proteksi dan teknik keamanan

1 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

PERUSAHAAN AGEN PROPERTI PT. GRIYA MEDIA

Disusun oleh :

Andreas Fobi 7203012025 Ign. Rudy Harjono 7203012076 Irman Triharyanto 7203012114

MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER

UNIVERSITAS INDONESIA 2005


DAFTAR ISI

DAFTAR ISI………………………………………………………………………… 2 DAFTAR GAMBAR............................................................................................ 3 DAFTAR TABEL................................................................................................ 4 BAB I. PENDAHULUAN…………………………………………………………….. 5

1.1. Latar Belakang………………………………………………………. 5

1.2. Tujuan………………………………………………………………… 6

1.3. Profil Perusahaan…………………………………………………... 6

BAB II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI……………………17

2.1. Security Management Practices……………………………………. 17

2.2. Access Control Systems and Methodology……………………… 31

2.3. Telecommunication and Network Security………………………… 33

2.4. Cryptography…………………………………………………………..34

2.5. Security Architecture and Models………………………………….. 36

2.6. Operations Security…………………………………………………. 38

2.7. Application and Systems Development Security…………………. 39

2.8. Disaster Recovery and Bussiness Continuity Plan………………. 40

2.9. Laws, Investigations and Ethics……………………………………. 41

2.10. Physical Security……………………………………………………. 43

2.11. Auditing………………………………………………………………. 45

BAB III. KESIMPULAN………………………………………………………………. 48

DAFTAR PUSTAKA………………………………………………………………..... 49


DAFTAR GAMBAR

Gambar 1.1. Struktur Organisasi PT. Griya Media.............................................8 Gambar 1.2. Topologi Jaringan Kantor Pusat....................................................12 Gambar 1.3. Topologi Jaringan Kantor Cabang.................................................12 Gambar 1.4. Lay-out Ruangan Kantor Pusat......................................................13 Gambar 1.5. Lay-out Ruangan Kantor Cabang Jakarta Timur (contoh).............14


DAFTAR TABEL

Tabel 1.1. Personil PT. Griya Media...............................................................10 Tabel 2.1. Daftar Aset Non Fisik.....................................................................24 Tabel 2.2. Daftar Ancaman terhadap Aset Fisik Perusahaan.........................25 Tabel 2.3. Daftar Ancaman terhadap Aset Teknologi Informasi Perusahaan.27 Tabel 2.4. Daftar Hasil Analisa Resiko Kuantitatif...........................................29 Tabel 2.5. Daftar Akses yang Diperbolehkan..................................................32 Tabel 2.6. Daftar Wewenang Staf...................................................................37


BAB I

PENDAHULUAN

1.1. LATAR BELAKANG

Rumah adalah merupakan salah satu kebutuhan primer yang perlu

kita penuhi. Untuk memenuhi kebutuhan tersebut diatas, setiap tahunnya,

khususnya di Jakarta banyak dibangun rumah-rumah baru yang

mempunyai bentuk dan harga bervariasi. Umumnya lokasi rumah-rumah

tersebut teletak dikawasan pinggiran kota atau sekitar Bogor Tangerang,

Bekasi karena disana masih terdapat lahan yang memungkinkan untuk

kawasan perumahan. Namun seiring dengan era globalisasi, kebiasaan

tinggal di apartemen mulai diperkenalkan di kota-kota besar di Indonesia.

Saat ini banyak dibangun apartemen-apartemen baru di Jakarta guna

memenuhi kebutuhan tempat tinggal bagi keluarga keluarga yang

membutuhkan.

Ada 2 macam tipe properti yang dipasarkan di masyarakat yaitu

properti untuk pasar primer dan pasar sekunder. Properti untuk pasar

primer adalah properti yang benar-benar baru dibangun dari awal seperti

terdapat di kawasan perumahan dan apartemen baru. Sedangkan pasar

sekunder adalah properti yang sudah dimiliki seseorang kemudian dijual

kepada orang lain atau lebih sering dikenal dengan istilah second hand.

Kedua tipe properti tersebut masing-masing mempunyai kelompok

konsumen tersendiri .

Dalam rangka memiliki tempat tinggal yang diinginkan, konsumen

perlu mengetahui lebih dulu kebutuhan dan anggaran yang diperlukan

dalam membeli properti tersebut. Setelah itu baru mengalokasikan

waktunya untuk melakukan pencarian, pembelian, serta pengurusan jual

beli properti yang diminatinya. Namun sayang, kadang-kadang mereka

tidak mempunyai banyak waktu untuk melakukan hal tersebut seperti

karena kesibukannya. Oleh sebab itu berdirilah agen-agen properti yang


bertugas memasarkan properti kepada konsumen baik itu untuk pasar

primer maupun pasar sekunder. Secara garis besar agen properti adalah

mediator antara penjual dan pembeli properti serta memberikan bantuan

kepada penjual/pembeli baik dalam bentuk konsultasi maupun dalam

pengurusan akta jual beli properti.

1.2. TUJUAN

Tujuan penulisan makalah ini adalah untuk membahas sebelas domain

sistem keamanan informasi pada sebuah perusahaan agen properti yang

ada di Jakarta yaitu PT. Griya Media. Kesebelas domain itu adalah sbb:

1. Security Management Practices

2. Access Control System & Methodology

3. Telecommunications & Network Security

4. Cryptography

5. Security & Architecture Models

6. Operations Security

7. Application & System Development Security

8. Disaster Recovery & Business Continuity Plan

9. Laws, Investigations & Ethics

10. Physical Security

11. Auditing

1.3. PROFIL PERUSAHAAN

1.3.1 Tujuan Pendirian Perusahaan PT. Griya Media adalah sebuah perusahaan agen properti lokal yang

berdiri pada tahun 2000 dan berlokasi di Jakarta. Didirikan oleh

perseorangan / individu yang mempunyai perhatian terhadap

perkembangan properti di Jakarta yang semakin meningkat, serta

bertujuan untuk membantu masyarakat /organisasi dalam memasarkan

propertinya, memberikan kemudahan kepada pembeli untuk menentukan


properti yang cocok baginya, serta membantu dalam pengurusan jual beli

antar kedua belah pihak.

1.3.2 Informasi Perusahaan Perusahaan ini didirikan dengan modal awal Rp 500,000,000 ,- dan

dipimpin oleh seorang direktur utama serta mempunyai 2 bagian yang

masing-masing dipimpin oleh seorang manager. Kedua bagian tersebut

adalah Departemen Umum, dan Departemen Marketing. Pada saat

perusahaan ini didirikan, jumlah pegawai/stafnya sebanyak 15 orang.

Seiring dengan perkembangan properti yang ada saat ini serta

meningkatnya pendapatan perusahaan maka jumlah pegawainya

bertambah menjadi 60 orang. Perusahaan ini mempunyai kantor pusat di

Jakarta Pusat dan kantor cabang di Jakarta Barat, Jakarta Selatan,

Jakarta Timur, dan Jakarta Utara.

1.3.3 Sistem Kerja dan Penggajian

Staf administrasi, keuangan, teknik, dan marketing bekerja 8 jam sehari

dari pukul 08.00 sampai 17.00 selama 6 hari seminggu, sedangkan

khusus hari Minggu terdapat staf marketing yang bergiliran masuk kantor

karena pada saat tersebut banyak customer yang mencari atau

menawarkan propertinya. Satpam bekerja 2 shift perhari yakni dari pukul

07.00 sampai 18.00 dan 18.00 sampai 07.00. Untuk sistem penggajian,

karyawan diluar staf marketing mendapat gaji pokok yang besarnya

tertentu tergantung pada jabatan yang bersangkutan. Untuk staf

marketing, hanya mendapat gaji dari hasil komisi penjualan properti yang

dilakukannya. Besarnya komisi mengacu kepada standar yang ada atau

sesuai permintaan penjual sebelumnya /sudah ditetapkan penjual dan itu

biasanya terdapat dalam surat perjanjian pemasaran properti.


1.3.4 Cara Pemasaran Properti Untuk mendapatkan properti yang akan dijual, bagian marketing

melakukan kerjasama dengan berbagai developer perumahan atau

apartemen untuk pasar primer, dan melakukan pencarian iklan properti

disuratkabar atau langsung dilokasi seputaran kantor mereka untuk pasar

sekunder. Sedangkan dalam memasarkan properti, perusahaan tersebut

memasang iklan baris disuratkabar, menyebarkan selebaran, mencetak

tiap 2 bulan sekali semacam buletin yang khusus berisi properti-properti

yang dijual, serta melalui media internet yaitu dengan membuat website

sendiri.

1.3.5 Struktur Organisasi Adapun struktur organisasi dari perusahaan agen properti PT. Griya

Media ini adalah sebagai berikut :

Gambar 1.1. Struktur Organisasi PT. Griya Media

Direktur Utama

Departemen Umum Departemen Marketing

Administrasi Keuangan

Satpam

Staf Marketing

Kantor Pusat

Kantor Cabang

Teknologi Informasi (TI)

Koordinator Kantor

Staf Marketing

Staf Administrasi

Staf Keuangan

Staf TI

Koordinator Kantor


Rincian lengkap mengenai personil perusahaan adalah sebagai berikut :

No Nama Jabatan 1. A01 Direktur Utama 2. A02 Manager Umum 3. A03 Manager Marketing 4. A04 Kepala Bagian Administrasi 5. A05 Kepala Bagian Keuangan 6. A06 Kepala Bagian TI 7. A07 Kepala Kantor Pusat 8. A08 Kepala Kantor Cabang Jaktim 9. A09 Kepala Kantor Cabang Jaksel 10. A10 Kepala Kantor Cabang Jakbar 11. A11 Kepala Kantor Cabang Jakut 12. A12 Staf Administrasi 13. A13 Staf Keuangan 14. A14 Staf TI 15. A15 Koordinator K. Pusat 16. A16 Koordinator K. Cabang Jaktim 17. A17 Koordinator K. Cabang Jaksel 18. A18 Koordinator K. Cabang Jakbar 19. A19 Koordinator K. Cabang Jakut 20. A20 Resepsionis 21. A21 Office Boy 22. A22 Staf Marketing K. Pusat 23. A23 Staf Marketing K. Pusat 24. A24 Staf Marketing K. Pusat 25. A25 Staf Marketing K. Pusat 26. A26 Staf Marketing K. Pusat 27. A27 Staf Marketing K. Pusat 28. A28 Staf Marketing K. Pusat 29. A29 Staf Marketing K. Cabang Jaktim 30. A30 Staf Marketing K. Cabang Jaktim 31. A31 Staf Marketing K. Cabang Jaktim 32. A32 Staf Marketing K. Cabang Jaktim 33. A33 Staf Marketing K. Cabang Jaktim 34. A34 Staf Marketing K. Cabang Jaksel 35. A35 Staf Marketing K. Cabang Jaksel 36. A36 Staf Marketing K. Cabang Jaksel 37. A37 Staf Marketing K. Cabang Jaksel 38. A38 Staf Marketing K. Cabang Jaksel 39. A39 Staf Marketing K. Cabang Jakbar 40. A40 Staf Marketing K. Cabang Jakbar 41. A41 Staf Marketing K. Cabang Jakbar 42. A42 Staf Marketing K. Cabang Jakbar 43. A43 Staf Marketing K. Cabang Jakbar 44. A44 Staf Marketing K. Cabang Jakut 45. A45 Staf Marketing K. Cabang Jakut 46. A46 Staf Marketing K. Cabang Jakut 47. A47 Staf Marketing K. Cabang Jakut 48. A48 Staf Marketing K. Cabang Jakut 49. A49 Satpam K. Pusat


50. A50 Satpam K. Pusat 51. A51 Satpam K. Pusat 52. A52 Satpam K. Pusat 53. A53 Satpam K. Cabang Jaktim 54. A54 Satpam K. Cabang Jaktim 55. A55 Satpam K. Cabang Jaksel 56. A56 Satpam K. Cabang Jaksel 57. A57 Satpam K. Cabang Jakbar 58. A58 Satpam K. Cabang Jakbar 59. A59 Satpam K. Cabang Jakut 60. A60 Satpam K. Cabang Jakut

Tabel 1.1. Personil PT.Griya Media

1.3.6 Sistem Informasi dan Komunikasi Perusahaan

Sistem informasi yang dimiliki perusahaan ini adalah sebagai berikut :

• Komputer di kantor pusat dan kantor cabang menggunakan LAN

10/100 Mbps – TCP/IP

• Setiap kantor cabang mengirimkan data-data properti (update) ke

kantor pusat melalui internet dengan koneksi dial-up

• Di kantor pusat terdapat Server untuk web dan database properti

dari seluruh kantor cabang

• Perusahaan mempunyai alamat website : www.griyamedia .com

yang selalu diupdate apabila terdapat properti baru yang akan

dijual atau yang baru laku terjual

• Jumlah perangkat keras dan sambungan telekomunikasi:

Kantor Pusat

Komputer : 8 unit

Server : 2 unit

Printer Laser : 1 unit

Printer Inkjet : 1 unit (Scanner, Copier, Fax)

Router : 1 unit

Switch : 1 unit

UPS : 10 unit

PABX : 16 Line


Telepon : 5 Line

Fax : 1 Line

Masing-masing Kantor Cabang

Komputer : 3 unit

Modem 56Kbps : 1 unit (External)

Printer Inkjet : 1 unit

Hub : 1 unit

UPS : 3 unit

PABX : 8 Line

Telepon : 3 Line

Fax : 1 Line

• Aplikasi yang dipakai :

Sistem Operasi Server : Windows 2000 Server

Sistem Operasi Client : Windows XP Profesional

Aplikasi perkantoran : Microsoft Office 2000

Aplikasi keuangan : Zahir Accounting Standar

Edition


• Skema Jaringan dikantor

Gambar 1.2 Topologi Jaringan Kantor Pusat

Gambar 1.3 Topologi Jaringan Kantor Cabang


• Bagan ruang kantor

Gambar 1.4 Denah Ruangan Kantor Pusat

Keterangan:

Printer All-in-One : Printer, Scanner, Copier, Fax

R. Manager Marketing

A04 A03

R. Marketing

A07

R. Administrasi

A12

R. Keuangan

A05 A13

R. Server

A06

A14

Web Server Database Server Router Switch

R. Dir.Utama

R. Manager Umum

Pantry

WC/Toilet

R. Meeting PABX

Printer All-in-One

Printer Laser

A22 A23

A24 A25 A26

A27 A28 A15 A02 A01

A21

A20 R. Tamu


up

Lantai 1 Lantai 2 Gambar 1.5 Denah Ruangan Kantor Cabang Jakarta Timur (contoh)

1.3.7 Proses Bisnis Perusahaan

PT. Griya Media adalah sebuah perusahaan agen properti yaitu menjadi

mediator antara penjual dan pembeli properti atau dapat juga disebut

broker properti. Berbeda dengan broker tradisional yang memasarkan

propertinya dari mulut ke mulut, PT. Griya Media menggunakan berbagai

media seperti iklan baris, selebaran, buletin, papan, spanduk, jaringan

marketing yang ada, bahkan bekerjasama dengan agen properti dari

perusahaan lain yang sejenis. Terakhir, sesuai dengan kemajuan

teknologi adalah dengan menggunakan internet sebagai medianya yaitu

dengan menampilkannya di website.

Modem External Hub

Server

PABX

A08

A16

A29 A30

A31 A32

A33

A53

R. Marketing

R. Kepala Kantor Cabang R. Tamu

R. Meeting

WC/Toilet WC/Toilet

R.Gudang

Printer Inkjet

Fax


Secara garis besar proses bisnis utama dari perusahaan ini adalah

mencari klien atau customer yang akan menjual properti miliknya kepada

pihak lain, dan kemudian memasarkannya melalui berbagai cara seperti

yang disebutkan diatas, serta perusahaan mendapatkan imbalan berupa

komisi yang besarnya telah ditentukan apabila properti tersebut laku

terjual. Selain itu ada proses bisnis lainnya yang tidak kalah penting yaitu

adanya klien yang meminta bantuan kepada agen untuk mencarikan

properti yang sesuai dengan keinginannya. Agen dapat mencarikan

properti tersebut dalam database yang dipunyainya dan apabila tidak ada

dapat bekerjasama dengan agen properti lainnya yang masih satu

perusahaan ataupun yang berbeda perusahaan. Jika cara tersebut belum

membuahkan hasil sedangkan klien sangat serius untuk

mendapatkannya, maka dapat ditempuh dengan cara seperti dalam

memasarkan properti yaitu melalui iklan baris, selebaran, papan, spanduk,

internet, dan sebagainya.

Komisi yang didapat oleh agen properti atau staf marketing sebagai

hasil dari penjualan properti besarnya telah ditetapkan oleh perusahaan

dan mendapatkan persetujuan dari penjual. Selain itu penjual dapat

menetapkan besarnya komisi yang akan diberikan kepada agen yang

akan memasarkan propertinya dan apabila kisarannya tidak terlalu jauh

dari standar perusahaan biasanya agen menyetujuinya. Staf marketing

atau biasa disebut dengan agen akan mendapatkan penghasilan yang

besarnya setengah dari komisi yang diberikan penjual kepada agen

sedangkan setengah lainnya diberikan kepada perusahaan (setelah

sebelumnya dipotong pajak).

Ada 2 macam tipe pasar yang digarap oleh PT. Griya Media yaitu

pasar primer dan pasar sekunder. Pasar primer mengandalkan properti

yang dimiliki oleh developer perumahan atau apartemen sedangkan pasar

sekunder berasal dari perseorangan/organisasi yang akan menjualkan

properti yang telah dipakainya. Didalam pasar primer, perusahaan


melakukan beberapa cara seperti menyediakan agen-agennya kepada

developer untuk memasarkan propertinya ketika ada pameran properti,

serta dalam acara grand launching sebuah properti baru. Untuk pasar

sekunder, perusahaan mengadakan berbagai cara dalam mencari properti

yang akan dijual seperti (selain yang telah disebutkan diatas) melakukan

pengenalan lokasi disekitar kantornya (canvassing), melakukan

penyebaran kartu nama atau selebaran (farming), mencari dan melakukan

kontak kepada penjual yang mengiklankan propertinya di koran (terutama

yang membubuhkan kata-kata tanpa perantara), melakukan open house

di tempat properti yang akan dijual, dan sebagainya.


BAB II PROTEKSI DAN KEAMANAN SISTEM INFORMASI

2.1. Security Management Practices Tujuan:

• Mengidentifikasi aset perusahaan terutama information asset

beserta cara terbaik untuk menentukan tingkat pengamanannya.

• Menentukan anggaran yang patut untuk implementasi

keamanannya.

Pembahasan:

2.1.1. Identifikasi Aset Aset yang dimiliki perusahaan terdiri atas aset fisik dan aset non

fisik. Aset fisik yang dimiliki perusahaan adalah:

a. Bangunan

Bangunan yang berada dikantor pusat adalah merupakan sebuah

rumah tempat tinggal milik Direktur Utama yang terletak di kawasan

Pejompongan dan terletak dipinggir jalan Bendungan Hilir Raya yang

merupakan daerah bisnis. Untuk kantor-kantor cabang, bangunan

yang dipakai adalah sebuah ruko 2 ½ lantai yang disewa dari

pemiliknya dengan jangka waktu 5 tahun. Ke empat kantor cabang

tersebut terletak di kawasan bisnis yang potensial dan mempunyai

tempat parkir yang mencukupi.

Luas bangunan Kantor Pusat adalah 181 m2 dan luas tanah 360

m2 serta mempunyai tempat parkir yang dapat menampung 7 mobil

dan 15 sepeda motor. Untuk mengantisipasi apabila tempat parkir

tidak mencukupi maka dapat digunakan trotoar didepan rumah

sebanyak 3 mobil dan disebelah rumah yang merupakan Ruko

sebanyak 3 mobil. Untuk parkir mobil tamu, Satpamlah yang

melakukan tugas pengaturannya.


Luas bangunan Kantor Cabang adalah 200 m2 dan terletak didalam

sebuah komplek Ruko dengan 2 pintu gerbang yang dijaga Satpam

komplek secara bergiliran selama 24 jam. Daya tampung mobil di

komplek Ruko adalah mencukupi (rata-rata 40 mobil) sedangkan

didepan kantor dapat menampung 4 mobil (2 mobil saling

berhadapan).

b. Peralatan Kantor

Peralatan kantor yang dimiliki perusahaan adalah:

1. Perangkat komputer beserta peripheralnya

2. Furniture (meja, kursi, sofa, filing cabinet, dsb)

3. Brankas

4. Perangkat PABX beserta teleponnya

5. Perangkat elektronik (TV, Camera Digital, AC)

6. Perangkat pemadam kebakaran

7. Perangkat Genset (Kantor Pusat)

Aset non fisik yang mempunyai nilai bagi perusahaan adalah aset data

yaitu:

1. Data properti

Data properti disini adalah berupa data-data tentang rumah

yang dipasarkan dalam wujud kertas yang disimpan dalam filing

cabinet serta tercantum foto properti dan pemilik properti. Untuk

mengakses data ini harus sepengetahuan dan seijin

Koordinator Kantor. Selain disimpan dalam bentuk kertas, data

tersebut disimpan dalam bentuk Compact Disk (CD) dan

disimpan secara kategorial misalnya data kavling, rumah, ruko,

apartemen, gudang/pabrik, dsb. CD-CD yang berisi data

tersebut disimpan dalam sebuah rak yang dikunci oleh

Koordinator Kantor. Selain itu diruang resepsionis dipasang

beberapa board atau papan yang berisi gambar-gambar


properti yang dijual atau disewakan beserta data-datanya

kecuali data pemilik properti. Karena keterbatasan tempat maka

properti yang dipasang adalah properti-properti yang potensial

atau saleable.

Apabila ada customer yang berkunjung ke kantor dan ingin

melihat-lihat properti yang dijual, maka resepsionis memanggil

agen marketing yang bertugas saat itu untuk menemani dan

memberi penjelasan atas properti yang dicari atau diminati oleh

customer. Apabila customer masih belum menemukan apa

yang diminatinya, agen dapat mempersilahkan masuk ke ruang

meeting untuk berbincang-bincang lebih serius apa yang

diinginkan oleh customer sambil diperlihatkan file-file properti

yang sudah dipersiapkan dalam sebuah album sehingga

menarik untuk dilihat.

2. Data Keuangan

Data keuangan adalah data-data finansial yang berasal dari

penerimaan dan pengeluaran perusahaan dan dilakukan

pencatatan atau record kedalam komputer oleh staf keuangan

melalui program aplikasi Zahir Accounting Standar Edition

version 4.0 yang dijual secara paket. Untuk menjaga

kerahasiaan data-data keuangan maka komputer dibagian

finansial tidak dapat diakses dari dalam maupun luar jaringan

serta terdapat password untuk mengoperasikan komputer

tersebut. Hasil pencetakan data finansial yang salah wajib

dihancurkan dengan mesin shredder yang ada sedangkan bagi

kantor yang tidak mempunyai alat tersebut harus disobek-sobek

menjadi serpihan-serpihan kecil sehingga tidak dapat dibaca

lagi.

Data-data finansial dimasukkan kedalam box file dan disimpan

kedalam filing cabinet yang dikunci oleh Kepala Bagian


Keuangan. Untuk melihat data keuangan harus sepengetahuan

dan seijin Kepala Bagian Keuangan. Untuk di kantor cabang

urusan finansial ditangani oleh Koordinator Kantor masing-

masing, dan datanya dikirim melalui internet ke Kantor Pusat

tiap bulannya. Di kantor pusat data didownload dan diproses

untuk masuk sebagai bahan laporan keuangan perusahaan.

Apabila terdapat gangguan dalam pengiriman melalui internet,

sedangkan data sangat dibutuhkan untuk laporan keuangan

bulanan, maka data disimpan di disket dan dikirimkan ke Kantor

Pusat secara manual (memakai mobil/motor).

3. Data Personalia

Data-data karyawan perusahaan dibuat oleh staf administrasi

dan disimpan dalam bentuk berkas dan file komputer.

Keduanya disimpan atas petunjuk Kepala Bagian Administrasi

yaitu untuk yang berupa berkas disimpan dalam filing cabinet

sedangkan yang berupa file direkam di CD dan disimpan oleh

Kepala Bagian Administrasi disebuah filing cabinet dan dikunci.

Untuk data-data pelamar yang pernah mengajukan permohonan

kerja juga disimpan dalam box file tersendiri dan disimpan

dalam lemari terkunci. Apabila perusahaan membutuhkan

karyawan baru maka Kepala Administrasi dapat mengambil

berkas file tersebut untuk dibuka kembali.


2.1.2. Identifikasi ancaman/resiko Tidak selamanya kegiatan operasional perusahaan dapat berjalan

dengan mulus. Adakalanya mengalami gangguan atau ancaman yang

dapat menimbulkan kerugian bagi perusahaan. Kegiatan yang melakukan

identifikasi ancaman atau resiko adalah merupakan bagian dari

manajemen resiko yang dilakukan oleh perusahaan.

Ancaman-ancaman terhadap aset-aset perusahaan dapat dijabarkan

sebagai berikut:

No Deskripsi Ancaman Pencegahan Penanggulangan1 Data properti a. dicuri

b. dihapus

c. terbakar

d. diubah

e. salah ketik

a. Disimpan dalam

filing cabinet dan

dikunci.

b. Data hanya bisa

diedit di komputer

Manajer Marketing

(MM) dan

Koordinator Kantor

(KK)

c. Penyediaan alat

pemadam kebakaran

didekat tempat

penyimpanan data

properti.

d. Seperti jawaban

(b)

e. Pemeriksaan

penulisan oleh agen

properti dan

Koordinator Kantor

a. Penggantian

tempat

penyimpanan

b. Pengubahan

data harus

diotorisasi oleh MM

& KK

c. Memakai

brankas tahan api.

d. Seperti jawaban

(b)

e. Pemeriksaan

penulisan data oleh

MM, KK, & agen

properti.


f. data rusak

g. terkena

virus/worm

f. Melakukan back-

up data secara

berkala

g. update anti virus

secara berkala

f. Back-up data

secara otomatis

setelah

mengupdate data

baru.

g. Back-up data

secara otomatis.

2. Data

Keuangan

a. terbakar

b. dicuri

c. dihapus /

diganti

d. salah ketik

e. data rusak

a. Penyediaan alat

pemadam kebakaran

didekat tempat

penyimpanan data

properti.

b. Disimpan dalam

filing cabinet dan

dikunci.

c. Data hanya bisa

diedit di komputer

Kepala Bagian

Keuangan dan

Koordinator Kantor

(KK)

d. Data hanya bisa

diedit di komputer

Kepala Bagian

Keuangan dan

Koordinator Kantor

(KK)

e. Melakukan back-

up data secara

a. Memakai

brankas tahan api.

b. Penggantian

tempat

penyimpanan:

dibrankas

c. Pengubahan

data harus

diotorisasi oleh

Kabag. Keuangan

& KK

d. Pemeriksaan

penulisan data oleh

Kabag. Keuangan,

& KK

e. Back-up data

secara otomatis


f. kena

virus/worm

berkala

f. Update anti virus

secara berkala

setelah

mengupdate data

baru.

f. Back-up data

secara otomatis

3. Data

Personalia

a. terbakar

b. dicuri

c. dihapus /

diganti

d. salah ketik

e. data rusak

a. Penyediaan alat

pemadam kebakaran

didekat tempat

penyimpanan data

properti.

b. Disimpan dalam

filing cabinet dan

dikunci.

c. Data hanya bisa

diedit di komputer

Kepala Bagian

Administrasi dan

Koordinator Kantor

(KK)

d. Data hanya bisa

diedit di komputer

Kepala Bagian

Administrasi dan

Koordinator Kantor

(KK)

e. Melakukan back-

up data secara

berkala.

a. Memakai

brankas tahan api.

b. Penggantian

tempat

penyimpanan:

dibrankas

c. Pengubahan

data harus

diotorisasi oleh

Kabag Administrasi

& KK

d. Pemeriksaan

penulisan data oleh

Kabag

Administrasi, & KK

e. Back-up data

secara otomatis

setelah

mengupdate data


f. kena

virus/worm

f. Update anti virus

secara berkala.

baru.

f. Back-up data

secara otomatis

Tabel 2.1. Daftar aset non fisik

Ancaman-ancaman terhadap aset-aset fisik perusahaan adalah:

No Deskripsi Ancaman Pencegahan Penanggulangan

1. Gedung

beserta isinya

a. Kebakaran

a. Tersedia 3 tabung

pemadam kebakaran

dan box hydrant (KP),

2 tabung pemadam

kebakaran (KC), pintu

keluar 2 bh, cukup

sinar masuk dari

jendela ketika kondisi

gelap, mencari lokasi

di hoek (Ruko),tersedia

lampu darurat ditempat

yang telah ditentukan,

terdapat saklar

pemutus arus (NCB)

yang masih berfungsi,

kabel instalasi listrik

terlindung didalam pipa

a. Hotline Kantor

Pemadam

Kebakaran

terdekat, Asuransi

Kebakaran


b. Pencurian

c. Perampokan

d. Banjir

PVC, sambungan

kabel listrik terlindung

oleh isolasi.

b. Satpam jaga 24 jam,

kunci tambahan dipintu

masuk, jendela diberi

teralis besi, pagar

kawat berduri, lampu

penerangan disudut-

sudut rumah,

c. Satpam jaga 24 jam,

Satpam mahir bela diri

dan dari lingkungan

setempat, tidak

menerima tamu diluar

jam kerja atau tanpa

keperluan yang jelas,

pemeriksaan fisik

terhadap tamu yang

mencurigakan

d. Pemeriksaan dan

pembersihan saluran

air didepan kantor

sebulan sekali, teras

lebih tinggi dari

halaman kantor,

barang-barang

elektronik tidak

diletakkan dilantai

b. Hotline Kantor

Polisi terdekat,

Asuransi Kerugian

c. Hotline Kantor

Polisi terdekat,

Asuransi Kerugian

d. Tersedia karung-

karung pasir,

pompa air portable,

Asuransi Kerugian

Tabel 2.2. Daftar ancaman terhadap aset fisik perusahaan


Ancaman terhadap aset teknologi informasi perusahaan adalah:

No Deskripsi Ancaman Pencegahan Penanggulangan1. Aplikasi

komputer

(Software)

a. Virus/worm

b. Spyware /

Trojan /

Hijacker

a. Antivirus freeware

(AntiVir Personal

Edition) diinstall di

server dan client dan

diupdate secara teratur

olef staf TI (HO) dan

Koordinator Kantor di

kantor cabang melalui

internet, tidak

membuka email yang

tidak dikenal, tidak

membuka attachment

yang bukan

berekstensi doc, xls,

dan pdf

b. Anti Spyware

(Spybot Search &

Destroy) yang bersifat

freeware diinstall di

server dan client dan

diupdate secara teratur

olef staf TI (HO) dan

Koordinator Kantor di

kantor cabang melalui

internet

a. Scan ulang hard

disk dalam safe

mode

b. Scan ulang hard

disk dalam safe

mode


3. Komputer dan

peripheral

(Hardware)

a. Rusak

karena sudah

terlalu tua

(lifetime nya

sudah berakhir)

b. Rusak

karena

malfunction

a. Penggunaan hanya

dijam kantor dan untuk

keperluan kantor saja,

kondisi off jika tidak

dipakai untuk waktu

yang lama (> 3 jam)

b. Pemeriksaan teratur

oleh staf TI tiap

bulannya

a. Hubungi teknisi,

diganti dengan

spesifikasi minimal

sama dengan yang

lama

b. Hubungi teknisi,

ganti komponen

yang rusak

Tabel 2.3. Daftar ancaman terhadap aset teknologi informasi perusahaan

2.1.3. Analisa Resiko Dalam manajemen resiko, setelah dilakukan identifikasi aset

perusahaan adalah melakukan analisa resiko. Pada analisa resiko ini

akan dilakukan dengan pendekatan Kuantitatif yaitu pendekatan secara

finansial sehingga dapat mendukung perencanaan anggaran dan mampu

memberikan informasi kepada manajemen. Hasil analisa resiko dapat

dilihat tabel dibawah ini:


No Aset Resiko

Nilai Aset

(Rp)

Potensi

Kerugian

(SLE)

(Rp)

Frekuensi

Kejadian

(ARO)

(Rp)

Kerugian per

tahun (ALE)

(Rp)

1 Data Virus/worm 20,000,000 2,000,000 2 4,000,000

2 Dokumen

perusahaan

Dicuri 10,000,000 1,000,000 1 1,000,000

3 Sistem Operasi

Server (2

server)

Virus/worm 10,000,000 4,000,000 2 8,000,000

4 Sistem Operasi

Client (20 client)

Virus/worm 18,000,000 1,800,000 2 3,600,000

5 Aplikasi

perkantoran

Virus/worm 2,100,000 420,000 2 840,000

6 Aplikasi

finansial

Virus/worm 25,000,000 2,500,000 2 5,000,000

7 Gedung (Kantor

Pusat)

kebakaran 500,000,000 250,000,000 0.1 25,000,000

8 PC Desktop

Server (2)

dicuri 20,000,000 10,000,000 1 10,000,000

9 PC Desktop

(20)

dicuri 100,000,000 10,000,000 1 10,000,000

10 Router dicuri 2,000,000 2,000,000 1 2,000,000

11 Switch dicuri 700,000 700,000 1 700,000

12 Hub (4) dicuri 2,000,000 500,000 1 500,000

13 Modem external

(4)

dicuri 1,200,000 400,000 1 400,000

13 Printer (all in

one)

dicuri 3,000,000 3,000,000 1 3,000,000


14 Printer Laser dicuri 1,500,000 1,500,000 1 1,500,000

15 Printer Inkjet (4) dicuri 2,000,000 500,000 1 500,000

16 PABX (16 line)

with 18 handset

dicuri 20,000,000 2,000,000 1 2,000,000

17 PABX (8 line)

with 8 handset

dicuri 11,000,000 1,100,000 1 1,100,000

18 Faksimile (4) dicuri 3,200,000 800,000 1 800,000

19 UPS 1200 VA

(2)

dicuri 3,000,000 1,500,000 1 1,500,000

20 UPS 600 VA

(20)

dicuri 8,000,000 800,000 1 800,000

21 LAN (5) putus 5,000,000 500,000 0.5 250,000

T O T A L 82,490,000

Tabel 2.4. Daftar hasil analisa resiko kuantitatif

Keterangan:

1. SLE : Single Loss Expectancy

• Kerugian finansial yang muncul jika terjadi satu (1) kali bencana

• SLE = Asset Value x Exposure Factor

• Asset Value: nilai aset (Rp)

• Exposure Factor (EF): besarnya prosentasi kerugian yang diderita

dalam satu bencana (0% - 100%)

2. ARO : Annual ized Rate of Occurrence

• Perkiraan frekuensi dari sebuah ancaman yang akan terjadi dalam

1 (satu) tahunnya.

• Ancaman yang terjadi sekali dalam 10 tahun, ARO = 1/10 = 0.1

• Ancaman yang terjadi 50 kali dalam setahun, ARO = 50


• Nilai ARO ditentukan berdasarkan hasil investigasi tentang

ancaman-ancaman yang pernah terjadi di daerah sekitar lokasi

kantor.

• Berdasarkan hasil investigasi, didaerah sekitar lokasi kantor agen

properti didapatkan data sebagai berikut:

- Kebakaran : 10 tahun sekali, ARO = 1/10 = 0.1 (karena terletak

jauh dari pemukiman padat penduduk)

- Pencurian : 1 tahun sekali, ARO = 1/1 = 1 (terutama menjelang

lebaran/arus mudik)

- Virus/worm : 2 kali setahun, ARO = 2/1 = 2 (tiap semester ada

virus ganas muncul di internet dan menyebar cepat di

Indonesia)

- LAN putus : 2 tahun sekali, ARO = 1/2 = 0.5 (data internal

perusahaan)

3. ALE : Annualized Loss Expectancy

• Perkiraan kerugian yang diderita setiap tahunnya (Rp)

• ALE = SLE x ARO

Beberapa tindakan perusahaan untuk menjaga aset informasi:

• Memberikan akses komputer kepada orang yang benar-benar

berhak menggunakan komputer dengan cara memberikan ID dan

password kepada masing-masing anggota departemen kecuali

satpam.

• Apabila terdapat data-data tentang properti, keuangan, dsb dikertas

yang tidak terpakai akan dihancurkan dengan mesin shredder atau

disobek/dipotong-potong hingga tidak bisa terbaca.

• Data tentang penjual properti tidak ditampilkan di web melainkan

hanya diketahui oleh agen yang bersangkutan dan koordinator

kantor.


2.2. Access Control Systems and Methodology Tujuan:

• Mengetahui mekanisme dan metode yang dipergunakan para

administrator/manager untuk mengontrol apa yang boleh diakses

pengguna termasuk yang boleh dilakukan setelah otentifikasi dan

otorisasi serta pemantauannya

Pembahasan:

Access Control didefinisikan sebagai:

• Kemampuan untuk membolehkan pemakai/user yang berhak untuk

menjalankan program atau memproses sistem atau mengakses

sumber daya/resource.

Di PT. Griya Media terdapat beberapa mekanisme untuk

pengontrolan yang harus dijalankan oleh para stafnya dalam mengakses /

menjalankan / memproses sesuatu yang berkaitan dengan pekerjaan

yang ditanganinya. Mekanisme tersebut terdiri atas 3 hal yang penting

yaitu:

1. Identifikasi

Merupakan suatu proses atau aksi yang dilakukan oleh user untuk

membuktikan siapa (identitas) dirinya kepada sistem.

2. Otentikasi

Sistem melakukan verifikasi terhadap identitas yang diberikan oleh

user.

3. Otorisasi

Sistem memberikan hak/kemampuan kepada user setelah

mendapat otentikasi

Untuk menggunakan komputer yang ada di perusahaan, tiap staf

mendapatkan user id dan password dari Kepala Bagian TI yang bersifat


rahasia. Hal ini dimaksudkan agar tiap staf hanya bisa mengakses

komputer sesuai dengan bagian/haknya masing-masing. Misalnya bahwa

staf marketing tidak bisa mengakses data keuangan yang dibuat oleh

bagian keuangan, bagian umum tidak bisa melihat data properti yang ada

didalam komputer kecuali yang sudah dicetak, dan sebagainya. Untuk

lebih jelasnya dapat melihat tabel di bawah ini yang menunjukkan

kewenangan masing-masing staf dalam menjalankan komputer.

Jenis Data Level

Manajer &

Ka-Bag.

Bagian

Umum

Bagian

Keuangan

Bagian

Marketing

Bagian TI

Data

properti

akses - - akses akses

Data

keuangan

akses - akses - akses

Data

personalia

akses akses - - akses

Tabel 2.5. Daftar akses yang diperbolehkan

Untuk penggunaan internet, terdapat kebijakan dari perusahaan

bahwa tidak semua staf mempunyai hak mengaksesnya. Hal ini

disebabkan untuk menghindari resiko masuknya virus, worm dan

sebagainya yang dapat merusak sistem komputer perusahaan. Akses

internet hanya dapat dilakukan di level manager, kepala bagian, dan

koordinator kantor.


2.3. Telecommunications and Network Security Tujuan:

• Mengetahui berbagai aspek keamanan yang terkait dengan

berbagai jenis jaringan komputer/telekomunikasi.

Pembahasan:

PT. Griya Media mempunyai jaringan telekomunikasi dan jaringan

komputer disetipa kantornya. Untuk telekomunikasi, digunakan sistem

PABX yaitu di kantor pusat mempunyai 4 line telpon yang masuk kedalam

sistem PABX berkapasitas 16 saluran dan di kantor cabang 3 line dengan

PABX kapasitas 8 saluran. Semua nomor telpon yang dipakai bersifat

hunting artinya hanya menggunakan satu nomor telpon untuk semua line

dan nomor telepon tersebut dipilih angka yang mudah diingat oleh setiap

orang atau calon customer.

Di kantor pusat dan kantor cabang digunakan jaringan komputer

(LAN) yang menggunakan protokol TCP/IP. Untuk merawat /

mengoperasikan jaringan komputer dimasing-masing kantor, perusahaan

menugaskan staf TI untuk melakukan pemeriksaan secara berkala serta

memberikan tip-tip penggunaan dan perbaikan seputar LAN kepada

Koordinator Kantor. Tiap 3 bulan sekali diadakan pemeriksaan jaringan di

kantor pusat dan kantor cabang. Apabila ada gangguan atau kerusakan

pada jaringan komputer yang tidak dapat diatasi oleh Koordinator Kantor,

kantor cabang dapat meminta bantuan kantor pusat untuk mengirimkan

staf TI guna memperbaiki gangguan atau kerusakan tersebut.

Karena jaringan komputer di kantor pusat terhubung dengan

internet serta adanya jaringan internal dan web server maka dibuatlah

suatu zona yang disebut De-Militarized Zone (DMZ). Di dalam DMZ

dipasang Firewall yang berfungsi untuk keamanan jaringan yaitu

mencegah akses dari luar masuk kedalam jaringan internal perusahaan.

Firewall membuang paket IP dengan address tertentu (source,


destination) atau TCP port number (services yang dibatasi). Firewall yang

dipakai berupa Router yang diprogram khusus untuk membatasi “site” dan

external network.

Di kantor cabang tidak terdapat Firewall yang dipasang karena

hanya komputer Kepala Cabang dan Koordinator Kantor saja yang

terhubung ke internet melalui modem external dan menggunakan koneksi

dial-up. Internet disini dipakai untuk mengirimkan data properti dan data

keuangan melalui email ke kantor pusat tiap bulannya. Untuk memeriksa

data properti yang telah dikirimkan ke kantor pusat telah diterima dan

diproses, koordinator kantor dapat melihat di website perusahaan yaitu

dibagian properti yang dijual. Disitu akan terlihat data-data properti yang

dijual dari masing-masing kantor cabang.

2.4. Cryptography Tujuan:

• Mengetahui berbagai metode dan teknik penyembunyian data

dengan menggunakan kriptografi.

Pembahasan:

Cryptography adalah suatu teknik penyandian yang dilakukan

dalam mengirim data melalui internet guna menyembunyikan informasi

tersebut dari pihak lain. Biasanya data yang akan dikirim tersebut

dienkripsi terlebih dahulu dan kemudian sesampainya dipenerima akan

didekripsi dan baru bisa dibaca kemudian. Data-data yang dikirim melalui

teknik tersebut diatas adalah data yang bersifat sangat rahasia dan sering

merupakan data transaksi keuangan seperti pembayaran via internet,

nomor kartu kredit, dan sebagainya.


Di PT. Griya Media, data yang dikirim melalui internet adalah data

data dari kantor cabang yang melaporkan kegiatannya selama satu bulan

secara periodik. Data yang dikirim adalah data properti dan data

keuangan. Data properti adalah data tentang properti yang baru saja

diterima dari client untuk dipasarkan, dan properti yang telah laku terjual

pada bulan tersebut. Data keuangan adalah data tentang pendapatan

perusahaan selama satu bulan itu serta biaya operasional kantor cabang

termasuk gaji staf tidak termasuk staf marketing.

Data properti dikirim melaui email oleh Koordinator Kantor Cabang

dan ditujukan ke Manager Marketing untuk ditampilkan di website melalui

bantuan staf TI. Apabila ada customer yang tertarik untuk mengetahui

properti tersebut lebih lanjut, mereka dapat menelpon langsung ke staf

marketing yang bersangkutan atau kantor cabang dimana properti

tersebut dipasarkan (nomor telepon ditampilkan di website).

Data keuangan dikirim ke kantor pusat juga melalui email oleh

Koordinator Kantor dan ditujukan ke Kepala Bagian Keuangan untuk

didownload dan dimasukkan ke dalam aplikasi keuangan guna

pembuatan laporan keuangan perbulannya. Data keuangan menampilkan

data pendapatan dan pengeluaran kantor cabang semata tanpa terdapat

kegiatan atau transaksi pembayaran properti melalui internet.

Demi menjaga kerahasiaan dan keamanan data maka dalam

pengiriman data keuangan dan data properti melalui email tersebut

diharuskan memakai sistem kriptografi. Metode kriptografi yang digunakan

masih sederhana, yaitu : Symmetric Key Cryptography, dimana pada

metode ini antara pengirim dan penerima memiliki private key yang sama.

Alasan pemakaian metode ini yaitu karena pada masing – masing cabang

tidak terdapat staf IT, sehingga proses pengiriman data secara enkripsi

harus lebih mudah untuk dipahami dan dilakukan oleh koordinator kantor

yang bertugas untuk mengirimkan data ke kantor pusat, selain itu data

yang dikirim hanya berupa data transaksi, petugas tidak perlu melakukan

konfigurasi private key dan setting ulang setiap kali akan melakukan


pengiriman data. Sistem akan secara otomatis menyertakan private key

yang baku bersama dengan data yang dikirim.

Metode ini tentu saja mengandung resiko, dimana bisa saja staf

membocorkan informasi user id dan private key, sehingga data bisa

daikses oleh orang luar. Oleh sebab itu salah satu kebijakan yang diambil

perusahaan adalah baik user name , password, maupun private key harus

diganti dalam periode 1 bulan sekali.

2.5. Security Architecture and Models Tujuan:

• Mengetahui berbagai konsep, prinsip dan standar untuk merancang

dan mengimplementasikan aplikasi, sistem operasi, dan sistem

yang aman.

Pembahasan:

Dalam mengelola sistem informasi perusahaan, PT. Griya Media

menerapkan sistem terbuka khusus untuk sub sistem Properti, dimana

daftar properti yang dipasarkan dan telah terjual dapat diakses oleh siapa

saja melalui web site, hal ini ditujukan untuk mendukung aktivitas

marketing.

Sedangkan untuk sub sistem lainnya, diterapkan sistem tertutup,

dimana hanya pihak intern perusahaan saja yang berhak untuk

mengakses masing – masing sistem. Guna melakukan tindakan preventif

supaya data perusahaan tidak dibaca oleh orang – orang yang tidak

berwenang dan dipergunakan untuk hal – hal yang merugikan

perusahaan, maka masing-masing bagian memperoleh hak akses yang

berbeda – beda sesuai dengan fungsi dan job description-nya.

Pengecualian diberikan kepada karyawan pada level Kepala Bagian atau

yang lebih tinggi, dimana mereka memiliki wewenang untuk untuk


mengakses semua sistem yang ada, namun hanya sebatas membaca

data. Data selengkapnya mengenai wewenang masing-masing staf dapat

dilihat pada tabel matrix dibawah ini :

No Nama Jabatan Sub

Sistem Properti

Sub Sistem

Keuangan

Sub Sistem

Personalia

Keterangan

1. A01 Direktur Utama R R R 2. A02 Manager Umum R R CRED 3. A03 Manager Marketing CRED R R 4. A04 Kepala Bagian

Administrasi R R CRED

5. A05 Kepala Bagian Keuangan

R CRED R

6. A06 Kepala Bagian TI CRED CRED CRED 7. A07 Kepala Kantor Pusat R R R 8. A08 s/d

A11 Kepala Kantor Cabang

R R R Kepala Kantor pusat dan setiap cabang

9. A12 Staf Administrasi - - CRED 10. A13 Staf Keuangan - CRED - 11. A14 Staf TI CRED CRED CRED 12. A15 s/d

A19 Koordinator Kantor CRED CRED - Koornonator Kantor

Pusat & setiap cabang. Hanya untuk sistem pada masing-masing wilayah

13. A20 Resepsionis - - - 14. A21 Office Boy - - - 15. A22 s/d

A48 Staf Marketing CRED - - Hanya untuk sistem pada

masing-masing wilayah 16. A49 s/d

A60 Satpam - - -

Tabel 2.6. Daftar wewenang staf dalam mengakses sistem

Keterangan :

1. C = Create, R=Read, E=Edit, D=Delete

2. Staf Koordinator Kantor Cabang hanya berhak untuk melakukan CRED pada

sub sistem properti dan sub sistem keuangan pada cabang tempat dia

berada.

3. Staf Marketing hanya berhak untuk melakukan CRED pada sub sistem

properti pada cabang tempat dia berada.


2.6. Operations Security Tujuan:

• Mengetahui berbagai konsep, prinsip, dan standar untuk

merancang dan mengimplementasikan aplikasi, sistem operasi,

dan sistem yang aman.

Pembahasan:

Tindakan yang akan dilakukan oleh PT. Griya Media pada

dasarnya dibagi menjadi 3 kategori yaitu :

a. Preventive control: kontrol atau pengendalian yang dilakukan untuk

memperkecil sejumlah akibat dari error dan mencegah

perusak/penyerang yang tidak berwenang

Yaitu dengan menerapkan aturan – aturan baku untuk operasional,

misalnya :

Pembatas wewenang untuk akses sistem sesuai dengan

masing-masing fungsi dan job description dengan

menggunakan autentifikasi user name dan password untuk

masuk ke dalam sustem.

Yang berhak masuk ke ruangan server adalah Kepala

Bagian TI dan stafnya.

Komputer hanya boleh dipakai pada jam kantor.

Yang diperbolehkan menggunakan internat hanya level

kepala bagian atau yang lebih tinggi

b. Detective control: merupakan kontrol atau pengendalian yang

dilakukan untuk mendeteksi error pada saat kesalahan itu terjadi

Hanya dapat dilakukan di kantor pusat, sebab tidak ada staf TI yang

ditempatkan di kantor cabang. Apabila terjadi eror pada kantor pusat,

staf IT dapat langsung mendeteksi sumber dari permasalahann

tersebut.


c. Corrective (recovery) control: merupakan kontrol atau pengendalian

yang dilakukan untuk membantu mengurangi pengaruh dari

kerusakan/kehilangan data

Apabila terjadi eror pada kantor cabang, maka staf TI akan

didatangkan ke tempat tersebut guna melakukan recovery sistem dan

melakukan setting ulang sesuai dengan kondisi sebelum terjadi eror.

2.7. Applications and Systems Development Tujuan:

• Mengetahui berbagai aspek keamanan dan kendali yang terkait

pada pengembangan sistem informasi.

Pembahasan:

PT. Griya Media menerapkan domain ini dalam bentuk kewajiban

setiap pegawai harus menandatangani surat pernyataan bahwa mereka

diwajibkan menjaga dan melindungi data – data rahasia perusahaan

Sedangkan terkait dengan aspek kontrol terhadap pengembangan

dan gangguan terhadap sistem, gangguan pada software yang sering

terjadi disebabkan oleh virus, meskipun sudah dilakukan update antivirus

secara berkala, hal tersebut terkadang tidak dapat mencegah serangan

virus. Jika ruang lingkup kerusakan tidak terlalu bersar staf TI, berikut

dengan teknisi akan membantu memperbaiki dan melakukan setting

ulang. Namun jika kerusakan yang terjadi terlalu besar, maka perlu

didatangkan teknisi dari luar atau dibawa ke perbaikan computer.

Keamanan data pada server diserahkan pada administrator baik

database ataupun jaringan. Keamanan database dibuat dengan

memberikan spesifikasi file yang berbeda-beda. File-file yang bersifat

rahasia seperti data keuangan, data personalia, dan keuangan diberikan


password dan pemberian hak akses yang berbeda untuk setiap

pengguna.

Secara berkala administrator melakukan backup dalam bentuk

penyimpanan CD. Hal ini dilakukan jika sewaktu-waktu terjadi kerusakan

sistem, data-data masih dapat digunakan kembali.

2.8. Disaster Recovery and Business Continuity Plan Tujuan:

• Mengetahui bagaimana aktifitas bisnis dapat tetap berjalan

meskipun terjadi gangguan atau bencana.

Pembahasan:

Pada dasarnya bisnis ini tidak terlalu sensitif terhadap Teknologi

Informasi, sebab pengiriman data belum dilakukan secara online dan

update data juga belum dilakukan secara real time, hanya saja pencatatan

transaksi, data personalia, dan aktivitas marketing akan sangat terbantu

dengan adanya Teknologi Informasi ini. Tindakan preventif yang telah

dilakukan:

• Melakukan back-up secara rutin setiap minggu sekali dengan

bantuan media Compact Disk. CD ini disimpan di kantor dengan

ada wewenang dan tanggung jawab untuk membawa kunci

tersebut.

• Menyiapkan Stavol UPS pada setiap kantor, guna mengantisipasi

gangguan pada aliran listrik..

• Sebagian karyawan, terutama Satpam diambil dari orang yang

lokasi tempat tinggalnya dekat dengan kantor, sehingga dapat

segera dipanggil dalam keadaan darurat (emergency).


Apabila terjadi bencana besar yang sangat membahayakan kelangsungan

hidup perusahaan, maka langkah – langkah yang harus dilakukan adalah:

• Menyelamatkan back up data pada CD.

• Menghubungi salah satu petingi perusahaan (bila dapat).

• Menghubungi karyawan yang rumahnya paling dekat (bila dapat).

• Menyelamatkan perangkat keras.

Tujuan utamanya adalah supaya bisnis tetap bisa terus berjalan. Back up

CD tersebut dapat dipergunakan untuk tetap menjalankan perusahaan

meskipun dengan perangkat keras yang seadanya.

2.9. Laws, Investigations, and Ethics Tujuan:

• Mengetahui berbagai jenis aturan yang terkait dengan kejahatan

komputer dan legalitas transaksi elektronik

• Mengetahui masalah etika dalam dunia komputer

Pembahasan:

Kondisi perusahaan sekarang terhadap domain tentang hukum,

penyelidikan dan etika di dunia teknologi informasi adalah sebagai

berikut:

• Perusahaan menggunakan software windows sebagai sistem

operasi, Microsoft office sebagai penunjang office automation, dan

software aplikasi distribusi dari distributor pusat.

• Seluruh software yang digunakan adalah legal dan PT. Griya Media

memiliki lisensi penggunaannya.

• Tidak semua pegawai mengerti tentang arti pentingnya masalah

legalitas penggunaan software, sebagian besar hanya mengerti

tentang penggunaannya tanpa memperdulikan dampaknya apabila

menggunakan software bajakan terhadap perusahaan.


• Perlu adanya pengarahan dan training mengenai penggunaan

komputer dengan segala aspeknya, termasuk di dalanya aspek

legalitas.

PT. Griya Media tidak mempunyai rencana yang jelas untuk

pengembangan sistem teknologi informasinya, sehingga kebijakan

pengadaan software tidak mempunyai arah. Kadang-kadang para

pegawai menginstall begitu saja software-software yang ingin mereka

gunakan (software bajakan) tanpa memikirikan dampaknya pada

perusahaan. Dalam hal ini Bagian IT hanya bertugas mengawasi kinerja

server dan menjadi help desk terhadap gangguan terhadap jaringan

kantor ataupun masalah yang terjadi di PC user.

PT. Griya Media harus memulai untuk memberlakukan beberapa

kebijakan-kebijakan sehubungan dengan legalitas transaksi elektronik,

sebagai berikut:

1. Semua PC yang digunakan adalah PC branded bukan rakitan.

2. Semua software yang dipakai adalah software asli dan bukan bajakan.

3. Semua pengguna komputer dilarang menginstall software yang bukan

berasal dari perusahaan.

4. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada.

5. Semua pelaksanaan instalasi dan prosedur pengaplikasian harus

melalui staf dari bagian IT, tanpa terkecuali.

6. Memberikan sanksi kepada staf yang menggunakan peralatan kantor

untuk hal-hal yang tidak berhubungan dengan pekerjaan kantor.

7. Semua staf terutama staf bagian IT diharuskan menandatangani

peraturan untuk menjaga kerahasiaan sistem di dalam perusahaan,

tanpa terkecuali.

8. Semua pegawai / karyawan terutama staf bagian IT harus menyadari

arti pentingnya fasilitas perusahaan sebagai aset sehingga semua

orang mempunyai kewajiban untuk merawat dan me-maintain fasilitas

perusahaan yang digunakan dan setiap orang wajib bertanggung


jawab terhadap fasilitas kantor yang digunakan karena setiap

penggunaan fasilitas kantor akan dipertanggungjawabkan ketika

dilakukan audit.

2.10. Physical Security Tujuan:

• Mengetahui berbagai ancaman, resiko, dan control untuk

pengamanan fasilitas sistem informasi.

Pembahasan:

Pada saat awal berdirinya perusahaan ditahun 2000, staf yang ada

masih sedikit dan belum mempunyai kantor cabang seperti sekarang ini.

Setiap staf masih bisa melakukan beberapa kegiatan yang bersifat pribadi

seperti mengajak orang-orang diluar kantor untuk datang dan berkunjung

ke kantor tanpa keperluan yang jelas. Boleh dikatakan bahwa pada saat

itu belum terdapat pembatasan akses masuk bagi pengunjung selain

pegawai sehingga pengawasan terhadap setiap orang yang masuk masih

kurang. Selain itu setiap pegawai masih bebas keluar masuk ke dalam

ruang server sehingga kemungkinan terjadinya sabotase terhadap

perusahaan bagi orang yang pernah sakit hati terhadap perusahaan

sangat besar.

Namun setelah berjalan 5 bulan, beberapa pimpinan perusahaan

mulai merasakan perlunya beberapa aturan yang harus dijalankan oleh

staf kantor seperti satpam untuk melakukan pekerjaannya agar tercipta

rasa aman bagi semua staf yang ada dikantor itu. Adapun beberapa cara

yang dilakukan perusahaan adalah sebagai berikut:

1. Menempatkan satpam di kantor pusat dan kantor cabang selama 24

jam secara bergiliran, yang bertugas sebagai berikut :


Penjagaan keamanan dilakukan secara bergantian dengan dua

shift pagi dan malam dengan waktu kerja

Melakukan pengontrolan terhadap fasilitas perusahaan yang

kemudian dimasukkan ke dalam Laporan Harian dan

melaporkan hasil tugasnya kepada komandannya.

Dalam melakukan tugasnya satpam harus mencatat kejadian-

kejadian yang dialami.

Satpam memiliki nomor-nomor telepon penting yang harus

segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor

telepon, PDAM, PLN dan para pegawai mulai dari direksi

sampai seluruh staf.

Menjaga pintu masuk dan keluar perusahaan. Kendaraan yang

berlalu lalang melalui gerbang dicatat nomor serinya, sehingga

jika terjadi hal-hal yang tidak diinginkan dapat segera diketahui

siapa saja tamu yang datang hari ini ke perusahaan.

• Melakukan pencatatan terhadap setiap orang yang masuk ke

dalam ruang kantor kecuali pegawai, terutama di luar jam dan

kerja.

2. Untuk masalah keamanan dan pengamanan terhadap bangunan

kantor tidak hanya dipegang oleh petugas keamanan akan tetapi

dari pihak perusahaan harus melengkapi semua prosedur dan

kebijakan mengenai pengamanan bangunan diantaranya

penanganan terhadap kebakaran, banjir, huru hara dan lain

sebagainya.

3. Setiap tamu yang masuk harus ditanya apa kepentingannya dan

tidak diperkenankan masuk ke dalam ruangan sebelum ada

konfirmasi dari orang yang ingin ditemuinya. Hal ini untuk

menghindari adanya penyusupan dari perusahaan kompetitor /

pesaing.

4. Untuk pegawai / karyawan harus mengenakan tanda pengenalnya

selama di area kerja tanpa terkecuali.


5. Melakukan pembatasan akses bagi tamu, bila kepentingan tamu

tersebut diluar urusan kantor dan tidak jelas sebaiknya tamu tidak

diijinkan untuk masuk ke dalam dan hanya dibatasi sampai dengan

lobi saja. Kecuali sudah ada konfirmasi dengan pegawai yang ingin

ditemuinya dan harus menggunakan badge tamu.

6. Melakukan pembatasan akses terhadap karyawan untuk masuk ke

dalam R. Server. Misalnya menggunakan pintu yang berakses.

7. Menempatkan ruang-ruang yang membutuhkan privacy tinggi seperti

ruang server, brankas dan ruang arsip jauh dari public area.

8. Untuk pengamanan jaringan komputer dibutuhkan suatu penahan

terhadap serangan komputer dan server. Untuk itu dibutuhkan

Firewall yang berguna untuk menyaring setiap data yang masuk ke

dalam jaringan sehingga kemungkinan serangan menjadi kecil. Agar

firewall ini dapat bekerja dengan baik maka dibutuhkan tenaga

administrator yang selalu melakukan checking rutin berkala.

9. Staf bagian IT harus melakukan back up data setiap akhir hari

sehingga setiap transaksi elektronik yang terjadi pada hari itu

apabila terjadi masalah masih memiliki back up datanya.

10. Hanya staf bagian IT yang mempunyai wewenang melakukan editing

data pada database dengan persetujuan dari Kepala Bagian IT atas

permintaan user. Hal ini untuk menghindari kemungkinan

penyalahgunaan database perusahaan untuk kepentingan pribadi.

2.11. Auditing Tujuan:

• Mengetahui konsep dasar auditing sistem informasi terkait dengan

masalah keamanan sistem informasi.

Pembahasan:


Beberapa hal yang masih terlewat dalam melaksanakan 11 domain

sistem informasi adalah mengadakan auditing terhadap sistem informasi

yang dipunyai perusahaan. Hal ini disebabkan karena belum adanya

kesadaran dari tingkat pimpinan perusahaan untuk melakukan auditing.

Sehingga dengan belum adanya audit terhadap sistem informasi dalam

perusahaan mengakibatnya banyak terjadinya penyimpangan dalam

pelaksanaan instalasi aplikasi sistem informasi. Kemudian tidak adanya

jaminan ataupun asuransi yang melindungi aset – aset perusahaan dari

berbagai hal yang dapat menyebabkan kerusakan ataupun kehilangan. Untuk mencegah terjadinya penyimpangan dalam melaksanakan

pekerjaan yang dilakukan oleh masing-masing staf, perusahaan telah

melakukan beberapa langkah yang dapat membantu mengurangi

kekurangan-kekurangan didalam perusahaan. Langkah-langkah tersebut

adalah dengan mengadakan auditing terhadap segala hal yang berkaitan

atau mendukung pekerjaan dan proses bisnis dari perusahaan. Langkah-

langkah tersebut antara lain: 1 Pada PT. Griya Media konsep audit sistem informasi harus dijalankan

dengan cara mengamati / memantau kinerja sistem informasi secara

berkala. Pengauditan sistem informasi secara berkala ini dijalankan

untuk mencegah (prevention), mengetahui / mendeteksi (detection),

dan mengambil tindakan yang diperlukan untuk mengatasi kesalahan

yang sudah terjadi (correction). Pengauditan berkala ini dilakukan

dilakukan tiap hari untuk skala pengoperasian (apabila ada kesalahan

yang bukan tergolong kesalahan human error, seperti kesalahan ketik

atau input, dalam pengoperasian sistem informasi maka kesalahan

tersebut dicatat dan dilaporkan kepada Bagian IT.

2 Melakukan audit internal untuk sistem informasi perusahaan setiap 6

bulan sekali diseluruh kantor guna mengetahui kinerja dari sistem

informasi tersebut.

3 Selain mengaudit sistem informasi maka juga dilakukan pengauditan

terhadap kinerja pengamanan aset-aset fisik lainnya.


4 Melakukan audit terhadap aset – aset perusahaan secara berkala

sehingga dapat diketahui apa saja yang masih berfungsi dan masih

ada.

5 Mengenai masalah jaminan dan asuransi terhadap segala aset aset

milik perusahaan mengingat investasi yang sudah dikeluarkan untuk

investasi terhadap aset perusahaan cukup besar terutama investasi di

bidang Teknologi Informasi harus mulai dipikirkan untuk menggunakan

jasa asuransi terhadap aset perusahaan.


BAB III KESIMPULAN

Berdasarkan pembahasan yang telah dilakukan diatas terhadap 11

domain sistem keamanan informasi di PT. Griya Media, maka dapat disimpulkan

bahwa:

1. Kebijakan perusahaan terhadap pengamanan sistem informasi perusahaan

adalah perlu. Hal ini karena selain sebagai penunjang kegiatan perusahaan,

juga dapat menghindarkan perusahaan dari kerugian yang tidak diharapkan.

2. Dalam mengimplementasikan kebijakan terhadap pengamanan sistem

informasi perusahaan diperlukan petunjuk yang jelas kepada karyawan serta

kesepahaman diantara para staf perusahaan dalam melihat arti pentingnya

kegiatan pengamanan tersebut.


DAFTAR PUSTAKA

Johny Moningka, Rahmat M. Samik-Ibrahim, Arrianto Mukti Wibowo, 2005,

Materi Kuliah Proteksi dan Keamanan Sistem Informasi, Program

Magister Teknologi Informasi Universitas Indonesia Jakarta.

Roberta Bragg, CISSP Security Management Practices, in Exam Cram 2.com

[online] (June 20, 2005), available from <http://www.examcram2.com

/articles/article.asp?p=30287&seqNum=4&rl=1>

Ronald L. Krutz, Russel Dean Vines, 2003, The CISSP Prep Guide, Gold Edition,

Wiley.

proteksi dan teknik keamanan

Documents