proteksi dan teknik keamanan
TRANSCRIPT
1 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI
PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI
PERUSAHAAN AGEN PROPERTI PT. GRIYA MEDIA
Disusun oleh :
Andreas Fobi 7203012025 Ign. Rudy Harjono 7203012076 Irman Triharyanto 7203012114
MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER
UNIVERSITAS INDONESIA 2005
2 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
DAFTAR ISI
DAFTAR ISI………………………………………………………………………… 2 DAFTAR GAMBAR............................................................................................ 3 DAFTAR TABEL................................................................................................ 4 BAB I. PENDAHULUAN…………………………………………………………….. 5
1.1. Latar Belakang………………………………………………………. 5
1.2. Tujuan………………………………………………………………… 6
1.3. Profil Perusahaan…………………………………………………... 6
BAB II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI……………………17
2.1. Security Management Practices……………………………………. 17
2.2. Access Control Systems and Methodology……………………… 31
2.3. Telecommunication and Network Security………………………… 33
2.4. Cryptography…………………………………………………………..34
2.5. Security Architecture and Models………………………………….. 36
2.6. Operations Security…………………………………………………. 38
2.7. Application and Systems Development Security…………………. 39
2.8. Disaster Recovery and Bussiness Continuity Plan………………. 40
2.9. Laws, Investigations and Ethics……………………………………. 41
2.10. Physical Security……………………………………………………. 43
2.11. Auditing………………………………………………………………. 45
BAB III. KESIMPULAN………………………………………………………………. 48
DAFTAR PUSTAKA………………………………………………………………..... 49
3 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
DAFTAR GAMBAR
Gambar 1.1. Struktur Organisasi PT. Griya Media.............................................8 Gambar 1.2. Topologi Jaringan Kantor Pusat....................................................12 Gambar 1.3. Topologi Jaringan Kantor Cabang.................................................12 Gambar 1.4. Lay-out Ruangan Kantor Pusat......................................................13 Gambar 1.5. Lay-out Ruangan Kantor Cabang Jakarta Timur (contoh).............14
4 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
DAFTAR TABEL
Tabel 1.1. Personil PT. Griya Media...............................................................10 Tabel 2.1. Daftar Aset Non Fisik.....................................................................24 Tabel 2.2. Daftar Ancaman terhadap Aset Fisik Perusahaan.........................25 Tabel 2.3. Daftar Ancaman terhadap Aset Teknologi Informasi Perusahaan.27 Tabel 2.4. Daftar Hasil Analisa Resiko Kuantitatif...........................................29 Tabel 2.5. Daftar Akses yang Diperbolehkan..................................................32 Tabel 2.6. Daftar Wewenang Staf...................................................................37
5 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
BAB I
PENDAHULUAN
1.1. LATAR BELAKANG
Rumah adalah merupakan salah satu kebutuhan primer yang perlu
kita penuhi. Untuk memenuhi kebutuhan tersebut diatas, setiap tahunnya,
khususnya di Jakarta banyak dibangun rumah-rumah baru yang
mempunyai bentuk dan harga bervariasi. Umumnya lokasi rumah-rumah
tersebut teletak dikawasan pinggiran kota atau sekitar Bogor Tangerang,
Bekasi karena disana masih terdapat lahan yang memungkinkan untuk
kawasan perumahan. Namun seiring dengan era globalisasi, kebiasaan
tinggal di apartemen mulai diperkenalkan di kota-kota besar di Indonesia.
Saat ini banyak dibangun apartemen-apartemen baru di Jakarta guna
memenuhi kebutuhan tempat tinggal bagi keluarga keluarga yang
membutuhkan.
Ada 2 macam tipe properti yang dipasarkan di masyarakat yaitu
properti untuk pasar primer dan pasar sekunder. Properti untuk pasar
primer adalah properti yang benar-benar baru dibangun dari awal seperti
terdapat di kawasan perumahan dan apartemen baru. Sedangkan pasar
sekunder adalah properti yang sudah dimiliki seseorang kemudian dijual
kepada orang lain atau lebih sering dikenal dengan istilah second hand.
Kedua tipe properti tersebut masing-masing mempunyai kelompok
konsumen tersendiri .
Dalam rangka memiliki tempat tinggal yang diinginkan, konsumen
perlu mengetahui lebih dulu kebutuhan dan anggaran yang diperlukan
dalam membeli properti tersebut. Setelah itu baru mengalokasikan
waktunya untuk melakukan pencarian, pembelian, serta pengurusan jual
beli properti yang diminatinya. Namun sayang, kadang-kadang mereka
tidak mempunyai banyak waktu untuk melakukan hal tersebut seperti
karena kesibukannya. Oleh sebab itu berdirilah agen-agen properti yang
6 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
bertugas memasarkan properti kepada konsumen baik itu untuk pasar
primer maupun pasar sekunder. Secara garis besar agen properti adalah
mediator antara penjual dan pembeli properti serta memberikan bantuan
kepada penjual/pembeli baik dalam bentuk konsultasi maupun dalam
pengurusan akta jual beli properti.
1.2. TUJUAN
Tujuan penulisan makalah ini adalah untuk membahas sebelas domain
sistem keamanan informasi pada sebuah perusahaan agen properti yang
ada di Jakarta yaitu PT. Griya Media. Kesebelas domain itu adalah sbb:
1. Security Management Practices
2. Access Control System & Methodology
3. Telecommunications & Network Security
4. Cryptography
5. Security & Architecture Models
6. Operations Security
7. Application & System Development Security
8. Disaster Recovery & Business Continuity Plan
9. Laws, Investigations & Ethics
10. Physical Security
11. Auditing
1.3. PROFIL PERUSAHAAN
1.3.1 Tujuan Pendirian Perusahaan PT. Griya Media adalah sebuah perusahaan agen properti lokal yang
berdiri pada tahun 2000 dan berlokasi di Jakarta. Didirikan oleh
perseorangan / individu yang mempunyai perhatian terhadap
perkembangan properti di Jakarta yang semakin meningkat, serta
bertujuan untuk membantu masyarakat /organisasi dalam memasarkan
propertinya, memberikan kemudahan kepada pembeli untuk menentukan
7 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
properti yang cocok baginya, serta membantu dalam pengurusan jual beli
antar kedua belah pihak.
1.3.2 Informasi Perusahaan Perusahaan ini didirikan dengan modal awal Rp 500,000,000 ,- dan
dipimpin oleh seorang direktur utama serta mempunyai 2 bagian yang
masing-masing dipimpin oleh seorang manager. Kedua bagian tersebut
adalah Departemen Umum, dan Departemen Marketing. Pada saat
perusahaan ini didirikan, jumlah pegawai/stafnya sebanyak 15 orang.
Seiring dengan perkembangan properti yang ada saat ini serta
meningkatnya pendapatan perusahaan maka jumlah pegawainya
bertambah menjadi 60 orang. Perusahaan ini mempunyai kantor pusat di
Jakarta Pusat dan kantor cabang di Jakarta Barat, Jakarta Selatan,
Jakarta Timur, dan Jakarta Utara.
1.3.3 Sistem Kerja dan Penggajian
Staf administrasi, keuangan, teknik, dan marketing bekerja 8 jam sehari
dari pukul 08.00 sampai 17.00 selama 6 hari seminggu, sedangkan
khusus hari Minggu terdapat staf marketing yang bergiliran masuk kantor
karena pada saat tersebut banyak customer yang mencari atau
menawarkan propertinya. Satpam bekerja 2 shift perhari yakni dari pukul
07.00 sampai 18.00 dan 18.00 sampai 07.00. Untuk sistem penggajian,
karyawan diluar staf marketing mendapat gaji pokok yang besarnya
tertentu tergantung pada jabatan yang bersangkutan. Untuk staf
marketing, hanya mendapat gaji dari hasil komisi penjualan properti yang
dilakukannya. Besarnya komisi mengacu kepada standar yang ada atau
sesuai permintaan penjual sebelumnya /sudah ditetapkan penjual dan itu
biasanya terdapat dalam surat perjanjian pemasaran properti.
8 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
1.3.4 Cara Pemasaran Properti Untuk mendapatkan properti yang akan dijual, bagian marketing
melakukan kerjasama dengan berbagai developer perumahan atau
apartemen untuk pasar primer, dan melakukan pencarian iklan properti
disuratkabar atau langsung dilokasi seputaran kantor mereka untuk pasar
sekunder. Sedangkan dalam memasarkan properti, perusahaan tersebut
memasang iklan baris disuratkabar, menyebarkan selebaran, mencetak
tiap 2 bulan sekali semacam buletin yang khusus berisi properti-properti
yang dijual, serta melalui media internet yaitu dengan membuat website
sendiri.
1.3.5 Struktur Organisasi Adapun struktur organisasi dari perusahaan agen properti PT. Griya
Media ini adalah sebagai berikut :
Gambar 1.1. Struktur Organisasi PT. Griya Media
Direktur Utama
Departemen Umum Departemen Marketing
Administrasi Keuangan
Satpam
Staf Marketing
Kantor Pusat
Kantor Cabang
Teknologi Informasi (TI)
Koordinator Kantor
Staf Marketing
Staf Administrasi
Staf Keuangan
Staf TI
Koordinator Kantor
9 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Rincian lengkap mengenai personil perusahaan adalah sebagai berikut :
No Nama Jabatan 1. A01 Direktur Utama 2. A02 Manager Umum 3. A03 Manager Marketing 4. A04 Kepala Bagian Administrasi 5. A05 Kepala Bagian Keuangan 6. A06 Kepala Bagian TI 7. A07 Kepala Kantor Pusat 8. A08 Kepala Kantor Cabang Jaktim 9. A09 Kepala Kantor Cabang Jaksel 10. A10 Kepala Kantor Cabang Jakbar 11. A11 Kepala Kantor Cabang Jakut 12. A12 Staf Administrasi 13. A13 Staf Keuangan 14. A14 Staf TI 15. A15 Koordinator K. Pusat 16. A16 Koordinator K. Cabang Jaktim 17. A17 Koordinator K. Cabang Jaksel 18. A18 Koordinator K. Cabang Jakbar 19. A19 Koordinator K. Cabang Jakut 20. A20 Resepsionis 21. A21 Office Boy 22. A22 Staf Marketing K. Pusat 23. A23 Staf Marketing K. Pusat 24. A24 Staf Marketing K. Pusat 25. A25 Staf Marketing K. Pusat 26. A26 Staf Marketing K. Pusat 27. A27 Staf Marketing K. Pusat 28. A28 Staf Marketing K. Pusat 29. A29 Staf Marketing K. Cabang Jaktim 30. A30 Staf Marketing K. Cabang Jaktim 31. A31 Staf Marketing K. Cabang Jaktim 32. A32 Staf Marketing K. Cabang Jaktim 33. A33 Staf Marketing K. Cabang Jaktim 34. A34 Staf Marketing K. Cabang Jaksel 35. A35 Staf Marketing K. Cabang Jaksel 36. A36 Staf Marketing K. Cabang Jaksel 37. A37 Staf Marketing K. Cabang Jaksel 38. A38 Staf Marketing K. Cabang Jaksel 39. A39 Staf Marketing K. Cabang Jakbar 40. A40 Staf Marketing K. Cabang Jakbar 41. A41 Staf Marketing K. Cabang Jakbar 42. A42 Staf Marketing K. Cabang Jakbar 43. A43 Staf Marketing K. Cabang Jakbar 44. A44 Staf Marketing K. Cabang Jakut 45. A45 Staf Marketing K. Cabang Jakut 46. A46 Staf Marketing K. Cabang Jakut 47. A47 Staf Marketing K. Cabang Jakut 48. A48 Staf Marketing K. Cabang Jakut 49. A49 Satpam K. Pusat
10 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
50. A50 Satpam K. Pusat 51. A51 Satpam K. Pusat 52. A52 Satpam K. Pusat 53. A53 Satpam K. Cabang Jaktim 54. A54 Satpam K. Cabang Jaktim 55. A55 Satpam K. Cabang Jaksel 56. A56 Satpam K. Cabang Jaksel 57. A57 Satpam K. Cabang Jakbar 58. A58 Satpam K. Cabang Jakbar 59. A59 Satpam K. Cabang Jakut 60. A60 Satpam K. Cabang Jakut
Tabel 1.1. Personil PT.Griya Media
1.3.6 Sistem Informasi dan Komunikasi Perusahaan
Sistem informasi yang dimiliki perusahaan ini adalah sebagai berikut :
• Komputer di kantor pusat dan kantor cabang menggunakan LAN
10/100 Mbps – TCP/IP
• Setiap kantor cabang mengirimkan data-data properti (update) ke
kantor pusat melalui internet dengan koneksi dial-up
• Di kantor pusat terdapat Server untuk web dan database properti
dari seluruh kantor cabang
• Perusahaan mempunyai alamat website : www.griyamedia .com
yang selalu diupdate apabila terdapat properti baru yang akan
dijual atau yang baru laku terjual
• Jumlah perangkat keras dan sambungan telekomunikasi:
Kantor Pusat
Komputer : 8 unit
Server : 2 unit
Printer Laser : 1 unit
Printer Inkjet : 1 unit (Scanner, Copier, Fax)
Router : 1 unit
Switch : 1 unit
UPS : 10 unit
PABX : 16 Line
11 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Telepon : 5 Line
Fax : 1 Line
Masing-masing Kantor Cabang
Komputer : 3 unit
Modem 56Kbps : 1 unit (External)
Printer Inkjet : 1 unit
Hub : 1 unit
UPS : 3 unit
PABX : 8 Line
Telepon : 3 Line
Fax : 1 Line
• Aplikasi yang dipakai :
Sistem Operasi Server : Windows 2000 Server
Sistem Operasi Client : Windows XP Profesional
Aplikasi perkantoran : Microsoft Office 2000
Aplikasi keuangan : Zahir Accounting Standar
Edition
12 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
• Skema Jaringan dikantor
Gambar 1.2 Topologi Jaringan Kantor Pusat
Gambar 1.3 Topologi Jaringan Kantor Cabang
13 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
• Bagan ruang kantor
Gambar 1.4 Denah Ruangan Kantor Pusat
Keterangan:
Printer All-in-One : Printer, Scanner, Copier, Fax
R. Manager Marketing
A04 A03
R. Marketing
A07
R. Administrasi
A12
R. Keuangan
A05 A13
R. Server
A06
A14
Web Server Database Server Router Switch
R. Dir.Utama
R. Manager Umum
Pantry
WC/Toilet
R. Meeting PABX
Printer All-in-One
Printer Laser
A22 A23
A24 A25 A26
A27 A28 A15 A02 A01
A21
A20 R. Tamu
14 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
up
Lantai 1 Lantai 2 Gambar 1.5 Denah Ruangan Kantor Cabang Jakarta Timur (contoh)
1.3.7 Proses Bisnis Perusahaan
PT. Griya Media adalah sebuah perusahaan agen properti yaitu menjadi
mediator antara penjual dan pembeli properti atau dapat juga disebut
broker properti. Berbeda dengan broker tradisional yang memasarkan
propertinya dari mulut ke mulut, PT. Griya Media menggunakan berbagai
media seperti iklan baris, selebaran, buletin, papan, spanduk, jaringan
marketing yang ada, bahkan bekerjasama dengan agen properti dari
perusahaan lain yang sejenis. Terakhir, sesuai dengan kemajuan
teknologi adalah dengan menggunakan internet sebagai medianya yaitu
dengan menampilkannya di website.
Modem External Hub
Server
PABX
A08
A16
A29 A30
A31 A32
A33
A53
R. Marketing
R. Kepala Kantor Cabang R. Tamu
R. Meeting
WC/Toilet WC/Toilet
R.Gudang
Printer Inkjet
Fax
15 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Secara garis besar proses bisnis utama dari perusahaan ini adalah
mencari klien atau customer yang akan menjual properti miliknya kepada
pihak lain, dan kemudian memasarkannya melalui berbagai cara seperti
yang disebutkan diatas, serta perusahaan mendapatkan imbalan berupa
komisi yang besarnya telah ditentukan apabila properti tersebut laku
terjual. Selain itu ada proses bisnis lainnya yang tidak kalah penting yaitu
adanya klien yang meminta bantuan kepada agen untuk mencarikan
properti yang sesuai dengan keinginannya. Agen dapat mencarikan
properti tersebut dalam database yang dipunyainya dan apabila tidak ada
dapat bekerjasama dengan agen properti lainnya yang masih satu
perusahaan ataupun yang berbeda perusahaan. Jika cara tersebut belum
membuahkan hasil sedangkan klien sangat serius untuk
mendapatkannya, maka dapat ditempuh dengan cara seperti dalam
memasarkan properti yaitu melalui iklan baris, selebaran, papan, spanduk,
internet, dan sebagainya.
Komisi yang didapat oleh agen properti atau staf marketing sebagai
hasil dari penjualan properti besarnya telah ditetapkan oleh perusahaan
dan mendapatkan persetujuan dari penjual. Selain itu penjual dapat
menetapkan besarnya komisi yang akan diberikan kepada agen yang
akan memasarkan propertinya dan apabila kisarannya tidak terlalu jauh
dari standar perusahaan biasanya agen menyetujuinya. Staf marketing
atau biasa disebut dengan agen akan mendapatkan penghasilan yang
besarnya setengah dari komisi yang diberikan penjual kepada agen
sedangkan setengah lainnya diberikan kepada perusahaan (setelah
sebelumnya dipotong pajak).
Ada 2 macam tipe pasar yang digarap oleh PT. Griya Media yaitu
pasar primer dan pasar sekunder. Pasar primer mengandalkan properti
yang dimiliki oleh developer perumahan atau apartemen sedangkan pasar
sekunder berasal dari perseorangan/organisasi yang akan menjualkan
properti yang telah dipakainya. Didalam pasar primer, perusahaan
16 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
melakukan beberapa cara seperti menyediakan agen-agennya kepada
developer untuk memasarkan propertinya ketika ada pameran properti,
serta dalam acara grand launching sebuah properti baru. Untuk pasar
sekunder, perusahaan mengadakan berbagai cara dalam mencari properti
yang akan dijual seperti (selain yang telah disebutkan diatas) melakukan
pengenalan lokasi disekitar kantornya (canvassing), melakukan
penyebaran kartu nama atau selebaran (farming), mencari dan melakukan
kontak kepada penjual yang mengiklankan propertinya di koran (terutama
yang membubuhkan kata-kata tanpa perantara), melakukan open house
di tempat properti yang akan dijual, dan sebagainya.
17 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
BAB II PROTEKSI DAN KEAMANAN SISTEM INFORMASI
2.1. Security Management Practices Tujuan:
• Mengidentifikasi aset perusahaan terutama information asset
beserta cara terbaik untuk menentukan tingkat pengamanannya.
• Menentukan anggaran yang patut untuk implementasi
keamanannya.
Pembahasan:
2.1.1. Identifikasi Aset Aset yang dimiliki perusahaan terdiri atas aset fisik dan aset non
fisik. Aset fisik yang dimiliki perusahaan adalah:
a. Bangunan
Bangunan yang berada dikantor pusat adalah merupakan sebuah
rumah tempat tinggal milik Direktur Utama yang terletak di kawasan
Pejompongan dan terletak dipinggir jalan Bendungan Hilir Raya yang
merupakan daerah bisnis. Untuk kantor-kantor cabang, bangunan
yang dipakai adalah sebuah ruko 2 ½ lantai yang disewa dari
pemiliknya dengan jangka waktu 5 tahun. Ke empat kantor cabang
tersebut terletak di kawasan bisnis yang potensial dan mempunyai
tempat parkir yang mencukupi.
Luas bangunan Kantor Pusat adalah 181 m2 dan luas tanah 360
m2 serta mempunyai tempat parkir yang dapat menampung 7 mobil
dan 15 sepeda motor. Untuk mengantisipasi apabila tempat parkir
tidak mencukupi maka dapat digunakan trotoar didepan rumah
sebanyak 3 mobil dan disebelah rumah yang merupakan Ruko
sebanyak 3 mobil. Untuk parkir mobil tamu, Satpamlah yang
melakukan tugas pengaturannya.
18 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Luas bangunan Kantor Cabang adalah 200 m2 dan terletak didalam
sebuah komplek Ruko dengan 2 pintu gerbang yang dijaga Satpam
komplek secara bergiliran selama 24 jam. Daya tampung mobil di
komplek Ruko adalah mencukupi (rata-rata 40 mobil) sedangkan
didepan kantor dapat menampung 4 mobil (2 mobil saling
berhadapan).
b. Peralatan Kantor
Peralatan kantor yang dimiliki perusahaan adalah:
1. Perangkat komputer beserta peripheralnya
2. Furniture (meja, kursi, sofa, filing cabinet, dsb)
3. Brankas
4. Perangkat PABX beserta teleponnya
5. Perangkat elektronik (TV, Camera Digital, AC)
6. Perangkat pemadam kebakaran
7. Perangkat Genset (Kantor Pusat)
Aset non fisik yang mempunyai nilai bagi perusahaan adalah aset data
yaitu:
1. Data properti
Data properti disini adalah berupa data-data tentang rumah
yang dipasarkan dalam wujud kertas yang disimpan dalam filing
cabinet serta tercantum foto properti dan pemilik properti. Untuk
mengakses data ini harus sepengetahuan dan seijin
Koordinator Kantor. Selain disimpan dalam bentuk kertas, data
tersebut disimpan dalam bentuk Compact Disk (CD) dan
disimpan secara kategorial misalnya data kavling, rumah, ruko,
apartemen, gudang/pabrik, dsb. CD-CD yang berisi data
tersebut disimpan dalam sebuah rak yang dikunci oleh
Koordinator Kantor. Selain itu diruang resepsionis dipasang
beberapa board atau papan yang berisi gambar-gambar
19 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
properti yang dijual atau disewakan beserta data-datanya
kecuali data pemilik properti. Karena keterbatasan tempat maka
properti yang dipasang adalah properti-properti yang potensial
atau saleable.
Apabila ada customer yang berkunjung ke kantor dan ingin
melihat-lihat properti yang dijual, maka resepsionis memanggil
agen marketing yang bertugas saat itu untuk menemani dan
memberi penjelasan atas properti yang dicari atau diminati oleh
customer. Apabila customer masih belum menemukan apa
yang diminatinya, agen dapat mempersilahkan masuk ke ruang
meeting untuk berbincang-bincang lebih serius apa yang
diinginkan oleh customer sambil diperlihatkan file-file properti
yang sudah dipersiapkan dalam sebuah album sehingga
menarik untuk dilihat.
2. Data Keuangan
Data keuangan adalah data-data finansial yang berasal dari
penerimaan dan pengeluaran perusahaan dan dilakukan
pencatatan atau record kedalam komputer oleh staf keuangan
melalui program aplikasi Zahir Accounting Standar Edition
version 4.0 yang dijual secara paket. Untuk menjaga
kerahasiaan data-data keuangan maka komputer dibagian
finansial tidak dapat diakses dari dalam maupun luar jaringan
serta terdapat password untuk mengoperasikan komputer
tersebut. Hasil pencetakan data finansial yang salah wajib
dihancurkan dengan mesin shredder yang ada sedangkan bagi
kantor yang tidak mempunyai alat tersebut harus disobek-sobek
menjadi serpihan-serpihan kecil sehingga tidak dapat dibaca
lagi.
Data-data finansial dimasukkan kedalam box file dan disimpan
kedalam filing cabinet yang dikunci oleh Kepala Bagian
20 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Keuangan. Untuk melihat data keuangan harus sepengetahuan
dan seijin Kepala Bagian Keuangan. Untuk di kantor cabang
urusan finansial ditangani oleh Koordinator Kantor masing-
masing, dan datanya dikirim melalui internet ke Kantor Pusat
tiap bulannya. Di kantor pusat data didownload dan diproses
untuk masuk sebagai bahan laporan keuangan perusahaan.
Apabila terdapat gangguan dalam pengiriman melalui internet,
sedangkan data sangat dibutuhkan untuk laporan keuangan
bulanan, maka data disimpan di disket dan dikirimkan ke Kantor
Pusat secara manual (memakai mobil/motor).
3. Data Personalia
Data-data karyawan perusahaan dibuat oleh staf administrasi
dan disimpan dalam bentuk berkas dan file komputer.
Keduanya disimpan atas petunjuk Kepala Bagian Administrasi
yaitu untuk yang berupa berkas disimpan dalam filing cabinet
sedangkan yang berupa file direkam di CD dan disimpan oleh
Kepala Bagian Administrasi disebuah filing cabinet dan dikunci.
Untuk data-data pelamar yang pernah mengajukan permohonan
kerja juga disimpan dalam box file tersendiri dan disimpan
dalam lemari terkunci. Apabila perusahaan membutuhkan
karyawan baru maka Kepala Administrasi dapat mengambil
berkas file tersebut untuk dibuka kembali.
21 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
2.1.2. Identifikasi ancaman/resiko Tidak selamanya kegiatan operasional perusahaan dapat berjalan
dengan mulus. Adakalanya mengalami gangguan atau ancaman yang
dapat menimbulkan kerugian bagi perusahaan. Kegiatan yang melakukan
identifikasi ancaman atau resiko adalah merupakan bagian dari
manajemen resiko yang dilakukan oleh perusahaan.
Ancaman-ancaman terhadap aset-aset perusahaan dapat dijabarkan
sebagai berikut:
No Deskripsi Ancaman Pencegahan Penanggulangan1 Data properti a. dicuri
b. dihapus
c. terbakar
d. diubah
e. salah ketik
a. Disimpan dalam
filing cabinet dan
dikunci.
b. Data hanya bisa
diedit di komputer
Manajer Marketing
(MM) dan
Koordinator Kantor
(KK)
c. Penyediaan alat
pemadam kebakaran
didekat tempat
penyimpanan data
properti.
d. Seperti jawaban
(b)
e. Pemeriksaan
penulisan oleh agen
properti dan
Koordinator Kantor
a. Penggantian
tempat
penyimpanan
b. Pengubahan
data harus
diotorisasi oleh MM
& KK
c. Memakai
brankas tahan api.
d. Seperti jawaban
(b)
e. Pemeriksaan
penulisan data oleh
MM, KK, & agen
properti.
22 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
f. data rusak
g. terkena
virus/worm
f. Melakukan back-
up data secara
berkala
g. update anti virus
secara berkala
f. Back-up data
secara otomatis
setelah
mengupdate data
baru.
g. Back-up data
secara otomatis.
2. Data
Keuangan
a. terbakar
b. dicuri
c. dihapus /
diganti
d. salah ketik
e. data rusak
a. Penyediaan alat
pemadam kebakaran
didekat tempat
penyimpanan data
properti.
b. Disimpan dalam
filing cabinet dan
dikunci.
c. Data hanya bisa
diedit di komputer
Kepala Bagian
Keuangan dan
Koordinator Kantor
(KK)
d. Data hanya bisa
diedit di komputer
Kepala Bagian
Keuangan dan
Koordinator Kantor
(KK)
e. Melakukan back-
up data secara
a. Memakai
brankas tahan api.
b. Penggantian
tempat
penyimpanan:
dibrankas
c. Pengubahan
data harus
diotorisasi oleh
Kabag. Keuangan
& KK
d. Pemeriksaan
penulisan data oleh
Kabag. Keuangan,
& KK
e. Back-up data
secara otomatis
23 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
f. kena
virus/worm
berkala
f. Update anti virus
secara berkala
setelah
mengupdate data
baru.
f. Back-up data
secara otomatis
3. Data
Personalia
a. terbakar
b. dicuri
c. dihapus /
diganti
d. salah ketik
e. data rusak
a. Penyediaan alat
pemadam kebakaran
didekat tempat
penyimpanan data
properti.
b. Disimpan dalam
filing cabinet dan
dikunci.
c. Data hanya bisa
diedit di komputer
Kepala Bagian
Administrasi dan
Koordinator Kantor
(KK)
d. Data hanya bisa
diedit di komputer
Kepala Bagian
Administrasi dan
Koordinator Kantor
(KK)
e. Melakukan back-
up data secara
berkala.
a. Memakai
brankas tahan api.
b. Penggantian
tempat
penyimpanan:
dibrankas
c. Pengubahan
data harus
diotorisasi oleh
Kabag Administrasi
& KK
d. Pemeriksaan
penulisan data oleh
Kabag
Administrasi, & KK
e. Back-up data
secara otomatis
setelah
mengupdate data
24 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
f. kena
virus/worm
f. Update anti virus
secara berkala.
baru.
f. Back-up data
secara otomatis
Tabel 2.1. Daftar aset non fisik
Ancaman-ancaman terhadap aset-aset fisik perusahaan adalah:
No Deskripsi Ancaman Pencegahan Penanggulangan
1. Gedung
beserta isinya
a. Kebakaran
a. Tersedia 3 tabung
pemadam kebakaran
dan box hydrant (KP),
2 tabung pemadam
kebakaran (KC), pintu
keluar 2 bh, cukup
sinar masuk dari
jendela ketika kondisi
gelap, mencari lokasi
di hoek (Ruko),tersedia
lampu darurat ditempat
yang telah ditentukan,
terdapat saklar
pemutus arus (NCB)
yang masih berfungsi,
kabel instalasi listrik
terlindung didalam pipa
a. Hotline Kantor
Pemadam
Kebakaran
terdekat, Asuransi
Kebakaran
25 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
b. Pencurian
c. Perampokan
d. Banjir
PVC, sambungan
kabel listrik terlindung
oleh isolasi.
b. Satpam jaga 24 jam,
kunci tambahan dipintu
masuk, jendela diberi
teralis besi, pagar
kawat berduri, lampu
penerangan disudut-
sudut rumah,
c. Satpam jaga 24 jam,
Satpam mahir bela diri
dan dari lingkungan
setempat, tidak
menerima tamu diluar
jam kerja atau tanpa
keperluan yang jelas,
pemeriksaan fisik
terhadap tamu yang
mencurigakan
d. Pemeriksaan dan
pembersihan saluran
air didepan kantor
sebulan sekali, teras
lebih tinggi dari
halaman kantor,
barang-barang
elektronik tidak
diletakkan dilantai
b. Hotline Kantor
Polisi terdekat,
Asuransi Kerugian
c. Hotline Kantor
Polisi terdekat,
Asuransi Kerugian
d. Tersedia karung-
karung pasir,
pompa air portable,
Asuransi Kerugian
Tabel 2.2. Daftar ancaman terhadap aset fisik perusahaan
26 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Ancaman terhadap aset teknologi informasi perusahaan adalah:
No Deskripsi Ancaman Pencegahan Penanggulangan1. Aplikasi
komputer
(Software)
a. Virus/worm
b. Spyware /
Trojan /
Hijacker
a. Antivirus freeware
(AntiVir Personal
Edition) diinstall di
server dan client dan
diupdate secara teratur
olef staf TI (HO) dan
Koordinator Kantor di
kantor cabang melalui
internet, tidak
membuka email yang
tidak dikenal, tidak
membuka attachment
yang bukan
berekstensi doc, xls,
dan pdf
b. Anti Spyware
(Spybot Search &
Destroy) yang bersifat
freeware diinstall di
server dan client dan
diupdate secara teratur
olef staf TI (HO) dan
Koordinator Kantor di
kantor cabang melalui
internet
a. Scan ulang hard
disk dalam safe
mode
b. Scan ulang hard
disk dalam safe
mode
27 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
3. Komputer dan
peripheral
(Hardware)
a. Rusak
karena sudah
terlalu tua
(lifetime nya
sudah berakhir)
b. Rusak
karena
malfunction
a. Penggunaan hanya
dijam kantor dan untuk
keperluan kantor saja,
kondisi off jika tidak
dipakai untuk waktu
yang lama (> 3 jam)
b. Pemeriksaan teratur
oleh staf TI tiap
bulannya
a. Hubungi teknisi,
diganti dengan
spesifikasi minimal
sama dengan yang
lama
b. Hubungi teknisi,
ganti komponen
yang rusak
Tabel 2.3. Daftar ancaman terhadap aset teknologi informasi perusahaan
2.1.3. Analisa Resiko Dalam manajemen resiko, setelah dilakukan identifikasi aset
perusahaan adalah melakukan analisa resiko. Pada analisa resiko ini
akan dilakukan dengan pendekatan Kuantitatif yaitu pendekatan secara
finansial sehingga dapat mendukung perencanaan anggaran dan mampu
memberikan informasi kepada manajemen. Hasil analisa resiko dapat
dilihat tabel dibawah ini:
28 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
No Aset Resiko
Nilai Aset
(Rp)
Potensi
Kerugian
(SLE)
(Rp)
Frekuensi
Kejadian
(ARO)
(Rp)
Kerugian per
tahun (ALE)
(Rp)
1 Data Virus/worm 20,000,000 2,000,000 2 4,000,000
2 Dokumen
perusahaan
Dicuri 10,000,000 1,000,000 1 1,000,000
3 Sistem Operasi
Server (2
server)
Virus/worm 10,000,000 4,000,000 2 8,000,000
4 Sistem Operasi
Client (20 client)
Virus/worm 18,000,000 1,800,000 2 3,600,000
5 Aplikasi
perkantoran
Virus/worm 2,100,000 420,000 2 840,000
6 Aplikasi
finansial
Virus/worm 25,000,000 2,500,000 2 5,000,000
7 Gedung (Kantor
Pusat)
kebakaran 500,000,000 250,000,000 0.1 25,000,000
8 PC Desktop
Server (2)
dicuri 20,000,000 10,000,000 1 10,000,000
9 PC Desktop
(20)
dicuri 100,000,000 10,000,000 1 10,000,000
10 Router dicuri 2,000,000 2,000,000 1 2,000,000
11 Switch dicuri 700,000 700,000 1 700,000
12 Hub (4) dicuri 2,000,000 500,000 1 500,000
13 Modem external
(4)
dicuri 1,200,000 400,000 1 400,000
13 Printer (all in
one)
dicuri 3,000,000 3,000,000 1 3,000,000
29 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
14 Printer Laser dicuri 1,500,000 1,500,000 1 1,500,000
15 Printer Inkjet (4) dicuri 2,000,000 500,000 1 500,000
16 PABX (16 line)
with 18 handset
dicuri 20,000,000 2,000,000 1 2,000,000
17 PABX (8 line)
with 8 handset
dicuri 11,000,000 1,100,000 1 1,100,000
18 Faksimile (4) dicuri 3,200,000 800,000 1 800,000
19 UPS 1200 VA
(2)
dicuri 3,000,000 1,500,000 1 1,500,000
20 UPS 600 VA
(20)
dicuri 8,000,000 800,000 1 800,000
21 LAN (5) putus 5,000,000 500,000 0.5 250,000
T O T A L 82,490,000
Tabel 2.4. Daftar hasil analisa resiko kuantitatif
Keterangan:
1. SLE : Single Loss Expectancy
• Kerugian finansial yang muncul jika terjadi satu (1) kali bencana
• SLE = Asset Value x Exposure Factor
• Asset Value: nilai aset (Rp)
• Exposure Factor (EF): besarnya prosentasi kerugian yang diderita
dalam satu bencana (0% - 100%)
2. ARO : Annual ized Rate of Occurrence
• Perkiraan frekuensi dari sebuah ancaman yang akan terjadi dalam
1 (satu) tahunnya.
• Ancaman yang terjadi sekali dalam 10 tahun, ARO = 1/10 = 0.1
• Ancaman yang terjadi 50 kali dalam setahun, ARO = 50
30 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
• Nilai ARO ditentukan berdasarkan hasil investigasi tentang
ancaman-ancaman yang pernah terjadi di daerah sekitar lokasi
kantor.
• Berdasarkan hasil investigasi, didaerah sekitar lokasi kantor agen
properti didapatkan data sebagai berikut:
- Kebakaran : 10 tahun sekali, ARO = 1/10 = 0.1 (karena terletak
jauh dari pemukiman padat penduduk)
- Pencurian : 1 tahun sekali, ARO = 1/1 = 1 (terutama menjelang
lebaran/arus mudik)
- Virus/worm : 2 kali setahun, ARO = 2/1 = 2 (tiap semester ada
virus ganas muncul di internet dan menyebar cepat di
Indonesia)
- LAN putus : 2 tahun sekali, ARO = 1/2 = 0.5 (data internal
perusahaan)
3. ALE : Annualized Loss Expectancy
• Perkiraan kerugian yang diderita setiap tahunnya (Rp)
• ALE = SLE x ARO
Beberapa tindakan perusahaan untuk menjaga aset informasi:
• Memberikan akses komputer kepada orang yang benar-benar
berhak menggunakan komputer dengan cara memberikan ID dan
password kepada masing-masing anggota departemen kecuali
satpam.
• Apabila terdapat data-data tentang properti, keuangan, dsb dikertas
yang tidak terpakai akan dihancurkan dengan mesin shredder atau
disobek/dipotong-potong hingga tidak bisa terbaca.
• Data tentang penjual properti tidak ditampilkan di web melainkan
hanya diketahui oleh agen yang bersangkutan dan koordinator
kantor.
31 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
2.2. Access Control Systems and Methodology Tujuan:
• Mengetahui mekanisme dan metode yang dipergunakan para
administrator/manager untuk mengontrol apa yang boleh diakses
pengguna termasuk yang boleh dilakukan setelah otentifikasi dan
otorisasi serta pemantauannya
Pembahasan:
Access Control didefinisikan sebagai:
• Kemampuan untuk membolehkan pemakai/user yang berhak untuk
menjalankan program atau memproses sistem atau mengakses
sumber daya/resource.
Di PT. Griya Media terdapat beberapa mekanisme untuk
pengontrolan yang harus dijalankan oleh para stafnya dalam mengakses /
menjalankan / memproses sesuatu yang berkaitan dengan pekerjaan
yang ditanganinya. Mekanisme tersebut terdiri atas 3 hal yang penting
yaitu:
1. Identifikasi
Merupakan suatu proses atau aksi yang dilakukan oleh user untuk
membuktikan siapa (identitas) dirinya kepada sistem.
2. Otentikasi
Sistem melakukan verifikasi terhadap identitas yang diberikan oleh
user.
3. Otorisasi
Sistem memberikan hak/kemampuan kepada user setelah
mendapat otentikasi
Untuk menggunakan komputer yang ada di perusahaan, tiap staf
mendapatkan user id dan password dari Kepala Bagian TI yang bersifat
32 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
rahasia. Hal ini dimaksudkan agar tiap staf hanya bisa mengakses
komputer sesuai dengan bagian/haknya masing-masing. Misalnya bahwa
staf marketing tidak bisa mengakses data keuangan yang dibuat oleh
bagian keuangan, bagian umum tidak bisa melihat data properti yang ada
didalam komputer kecuali yang sudah dicetak, dan sebagainya. Untuk
lebih jelasnya dapat melihat tabel di bawah ini yang menunjukkan
kewenangan masing-masing staf dalam menjalankan komputer.
Jenis Data Level
Manajer &
Ka-Bag.
Bagian
Umum
Bagian
Keuangan
Bagian
Marketing
Bagian TI
Data
properti
akses - - akses akses
Data
keuangan
akses - akses - akses
Data
personalia
akses akses - - akses
Tabel 2.5. Daftar akses yang diperbolehkan
Untuk penggunaan internet, terdapat kebijakan dari perusahaan
bahwa tidak semua staf mempunyai hak mengaksesnya. Hal ini
disebabkan untuk menghindari resiko masuknya virus, worm dan
sebagainya yang dapat merusak sistem komputer perusahaan. Akses
internet hanya dapat dilakukan di level manager, kepala bagian, dan
koordinator kantor.
33 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
2.3. Telecommunications and Network Security Tujuan:
• Mengetahui berbagai aspek keamanan yang terkait dengan
berbagai jenis jaringan komputer/telekomunikasi.
Pembahasan:
PT. Griya Media mempunyai jaringan telekomunikasi dan jaringan
komputer disetipa kantornya. Untuk telekomunikasi, digunakan sistem
PABX yaitu di kantor pusat mempunyai 4 line telpon yang masuk kedalam
sistem PABX berkapasitas 16 saluran dan di kantor cabang 3 line dengan
PABX kapasitas 8 saluran. Semua nomor telpon yang dipakai bersifat
hunting artinya hanya menggunakan satu nomor telpon untuk semua line
dan nomor telepon tersebut dipilih angka yang mudah diingat oleh setiap
orang atau calon customer.
Di kantor pusat dan kantor cabang digunakan jaringan komputer
(LAN) yang menggunakan protokol TCP/IP. Untuk merawat /
mengoperasikan jaringan komputer dimasing-masing kantor, perusahaan
menugaskan staf TI untuk melakukan pemeriksaan secara berkala serta
memberikan tip-tip penggunaan dan perbaikan seputar LAN kepada
Koordinator Kantor. Tiap 3 bulan sekali diadakan pemeriksaan jaringan di
kantor pusat dan kantor cabang. Apabila ada gangguan atau kerusakan
pada jaringan komputer yang tidak dapat diatasi oleh Koordinator Kantor,
kantor cabang dapat meminta bantuan kantor pusat untuk mengirimkan
staf TI guna memperbaiki gangguan atau kerusakan tersebut.
Karena jaringan komputer di kantor pusat terhubung dengan
internet serta adanya jaringan internal dan web server maka dibuatlah
suatu zona yang disebut De-Militarized Zone (DMZ). Di dalam DMZ
dipasang Firewall yang berfungsi untuk keamanan jaringan yaitu
mencegah akses dari luar masuk kedalam jaringan internal perusahaan.
Firewall membuang paket IP dengan address tertentu (source,
34 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
destination) atau TCP port number (services yang dibatasi). Firewall yang
dipakai berupa Router yang diprogram khusus untuk membatasi “site” dan
external network.
Di kantor cabang tidak terdapat Firewall yang dipasang karena
hanya komputer Kepala Cabang dan Koordinator Kantor saja yang
terhubung ke internet melalui modem external dan menggunakan koneksi
dial-up. Internet disini dipakai untuk mengirimkan data properti dan data
keuangan melalui email ke kantor pusat tiap bulannya. Untuk memeriksa
data properti yang telah dikirimkan ke kantor pusat telah diterima dan
diproses, koordinator kantor dapat melihat di website perusahaan yaitu
dibagian properti yang dijual. Disitu akan terlihat data-data properti yang
dijual dari masing-masing kantor cabang.
2.4. Cryptography Tujuan:
• Mengetahui berbagai metode dan teknik penyembunyian data
dengan menggunakan kriptografi.
Pembahasan:
Cryptography adalah suatu teknik penyandian yang dilakukan
dalam mengirim data melalui internet guna menyembunyikan informasi
tersebut dari pihak lain. Biasanya data yang akan dikirim tersebut
dienkripsi terlebih dahulu dan kemudian sesampainya dipenerima akan
didekripsi dan baru bisa dibaca kemudian. Data-data yang dikirim melalui
teknik tersebut diatas adalah data yang bersifat sangat rahasia dan sering
merupakan data transaksi keuangan seperti pembayaran via internet,
nomor kartu kredit, dan sebagainya.
35 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Di PT. Griya Media, data yang dikirim melalui internet adalah data
data dari kantor cabang yang melaporkan kegiatannya selama satu bulan
secara periodik. Data yang dikirim adalah data properti dan data
keuangan. Data properti adalah data tentang properti yang baru saja
diterima dari client untuk dipasarkan, dan properti yang telah laku terjual
pada bulan tersebut. Data keuangan adalah data tentang pendapatan
perusahaan selama satu bulan itu serta biaya operasional kantor cabang
termasuk gaji staf tidak termasuk staf marketing.
Data properti dikirim melaui email oleh Koordinator Kantor Cabang
dan ditujukan ke Manager Marketing untuk ditampilkan di website melalui
bantuan staf TI. Apabila ada customer yang tertarik untuk mengetahui
properti tersebut lebih lanjut, mereka dapat menelpon langsung ke staf
marketing yang bersangkutan atau kantor cabang dimana properti
tersebut dipasarkan (nomor telepon ditampilkan di website).
Data keuangan dikirim ke kantor pusat juga melalui email oleh
Koordinator Kantor dan ditujukan ke Kepala Bagian Keuangan untuk
didownload dan dimasukkan ke dalam aplikasi keuangan guna
pembuatan laporan keuangan perbulannya. Data keuangan menampilkan
data pendapatan dan pengeluaran kantor cabang semata tanpa terdapat
kegiatan atau transaksi pembayaran properti melalui internet.
Demi menjaga kerahasiaan dan keamanan data maka dalam
pengiriman data keuangan dan data properti melalui email tersebut
diharuskan memakai sistem kriptografi. Metode kriptografi yang digunakan
masih sederhana, yaitu : Symmetric Key Cryptography, dimana pada
metode ini antara pengirim dan penerima memiliki private key yang sama.
Alasan pemakaian metode ini yaitu karena pada masing – masing cabang
tidak terdapat staf IT, sehingga proses pengiriman data secara enkripsi
harus lebih mudah untuk dipahami dan dilakukan oleh koordinator kantor
yang bertugas untuk mengirimkan data ke kantor pusat, selain itu data
yang dikirim hanya berupa data transaksi, petugas tidak perlu melakukan
konfigurasi private key dan setting ulang setiap kali akan melakukan
36 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
pengiriman data. Sistem akan secara otomatis menyertakan private key
yang baku bersama dengan data yang dikirim.
Metode ini tentu saja mengandung resiko, dimana bisa saja staf
membocorkan informasi user id dan private key, sehingga data bisa
daikses oleh orang luar. Oleh sebab itu salah satu kebijakan yang diambil
perusahaan adalah baik user name , password, maupun private key harus
diganti dalam periode 1 bulan sekali.
2.5. Security Architecture and Models Tujuan:
• Mengetahui berbagai konsep, prinsip dan standar untuk merancang
dan mengimplementasikan aplikasi, sistem operasi, dan sistem
yang aman.
Pembahasan:
Dalam mengelola sistem informasi perusahaan, PT. Griya Media
menerapkan sistem terbuka khusus untuk sub sistem Properti, dimana
daftar properti yang dipasarkan dan telah terjual dapat diakses oleh siapa
saja melalui web site, hal ini ditujukan untuk mendukung aktivitas
marketing.
Sedangkan untuk sub sistem lainnya, diterapkan sistem tertutup,
dimana hanya pihak intern perusahaan saja yang berhak untuk
mengakses masing – masing sistem. Guna melakukan tindakan preventif
supaya data perusahaan tidak dibaca oleh orang – orang yang tidak
berwenang dan dipergunakan untuk hal – hal yang merugikan
perusahaan, maka masing-masing bagian memperoleh hak akses yang
berbeda – beda sesuai dengan fungsi dan job description-nya.
Pengecualian diberikan kepada karyawan pada level Kepala Bagian atau
yang lebih tinggi, dimana mereka memiliki wewenang untuk untuk
37 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
mengakses semua sistem yang ada, namun hanya sebatas membaca
data. Data selengkapnya mengenai wewenang masing-masing staf dapat
dilihat pada tabel matrix dibawah ini :
No Nama Jabatan Sub
Sistem Properti
Sub Sistem
Keuangan
Sub Sistem
Personalia
Keterangan
1. A01 Direktur Utama R R R 2. A02 Manager Umum R R CRED 3. A03 Manager Marketing CRED R R 4. A04 Kepala Bagian
Administrasi R R CRED
5. A05 Kepala Bagian Keuangan
R CRED R
6. A06 Kepala Bagian TI CRED CRED CRED 7. A07 Kepala Kantor Pusat R R R 8. A08 s/d
A11 Kepala Kantor Cabang
R R R Kepala Kantor pusat dan setiap cabang
9. A12 Staf Administrasi - - CRED 10. A13 Staf Keuangan - CRED - 11. A14 Staf TI CRED CRED CRED 12. A15 s/d
A19 Koordinator Kantor CRED CRED - Koornonator Kantor
Pusat & setiap cabang. Hanya untuk sistem pada masing-masing wilayah
13. A20 Resepsionis - - - 14. A21 Office Boy - - - 15. A22 s/d
A48 Staf Marketing CRED - - Hanya untuk sistem pada
masing-masing wilayah 16. A49 s/d
A60 Satpam - - -
Tabel 2.6. Daftar wewenang staf dalam mengakses sistem
Keterangan :
1. C = Create, R=Read, E=Edit, D=Delete
2. Staf Koordinator Kantor Cabang hanya berhak untuk melakukan CRED pada
sub sistem properti dan sub sistem keuangan pada cabang tempat dia
berada.
3. Staf Marketing hanya berhak untuk melakukan CRED pada sub sistem
properti pada cabang tempat dia berada.
38 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
2.6. Operations Security Tujuan:
• Mengetahui berbagai konsep, prinsip, dan standar untuk
merancang dan mengimplementasikan aplikasi, sistem operasi,
dan sistem yang aman.
Pembahasan:
Tindakan yang akan dilakukan oleh PT. Griya Media pada
dasarnya dibagi menjadi 3 kategori yaitu :
a. Preventive control: kontrol atau pengendalian yang dilakukan untuk
memperkecil sejumlah akibat dari error dan mencegah
perusak/penyerang yang tidak berwenang
Yaitu dengan menerapkan aturan – aturan baku untuk operasional,
misalnya :
Pembatas wewenang untuk akses sistem sesuai dengan
masing-masing fungsi dan job description dengan
menggunakan autentifikasi user name dan password untuk
masuk ke dalam sustem.
Yang berhak masuk ke ruangan server adalah Kepala
Bagian TI dan stafnya.
Komputer hanya boleh dipakai pada jam kantor.
Yang diperbolehkan menggunakan internat hanya level
kepala bagian atau yang lebih tinggi
b. Detective control: merupakan kontrol atau pengendalian yang
dilakukan untuk mendeteksi error pada saat kesalahan itu terjadi
Hanya dapat dilakukan di kantor pusat, sebab tidak ada staf TI yang
ditempatkan di kantor cabang. Apabila terjadi eror pada kantor pusat,
staf IT dapat langsung mendeteksi sumber dari permasalahann
tersebut.
39 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
c. Corrective (recovery) control: merupakan kontrol atau pengendalian
yang dilakukan untuk membantu mengurangi pengaruh dari
kerusakan/kehilangan data
Apabila terjadi eror pada kantor cabang, maka staf TI akan
didatangkan ke tempat tersebut guna melakukan recovery sistem dan
melakukan setting ulang sesuai dengan kondisi sebelum terjadi eror.
2.7. Applications and Systems Development Tujuan:
• Mengetahui berbagai aspek keamanan dan kendali yang terkait
pada pengembangan sistem informasi.
Pembahasan:
PT. Griya Media menerapkan domain ini dalam bentuk kewajiban
setiap pegawai harus menandatangani surat pernyataan bahwa mereka
diwajibkan menjaga dan melindungi data – data rahasia perusahaan
Sedangkan terkait dengan aspek kontrol terhadap pengembangan
dan gangguan terhadap sistem, gangguan pada software yang sering
terjadi disebabkan oleh virus, meskipun sudah dilakukan update antivirus
secara berkala, hal tersebut terkadang tidak dapat mencegah serangan
virus. Jika ruang lingkup kerusakan tidak terlalu bersar staf TI, berikut
dengan teknisi akan membantu memperbaiki dan melakukan setting
ulang. Namun jika kerusakan yang terjadi terlalu besar, maka perlu
didatangkan teknisi dari luar atau dibawa ke perbaikan computer.
Keamanan data pada server diserahkan pada administrator baik
database ataupun jaringan. Keamanan database dibuat dengan
memberikan spesifikasi file yang berbeda-beda. File-file yang bersifat
rahasia seperti data keuangan, data personalia, dan keuangan diberikan
40 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
password dan pemberian hak akses yang berbeda untuk setiap
pengguna.
Secara berkala administrator melakukan backup dalam bentuk
penyimpanan CD. Hal ini dilakukan jika sewaktu-waktu terjadi kerusakan
sistem, data-data masih dapat digunakan kembali.
2.8. Disaster Recovery and Business Continuity Plan Tujuan:
• Mengetahui bagaimana aktifitas bisnis dapat tetap berjalan
meskipun terjadi gangguan atau bencana.
Pembahasan:
Pada dasarnya bisnis ini tidak terlalu sensitif terhadap Teknologi
Informasi, sebab pengiriman data belum dilakukan secara online dan
update data juga belum dilakukan secara real time, hanya saja pencatatan
transaksi, data personalia, dan aktivitas marketing akan sangat terbantu
dengan adanya Teknologi Informasi ini. Tindakan preventif yang telah
dilakukan:
• Melakukan back-up secara rutin setiap minggu sekali dengan
bantuan media Compact Disk. CD ini disimpan di kantor dengan
ada wewenang dan tanggung jawab untuk membawa kunci
tersebut.
• Menyiapkan Stavol UPS pada setiap kantor, guna mengantisipasi
gangguan pada aliran listrik..
• Sebagian karyawan, terutama Satpam diambil dari orang yang
lokasi tempat tinggalnya dekat dengan kantor, sehingga dapat
segera dipanggil dalam keadaan darurat (emergency).
41 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Apabila terjadi bencana besar yang sangat membahayakan kelangsungan
hidup perusahaan, maka langkah – langkah yang harus dilakukan adalah:
• Menyelamatkan back up data pada CD.
• Menghubungi salah satu petingi perusahaan (bila dapat).
• Menghubungi karyawan yang rumahnya paling dekat (bila dapat).
• Menyelamatkan perangkat keras.
Tujuan utamanya adalah supaya bisnis tetap bisa terus berjalan. Back up
CD tersebut dapat dipergunakan untuk tetap menjalankan perusahaan
meskipun dengan perangkat keras yang seadanya.
2.9. Laws, Investigations, and Ethics Tujuan:
• Mengetahui berbagai jenis aturan yang terkait dengan kejahatan
komputer dan legalitas transaksi elektronik
• Mengetahui masalah etika dalam dunia komputer
Pembahasan:
Kondisi perusahaan sekarang terhadap domain tentang hukum,
penyelidikan dan etika di dunia teknologi informasi adalah sebagai
berikut:
• Perusahaan menggunakan software windows sebagai sistem
operasi, Microsoft office sebagai penunjang office automation, dan
software aplikasi distribusi dari distributor pusat.
• Seluruh software yang digunakan adalah legal dan PT. Griya Media
memiliki lisensi penggunaannya.
• Tidak semua pegawai mengerti tentang arti pentingnya masalah
legalitas penggunaan software, sebagian besar hanya mengerti
tentang penggunaannya tanpa memperdulikan dampaknya apabila
menggunakan software bajakan terhadap perusahaan.
42 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
• Perlu adanya pengarahan dan training mengenai penggunaan
komputer dengan segala aspeknya, termasuk di dalanya aspek
legalitas.
PT. Griya Media tidak mempunyai rencana yang jelas untuk
pengembangan sistem teknologi informasinya, sehingga kebijakan
pengadaan software tidak mempunyai arah. Kadang-kadang para
pegawai menginstall begitu saja software-software yang ingin mereka
gunakan (software bajakan) tanpa memikirikan dampaknya pada
perusahaan. Dalam hal ini Bagian IT hanya bertugas mengawasi kinerja
server dan menjadi help desk terhadap gangguan terhadap jaringan
kantor ataupun masalah yang terjadi di PC user.
PT. Griya Media harus memulai untuk memberlakukan beberapa
kebijakan-kebijakan sehubungan dengan legalitas transaksi elektronik,
sebagai berikut:
1. Semua PC yang digunakan adalah PC branded bukan rakitan.
2. Semua software yang dipakai adalah software asli dan bukan bajakan.
3. Semua pengguna komputer dilarang menginstall software yang bukan
berasal dari perusahaan.
4. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada.
5. Semua pelaksanaan instalasi dan prosedur pengaplikasian harus
melalui staf dari bagian IT, tanpa terkecuali.
6. Memberikan sanksi kepada staf yang menggunakan peralatan kantor
untuk hal-hal yang tidak berhubungan dengan pekerjaan kantor.
7. Semua staf terutama staf bagian IT diharuskan menandatangani
peraturan untuk menjaga kerahasiaan sistem di dalam perusahaan,
tanpa terkecuali.
8. Semua pegawai / karyawan terutama staf bagian IT harus menyadari
arti pentingnya fasilitas perusahaan sebagai aset sehingga semua
orang mempunyai kewajiban untuk merawat dan me-maintain fasilitas
perusahaan yang digunakan dan setiap orang wajib bertanggung
43 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
jawab terhadap fasilitas kantor yang digunakan karena setiap
penggunaan fasilitas kantor akan dipertanggungjawabkan ketika
dilakukan audit.
2.10. Physical Security Tujuan:
• Mengetahui berbagai ancaman, resiko, dan control untuk
pengamanan fasilitas sistem informasi.
Pembahasan:
Pada saat awal berdirinya perusahaan ditahun 2000, staf yang ada
masih sedikit dan belum mempunyai kantor cabang seperti sekarang ini.
Setiap staf masih bisa melakukan beberapa kegiatan yang bersifat pribadi
seperti mengajak orang-orang diluar kantor untuk datang dan berkunjung
ke kantor tanpa keperluan yang jelas. Boleh dikatakan bahwa pada saat
itu belum terdapat pembatasan akses masuk bagi pengunjung selain
pegawai sehingga pengawasan terhadap setiap orang yang masuk masih
kurang. Selain itu setiap pegawai masih bebas keluar masuk ke dalam
ruang server sehingga kemungkinan terjadinya sabotase terhadap
perusahaan bagi orang yang pernah sakit hati terhadap perusahaan
sangat besar.
Namun setelah berjalan 5 bulan, beberapa pimpinan perusahaan
mulai merasakan perlunya beberapa aturan yang harus dijalankan oleh
staf kantor seperti satpam untuk melakukan pekerjaannya agar tercipta
rasa aman bagi semua staf yang ada dikantor itu. Adapun beberapa cara
yang dilakukan perusahaan adalah sebagai berikut:
1. Menempatkan satpam di kantor pusat dan kantor cabang selama 24
jam secara bergiliran, yang bertugas sebagai berikut :
44 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Penjagaan keamanan dilakukan secara bergantian dengan dua
shift pagi dan malam dengan waktu kerja
Melakukan pengontrolan terhadap fasilitas perusahaan yang
kemudian dimasukkan ke dalam Laporan Harian dan
melaporkan hasil tugasnya kepada komandannya.
Dalam melakukan tugasnya satpam harus mencatat kejadian-
kejadian yang dialami.
Satpam memiliki nomor-nomor telepon penting yang harus
segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor
telepon, PDAM, PLN dan para pegawai mulai dari direksi
sampai seluruh staf.
Menjaga pintu masuk dan keluar perusahaan. Kendaraan yang
berlalu lalang melalui gerbang dicatat nomor serinya, sehingga
jika terjadi hal-hal yang tidak diinginkan dapat segera diketahui
siapa saja tamu yang datang hari ini ke perusahaan.
• Melakukan pencatatan terhadap setiap orang yang masuk ke
dalam ruang kantor kecuali pegawai, terutama di luar jam dan
kerja.
2. Untuk masalah keamanan dan pengamanan terhadap bangunan
kantor tidak hanya dipegang oleh petugas keamanan akan tetapi
dari pihak perusahaan harus melengkapi semua prosedur dan
kebijakan mengenai pengamanan bangunan diantaranya
penanganan terhadap kebakaran, banjir, huru hara dan lain
sebagainya.
3. Setiap tamu yang masuk harus ditanya apa kepentingannya dan
tidak diperkenankan masuk ke dalam ruangan sebelum ada
konfirmasi dari orang yang ingin ditemuinya. Hal ini untuk
menghindari adanya penyusupan dari perusahaan kompetitor /
pesaing.
4. Untuk pegawai / karyawan harus mengenakan tanda pengenalnya
selama di area kerja tanpa terkecuali.
45 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
5. Melakukan pembatasan akses bagi tamu, bila kepentingan tamu
tersebut diluar urusan kantor dan tidak jelas sebaiknya tamu tidak
diijinkan untuk masuk ke dalam dan hanya dibatasi sampai dengan
lobi saja. Kecuali sudah ada konfirmasi dengan pegawai yang ingin
ditemuinya dan harus menggunakan badge tamu.
6. Melakukan pembatasan akses terhadap karyawan untuk masuk ke
dalam R. Server. Misalnya menggunakan pintu yang berakses.
7. Menempatkan ruang-ruang yang membutuhkan privacy tinggi seperti
ruang server, brankas dan ruang arsip jauh dari public area.
8. Untuk pengamanan jaringan komputer dibutuhkan suatu penahan
terhadap serangan komputer dan server. Untuk itu dibutuhkan
Firewall yang berguna untuk menyaring setiap data yang masuk ke
dalam jaringan sehingga kemungkinan serangan menjadi kecil. Agar
firewall ini dapat bekerja dengan baik maka dibutuhkan tenaga
administrator yang selalu melakukan checking rutin berkala.
9. Staf bagian IT harus melakukan back up data setiap akhir hari
sehingga setiap transaksi elektronik yang terjadi pada hari itu
apabila terjadi masalah masih memiliki back up datanya.
10. Hanya staf bagian IT yang mempunyai wewenang melakukan editing
data pada database dengan persetujuan dari Kepala Bagian IT atas
permintaan user. Hal ini untuk menghindari kemungkinan
penyalahgunaan database perusahaan untuk kepentingan pribadi.
2.11. Auditing Tujuan:
• Mengetahui konsep dasar auditing sistem informasi terkait dengan
masalah keamanan sistem informasi.
Pembahasan:
46 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
Beberapa hal yang masih terlewat dalam melaksanakan 11 domain
sistem informasi adalah mengadakan auditing terhadap sistem informasi
yang dipunyai perusahaan. Hal ini disebabkan karena belum adanya
kesadaran dari tingkat pimpinan perusahaan untuk melakukan auditing.
Sehingga dengan belum adanya audit terhadap sistem informasi dalam
perusahaan mengakibatnya banyak terjadinya penyimpangan dalam
pelaksanaan instalasi aplikasi sistem informasi. Kemudian tidak adanya
jaminan ataupun asuransi yang melindungi aset – aset perusahaan dari
berbagai hal yang dapat menyebabkan kerusakan ataupun kehilangan. Untuk mencegah terjadinya penyimpangan dalam melaksanakan
pekerjaan yang dilakukan oleh masing-masing staf, perusahaan telah
melakukan beberapa langkah yang dapat membantu mengurangi
kekurangan-kekurangan didalam perusahaan. Langkah-langkah tersebut
adalah dengan mengadakan auditing terhadap segala hal yang berkaitan
atau mendukung pekerjaan dan proses bisnis dari perusahaan. Langkah-
langkah tersebut antara lain: 1 Pada PT. Griya Media konsep audit sistem informasi harus dijalankan
dengan cara mengamati / memantau kinerja sistem informasi secara
berkala. Pengauditan sistem informasi secara berkala ini dijalankan
untuk mencegah (prevention), mengetahui / mendeteksi (detection),
dan mengambil tindakan yang diperlukan untuk mengatasi kesalahan
yang sudah terjadi (correction). Pengauditan berkala ini dilakukan
dilakukan tiap hari untuk skala pengoperasian (apabila ada kesalahan
yang bukan tergolong kesalahan human error, seperti kesalahan ketik
atau input, dalam pengoperasian sistem informasi maka kesalahan
tersebut dicatat dan dilaporkan kepada Bagian IT.
2 Melakukan audit internal untuk sistem informasi perusahaan setiap 6
bulan sekali diseluruh kantor guna mengetahui kinerja dari sistem
informasi tersebut.
3 Selain mengaudit sistem informasi maka juga dilakukan pengauditan
terhadap kinerja pengamanan aset-aset fisik lainnya.
47 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
4 Melakukan audit terhadap aset – aset perusahaan secara berkala
sehingga dapat diketahui apa saja yang masih berfungsi dan masih
ada.
5 Mengenai masalah jaminan dan asuransi terhadap segala aset aset
milik perusahaan mengingat investasi yang sudah dikeluarkan untuk
investasi terhadap aset perusahaan cukup besar terutama investasi di
bidang Teknologi Informasi harus mulai dipikirkan untuk menggunakan
jasa asuransi terhadap aset perusahaan.
48 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
BAB III KESIMPULAN
Berdasarkan pembahasan yang telah dilakukan diatas terhadap 11
domain sistem keamanan informasi di PT. Griya Media, maka dapat disimpulkan
bahwa:
1. Kebijakan perusahaan terhadap pengamanan sistem informasi perusahaan
adalah perlu. Hal ini karena selain sebagai penunjang kegiatan perusahaan,
juga dapat menghindarkan perusahaan dari kerugian yang tidak diharapkan.
2. Dalam mengimplementasikan kebijakan terhadap pengamanan sistem
informasi perusahaan diperlukan petunjuk yang jelas kepada karyawan serta
kesepahaman diantara para staf perusahaan dalam melihat arti pentingnya
kegiatan pengamanan tersebut.
49 © 2005 Kelompok 102 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini
DAFTAR PUSTAKA
Johny Moningka, Rahmat M. Samik-Ibrahim, Arrianto Mukti Wibowo, 2005,
Materi Kuliah Proteksi dan Keamanan Sistem Informasi, Program
Magister Teknologi Informasi Universitas Indonesia Jakarta.
Roberta Bragg, CISSP Security Management Practices, in Exam Cram 2.com
[online] (June 20, 2005), available from <http://www.examcram2.com
/articles/article.asp?p=30287&seqNum=4&rl=1>
Ronald L. Krutz, Russel Dean Vines, 2003, The CISSP Prep Guide, Gold Edition,
Wiley.