dienkripsi dengan kunci

rahasia yang juga diketahui karyawan (dalam hal ini recipient). Data atau






ini.

17

informasi yang telah di enkripsi terebut akan sampai ke karyawan dan

karyawan melakukan dekripsi dengan kunci rahasia yang sama yang dimiliki

perusahaan. Metode ini dipilih karena setupnya sederhana dan efisien dari sisi

hardware dan tidak membutuhkan alat khusus. Meski demikian, sedikit

kekurangan dari metode ini adalah hanya menyediakan aspek kerahasiaan

(confidentiality) tapi tidak dari sisi otentikasi, dimana otentikasi menjadi sulit

dilakukan karena key tidak dapat melakukan identifikasi user (pengguna).

Untuk kedepan ada rencana dari pihak PT Arsitektur Jaya untuk

melakukan mekanisme yang disebut dengan istilah digital signature atau

tanda tangan digital. Metode ini dianggap lebih baik untuk transaksi electronic

commerce. Karena perusahaan sedang mengembangkan layanannya berbasis

web, maka lambat laun akan terjadi transaksi yang dilakukan melalui internet.

Bila hal ini sudah berjalan maka untuk memastikan data atau informasi yang

dikirimkan adalah benar maka metode dengan digital signature sudah saatnya

dilakukan di PT Arsitektur Jaya.

6. Security Architecture & ModelsDalam menganalisis keamanan yang ada disuatu organisasi atau

perusahaan berdasarkan orange book, ada beberapa level mulai dari level A

yang dikenal sebagai level tertinggi (verified protection) hingga level D

(minimal security).

Justifikasi: bila diserahkan ke sistem = C2

bila diserahkan ke admin = C1

Level sekuriti dari PT Arsitektur Jaya termasuk C1, keamanan sistem dan

jaringan diserahkan kepada admin yang akan mengelola sistem keamanan

dengan pembatasan hak akses yang berbeda untuk tiap divisi yang ada di

perusahaan.

Bila ditinjau dari segi sistem yang ada diperusahaan berdasarkan

spesifikasi yang dipakai dan campur tangan pihak ketiga, maka sistem dibagi

atas 2 bagian yaitu sistem terbuka atau tertutup






ini.

18

Sistem Terbuka:

• Spesifikasi terbuka sesuai bakuan/standar industri tertentu

• Pihak ketiga dapat berpartisipasi

Sistem Tertutup:

• Spesifikasi khusus dan tertutup

• Tanpa pihak ketiga

Jika dikaitkan dengan PT Arsitektur Jaya, sistem yang dipakai bersifat

tertutup, karena sesuai spesifikasi sistem khusus yang terkait dengan masalah

Landscaping dan pengerjaan sistem dilakukan sendiri secara inhouse (tanpa

melibatkan pihak ketiga).

7. Operations SecurityOperations security dapat diartikan sebagai tindakan apapun yang

menjadikan sistem beroperasi secara aman, terkendali dan terlindung dari hal-

hal yang tidak diinginkan. Tindakan pengamanan yang dilakukan pada sistem

yang ada di PT Arsitektur Jaya adalah dengan username dan password. Dan

tentu saja, hal ini tidak sepenuhnya menjamin sistem, jaringan dan komputer

yang ada terbebas dari hal-hal yang dapat mengancam oleh karena itu adalah

beberapa kategori dalam pengendalian akses yang tidak diinginkan

(Categories of Control).

Categories of Control:

• Preventative control: untuk memperkecil sejumlah akibat dari error

dan mencegah perusak/penyerang yang tidak berwenang

• Detective controls: untuk mendeteksi error pada saat kesalahan itu

terjadi

• Corrective (recovery) controls: membantu mengurangi pengaruh dari

kerusakan/kehilangan data






ini.

19

Preventative control dilakukan dengan membatasi user dengan username

dan password. Disamping itu yang bukan karyawan tetap dilarang mengakses

sistem komputer dan jaringan yang ada di perusahaan, dan itupun dipertegas

lagi dengan peraturan bahwa setiap karyawan hanya dapat menggunakan

komputer pada jam kantor dan berkaitan dengan pekerjaan kantor, bila diluar

itu maka perusahaan akan memberikan sanksi tegas.

Dari sisi detective control, yaitu kontrol yang dilakukan pada saat

kesalahan terjadi dilakukan dengan mentrace dan melihat log dari setiap

aktifitas sampai aktifitas pada saat kesalahan terjadi. Dari log tersebut dapat

diketahui siapa saja yang sedang online/login ke sistem komputer.

Sedangkan Corrective control atau kontrol yang dilakukan setelah

kesalahan terjadi adalah dengan mencari penyebab kesalahan/error dan

memperbaikinya. PT Arsitektur Jaya melakukan preventative dan detective

control agar kesalahan yang terjadi dapat dihindari atau diminimalisir dengan

pembatasan akses pada sistem komputer dan jaringan. Disamping itu

melakukan kontrol secara berkala sehingga bila ada error pada sistem atau

aplikasi yang ada di perusahaan dapat segera diperbaiki.

Peran Satuan Pengaman (Satpam) juga sangat penting, terutama dalam

melakukan pengontrolan secara fisik. Dengan memberlakukan shift 2 kali

sehari maka 2 petugas akan bertugas dari jam 7 pagi hingga 7 malam pada

shift pertama dan 2 petugas lainnya akan bertugas dari jam 7 malam hingga

jam 7 pagi esok harinya pada shift kedua. Jumlah satuan pengaman (Satpam)

yang ada saat ini masih dirasa kurang cukup, mengingat panjangnya waktu

jaga masing-masing shift. Seharusnya ada 3 shift dalam sehari dengan waktu

jaga masing-masing shift selama 8 jam, dan ini berarti dibutuhkan 2 orang

tenaga satpam namun mengingat hal ini akan berkaitan dengan penambahan

karyawan maka tentu saja akan menjadi bahan pertimbangan bagi pihak

manajemen perusahaan.






ini.

20

8. Disaster Recovery & Business Continuity PlanDomain ini terkait dengan bagaimana dan apa yang akan dilakukan bila

ada bencana (bencana alam, kebakaran, banjir, dsb) dan kira-kira berapa lama

perusahaan akan bisa beroperasi lagi bila ada bencana tersebut.

Business continuity plan atau yang disingkat dengan BCP merupakan

proses (otomatis maupun manual) yang dirancang untuk mengurangi ancaman

terhadap fungsi-fungsi penting organisasi sehingga menjamin kontinuitas

layanan bagi operasi yang penting. Guna mengantisipasi kasus terburuk, BCP

harus mempertimbangkan strategi jangka pendek (short-term) dan strategi

jangka panjang (long-term). Misalnya: strategi jangka pendek adalah harus

ada fasilitas IT alternatif sedangkan strategi jangka panjang misalnya

menyiapkan fasilitas IT yang permanen. BCP juga harus mencakup masalah

asuransi dan cara klaimnya juga, beberapa yang mungkin diasuransikan antara

lain:

• Peralatan dan fasilitas IT

• Business interruption cost: kerugian akibat berhentinya aktifitas

perusahaan

• Valuable papers & records, akibat hilangnya surat-surat berharga

• Fidelity coverage: akibat ketidakjujuran pegawai, dapat berupa blanket

bonds

Disamping itu ada proses lainnya yang terkait dengan disaster recovery

yaitu Backup. Periode backup tergantung program aplikasi atau software. Jadi

jika ada proses yang dilaksanakan sekali sebulan dimana master file diupdate,

maka backup juga dilakukan sebulan sekali. Disisi lain, kadang kalau untuk

online/real time system perlu menggunakan mirrored master file di lokasi

yang berbeda. Proses backup bisa diotomasi dengan menggunakan job

scheduling software, sehingga bisa menghindar dari kesalahan back up dan

lupa memback up.

PT Arsitektur Jaya dalam menghadapi bencana yang seandainya terjadi

telah menyiapkan beberapa langkah dan kebijakan. Diantaranya dengan

mengasuransikan beberapa peralatan dan fasilitas yang ada, melakukan back






ini.

21

up secara rutin setiap minggu untuk aplikasi standar dan back up rutin setiap

hari untuk aplikasi dan hasil pekerjaan yang dianggap penting. Untuk hasil

pekerjaan landscaping, proses back up diotomasi dengan job scheduling

software, yaitu software yang memback up semua hasil pekerjaan landscaping.

Selain dirasa aman, cara ini dilakukan untuk menghindari terjadinya kelupaan

memback up hasil kerja.

Hal-hal yang terkait dengan informasi dan data untuk saat ini belum ada

pihak asuransi yang menyediakan layanan dibidang asuransi data dan

informasi, maka PT Arsitektur Jaya mengambil inisiatif untuk melakukan

back up secara rutin atas data dan informasi perusahaan dan hasil back up

disimpan dalam lemari besi yang diperkirakan tahan terhadap panas api

selama 4 jam dari dikunci dengan kombinasi kunci rahasia yang hanya

diketahui oleh administrasi dan direktur. Data-data dan informasi yang telah

diback up ini suatu saat akan sangat dibutuhkan bila sistem dan jaringan

komputer yang ada saat ini sedang mengalami kerusakan.

9. Laws, Investigations & EthicsMerupakan domain yang terkait dengan bagaimana kaitan antara

keamanan sistem dengan hukum, investigasi dan etika yang semestinya.

Meski hukum atau undang-undang yang menindak pelaku kejahatan di

internet belum berjalan sepenuhnya, namun tetap saja kejahatan dibidang

teknologi informasi membutuhkan suatu sanksi yang tegas. Aturan dan etika

yang benar dalam dunia teknologi informasi bukan saja dapat memberi

kepastian pelaku dibidang ini tapi lebih dari pada itu dengan aturan dan etika

yang dijunjung tinggi maka hal-hal yang merugikan dapat dihindari dan

diminimalisir.

PT Arsitektur Jaya sendiri sedari awal tegas sekali memberi sanksi yang

tegas kepada karyawan yang melanggar aturan perusahaan, yaitu

menggunakan komputer perusahaan untuk hal-hal diluar pekerjaan kantor.

Diharapkan dengan pemberian sanksi yang tegas ini, maka aturan dan etika

dalam bekerja dapat terus dipupuk dan ditumbuhkembangkan di PT Arsitektur

Jaya.






ini.

22

10. Physical SecurityBicara mengenai Physical security tidak terlepas dari hal-hal yang terkait

dengan kemanan fisik yang ada di perusahaan PT Arsitektur Jaya. Disamping

itu juga terkait dengan perlindungan secara fisik terhadap aset perusahaan

seperti pc dan data perusahaan yang sifatnya rahasia.

Untuk menjaga aset perusahaan secara fisik, tentu sudah menjadi tanggung

jawab bersama dari semua yang ada diperusahaan. Namun peran satuan

pengaman (Satpam) cukup jelas disini mengingat tugas mereka yang berat

yaitu mengamankan aset perusahaan seperti PC, peralatan kantor dan lain

sebagainya. Ditambah dengan peralatan pemadam kebakaran (racun api) yang

disebar dibeberapa ruangan dengan rincian 1 di ruang direktur, 3 di ruang

arsitek pengembang, 3 di ruang insinyur sipil perencanaan dan pengerjaan, 1

di ruang administrasi sistem dan jaringan komputer perusahaan, 2 di ruang

bagian keuangan dan 2 di ruang bagian administrasi kantor serta 2 lagi berada

di dekat ruangan Security officer atau Satpam.

Sedangkan hal-hal yang berkaitan dengan data perusahaan menjadi

tanggung jawab dari semua karyawan yang ada. Admin dapat mengecek

sejauh mana aktifitas karyawan dalam menggunakan sistem komputer dan

jaringan yang ada diperusahaan. Kehilangan satu informasi penting yang

berkaitan dengan pengerjaan proyek landscaping yang ada diperusahaan akan

menyebabkan kerugian yang tak ternilai karena bisa saja informasi ini bocor

dan jatuh ke tangan perusahaan pesaing. Untuk mengantisipasi hal ini, sistem

yang diakses oleh masing-masing karyawan akan menampilkan tampilan yang

berbeda. Bagian keuangan hanya akan dapat mengakses hal-hal yang

berkaitan dengan masalah keuangan perusahaan dan tidak dapat mengakses

hal-hal yang berkaitan dengan pengembangan proyek, begitu pula sebaliknya

bagian arsitek pengembangan hanya akan melihat tampilan yang berkaitan

dengan bagian pengembangan dan tidak dapat mengakses bagian keuangan.






ini.

23

11. Auditing & AssuranceDomain ini membahas bagaimana audit yang dilakukan di suatu

perusahaan dan bagaimana pula kebijakan perusahaan yang terkait dengan

asuransi. PT Arsitektur Jaya belum melakukan audit yang melibatkan auditor

eksternal, dan baru hanya melakukan audit secara internal dengan

menggunakan orang-orang dalam perusahaan sendiri. Umumnya yang diaudit

adalah inventaris perusahaan mulai dari perangkat komputer (PC dan Server),

peralatan pendukung seperti printer, scanner, dan peralatan komunikasi

lainnya. Nanti dari hasil audit secara internal ini diketahui seberapa utuh

inventaris perusahaan (apakah jumlahnya masih lengkap atau apa ada yang

hilang, apakah ada yang rusak dan perlu diganti, dan berapa nilai penyusutan

dari tiap-tiap perangkat komputer dan jaringan serta komunikasi yang ada saat

ini). Hasil audit dilaporkan dan diketahui oleh direktur dan akan dievaluasi

setiap 1 semester.

Lalu hal-hal yang terkait dengan asuransi juga menjadi perhatian serius

dari pihak PT Arsitektur Jaya. Mengingat banyaknya perangkat komputer dan

jaringan serta perangkat teknologi informasi dan komunikasi lainnya yang

semuanya membutuhkan investasi yang tidak sedikit, maka perangkat-

perangkat ini diasuransikan kepada perusahaan jasa asuransi. Yang

diasuransikan adalah perangkat komputer dibagian arsitek pengembangan dan

bagian sipil perencanaan dan pengerjaan karena semua hal-hal yang berkaitan

dengan kerja perusahaan berada disini. Disamping itu perangkat PC Server

juga tak luput dari asuransi karena investasi perusahaan untuk perangkat ini

termasuk investasi bernilai tinggi.

Referensi:

Harris, Son, 2002. CISSP Certification-Exam Guide. McGraw-Hill.

Materi Kuliah Proteksi dan Keamanan Sistem Informasi pada Program

Magister Teknologi Informasi Universitas Indonesia Jakarta 2004.




Documents

OLEH SM ROMI 7203010367 - … … · PT Arsitektur Jaya merupakan perusahaan Landscape Contractor yang melayani pekerjaan yang berkaitan dengan Landscaping ... Sistem Operasi menggunakan