Upload
vanquynh
View
213
Download
0
Embed Size (px)
Citation preview
TUGAS MATA KULIAHPROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI
IKI 83408T
OLEHSM ROMI7203010367
MAGISTER TEKNOLOGI INFORMASIUNIVERSITAS INDONESIA
JAKARTA2004
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
2
Nama perusahaan, susunan dewan direksi,staf, karyawan, jenis usaha, spesifikasi
perangkat teknologi yang digunakan dan lain-lain pada perusahaan ini hanya fiktif belaka.Jika ada kesamaan nama perusahaan, dewan
direksi, staf, karyawan, jenis usaha,spesifikasi perangkat teknologi yang
digunakan dan segala hal yang berkaitandengan perusahaan, itu hanya kebetulan
belaka.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
3
PT ARSITEKTUR JAYA
DESKRIPSI PERUSAHAAN
PT Arsitektur Jaya merupakan perusahaan Landscape Contractor yang
melayani pekerjaan yang berkaitan dengan Landscaping (untuk saat ini baru
sebatas layanan konvensional dan baru akan mengembangkan layanan berbasis
web/internet) dengan scope pekerjaan sebagai berikut:
• Softscape:
Yang termasuk dalam pekerjaan softscape ini adalah landscaping yang
terkait dengan: groundcover (yaitu penutupan tanah dengan menggunakan
rumput dan belukar yang ditata rapi sehingga halaman tampak lebih hijau
dibanding sebelumnya), Exotic Plants (yaitu penanaman tanaman eksotis atau
tanaman yang didatangkan dari luar/negeri asing), Palm (yaitu penanaman
tanaman palem sebagai penghias jalan, halaman, taman dan sebagainya),
Shrubs (yaitu penanaman semak belukar sehingga memberi kesan tertentu
pada halaman), Turfing (yaitu penanaman rerumputan pada halaman), Trees
(yaitu penanaman atau peletakan pepohonan) dan Soiling (yaitu proses
penyuburan tanah sehingga tanah yang tadinya tandus atau marginal menjadi
subur dan dapat ditanami dengan tanaman hias).
• Hardscape:
Hardscape merupakan bagian dari Landscape, tapi lebih terkait dengan
bebatuan, ukiran dan sebagainya. Yang termasuk dalam pekerjaan hadscape
ini diantaranya adalah: Artificial Rock (yaitu proses peletakan batuan buatan
sehingga memberi nuansa tertentu pada suatu tempat/lokasi atau halaman
tertentu), Sculpture (yang terkait dengan ukiran, patung, pahatan, ataupun
pembuatan dan peletakan arca), Natural Stone (yaitu penggunaan bebatuan
alam sebagai penghias tempat atau lokasi tertentu sehingga memberi kesan
lebih natural), Decorative Wall (yaitu pengerjaan dekorasi pada dinding
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
4
dengan motif-motif tertentu tergantung keinginan dari konsumen tergantung
dari tema lokasi atau tempat atau halaman yang akan di dekor).
• Waterscape:
Bagian dari Landscaping yang umumnya terkait dengan penambahan
faktor air atau yang terkait langsung dengan air. Yang termasuk pekerjaan dari
Waterscape ini diantaranya: Fountain (yaitu pembuatan air mancur),
Swimming Pool (yang terkait dengan desain, pembuatan dan pengerjaan
kolam renang yang disesuaikan dengan tempat atau lokasi yang akan dibuat
kolam renang), Pond (yang terkait dengan kolam, bisa lebih kecil atau lebih
besar dari kolam renang, dan Waterfall (yaitu pembuatan air terjun).
INFORMASI UMUM PERUSAHAAN
• Tahun berdiri : 1994
• Jumlah modal yang disetor : Rp. 150 juta
• Susunan staf dan divisi : Pada gambar struktur organisasi dibawah:
Direktur
Landscape DivisionDipimpin oleh:
Project Manager
Finance DivisionDipimpin oleh:
Finance Manager
AdministrationDivision
Dipimpin oleh:Head of Administ.
Officer
Finance EmployeesBuilding ArchitectEmployees
Civil PlannerEmployees
AdministrationEmployees
AdministratorSystem and
Computer Network
Security Officers
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
5
• Direktur (A01)
Direktur PT Arsitek Jaya (A01) merupakan pimpinan tertinggi di
perusahaan. Direktur PT Arsitek Jaya bertugas sebagai penentu kebijakan
yang ada di perusahaan dan dibantu oleh beberapa divisi dalam pelaksanaan
aktifitas perusahaan. Dibawah direktur ada beberapa divisi seperti Landscape
Division (divisi Lansekap) yang dikepalai oleh Project Manager (Manajer
Proyek), Finance Division atau Divisi Keuangan yang dikepalai oleh Finance
Manager (Manajer Keuangan) dan Administration Division (divisi
administrasi) yang dikepalai oleh kepala kantor administrasi. Dibawah kendali
direktur juga ada Officer Security atau Satpam yang bertanggung jawab
kepada direktur secara langsung.
• Divisi:
• Divisi Lansekap (Landscape Division), dipimpin oleh Manajer
Proyek dengan kode A02 yang terdiri dari 4 Arsitek Pengembang
(A03, A04, A05, A06) dan 5 Insinyur sipil perencanaan dan
pengerjaan dengan kode A07, A08, A09, A10, A11.
• Divisi Keuangan (Finance Division), yang dikepalai oleh Manajer
Keuangan dengan kode A12 yang membawahi 4 karyawan bagian
keuangan dengan kode A13, A14, A15, dan A16.
• Divisi Administrasi (Administration Division), dipimpin oleh
kepala administrasi kantor (A17) yang bertanggung jawab pada
bagian administrasi dan membawahi 4 karyawan bagian
administrasi kantor dengan kode A18, A19, A20, dan A21.
• Struktur lainnya:
Administrator sistem dan jaringan komputer sejumlah 1 orang dengan
kode A22, bagian Security Officer atau Satpam (satuan pengaman) berada
langsung dibawah pengendalian direktur dan bertanggung jawab kepada
direktur yang berjumlah 4 orang dengan kode A23, A24, A25, dan A26.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
6
• Total pegawai 50 orang dengan 28 karyawan tetap dan 22 orang
karyawan harian.
Karyawan tetap (termasuk direktur) dengan rincian sebagai berikut: ( 1
direktur, 1 manajer proyek, 4 arsitek pengembang, 5 insinyur sipil bagian
perencanaan dan pengerjaan, 1 finance manager yang mengepalai 4 karyawan
bagian keuangan, 1 kepala administrasi kantor yang membawahi 4 karyawan
administrasi kantor, 1 administrator sistem jaringan komputer, 4 security
officer atau satpam dan 2 cleaning service dengan kode A27 dan A28)
Karyawan harian adalah karyawan yang bekerja sebagai kuli lapangan
yang digaji per hari kerja. Dalam pengerjaan proyek dilapangan, karyawan
harian dipimpin oleh mandor yang diambil dari salah seorang karyawan tetap
dibagian Insinyur sipil perencanaan dan pengerjaan. Karena pada perusahaan
ini ada 5 insinyur sipil, maka biasanya manajer proyek memilih 1 diantara 5
karyawan insinyur sipil ini sebagai mandor tergantung dari jenis proyek dan
track record dari insinyur sipil yang bersangkutan. Jumlah karyawan harian
pada perusahaan ini 22 orang dengan kode A29 – A50.
Beberapa hal yang menjadi perhatian:
• Shift kerja per hari hanya 1 kali sehari bagi karyawan tetap (jika ada
penambahan waktu kerja maka dihitung lembur) dan 2 kali sehari untuk
bagian security officer (satpam )
• Shift kerja pada hari libur ditentukan bila proyek lanscape lagi banyak
• Jumlah SDM per tingkat pesuruh ( 2 cleaning service);
• Tugas cadangan/rangkap akibat cuti/sakit disesuaikan.
• Intensitas perangkat TI di perusahaan PT Arsitek Jaya termasuk
kategori High(>60%) dalam penggunaan teknologi informasi dan
komunikasi. Dikatakan masuk kategori bagian High karena penggunaan TI
dan komunikasi tinggi, sudah ada jaringan komputer yang terhubung
dengan LAN 10 Mbps dan perangkat komputer merupakan perangkat
penting dalam aktifitas perusahaan. Penggunaan perangkat teknologi pada
karyawan kantor dengan rincian sebagai berikut: direktur 1 pc, manager
proyek 1 pc, arsitek pengembang ada 4 pc dan bagian sipil perencanaan
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
7
dan pengerjaan ada 5 pc, finance manager 1 pc, karyawan keuangan 2 pc,
administrasi kantor 1 pc dan karyawan administrasi kantor 2 pc dan pc
server sebanyak 1.
• Jumlah PC (17 pc)
Spesifikasi:
Spesifikasi P4 2 GHz 256 MB memory DDR 30 Gb Harddisk 17” monitor
LCD untuk direktur dan manager Proyek, P4 2 GHz 1GB memory
RDRAM PC800 256 MB VGACard 120 GB Hard disk 19” monitor LCD
untuk bagian arsitek pengembang, P4 2 GHz 512 MB memory DDR 40
Gb Hard disk 17” monitor CRT untuk bagian sipil perencanaan dan
pengerjaan, P4 2 Ghz 128 memory DDR 40 Gb Hard disk 17” monitor
CRT untuk bagian keuangan (termasuk Finance Manager) dan
administrasi kantor.
Sistem Operasi:
Sistem Operasi menggunakan windows 2000 Profesional
• Jumlah Server (1 pc server)
Spesifikasi:
Spesifikasi Intel Xeon Processor MP 2 GHz 1 GB memory 160 GB hard
disk 17” monitor CRT dan dikelola oleh seorang administrator sistem dan
jaringan komputer perusahaan.
Sistem Operasi:
Sistem Operasi pada server menggunakan windows NT
• Jumlah perangkat tambahan
Printer:
Printer ada 10 dengan rincian ( 1 direktur, 1 manajer proyek, 2 arsitek
pengembang, 2 bagian sipil perencanaan dan pengerjaan, 2 bagian
keuangan dan 2 bagian administrasi)
Scanner:
Scanner ada 5 dengan rincian ( 1 manajer proyek, 2 bagian arsitek
pengembang dan 2 insinyur sipil)
Modem:
Modem ADSL
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
8
• Jumlah perangkat ponsel berbasis WAP
Ada 11 ponsel berbasis WAP yang digunakan karyawan tetap dengan
rincian: (1 direktur, 1 manajer proyek, 4 arsitek pengembang, 5 insinyur
sipil perencanaan dan pengerjaan). Penggunaan WAP untuk saat ini baru
sekedar digunakan untuk komunikasi antara direktur dan divisi
landscaping, yang merupakan divisi inti dalam perusahaan.
• LAN, Koneksi Internet, Perangkat IT/Komunikasi lainnya
Sudah menggunakan jaringan LAN 10 Mbps. Untuk menghubungkan
jaringan internal perusahaan digunakan modem ADSL, sedangkan untuk
mengantisipasi koneksi ADSL yang mungkin saja suatu saat bermasalah
disiapkan model dial-up.
Perangkat Komunikasi Lainnya:
•Fax ada 1 di ruang direktur, 1 di ruang finance manager dan 1
diruang administrasi kantor
•PABX ada yang berfungsi untuk membagi dan mengatur line
telpon yang ada diperusahaan (hotline).
•Saluran Telepon ada 1 di ruang direktur, 1 manager proyek, 1 di
arsitek pengembang, 1 di bagian sipil perencanaan dan pengerjaan,
1 di ruang account manager dan 1 dibagian keuangan, 1 diruang
kepala administrasi kantor dan 1 di bagian administrasi kantor
(karyawan)
INFORMATION SYSTEM SECURITY DOMAINS
Information System Security Domains atau Domain Keamanan
Sistem Informasi adalah beberapa hal yang terkait dengan masalah keamanan
sistem informasi. Berbicara mengenai masalah keamanan merupakan salah
satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah
keamanan ini justru sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi tersebut. Biasanya masalah keamanan menjadi
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
9
urutan kedua atau mungkin bisa jadi urutan terakhir dalam daftar hal-hal yang
dianggap penting didalam suatu organisasi, Usaha Kecil dan Menengah
(UKM) atau perusahaan besar sekalipun.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain (misalnya lawan bisnis) justru dapat
menimbulkan kerugian bagi pemilik informasi tersebut. Sebagai contoh saja,
banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan
diketahui oleh orang-orang tertentu dalam perusahaan tersebut, misalnya
informasi tentang produk baru yang sedang dalam pengembangan, algoritma-
algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk
tersebut. Untuk itu maka keamanan dari sistem informasi yang digunakan
harus terjamin dalam batas yang dapat diterima.
Menurut Object Managemen Group (OMG), sistem keamanan (sekuriti)
adalah proteksi umum suatu sistem informasi dari orang-orang yang akan
melakukan akses yang tak diizinkan maupun interferensi dalam pengiriman
informasi. OMG merupakan sebuah konsorsium yang terdiri dari 800
perusahaan. Secara umum, keamanan berkenaan dengan masalah:
• Confidentiality (informasi hanya diberikan pada user yang berhak
mengaksesnya)
• Integrity (informasi hanya boleh diubah oleh user yang berhak
mengubahnya)
• Accountability (aksi-aksi user yang berhbungan dengan keamanan selalu
dicatat)
• Avaiability (sistem selalu tersedia bagi user yang berhak mengaksesnya)
Sebagai tambahan dari hal-hal mendasar tersebut, spesifikasi OMG jugamenyebutkan sejumlah ancaman (threat) penting untuk mencapai tujuan
(goal) dari sistem kemananan.
Beberapa jenis ancaman yang dideskripsikan dalam spesifikasi OMG
adalah:
• Kontrol keamanan (security control) di-bypass oleh orang lain
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
10
• Seorang authorised user mendapatkan akses pada informasi yang
seharusnya disembunyikan darinya
• Seorang user menyamar sebagai orang lain dan mendapatkan akses,
sehingga aksinya tercatat dilakukan oleh orang lain tersebut. Pada sistem
terdistribusi, user mungkin saja mendelegasikan proses pada objek lain,
sehingga objek tersebut dapat digunakan untuk kepentingannya.
• Kurangnya accountability, misalnya identitas user yang tidak mencukupi
• Penyadapan untuk mendapatkan data yang seharusnya dirahasiakan
• Memodifikasi pada komunikasi antar objek (mengubah, menambah
maupun menghapus item)
Tulisan ini mencoba membahas domain yang terkait dengan keamanan
sistem informasi yang ada disuatu perusahaan yang bergerak dibidang
Landscaping. Domain keamanan sistem informasi tersebut dibagi atas 11
domain diantaranya adalah:
1. Access Control Systems & MethodologyDomain ini terkait dengan masalah bagaimana pengendalian sistem yang
ada disuatu perusahaan. Metode yang umum digunakan dalam pengedalian
akses ke suatu sistem perusahaan adalah dengan melalui beberapa fase
diantaranya: Identifikasi => Otentikasi => Otorisasi.
Identifikasi (identification)
Merupakan suatu metode yang menjamin atau memastikan bahwa sebuah
subjek (bisa berupa pengguna, program maupun proses) merupakan bagian
dari sebuah entitas (organisasi atau perusahaan). Proses identifikasi dapat
diverifikasi atau dibuktikan dengan menggunakan suatu alat pembukti seperti
username, personal identification number (PIN), smart card, digital signature,
account number, atau atribut dalam bentuk anatomi seperti bentuk tangan,
retina, suara, sidik jari, wajah, dsb.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
11
Otentikasi (authentication)
Merupakan fase setelah identifikasi. Setelah seseorang diidentifikasi, maka
harus dibuktikan bahwa ia benar/asli dan ia harus membuktikan bahwa siapa
dia sebenarnya. Dalam melakukan otentikasi ada 3 tipe yaitu: a) sesuatu yang
diketahui seseorang (something a person knows) dapat berupa password, PIN,
nama ibu kandung sebelum menikah, atau dapat berupa kombinasi dari
beberapa kunci atau nomor rahasia, b) sesuatu yang dimiliki seseorang
(something a person has) misalnya berupa kunci, kartu akses atau dapat
berupa lencana atau tanda tertentu, dan c) sesuatu yang menunjukkan ciri
seseorang (something a person is) yang berkaitan dengan biometrik.
Otorisasi (authorization)
Merupakan fase dimana subjek dapat mengakses resource (sumber daya yang
ada) dan berarti subjek baru saja diberikan otorisasi atas resource tersebut.
PT Arsitektur Jaya dari sisi access control telah menerapkan beberapa hal.
Diantaranya pintu masuk ke kantor hanya ada satu pintu masuk yang dijaga
oleh security officer atau satpam. Satpam juga melakukan pemeriksaan bagi
orang luar (selain karyawan kantor) dengan metal detector dan pemeriksaan
barang bawaan/tas serta meninggalkan kartu identitas seperti KTP bila ingin
berurusan ke kantor PT Arsitektur Jaya. Hal ini dilakukan untuk mencegah
orang luar yang memiliki niat jahat seperti melakukan pencurian, perusakan
sistem dan jaringan atau hal lainnya.
Dari sisi karyawan beberapa kebijakan yang diterapkan diantaranya
mewajibkan setiap karyawan tetap yang akan memasuki kantor menggunakan
kartu identitas karyawan (name tag) dan mengisi absensi pada mesin absen
elektronis dengan memasukkan kartu khusus sesuai dengan identitas setiap
karyawan. Lalu bila karyawan ada yang akan menggunakan komputer (PC)
maka karyawan yang bersangkutan harus memasukkan username dan
password pada PC yang ada. Dengan username dan password ini, maka
pengguna yang akan mengakses PC yang ada dikantor harus melakukan fase
diantaranya: Fase Identifikasi yaitu pengguna yang berhak untuk mengakses
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
12
PC harus memiliki username dan password, jadi jika pengguna PC tidak
memiliki username dan password tidak dapat mengakses PC yang ada. Lalu
pada fase otentikasi, si pengguna yang telah memiliki username dan password
menggunakan username dan passwordnya jika ingin login pada PC yang ada
dikantor. Dengan memasukkan username dan password ini maka sistem akan
melakukan otorisasi dan bila sistem menganggap bahwa si pengguna memiliki
username dan password yang valid maka si pengguna dapat mengakses sistem
pada PC yang ada (fase Otorisasi).
Pengguna yang memiliki hak untuk mengakses sistem yang ada pada PC
di PT Arsitektur Jaya adalah karyawan tetap yang masih aktif sebagai
karyawan pada PT Arsitektur Jaya. Username dan password merupakan
kontrol akses yang diperoleh karyawan tetap dari administrator sistem dan
jaringan komputer perusahaan. Admin sendiri bertanggung jawab penuh pada
direktur perusahaan sehingga dengan hal ini diharapkan karyawan tidak
menggunakan komputer kantor untuk melakukan pekerjaan diluar dari
pekerjaan kantor. Akan ada sanksi dari pihak manajemen bila ada karyawan
yang menggunakan komputer dan akses internet pada jam kantor.
2. Telecommunications and Network Security
Domain Telecommunication and Network Security atau keamanan
jaringan komputer dan telekomunikasi lebih berbicara mengenai bagaimana
keamaan dari sisi telekomunikasi dan jaringan komputer yang ada. Bicara
mengenai Network Security tidak terlepas dari masalah-masalah seperti
ancaman dari internet itu sendiri (Internet Security Threats) seperti IP
Spoofing, yaitu suatu usaha yang bisa menggenerate paket IP secara langsung
dari aplikasi lalu meletakkan sejumlah nilai/value ke alamat IP sumber.
Misalkan A mengirim paket ke B, tapi ketika paket dikirim, C mencoba
menyamar seolah-olah sebagai B dan mengambil paket yang dikirim A.
Ancaman Keamanan lainnya:
• Mencoba memasuki jaringan => pencegahan dengan firewalls,
keuntungan firewall: mudah melakukan kontrol, kekurangan firewall:
jika terbakar atau rusak akan menyebabkan network terisolasi.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
13
Keterbatasan firewall lainnya adalah fokus pada ancaman eksternal yaitu
membatasi akses dari luar, bagaimana dengan user internal? Bisa saja
program dapat masuk melalui mobile computer dan berada di internal
networks. Contoh firewall (bisa hardware maupun software): beberapa
router dengan fungsi tambahan sebagai firewall.
• Melakukan eksploitasi software bugs dan buffer overflows => mencegah
hal ini dapat dilakukan dengan menggunakan IDS (instrusion detection
systems) yang bisa mencari pola tertentu
• Denial of service => IDS dapat dipakai untuk mencegah Dos. DoS
membuat layanan di network jadi tidak dapat digunakan yang biasanya
disebabkan oleh overloadnya server atau network.
Dengan melihat beberapa hal yang telah dibahas mengenai domain ke dua
diatas, maka pada PT Arsitektur Jaya telah mengantisipasi jaringan komputer
yang ada diperusahaan dengan menggunakan firewall. Penggunaan firewall
pada jaringan tidak sepenuhnya dapat mencegah berbagai ancaman yang akan
mengganggu kinerja perusahaan, tapi setidaknya dengan memanfaatkan
firewall, maka serangan secara langsung terhadap sistem dapat diminimalisir.
Disamping itu, bila dalam pengiriman data atau paket data dari perusahaan ke
mitra perusahaan maka dilakukan dengan menggunakan enkripsi. Paket data
yang akan dikirim akan dienkripsi, dan dipastikan sipenerima menerima paket
data dari PT Arsitektur Jaya dalam keadaan utuh (data dan informasi tidak
berubah).
Penggunaan mobile device seperti laptop atau notebook untuk mengakses
situs internet tertentu juga harus mendapat konfirmasi dari admin. Dalam hal
ini admin memiliki hak untuk memblok situs-situs tertentu yang diperkirakan
dapat mengirim email spamming, atau bahkan virus dan trojan horse
sekalipun.
Sedangkan untuk menghubungkan jaringan internal perusahaan dengan
internet digunakan modem ADSL. Firewall yang digunakan ada 2, 1 firewall
yang ditempatkan antara modem ADSL dan PC Server, dan satu lagi firewall
yang ditempatkan antara PC Server dan PC Client.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
14
Gambar jaringan arsitektur PT Arsitektur Jaya
3. Security Management PracticesSecurity Management Practices adalah bagaimana tindakan bagian
manajemen dalam menindaklanjuti masalah keamanan yang ada di jaringan
komputer saat ini, bagaimana prosedur yang terkait dengan kelemahan sistem,
dan bagaimana kebijaksanaan manajemen sekuriti secara normatif. Hal ini
tentu saja akan sangat terkait dengan informasi yang ada diperusahaan. Dapat
dikatakan bahwa informasi merupakan aset penting perusahaan.
Terkait dengan informasi, maka faktor penting dari nilai informasi:
kerahasiaan, integritas dan ketersediaan informasi (confidentiality, integrity
and availability). Sejauhmana tingkat kerahasiaan informasi, bagaimana agar
informasi tersebut utuh dan seberapa mudah informasi tersebut ada saat
dibutuhkan sangat tergantung dari kebijakan yang ada diperusahaan. Pada PT
Arsitektur Jaya, informasi penting yang ada diperusahaan merupakan aset
penting yang harus dijaga kerahasiaannya dari pihak-pihak yang berhak
mengakses, bagaimana keutuhan informasi tersebut sehingga dapat dimengerti
dan disaat diperlukan maka informasi apa saja yang dibutuhkan dapat
memberikan masukan bagi pihak manajemen perusahaan dalam mengambil
keputusan. Sudah jelas disebutkan di awal, bahwa perusahaan akan memberi
sanksi yang tegas bila ada karyawan yang menggunakan akses komputer
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
15
diluar jam kantor untuk pekerjaan yang tidak terkait dengan pekerjaan kantor.
Kebijakan ini diambil selain meminimalisir agar data-data perusahaan tidak
jatuh ke pihak lain, disamping itu juga meminimalisir agar tidak terbuka celah
bagi pihak lain untuk masuk ke jaringan komputer perusahaan dengan cara
melakukan IP Spoofing atau mengeksploitasi software yang penuh bug.
Dalam pengembangan model keamanan di PT Arsitektur Jaya menggunakan
istilah Security Model Development. Tahapan nya adalah: Security Policy
=> Risk Analysis => Procedure/Standard => Planning/Operational.
Security Policy atau yang disebut juga dengan istilah Information Risk
Management (IRM) Policy yang diterapkan di PT Arsitektur Jaya
memasukkan beberapa komponen didalamnya, diantaranya:
• Komitment dan dukungan direksi, tanpa ada dukungan dari top
managemen maka kebijakan dari sisi kemanan ini menjadi sia-sia saja.
• Prinsip pemberian akses, perlindungan dan otoritas. Tidak sembarang
pengguna dapat mengakses sistem yang ada. Tanpa memasukkan
username dan password maka pengguna yang tidak berhak tidak dapat
menggunakan PC yang ada diperusahaan.
• Kepatuhan terhadap aturan yang berlaku (code of conduct). Jelas, akan
ada sanksi tegas bagi karyawan yang mengakses sistem diluar jam
kantor dan melakukan pekerjaan diluar pekerjaan kantor. Sanksi dapat
berupa teguran tertulis dan sanksi paling berat adalah terkait dengan
pemotongan gaji atau pemecatan.
• Kesadaran sekuriti bagi seluruh pegawai. Hal ini perlu ditumbuhkan
ditiap-tiap karyawan, mengingat banyak keteledoran yang dilakukan
karyawan seperti meninggalkan kantor tanpa melakukan log-out pada PC
dan hal lain seperti menerima email yang tidak jelas yang ternyata berisi
virus atau menggunakan disket dan USB Flash disk yang ternyata telah
terinfeksi virus. Dengan kesadaran sekuriti ini maka prosedur yang dapat
menyebabkan hal-hal yang tidak diinginkan dapat diminimalisir atau
setidaknya dapat dicegah sedini mungkin.
• Audit keamanan sistem informasi. Audit keamanan pada sistem
informasi dan teknologi informasi seharusnya ada pada perusahaan yang
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
16
telah menggunakan IT. Namun pada PT Arsitektur Jaya audit keamanan
sistem informasi dilakukan secara internal, biasanya yang diaudit adalah
apakah keamanan sistem informasi yang ada saat ini diperusahaan cukup
baik, pengecekan infrastruktur jaringan yang bila ditemukan peralatan
yang tidak berfungsi maka dilakukan analisa jika memang sudah
seharusnya diganti maka dilakukan penggantian.
4. Application & Systems Development SecurityPengembangan aplikasi yang menjadi requirement adalah yang terkait
dengan fungsional yang utama. Application System Controls:
• Kendali terhadap input, akses dan proses
• Tujuan: menjamin keamanan operasi aplikasi, mencegah serangan dan
kerusakan data
• Sifat kontrol: preventif, deteksi dan koreksi
Pada PT Arsitektur Jaya, kendali terhadap input, akses dan proses yang
berjalan di perusahaan dikontrol dengan suatu prosedur umum seperti harus
memasukkan username dan password. Bila yang bersangkutan tidak diberi
otoritas untuk mengakses sistem yang ada maka yang bersangkutan tidak
dapat masuk ke dalam sistem yang ada di perusahaan. Dalam hal ini kontrol
yang berlaku diperusahaan bersifat preventif, yaitu mencegah akses yang tidak
berhak.
5. CryptographyJenis kriptografi yang lazim digunakan pada PT Arsitektur Jaya adalah
dengan metode konvensional yang disebut dengan istilah Symmetric Key
Cryptography. Metode ini menggunakan private key (single key) yang sama
antara sender atau si pengirim dengan recipient atau si penerima pesan. Secret
key dari sender juga diketahui oleh recipient, Aplikasinya dapat dijelaskan
seperti ini: bila PT Arsitektur Jaya mengirimkan data atau informasi kepada
karyawannya, maka data atau informasi itu akan dienkripsi dengan kunci
rahasia yang juga diketahui karyawan (dalam hal ini recipient). Data atau
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
17
informasi yang telah di enkripsi terebut akan sampai ke karyawan dan
karyawan melakukan dekripsi dengan kunci rahasia yang sama yang dimiliki
perusahaan. Metode ini dipilih karena setupnya sederhana dan efisien dari sisi
hardware dan tidak membutuhkan alat khusus. Meski demikian, sedikit
kekurangan dari metode ini adalah hanya menyediakan aspek kerahasiaan
(confidentiality) tapi tidak dari sisi otentikasi, dimana otentikasi menjadi sulit
dilakukan karena key tidak dapat melakukan identifikasi user (pengguna).
Untuk kedepan ada rencana dari pihak PT Arsitektur Jaya untuk
melakukan mekanisme yang disebut dengan istilah digital signature atau
tanda tangan digital. Metode ini dianggap lebih baik untuk transaksi electronic
commerce. Karena perusahaan sedang mengembangkan layanannya berbasis
web, maka lambat laun akan terjadi transaksi yang dilakukan melalui internet.
Bila hal ini sudah berjalan maka untuk memastikan data atau informasi yang
dikirimkan adalah benar maka metode dengan digital signature sudah saatnya
dilakukan di PT Arsitektur Jaya.
6. Security Architecture & ModelsDalam menganalisis keamanan yang ada disuatu organisasi atau
perusahaan berdasarkan orange book, ada beberapa level mulai dari level A
yang dikenal sebagai level tertinggi (verified protection) hingga level D
(minimal security).
Justifikasi: bila diserahkan ke sistem = C2
bila diserahkan ke admin = C1
Level sekuriti dari PT Arsitektur Jaya termasuk C1, keamanan sistem dan
jaringan diserahkan kepada admin yang akan mengelola sistem keamanan
dengan pembatasan hak akses yang berbeda untuk tiap divisi yang ada di
perusahaan.
Bila ditinjau dari segi sistem yang ada diperusahaan berdasarkan
spesifikasi yang dipakai dan campur tangan pihak ketiga, maka sistem dibagi
atas 2 bagian yaitu sistem terbuka atau tertutup
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
18
Sistem Terbuka:
• Spesifikasi terbuka sesuai bakuan/standar industri tertentu
• Pihak ketiga dapat berpartisipasi
Sistem Tertutup:
• Spesifikasi khusus dan tertutup
• Tanpa pihak ketiga
Jika dikaitkan dengan PT Arsitektur Jaya, sistem yang dipakai bersifat
tertutup, karena sesuai spesifikasi sistem khusus yang terkait dengan masalah
Landscaping dan pengerjaan sistem dilakukan sendiri secara inhouse (tanpa
melibatkan pihak ketiga).
7. Operations SecurityOperations security dapat diartikan sebagai tindakan apapun yang
menjadikan sistem beroperasi secara aman, terkendali dan terlindung dari hal-
hal yang tidak diinginkan. Tindakan pengamanan yang dilakukan pada sistem
yang ada di PT Arsitektur Jaya adalah dengan username dan password. Dan
tentu saja, hal ini tidak sepenuhnya menjamin sistem, jaringan dan komputer
yang ada terbebas dari hal-hal yang dapat mengancam oleh karena itu adalah
beberapa kategori dalam pengendalian akses yang tidak diinginkan
(Categories of Control).
Categories of Control:
• Preventative control: untuk memperkecil sejumlah akibat dari error
dan mencegah perusak/penyerang yang tidak berwenang
• Detective controls: untuk mendeteksi error pada saat kesalahan itu
terjadi
• Corrective (recovery) controls: membantu mengurangi pengaruh dari
kerusakan/kehilangan data
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
19
Preventative control dilakukan dengan membatasi user dengan username
dan password. Disamping itu yang bukan karyawan tetap dilarang mengakses
sistem komputer dan jaringan yang ada di perusahaan, dan itupun dipertegas
lagi dengan peraturan bahwa setiap karyawan hanya dapat menggunakan
komputer pada jam kantor dan berkaitan dengan pekerjaan kantor, bila diluar
itu maka perusahaan akan memberikan sanksi tegas.
Dari sisi detective control, yaitu kontrol yang dilakukan pada saat
kesalahan terjadi dilakukan dengan mentrace dan melihat log dari setiap
aktifitas sampai aktifitas pada saat kesalahan terjadi. Dari log tersebut dapat
diketahui siapa saja yang sedang online/login ke sistem komputer.
Sedangkan Corrective control atau kontrol yang dilakukan setelah
kesalahan terjadi adalah dengan mencari penyebab kesalahan/error dan
memperbaikinya. PT Arsitektur Jaya melakukan preventative dan detective
control agar kesalahan yang terjadi dapat dihindari atau diminimalisir dengan
pembatasan akses pada sistem komputer dan jaringan. Disamping itu
melakukan kontrol secara berkala sehingga bila ada error pada sistem atau
aplikasi yang ada di perusahaan dapat segera diperbaiki.
Peran Satuan Pengaman (Satpam) juga sangat penting, terutama dalam
melakukan pengontrolan secara fisik. Dengan memberlakukan shift 2 kali
sehari maka 2 petugas akan bertugas dari jam 7 pagi hingga 7 malam pada
shift pertama dan 2 petugas lainnya akan bertugas dari jam 7 malam hingga
jam 7 pagi esok harinya pada shift kedua. Jumlah satuan pengaman (Satpam)
yang ada saat ini masih dirasa kurang cukup, mengingat panjangnya waktu
jaga masing-masing shift. Seharusnya ada 3 shift dalam sehari dengan waktu
jaga masing-masing shift selama 8 jam, dan ini berarti dibutuhkan 2 orang
tenaga satpam namun mengingat hal ini akan berkaitan dengan penambahan
karyawan maka tentu saja akan menjadi bahan pertimbangan bagi pihak
manajemen perusahaan.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
20
8. Disaster Recovery & Business Continuity PlanDomain ini terkait dengan bagaimana dan apa yang akan dilakukan bila
ada bencana (bencana alam, kebakaran, banjir, dsb) dan kira-kira berapa lama
perusahaan akan bisa beroperasi lagi bila ada bencana tersebut.
Business continuity plan atau yang disingkat dengan BCP merupakan
proses (otomatis maupun manual) yang dirancang untuk mengurangi ancaman
terhadap fungsi-fungsi penting organisasi sehingga menjamin kontinuitas
layanan bagi operasi yang penting. Guna mengantisipasi kasus terburuk, BCP
harus mempertimbangkan strategi jangka pendek (short-term) dan strategi
jangka panjang (long-term). Misalnya: strategi jangka pendek adalah harus
ada fasilitas IT alternatif sedangkan strategi jangka panjang misalnya
menyiapkan fasilitas IT yang permanen. BCP juga harus mencakup masalah
asuransi dan cara klaimnya juga, beberapa yang mungkin diasuransikan antara
lain:
• Peralatan dan fasilitas IT
• Business interruption cost: kerugian akibat berhentinya aktifitas
perusahaan
• Valuable papers & records, akibat hilangnya surat-surat berharga
• Fidelity coverage: akibat ketidakjujuran pegawai, dapat berupa blanket
bonds
Disamping itu ada proses lainnya yang terkait dengan disaster recovery
yaitu Backup. Periode backup tergantung program aplikasi atau software. Jadi
jika ada proses yang dilaksanakan sekali sebulan dimana master file diupdate,
maka backup juga dilakukan sebulan sekali. Disisi lain, kadang kalau untuk
online/real time system perlu menggunakan mirrored master file di lokasi
yang berbeda. Proses backup bisa diotomasi dengan menggunakan job
scheduling software, sehingga bisa menghindar dari kesalahan back up dan
lupa memback up.
PT Arsitektur Jaya dalam menghadapi bencana yang seandainya terjadi
telah menyiapkan beberapa langkah dan kebijakan. Diantaranya dengan
mengasuransikan beberapa peralatan dan fasilitas yang ada, melakukan back
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
21
up secara rutin setiap minggu untuk aplikasi standar dan back up rutin setiap
hari untuk aplikasi dan hasil pekerjaan yang dianggap penting. Untuk hasil
pekerjaan landscaping, proses back up diotomasi dengan job scheduling
software, yaitu software yang memback up semua hasil pekerjaan landscaping.
Selain dirasa aman, cara ini dilakukan untuk menghindari terjadinya kelupaan
memback up hasil kerja.
Hal-hal yang terkait dengan informasi dan data untuk saat ini belum ada
pihak asuransi yang menyediakan layanan dibidang asuransi data dan
informasi, maka PT Arsitektur Jaya mengambil inisiatif untuk melakukan
back up secara rutin atas data dan informasi perusahaan dan hasil back up
disimpan dalam lemari besi yang diperkirakan tahan terhadap panas api
selama 4 jam dari dikunci dengan kombinasi kunci rahasia yang hanya
diketahui oleh administrasi dan direktur. Data-data dan informasi yang telah
diback up ini suatu saat akan sangat dibutuhkan bila sistem dan jaringan
komputer yang ada saat ini sedang mengalami kerusakan.
9. Laws, Investigations & EthicsMerupakan domain yang terkait dengan bagaimana kaitan antara
keamanan sistem dengan hukum, investigasi dan etika yang semestinya.
Meski hukum atau undang-undang yang menindak pelaku kejahatan di
internet belum berjalan sepenuhnya, namun tetap saja kejahatan dibidang
teknologi informasi membutuhkan suatu sanksi yang tegas. Aturan dan etika
yang benar dalam dunia teknologi informasi bukan saja dapat memberi
kepastian pelaku dibidang ini tapi lebih dari pada itu dengan aturan dan etika
yang dijunjung tinggi maka hal-hal yang merugikan dapat dihindari dan
diminimalisir.
PT Arsitektur Jaya sendiri sedari awal tegas sekali memberi sanksi yang
tegas kepada karyawan yang melanggar aturan perusahaan, yaitu
menggunakan komputer perusahaan untuk hal-hal diluar pekerjaan kantor.
Diharapkan dengan pemberian sanksi yang tegas ini, maka aturan dan etika
dalam bekerja dapat terus dipupuk dan ditumbuhkembangkan di PT Arsitektur
Jaya.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
22
10. Physical SecurityBicara mengenai Physical security tidak terlepas dari hal-hal yang terkait
dengan kemanan fisik yang ada di perusahaan PT Arsitektur Jaya. Disamping
itu juga terkait dengan perlindungan secara fisik terhadap aset perusahaan
seperti pc dan data perusahaan yang sifatnya rahasia.
Untuk menjaga aset perusahaan secara fisik, tentu sudah menjadi tanggung
jawab bersama dari semua yang ada diperusahaan. Namun peran satuan
pengaman (Satpam) cukup jelas disini mengingat tugas mereka yang berat
yaitu mengamankan aset perusahaan seperti PC, peralatan kantor dan lain
sebagainya. Ditambah dengan peralatan pemadam kebakaran (racun api) yang
disebar dibeberapa ruangan dengan rincian 1 di ruang direktur, 3 di ruang
arsitek pengembang, 3 di ruang insinyur sipil perencanaan dan pengerjaan, 1
di ruang administrasi sistem dan jaringan komputer perusahaan, 2 di ruang
bagian keuangan dan 2 di ruang bagian administrasi kantor serta 2 lagi berada
di dekat ruangan Security officer atau Satpam.
Sedangkan hal-hal yang berkaitan dengan data perusahaan menjadi
tanggung jawab dari semua karyawan yang ada. Admin dapat mengecek
sejauh mana aktifitas karyawan dalam menggunakan sistem komputer dan
jaringan yang ada diperusahaan. Kehilangan satu informasi penting yang
berkaitan dengan pengerjaan proyek landscaping yang ada diperusahaan akan
menyebabkan kerugian yang tak ternilai karena bisa saja informasi ini bocor
dan jatuh ke tangan perusahaan pesaing. Untuk mengantisipasi hal ini, sistem
yang diakses oleh masing-masing karyawan akan menampilkan tampilan yang
berbeda. Bagian keuangan hanya akan dapat mengakses hal-hal yang
berkaitan dengan masalah keuangan perusahaan dan tidak dapat mengakses
hal-hal yang berkaitan dengan pengembangan proyek, begitu pula sebaliknya
bagian arsitek pengembangan hanya akan melihat tampilan yang berkaitan
dengan bagian pengembangan dan tidak dapat mengakses bagian keuangan.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer
Universitas Indonesia Magister Teknologi Informasi_________________________Proteksi dan Teknik Keamanan Sistem Informasi
© 2004 Kelompok 75 IKI-83408T_SM Romi_7203010367_MTI UI. Silakanmenggandakan bahan ajar ini selama tetap mencantumkan nota hak cipta
ini.
23
11. Auditing & AssuranceDomain ini membahas bagaimana audit yang dilakukan di suatu
perusahaan dan bagaimana pula kebijakan perusahaan yang terkait dengan
asuransi. PT Arsitektur Jaya belum melakukan audit yang melibatkan auditor
eksternal, dan baru hanya melakukan audit secara internal dengan
menggunakan orang-orang dalam perusahaan sendiri. Umumnya yang diaudit
adalah inventaris perusahaan mulai dari perangkat komputer (PC dan Server),
peralatan pendukung seperti printer, scanner, dan peralatan komunikasi
lainnya. Nanti dari hasil audit secara internal ini diketahui seberapa utuh
inventaris perusahaan (apakah jumlahnya masih lengkap atau apa ada yang
hilang, apakah ada yang rusak dan perlu diganti, dan berapa nilai penyusutan
dari tiap-tiap perangkat komputer dan jaringan serta komunikasi yang ada saat
ini). Hasil audit dilaporkan dan diketahui oleh direktur dan akan dievaluasi
setiap 1 semester.
Lalu hal-hal yang terkait dengan asuransi juga menjadi perhatian serius
dari pihak PT Arsitektur Jaya. Mengingat banyaknya perangkat komputer dan
jaringan serta perangkat teknologi informasi dan komunikasi lainnya yang
semuanya membutuhkan investasi yang tidak sedikit, maka perangkat-
perangkat ini diasuransikan kepada perusahaan jasa asuransi. Yang
diasuransikan adalah perangkat komputer dibagian arsitek pengembangan dan
bagian sipil perencanaan dan pengerjaan karena semua hal-hal yang berkaitan
dengan kerja perusahaan berada disini. Disamping itu perangkat PC Server
juga tak luput dari asuransi karena investasi perusahaan untuk perangkat ini
termasuk investasi bernilai tinggi.
Referensi:
Harris, Son, 2002. CISSP Certification-Exam Guide. McGraw-Hill.
Materi Kuliah Proteksi dan Keamanan Sistem Informasi pada Program
Magister Teknologi Informasi Universitas Indonesia Jakarta 2004.
Create PDF with GO2PDF for free, if you wish to remove this line, click here to buy Virtual PDF Printer