analisa proteksi dan teknik keamanan sistem informasi pt...

ANALISA PROTEKSI DAN TEKNIK KEAMANANSISTEM INFORMASI PT. ASURANSI MAJU BERSAMA

TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

KELOMPOK 105Irma I. Ibrahim (7203012106)

Wisnu P. Prabowo (7203012289)

Tommy Lukman (720301227Y)

MAGISTER TEKNOLOGI INFORMASIFAKULTAS ILMU KOMPUTER

UNIVERSITAS INDONESIA© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 danPrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.

1

DAFTAR ISI

BAB I Pendahuluan 4

1.1 Profil Perusahaan 4

1.2 Visi dan Misi Perusahaan 4

1.3 Struktur Organisasi Perusahaan 5

1.4 Topologi Jaringan 7

1.5 Denah Kantor 8

BAB II Praktek-Praktek Manajemen Keamanan 9

2.1 Dasar Teori 9

2.1.1 Keamanan Sistem Informasi 9

2.1.2 Pengelompokkan Informasi 10

2.1.3 Kebijakan Keamanan 13

2.1.4 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 14

2.1.5 Manajemen Resiko 15

2.2 Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi

Maju Bersama 15

2.2.1 Pengelompokan Informasi 15

2.2.2 Kebijakan Keamanan 20

2.2.3 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 22

BAB III Sistem Kendali Akses 23

3.1 Dasar Teori 23

3.2 Analisa dan Rekomendasi 23

BAB IV Keamanan Telekomunikasi dan Jaringan 28

4.1 Dasar Teori 28


BAB V Kriptografi 34

5.1 Dasar Teori 34


BAB VI Arsitektur dan Model-Model Keamanan 37

6.1 Dasar Teori 37


© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 danPrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.

2

BAB VII Keamanan Operasi-Operasi 39

7.1 Dasar Teori 39


BAB VIII Pengembangan Aplikasi dan Sistem 41

8.1 Dasar Teori 41


BAB IX Business Continuity Planning dan Disaster Recovery Planning 43

9.1 Dasar Teori 43


BAB X Hukum, Investigasi, dan Etika 46

10.1 Dasar Teori 46


BAB XI Keamanan Fisik 48

11.1 Dasar Teori 48


BAB XII Audit dan Assurance 51

12.1 Dasar Teori 51


BAB XIII Kesimpulan 54

Daftar Pustaka 55


3

BAB IPENDAHULUAN

1.1Profil PerusahaanPT. Asuransi Maju Bersama merupakan sebuah perusahaan asuransi jiwa dan

kesehatan. Perusahaan ini berdiri pada tahun 1998, berawal dari 15 orang karyawan

dengan modal 100 juta, dan berkonsentrasi untuk melayani klien di Jakarta saja. Dengan

kondisi saat ini, PT. Asuransi Maju Bersama berkembang dengan sangat pesat, dan di

tahun 2005 ini pegawainya sudah mencapai 50 orang dan mulai mengembangkan

usahanya sampai ke Pulau Jawa. Berdasarkan data tahun 2003, PT. Asuransi Maju

Bersama memiliki lebih dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih

dari Rp 10 Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp

233,8 juta (tumbuh 15,6 %).

1.2Visi dan Misi PerusahaanPT. Asuransi Maju Bersama memiliki Nilai-Nilai Utama Perusahaan, Budaya

Perusahaan, Misi dan Visi Perusahaan, sebagai berikut:

Nilai-Nilai Utama Perusahaan:

Siapapun pelanggan kami dan apapun yang mereka kerjakan, kami dapat menyesuaikan

dengan kebutuhan mereka. Karena tujuan kami menjadi perusahaan asuransi jiwa pilihan

di Indonesia, kami berkomitmen untuk memberikan produk-produk yang inovative dan

pelayanan yang sesuai dengan kebutuhan pelanggan melalui para agen professional

kami. Nilai nilai utama kami yaitu Integritas, Inisiatif dan Rasa Keikutsertaan yang akan

ditanamkan kepada setiap karyawan dan agen untuk menjadi dasar dalam bertindak.

Budaya perusahaan:

Kami akan mengamalkan Misi kami dan menjunjung tinggi Nilai-Nilai Utama kami melalui:

Integritas, Inisiatif dan Rasa Keikutsertaan yang tinggi kepada pelanggan dan pekerjaan

kami dengan Inovatif dan Proaktif


4

Visi perusahaan:

Berkomitment memberikan perlindungan finansial untuk setiap pelanggan kami. Dikenal

karena kesempurnaan dalam pelayanan dan memegang teguh sikap integritas, Inisiatif

dan rasa keikutsertaan dalam setiap langkah penyelenggaraan bisnis.

Misi perusahaan:

Menjadi Perusahaan Asuransi Jiwa pilihan di Indonesia, yang dikenal karena produk-

produk yang berkualitas, pelayanan pelanggan yang tak kenal henti berdasarkan pada

nilai-nilai utama kami dan saluran distribusi yang efektif.

1.3Struktur Organisasi PerusahaanPuncak organisasi PT Asuransi Maju Bersama diduduki oleh beberapa komisaris

utama dan pembina sebagai penanam saham atau investor. Kemudian di bawahnya

diikuti oleh direktur utama sebagai penanggung jawab perusahaan yang membawahi

ketua umum, sekretariat, dan ketua-ketua teknis dan non-teknis. Masing-masing ketua

membawahi beberapa kepala departemen dan staf. Struktur organisasi PT Asuransi Maju

Bersama dapat dilihat pada Gambar 1.1 berikut. Tabel 1.1 menjelaskan posisi dan

jabatan masing-masing personil sesuai dengan bagiannya.

Gambar 1. 1 Struktur Organisasi


5

DIVISI NAMA TUGAS/JABATAN

President Director A01 President director

Director A02 DirectorOperation and

Technology A03 Head of Optech

A04 Head of NBU

A05 Supervisor

A06 Consultant

A07 Staff

A08 Head of CS/Claim

A09 Staff

A10 Staff

A11 Head of IT

A12 System administrator

A13 Data support

A14 Help desk

A15 Head of IS

A16 Programmer

A17 Programmer

ACTUARY A18 Head of actuary

A19 Staff

A20 Staff

FINANCE A21 Head of finance

A22 Accounting supervisor

A23 Cashier

A24 Finance staff

A25 Premium collector

A26 Finance staff

A27 OSD staff

A28 Office boy

A29 Office boy

A30 Office boy

A31 Office boy

A32 Office boy

A33 Office boy

A34 Security guard

A35 Security guard

Marketing A36 Head of marketing

A37 Head of ADS

A38 ADS staff

A39 Head of bancassurance

A40 Bancassurance staff

A41 Marketing support supervisor

A42 Marketing support staff


6

DIVISI NAMA TUGAS/JABATAN

A43 Marketing & promotion supervisor

A44 Marketing support staff

A45 Graphic designer

A46 Research & product staff

A47 Bancassurance staff

CCC A48 Head of CCC

A49 Secretary

A50 Receptionist

HR A51 Head of HRD

A52 HRD staff

A53 HRD staff

Tabel 1 1 Matriks Karyawan

1.4Topologi JaringanGambar 1.2 menunjukkan topologi LAN yang dimiliki PT Asuransi Maju Bersama.

Gambar 1. 2 Topologi Jaringan


7

1.5Denah KantorGambar 1.3 menunjukkan denah kantor PT Asuransi Maju Bersama.

A01

PRESIDENT DIRECTOR

A51A18

A19

A15

OPREATION &TECHNOLOGY

A03 A06 A09

A11

A06 A08

FINANCE

A22

A24

A37

A39

MARKETING

A41

A50RECEPTIONIST

A47

A38

A53

DIRECTOR

PANTRY

A02

A48 A49A17

A16

A14

A12A13

CCC

HRD

A21

A52

A04 A05

ACTUARY

A25

A23

A36

A43A45

A20

A27

A26

A40

A42 A44

A46

FILL

ING R

OOM

MARKETING STAFF

IT STAFF

Gambar 1. 3 Denah Kantor


8

Confidentiality

Integrity Availability

BAB IIPRAKTEK-PRAKTEK MANAJEMEN KEAMANAN

2.1Dasar Teori2.1.1Keamanan Sistem Informasi

Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan

informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan,

standar-standar, pedoman-pedoman, dan prosedur-prosedur. Ia mendefinisikan praktek-

praktek manajemen klasifikasi data dan manajemen resiko. Ia juga membahas masalah

confidentiality (kerahasiaan), integrity (integritas), dan availibility (ketersediaan) dengan

cara mengidentifikasi ancaman-ancaman, mengelompokkan aset-aset organisasi, dan

menilai vulnerabilities (bentuk jamak dari vulnerability yang berarti bersifat mudah untuk

diserang) mereka sehingga kendali-kendali keamanan yang efektif dapat

diimplementasikan.

Di dalam domain Keamanan Sistem informasi dikenal tiga buah konsep yakni

Confidentiality, Integrity, dan Availibility (C.I.A.), seperti yang ditunjukkan oleh Gambar

2.1. Ketiga konsep ini mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh

kendali-kendali keamanan informasi, dan upaya-upaya perlindungan, serta semua

ancaman-ancaman, vulnerabilities, dan proses keamanan mengacu pada ukuran CIA.

Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya

penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari

suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui

keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan

hak-hak jaringan.

Gambar 2.1 C.I.A Triad


9

Integrity. Konsep integrity menjamin bahwa:

§ Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang

tidak sah.

§ Modifikasi-modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau

proses yang sah.

§ Data bersifat konsisten baik secara internal maupun eksernal; dengan kata lain, bahwa

informasi internal bersifat konsisten di antara semua subentitas dan bahwa informasi

internal bersifat konsisten dengan situasi eksternal dan di dunia nyata.

Availability. Konsep availability menjamin bahwa akses terhadap data atau

sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai.

Dengan kata lain, availability menjamin bahwa sistem selalu “up and running” bila

dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan

yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia.

Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampak-

dampak dari ancaman-ancaman keamanan dan vulnerabilities ke suatu tingkat yang

dapat ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan

penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah organisasi

dan besarnya peluang terjadinya ancaman. Proses yang menganalisa skenario ancaman

dan menghasilkan nilai representatif dari perkiraan kehilangan potensial disebut Analisa

Resiko.

2.1.2Pengelompokkan InformasiInformasi dapat menimbulkan dampak global pada bisnis organisasi, tidak hanya

pada unit bisnis atau tingkat lini operasi. Tujuan dari pengelompokan informasi adalah

untuk meningkatkan confidentiality, integrity, dan availability dan untuk meminimalisasi

resiko-resiko organisasi. Sebagai tambahan, dengan berfokus pada mekanisme-

mekanisme proteksi dan kendali-kendali pada area informasi yang paling membutuhkan

akan diperoleh rasio biaya-manfaat yang lebih efisien.

Di dalam domain keamanan sistem informasi, pengelompokan informasi digunakan

untuk mencegah penyingkapan yang tidak sah terhadap informasi dan dampak dari

hilangnya confidentiality. Pengelompokan informasi dapat juga digunakan untuk mematuhi

peraturan-peraturan pemerintah, atau untuk menjaga daya kompetitif organisasi di dalam

pasar yang penuh persaingan.

Di samping tujuan-tujuan di atas, pengelompokan informasi juga memberi manfaat


10

sebagai berikut:

§ Mendemonstrasikan komitmen sebuah organisasi dalam upaya perlindungan

keamanan.

§ Membantu mengidentifikasi informasi mana yang paling sensitif atau vital bagi sebuah

organisasi.

§ Mendukung prinsip C.I.A.

§ Membantu mengidentifikasi proteksi-proteksi mana saja yang sesuai dengan informasi

tertentu.

§ Mungkin diperlukan untuk kebutuhan regulasi, compliance, atau legal.

Informasi yang dihasilkan atau diproses sebuah organisasi harus dikelompokkan

sesuai dengan sensitivitas organisasi terhadap kehilangan atau penyingkapan informasi

tersebut. Pemilik-pemilik data bertanggung jawab mendefinisikan tingkat sensitivitas data.

Pendekatan ini memungkinkan kendali-kendali keamanan diimplementasikan secara tepat

sesuai dengan skema pengelompokan.

Istilah-istilah klasifikasi berikut umum digunakan di dalam sektor swasta:

1. Public (publik). Semua informasi perusahaan yang tidak termasuk ke dalam kategori-

kategori selanjutnya dapat dianggap sebagai public. Informasi ini mungkin sebaiknya

tidak disingkap. Namun apabila terjadi penyingkapan diperkirakan tidak akan

menimbulkan dampak yang serius terhadap perusahaan.

2. Sensitive (sensitif). Informasi yang memerlukan tingkat pengelompokan lebih tinggi

dari data normal. Informasi ini dilindungi dari hilangnya confidentiality dan integrity

akibat perubahan yang tidak sah.

3. Private (pribadi). Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk

penggunaan perusahaan saja. Penyingkapan terhadap informasi ini dapat berdampak

buruk terhadap perusahaan atau pegawai-pegawainya. Sebagai contoh, tingkat gaji

dan informasi medis dianggap informasi yang pribadi.

4. Confidential (rahasia). Informasi yang dianggap sangat sensitif dan dimaksudkan

untuk untuk penggunaan perusahaan saja. Penyingkapan yang tidak sah dapat

berdampak serius dan negatif terhadap perusahaan. Sebagai contoh, informasi

mengenai pengembangan produk baru, rahasia-rahasia dagang, dan negosiasi merger

dianggap informasi rahasia.

Kriteria-kriteria berikut digunakan untuk menentukan pengelompokan sebuah

obyek informasi:

1. Nilai. Nilai merupakan kriteria nomor satu yang umum digunakan. Jika suatu informasi


11

bernilai bagi sebuah organisasi atau pesaing-pesaingnya, maka ia perlu

dikelompokkan.

2. Usia. Pengelompokan informasi dapat diturunkan jika nilai informasi tersebut

berkurang seiring berjalannya waktu.

3. Waktu guna. Jika informasi dibuat menjadi kadaluwarsa karena informasi baru,

perubahan substansial di dalam perusahaan, atau alasan-alasan lain, informasi

tersebut dapat tidak dikelompokkan lagi.

4. Asosiasi pribadi. Jika informasi secara pribadi diasosiasikan dengan individu-individu

tertentu atau dilindungi oleh hukum privasi, ia perlu dikelompokkan. Misalnya,

informasi penyelidikan yang mengungkap nama-nama informan mungkin perlu

dikelompokkan.

Langkah-langkah pembuatan sistem pengelompokan adalah sebagai berikut:

1. Identifikasi administrator atau pemelihara.

2. Tentukan kriteria bagaimana cara pengelompokan dan beri tanda ke tiap informasi.

3. Kelompokkan data berdasarkan pemilik, yang tunduk pada peninjauan seorang

pengawas.

4. Tentukan dan buat dokumentasi tiap pengecualian terhadap kebijakan

pengelompokan.

5. Tentukan kendali-kendali yang akan diterapkan ke tiap tingkat pengelompokan.

6. Tentukan prosedur-prosedur terminasi untuk mendeklasifikasi informasi atau untuk

memindahkan pemeliharaan informasi ke pihak lain.

7. Buat program kesadaran perusahaan akan kendali-kendali pengelompokan.

Berikut adalah peran-peran dari semua partisipan di dalam program

pengelompokan informasi:

1. Pemilik. Seorang pemilik informasi dapat berupa seorang eksekutif atau manajer di

dalam organisasi. Orang ini bertanggung jawab terhadap aset informasi yang harus

dilindungi. Pemilik memiliki tanggung jawab korporat final terhadap perlindungan data.

Sedangkan fungsi sehari-hari dari perlindungan data berada di tangan pemelihara

data. Tanggung jawab pemilik data adalah sebagai berikut:

§ Membuat keputusan awal tentang tingkat pengelompokan yang diperlukan suatu

informasi, yang berdasarkan kebutuhan-kebutuhan bisnis dalam perlindungan data.

§ Meninjau ulang penentuan klasifikasi secara periodik dan membuat perubahan

sesuai dengan perubahan kebutuhan bisnis.

§ Menyerahkan tanggung jawab perlindungan data kepada pemelihara data.


12

2. Pemelihara (Custodian). Pemilik informasi menyerahkan tanggung jawab perlindungan

data kepada pemelihara data. Umumnya staf IT melaksanakan peran ini. Tugas-tugas

pemelihara data adalah sebagai berikut:

§ Menjalankan proses-proses backup dan secara rutin menguji validitas dari data

yang di-backup.

§ Melakukan pemulihan data dari backup bila diperlukan.

§ Menjaga data-data tersebut sesuai dengan kebijakan pengelompokan informasi

yang telah dibuat.

3. Pemakai. Pemakai adalah setiap orang (operator, pegawai, atau pihak luar) yang

secara rutin menggunakan informasi sebagai bagian dari pekerjaannya. Orang ini

dapat dianggap sebagai konsumen data, yakni seseorang yang membutuhkan akses

harian ke suatu informasi untuk menjalankan tugas-tugasnya. Berikut adalah hal-hal

penting sehubungan dengan pemakai:

§ Pemakai-pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan

dalam sebuah kebijakan keamanan organisasi, dan mereka harus mematuhi

pedoman-pedoman cara penggunaan yang dikeluarkan.

§ Pemakai-pemakai harus menjaga baik-baik keamanan dari informasi selama

melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam kebijakan pemakaian

informasi korporat). Mereka harus mencegah terjadinya “open view”, yakni terbukanya

informasi sehingga dapat diakses oleh orang yang tak berhak.

§ Pemakai-pemakai harus menggunakan sumber daya komputer perusahaan hanya

untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.

2.1.3Kebijakan KeamananKebijakan dapat berarti banyak di dalam dunia keamanan informasi. Sebagai

contoh, terdapat kebijakan keamanan di dalam firewall, yang mengacu kepada informasi

access control dan daftar routing. Sedangkan standar-standar, prosedur-prosedur, dan

pedoman-pedoman juga disebut sebagai kebijakan-kebijakan dalam konteks keamanan

informasi yang lebih besar.

Berikut adalah jenis-jenis dari kebijakan:

1. Pernyataan kebijakan manajemen senior. Merupakan pernyataan kebijakan umum dan

tingkat tinggi, yang mengandung elemen-elemen sebagai berikut:

§ Sebuah pernyataan tentang pentingnya sumber daya komputer terhadap model

bisnis.


13

§ Sebuah pernyataan tentang dukungan untuk keamanan informasi di seluruh

perusahaan.

§ Sebuah komitmen untuk menyetujui dan mengatur definisi standar-standar,

prosedur-prosedur, dan pedoman-pedoman tingkat rendah.

2. Regulasi (Regulatory). Merupakan kebijakan-kebijakan keamanan yang harus

diimplementasi oleh perusahaan akibat peraturan pemerintah. Tujuan dari regulasi

adalah sebagai berikut:

• Untuk menjamin bahwa perusahaan yang terkait mengikuti prosedur-prosedur

standar atau best practices operasi di dalam industrinya.

• Untuk memberikan keyakinan kepada sebuah organisasi bahwa ia telah mengikuti

standar dan kebijakan industri yang telah diakui.

3. Advisory. Merupakan kebijakan keamanan yang tidak harus dipatuhi namun sangat

disarankan, mungkin dengan konsekuensi serius seperti pemecatan, surat peringatan,

dan lain-lain. Sebuah perusahaan dengan kebijakan seperti ini menginginkan agar

sebagian besar pegawai menganggapnya kewajiban. Sebagian besar kebijakan

masuk dalam kategori ini.

4. Informatif. Merupakan kebijakan yang ada untuk memberikan informasi kepada

pembaca internal maupun eksternal.

2.1.4Standar-Standar, Pedoman-Pedoman, dan Prosedur-ProsedurStandar-standar, pedoman-pedoman, dan prosedur-prosedur merupakan elemen

dari implementasi kebijakan yang mengandung detil aktual dari kebijakan, seperti

bagaimana kebijakan seharusnya diimplementasikan dan standar-standar dan prosedur-

prosedur apa saja yang seharusnya digunakan. Mereka diterbitkan ke seluruh organisasi

melalui buku-buku petunjuk, intranet, buku-buku panduan, dan kelas-kelas pelatihan.

Penting untuk diketahui bahwa standar-standar, pedoman-pedoman, dan prosedur-

prosedur merupakan dokumen-dokumen yang terpisah namun berhubungan dengan

kebijakan-kebijakan umum (terutama pernyataan tingkat manajemen senior).

Berikut adalah penjelasan dari masing-masing elemen:

1. Standar. Standar menetapkan penggunaan teknologi-teknologi spesifik dalam cara

yang seragam. Standarisasi terhadap prosedur operasi ini dapat menguntungkan

sebuah organisasi dengan menetapkan metodologi-metodologi seragam yang

digunakan untuk kendali-kendali keamanan. Standar umumnya merupakan kewajiban

dan diimplementasi di seluruh organisasi untuk keseragaman.© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 danPrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.

14

2. Pedoman. Pedoman serupa dengan standar – mereka merujuk kepada metodologi

dalam mengamankan sistem, namun pedoman hanya berisi tindakan-tindakan yang

sifatnya disarankan dan bukan merupakan kewajiban

3. Prosedur. Prosedur mengandung langkah-langkah detil yang perlu dilakukan untuk

menjalankan tugas tertentu. Prosedur merupakan kegiatan-kegiatan detil yang harus

diikuti seorang personil. Prosedur termasuk dalam tingkat terendah di dalam rantai

kebijakan. Tujuannya adalah untuk menyediakan langkah-langkah detil untuk

mengimplementasi kebijakan-kebijakan, standar-standar, dan pedoman-pedoman

yang telah dibuat sebelumnya.

2.1.5Manajemen ResikoFungsi utama manajemen resiko adalah untuk memperkecil resiko hingga

mencapai tingkat yang dapat diterima oleh sebuah organisasi. Manajemen resiko dapat

diartikan sebagai identifikasi, analisa, kendali, dan minimalisasi kerugian akibat suatu

peristiwa.

Identifikasi resiko memerlukan definisi tentang elemen-elemen dasar berikut:

§ Ancaman aktual

§ Kemungkinan konsekuensi-konsekuensi dari ancaman yang diketahui.

§ Peluang frekuensi terjadinya suatu ancaman.

§ Tingkat keyakinan kita bahwa suatu ancaman akan terjadi.

Proses manajemen resiko memiliki beberapa elemen sebagai berikut:

1. Analisa Resiko, termasuk analisa biaya-manfaat terhadap suatu tindakan

perlindungan.

2. Implementasi, peninjauan ulang, dan memelihara tindakan perlindungan.

2.2Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PTAsuransi Maju Bersama

2.2.1Pengelompokan InformasiSaat ini di PT Asuransi Maju Bersama sama sekali belum dilakukan pendefinisian

terhadap informasi secara formal. Untuk itu maka penulis merekomendasikan

pendefinisian aset informasi yang dimiliki perusahaan tersebut. Langkah pertama adalah

mengidentifikasikan aset-aset informasi yang dimiliki. Selanjutnya adalah mengidentifikasi

administrator atau pemelihara masing-masing informasi tersebut.

Berikut adalah aset-aset ICT milik PT Asuransi Maju Bersama yang berhasil© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 danPrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.

15

diidentifikasi:

Aset tangible, terdiri dari

a) 4 server HP

b) 2 server berbasis PC

c) 1 Tape backup drive HP

d) 2 UPS APC

e) 1 Cable modem

f) 45 buah PC

g) 1 printer dot matrix Epson LQ-2180

h) 1 printer dot matrix Epson LX-300

i) 2 printer laser HP 2300

j) 1 printer laser HP 6P

k) 2 printer laser HP 1010

l) 6 printer bubble jet HP 690C

m) 2 print server D-Link

n) 1 print server HP JetDirect

o) 2 scanner HP

p) 1 PABX

q) 45 pesawat telepon

Aset intangible, terdiri dari

a) 6 license Windows 2000 Server

b) 45 license Windows XP Professional

c) Informasi pemegang polis

d) Informasi keuangan

e) Informasi kepegawaian

f) Informasi agen asuransi

g) Informasi produk asuransi

h) Informasi cadangan asuransi

i) Informasi topologi jaringan

j) Informasi source code aplikasi asuransi

k) Informasi alamat dan password e-mail Internet

Tidak semua informasi dipelihara oleh Departemen IT. Ada beberapa data yang

dipelihara oleh departemen yang bersangkutan, dan bahkan ada yang dipelihara oleh


16

pihak vendor. Untuk lebih jelasnya dapat dilihat di Tabel 2.1. Langkah selanjutnya adalah

menentukan kriteria pengelompokan. Pengelompokan dilakukan dengan menggunakan

istilah-istilah dan nilai-nilai yang telah dijelaskan di bagian sebelumnya. Tabel 2.1

menunjukkan penandaan dari setiap informasi yang ada di dalam perusahaan.

No. Nama Informasi Klasifikasi Pemilik Pemelihara Pemakai

1 Basis data keuangan Confidential DivisiFinance

Pengembang aplikasi Divisi Finance

2 Basis data kepegawaian ConfidentialDivisi

HumanCapital

Pengembang aplikasi

Divisi Human Capital danpegawai yangbersangkutan

3 Basis data pemegang polis Confidential Manajemen IT

Divisi Operasi, DivisiMarketing, Divisi Finance,dan pemegang polis yangbersangkutan

4 Basis data agen asuransi Confidential Manajemen IT

Divisi Operasi, DivisiMarketing, Divisi Finance,dan agen yangbersangkutan

5 Definisi produk asuransi Confidential DivisiAktuaria

DivisiAktuaria

Divisi Aktuaria dan DivisiOperasi

6 Cadangan Asuransi Confidential DivisiAktuaria

DivisiAktuaria

7 Alamat dan password e-mail perusahaan Confidential Manajeme

n IT Pemegang e-mail yangbersangkutan

8 Source code aplikasi Confidential Manajemen IS Departemen IS

9 Topologi jaringan Confidential IT IT IT

Tabel 2 1 Pengelompokan Informasi

Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam

PT Asuransi Maju Bersama:

1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui

berapa margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas

data harus dijaga karena berhubungan dengan penagihan kepada pemegang polis

dan vendor; apabila integritas data terganggu maka kredibilitas perusahaan dapat

terganggu. Ketersediaan data juga penting karena penagihan harus dilakukan tepat

waktunya untuk menjaga arus cash flow perusahaan.

2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh

mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji,

penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi

tersebut.

3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas

informasi ini akan dapat merugikan baik pemegang polis maupun perusahaan.


17

4. Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan

baik agen asuransi maupun perusahaan.

5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat

merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing.

6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan

kesehatan finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk

mendiskreditkan perusahaan.

7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh

ke pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha

perusahaan yang umumnya bersifat rahasia dapat diketahui.

8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka

akan sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk

pengembangan aplikasi tersebut.

9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka

akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan

melakukan akses ilegal ke dalamnya.

Setelah mengidentifikasi aset informasi yang dimiliki perusahaan beserta

penilaiannya, langkah berikutnya adalah mengidentifikasi ancaman-ancaman potensial

yang mungkin dapat mengganggu confidentiality, integrity, dan availability dari informasi-

informasi tersebut. Tabel 2.2 menunjukkan ancaman-ancaman potensial yang berhasil

diidentifikasi.

Threat Agent Vulnerability Kemungkinan hasil dari resikoVirus Tidak ada software antivirus, atau antivirus tidak ter-

update dengan rutinInfeksi virus, hilangnya data, kerusakan padakomputer

Hacker Ketidaksempurnaan software firewall yang digunakandan tidak termonitornya firewall tersebut.

Tidak digunakannya enkripsi dalam pengiriman e-mail

Akses ilegal terhadap data penting perusahaan

Pemakai Miskonfigurasi operating system Akses ilegal terhadap data penting perusahaan,kerusakan pada komputer

Kebakaran Tidak memadainya sistem pemadam kebakaran Kerusakan pada komputer dan teknologi informasilainnya, termasuk data di dalamnya

Internal User Kelemahan pada sistem audit Terganggunya integrasi dataTerputusnyaakses

Tidak adanya koneksi Internet cadangan Terganggunya proses bisnis perusahaan yangberhubungan dengan pihak luar

Pencurian Kurangnya informasi latar belakang dari pegawaiperusahaan

Kerugian akibat jatuhnya informasi rahasiaperusahaan ke tangan pesaing

Kontraktor Lemahnya kontrol terhadap kontraktor Pencurian data perusahaan

Tabel 2 2 Ancaman dan Dampaknya


18

Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama

disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut:

1. Pencegahan. Tindakan pencegahan dilakukan dengan cara:

• Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.

• Pembelian perangkat keras firewall.

• Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall

secara rutin.

• Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.

• Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.

• Pemakai tidak diberikan hak akses administrator di PC-nya.

• Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan

komputer dan elektronik lainnya.

• Penggunaan akses Internet dial-up sebagai cadangan.

• Memperketat proses pemeriksaan latar belakang calon pegawai.

• Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan

memerlukannya.

• Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk

dibawa keluar dari perusahaan.

• Dibuat prosedur keamanan yang berlaku di dalam perusahaan.

• Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang

benar.

• Penerapan rencana disaster recovery dan business continuity.

2. Deteksi. Tindakan deteksi dilakukan dengan cara:

§ Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk

menghindari terjadinya kegagalan perangkat keras.

§ Melakukan pemeriksaan komputer secara rutin terhadap virus.

§ Melakukan pemeriksaan terhadap backup yang dihasilkan.

3. Represi. Tindakan Represi dilakukan dengan cara:

§ Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan

Access Control List, MAC address, dan Virtual LAN.

§ Melakukan pembatasan akses internet hanya untuk bagian yang memang harus

berhubungan dengan pihak di luar perusahaan.

4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup


19

yang benar.

5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas

keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah

yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar

masalah tersebut tidak terulang kembali.

2.2.2Kebijakan KeamananSaat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah

kebijakan IT perusahaan tersebut:

1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk

informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab

seluruh staff untuk menjaga kerahasiaan data nasabah.

2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan

oleh perusahaan.

3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan

komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan

kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server.

4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec.

5. Seluruh Komputer harus mengaktifkan ‘screen saver’ untuk menghindarkan dari

pemakai yang tidak berhak.

6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan

datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang

dihasilkan tidak tersanggah (non repudiation)

7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery.

Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di

implementasikan. Backup Strategy sudah mencakup rencana backup harian.

8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui

oleh Kepala Divisi Optec.

9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun

disetujui oleh Kepala Divisi Optec dan Presiden Direktur.

10.Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh

Kepala Divisi Optec dan disetujui oleh Presiden Direktur.

11.Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem

produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan.


20

12.Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi

yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus

User-ID serta merubah hak akses.

13.Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus

diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7

(tujuh) password yang sebelumnya.

14.User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang

bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan

User-ID-nya.

15.Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh

‘system owner’ sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji

ulang dan didokumentasikan oleh ‘system owner’.

16.Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang

sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus

mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di

perusahaan.

17.Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari

pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu

kunjungan.

18.Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan

support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus

dihentikan sesaat setelah pekerjaan diselesaikan.

19. ‘Disaster Recovery Plan’ harus di tes setiap tahun.

20.Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan

dan atas persetujuan dari ‘Board Of Director’.

21.Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali

telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.

22.Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke

dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala

Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data

dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus.

23.Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of

Director.

24. IT berkewajiban memastikan ‘Data Network’ aman dan terlindungi dari akses oleh


21

pihak yang tidak diberi ijin.

25.Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada

Kepala Divisi Optec dan Board Of Director.

26.Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer

dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan

perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada

pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.

27.Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan

disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan

kebijakan ini, harus mendapatkan persetujuan dari Board Of Director.

2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-ProsedurSaat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-

standar, pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan

pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan

pembuatannya dengan disetujui dan disponsori oleh board of director kemudian

disosialisasikan ke seluruh pegawai.


22

BAB IIISISTEM KENDALI AKSES

3.1Dasar TeoriSistem Kendali Akses adalah suatu fitur dari keamanan yang mengendalikan

bagaimana pemakai dan sistem dapat berinteraksi dan berkomunikasi dengan sistem dan

sumber daya yang lain. Sistem Kendali Akses melindungi sistem dan sumber daya dari

akses pihak yang tidak berkepentingan. Sistem Kendali Akses juga memberikan tingkatan

otorisasi tertentu kepada pihak yang telah di otentifikasi untuk menggunakan sumber daya

yang ada. Untuk itu diperlukan administrasi dari kendali akses. Aspek administrasi dari

kendali akses ditangani oleh dukungan TI internal perusahaan. Apabila diperlukan dan

disetujui oleh pihak manajemen, maka dukungan TI dapat berkonsultasi dan meminta

pendapat dari praktisi di bidang keamanan TI.

Adapun Tugas-tugas administrasi dari kendali akses adalah sebagai berikut:

1. Menambahkan control list pada suatu resource.

2. Meng-update control list pada suatu resource.

3. Menghapus hak akses pada suatu resource.

3.2Analisa dan RekomendasiSaat ini pada PT. Adiperkasa Distribusindo terdapat lima sistem yang dibatasi

penggunaannya, yaitu sistem domain Windows 2000, sistem proxy Wingate, sistem

asuransi GEL, sistem keuangan FIT, dan sistem sumber daya manusia HR. Akses

terhadap sistem-sistem tersebut dibatasi hanya pada divisi yang menggunakan sistem

tersebut. Sistem kendali akses yang digunakan adalah dengan menggunakan password,

dan khusus untuk sistem sumber daya manusia HR menggunakan pemindaian sidik jari.

Di samping itu, PT Asuransi Maju Bersama menggunakan metode file-sharing

untuk hal-hal sebagai berikut:

1. Menjalankan aplikasi asuransi individunya.

2. Berbagi informasi, misalnya informasi pemegang polis dan klaim yang diajukan, di

antara sesama pegawai dalam satu departemen atau antar departemen yang

membutuhkan.

3. Berbagi-pakai printer.


23

Matriks dari kendali akses untuk file sharing dapat dilihat pada Tabel 3.1.

NAMA TUGAS/JABATAN

SHARED FOLDER DAN LOKASINYA

Master(Proxyserver)

Gel_Ind(Application

server 1)

shared folder untukfungsi internal tiap

departemen (PC stafdepartemen terkait)

shared folder untukfungsi antar departemen

(PC staf departemen-departemen terkait)

A03 Head of Optech N/A N/A * **

A04 Head of NBU N/A R/W * **

A05 Supervisor N/A R/W * **

A06 Consultant N/A N/A * **

A07 Staff N/A R/W * **

A08 Head of CS/Claim N/A R/W * **


A10 Staff R/W R/W * **

A11 Head of IT R/W R/W * **

A12 Systemadministrator N/A R/W * **

A13 Data support R/W R/W * **

A14 Help desk N/A R/W * **

A15 Head of IS N/A N/A * **

A16 Programmer N/A N/A * **

A17 Programmer N/A N/A * **

A18 Head of actuary N/A R/W * **



A21 Head of finance N/A R/W * **

A22Accounting

supervisorN/A N/A * **

A23 Cashier N/A R/W * **

A24 Finance staff N/A R/W * **

A25 Premium collector N/A R/W * **


24

NAMA TUGAS/JABATAN


Master(Proxyserver)

Gel_Ind(Application

server 1)





A26 Finance staff N/A R/W * **

A27 OSD staff N/A N/A * **

A28 Office boy N/A N/A * **






A34 Security guard N/A N/A * **

A35 Security guard N/A N/A * **

A36 Head of marketing N/A N/A * **

A37 Head of ADS N/A N/A * **

A38 ADS staff N/A N/A * **

A39 Head ofbancassurance N/A N/A * **

A40Bancassurance

staffN/A N/A * **

A41Marketing support

supervisorN/A R/W * **


staffN/A R/W * **

A43

Marketing &

promotion

supervisor

N/A R * **


staffN/A R/W * **

A45 Graphic designer N/A N/A * **

A46Research &

product staffN/A N/A * **


25

NAMA TUGAS/JABATAN


Master(Proxyserver)

Gel_Ind(Application

server 1)





A47Bancassurance

staffN/A N/A * **

A48 Head of CCC N/A N/A * **

A49 Secretary N/A N/A * **

A50 Receptionist N/A N/A * **

A51 Head of HRD N/A N/A * **

A52 HRD staff N/A N/A * **

A53 HRD staff N/A N/A * **

Keterangan: * R/W untuk anggota dept. terkait, N/A untuk dept. Lain

** R/W untuk anggota dept. terkait, R untuk dept. Lain

Tabel 3.1 matriks Kendali Akses File Sharing

Sedangkan matriks dari kendali akses untuk print sharing dapat dilihat pada tabel

berikut:

NAMA TUGAS/JABATAN PRINTERLQ-2180 LASERJET 2300 LX-300 LASERJET 6P DESKJET 690C

A01 President Director T Y Y Y Y

A02 Director T Y Y Y Y

A03 Head of Optech T Y Y Y Y

A04 Head of NBU T Y Y Y Y

A05 Supervisor T Y Y Y Y

A06 Consultant T Y Y Y Y

A07 Staff Y Y Y Y Y

A08 Head of CS/Claim T Y Y Y Y

A09 Staff T Y Y Y Y

A10 Staff T Y Y Y Y

A11 Head of IT T Y Y Y Y

A12 System administrator Y Y Y Y Y

A13 Data support T Y Y Y Y

A14 Help desk Y Y Y Y Y

A15 Head of IS T Y Y Y Y

A16 Programmer T Y Y Y Y

A17 Programmer T Y Y Y Y

A18 Head of actuary T Y Y Y Y

A19 Staff T Y Y Y Y

A20 Staff T Y Y Y Y

A21 Head of finance T Y Y Y Y


26

A22 Accountingsupervisor T Y Y Y Y

A23 Cashier T Y Y Y Y

A24 Finance staff T Y Y Y Y

A25 Premium collector Y Y Y Y Y

A26 Finance staff T Y Y Y Y

A27 OSD staff T Y Y Y Y

A28 Office boy T Y Y Y Y






A34 Security guard T Y Y Y Y

A35 Security guard T Y Y Y Y

A36 Head of marketing T Y Y Y Y

A37 Head of ADS T Y Y Y Y

A38 ADS staff T Y Y Y Y

A39Head ofbancassurance T Y Y Y Y

A40 Bancassurance staff T Y Y Y Y

A41

Marketing support

supervisorT Y Y Y Y

A42

Marketing support

staffT Y Y Y Y

A43

Marketing &

promotion supervisorT Y Y Y Y

A44

Marketing support

staffT Y Y Y Y

A45 Graphic designer T Y Y Y Y

A46

Research & product

staffT Y Y Y Y

A47 Bancassurance staff T Y Y Y Y

A48 Head of CCC T Y Y Y Y

A49 Secretary T Y Y Y Y

A50 Receptionist T Y Y Y Y

A51 Head of HRD T Y Y Y Y

A52 HRD staff T Y Y Y Y

A53 HRD staff T Y Y Y Y

Tabel 3.2 Matriks Kendali Akses Print Sharing

Dengan melihat kedua matriks di atas dapat disimpulkan bahwa PT Asuransi Maju

bersama telah memiliki kendali akses yang cukup baik.


27

BAB IVKEAMANAN TELEKOMUNIKASI DAN JARINGAN

4.1Dasar TeoriSehubungan dengan keamanan telekomunikasi dan jaringan, ada beberapa hal

yang perlu untuk diperhatikan, yaitu:

1. Keamanan komunikasi dan jaringan sehubungan dengan pengiriman suara, data,

multimedia, dan faximili dalam suatu local area, wide area, dan remote access.

2. Teknik pengamanan komunikasi untuk mencegah, mengetahui, dan memperbaiki

kesalahan sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi

melalui jaringan dapat terpelihara.

3. Internet/intranet/extranet sehubungan dengan firewalls, routers, gateways, dan

berbagai protocols.

4. Teknik dan manajemen keamanan komunikasi, yang meliputi pencegahan, pelacakan,

dan perbaikan kesalahan, sehingga integritas, ketersediaan, dan kerahasiaan dari

berbagai transaksi melalui jaringan dapat terpelihara.

Berikut beberapa konsep manajemen keamanan komunikasi dan jaringan yang

sebaiknya diperhatikan:

1. The C.I.A triad, meliputi Confidential, Integrity, dan Availability.

1.1 Confidential. Bertujuan untuk menjaga kerahasiaan dari isi data. Untukmencapai tujuan tersebut ada beberapa hal yang dapat dilakukan, yaitu:

• Network security protocols

• Network authentication services

• Data encryption services

1.2 Integrity. Merupakan jaminan bahwa pesan yang dikirim dan yang diterimamerupakan pesan yang sama, dalam arti lengkap. Beberapa hal yang dapatdigunakan, yaitu:

• Firewall services

• Communications security management

• Intrusion detection services

1.3 Availability. Memastikan bahwa koneksi yang dibutuhkan akan selalu tersedia

kapan saja dibutuhkan. Beberapa hal yang dapat digunakan, yaitu:

• Back up and redundant disk system© 2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 danPrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.

28

• Acceptable logins and operation process performance

• Reliable and interoperable security process and network security

mechanisms

2. Remote access manajemen, Merupakan manajemen elemen teknologi yang digunakanuntuk remote computing, yang meliputi:

2.1 Dial up, async, and remote internet connectivity

2.2 Securing enterprise and telecommuting remote connectivity

2.3 Remote user management issues

3. Intrusion detection and response, terdiri dari dua konsep, yaitu:

3.1 Intrusion Detection Systems, yang meliputi:

• Memonitor host dan jaringan

• Notifikasi setiap kejadian

3.2 Computer Incodent Response Teams (CIRT), yang meliputi:

• Menganalisa notifikasi setiap kejadian

• Memberikan resposn perbaikan untuk kejadian tersebut

• Memperketat prosedur

• Memberikan laporan follow-up

4. Network availability, meliputi

4.1 Redundant Array of Inexpensive Disk (RAID)

4.2 Backup concepts:

• Full back up methods

• Incremental back up methods

• Differential back up methods

4.3 Managing single points of failure, yang meliputi:

• Cabling failures

• Topology failures (ethernet, token ring, fiber distributiion data, fiber

distribution data interface (FDDI), leased lines, dan frame relay)

5. Network attacks and abuses. Berikut ancaman jaringan dan penangannya yang umum

terjadi:

5.1 Penyusupan ke jaringan

Penanganan: Firewalls

5.2 Pemanfaatan bugs pada software, buffer overflows

Penanganan: Intrusion Detection Systems


29

5.3 Denial of service

Penanganan: Intrusion Detection Systems

5.4 Packet sniffing

Penanganan: Encryption (SSH, SSl. HTTPS)

5.5 Masalah sosial

Penanganan: Pelatihan, awareness program

6. Trusted network interpretation (TNI)

Sedangkan untuk konsep teknologi beberapa hal yang dapat diperhatikan adalahsebagai berikut:

6.1 Protocols

• Layer architecture concept

• Open systems interconnect (OSI) model

• Transmission control protocol/internet protocol (TCP/IP) model

• Security-enhanced and security-focused protocols

6.2 Firewall types and architectures

6.3 Virtual private Networks (VPNs)

• VPN Protocol standards

• VPN Devices

6.4 Data Networking Basics

• Data Network types

• Common data network services

• Data networking technologies

• Local Area Network (LAN) technologies

• Wide Area Network (WAN) technologies

• Remote access technologies

• Remote identification and authentication technologies

4.2Analisa dan RekomendasiPT. Asuransi Maju Bersama memiliki Local Area Network (LAN) berbasis TCP/IP,

akses Internet kabel, dan telekomunikasi internal dengan PABX. LAN digunakan oleh

perusahaan untuk melakukan proses bisnis perusahaan, yakni menjalankan seluruh

sistem yang ada dan juga berkomunikasi melalui email dan chat. Seluruh sistem berjalan

pada servers perusahaan yang disimpan di dalam sebuah ruangan server.


30

Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan

secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai

sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan untuk

keperluan email melalui sebuah proxy server. Sedangkan untuk akses lain seperti

browsing hanya dapat dilakukan oleh direktur, manajer, kepala divisi, kepala departemen,

dan staf departemen TI.

Terdapat beberapa kelemahan di dalam keamanan jaringan di PT Asuransi Maju

Bersama sebagai berikut:

1. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga hanya

terdapat satu network, yakni 192.168.0.0 dengan subnet mask 255.255.255.0. Hal ini

dapat menimbulkan masalah di kemudian hari saat jumlah host yang digunakan

semakin banyak, karena dengan hanya menggunakan sebuah network, setiap host

akan menerima setiap paket broadcast yang dikirimkan oleh suatu host lain. Apabila

jumlah paket broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain

itu, penggunaan satu network tidak menyediakan pembatasan akses terhadap

sumber daya komputer penting seperti server. Setiap host dapat mengakses server

karena berada dalam network yang sama. Kelemahan lain adalah penentuan IP

address yang bersifat statik untuk seluruh host yang ada. Penggunaan IP address

statik adalah hal yang sangat disarankan untuk hosts yang penting seperti server dan

router. Namun penggunaan alamat statik untuk PC adalah suatu hal yang merepotkan

dengan semakin banyaknya jumlah PC.

2. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub meskipun

jumlahnya sedikit. Seperti diketahui bahwa hub memiliki bandwidth yang kecil. Di

samping itu, seluruh switch yang digunakan merupakan switch unmanaged atau

sederhana yang tidak memiliki fitur-fitur canggih seperti pembatasan akses

berdasarkan MAC address host dan Spanning Tree Protocol. Tidak adanya fitur

keamanan di dalam switch yang digunakan akan memungkinkan akses ilegal ke dalam

LAN perusahaan. Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat

availability LAN, karena desain LAN tersebut tidak bersifat redundant.

3. Windows domain controller dan mail server. Tidak adanya backup domain controller di

dalam sistem jaringan PT Asuransi Maju Bersama akan sangat mengurangi tingkat

availability LAN. Apabila terjadi kegagalan pada Primary Domain Controller Windows

2000 maka PC klien tidak dapat menggunakan sumber daya komputer yang dibagi-

pakai seperti file-sharing dan printer. Potensi masalah ini semakin meningkat dengan


31

disatukannya fungsi primary domain controller dan mail server Microsoft Exchange

Server 2000 dalam satu server.

4. RAID. Semua server yang digunakan tidak memiliki atau tidak memanfaatkan fitur

RAID. Setiap server hanya memiliki sebuah hard disk, sehingga apabila terjadi

kegagalan maka server tersebut tidak dapat beroperasi untuk waktu yang cukup lama

sehingga akan menghentikan proses bisnis perusahaan. Meskipun terdapat proses

backup yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena

tidak adanya hard disk cadangan yang siap sedia.

5. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan kabel

listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan komputer.

6. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak, yakni Zone

Alarm, dan ditambah dengan proxy server Wingate. Permasalahannya adalah bahwa

server yang digunakan untuk menjalankan firewall tersebut juga digunakan untuk

menjalankan mail server eksternal. Hal tersebut akan sangat memberatkan kerja

server. Sedangkan server yang digunakan adalah server berbasis PC rakitan yang

tidak didesain untuk menjalankan fungsi server, dengan jumlah RAM hanya 256 MB,

dan tidak adanya fungsi RAID.

Berikut adalah rekomendasi-rekomendasi yang diajukan untuk meningkatkan

keamanan telekomunikasi dan jaringan PT Asuransi Maju Bersama:

1. Penggunaan router dengan fitur firewall. Kini telah tersedia router multifungsi yang

memiliki beberapa fitur penting seperti firewall, VPN, dan VoIP. Router jenis ini sangat

sesuai digunakan untuk UKM dengan dana terbatas. Dengan menggunakan router

maka dapat dibuat beberapa subnet yang memisahkan host penting seperti server

dengan host klien, dan memisahkan host klien di suatu divisi atau departemen dengan

host klien di divisi atau departemen yang lain. Router juga memiliki fungsi DHCP

server yang akan menentukan IP address host klien secara dinamis, sehingga

meningkatkan skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall,

router tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan

kinerja yang lebih baik.

2. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki fitur

pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya host yang

diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur Spanning Tree

Protocol, LAN dapat didesain secara redundant, dimana apabila sebuah alat jaringan

atau hubungan kabel mengalami kegagalan, maka alat jaringan atau hubungan


32

cadangan dapat segera beroperasi untuk menggantikannya. Dan dengan adanya fitur

VLAN maka penggunaan port switch dan kabel dapat menjadi lebih efisien, karena

digunakannya koneksi kabel yang sama untuk lebih dari dua subnet.

3. Backup domain controller dan mail server. Dengan adanya server backup domain

controller, host klien masih dapat mengakses domain dan menggunakan sumber-

sumber daya komputer yang dibagi-pakai.

4. RAID. Setiap server perlu ditambah satu buah hard disk lagi dengan fungsi RAID level

1, dimana data yang berada di dalam hard disk utama diduplikasi ke dalam hard disk

kedua. Apabila hard disk utama mengalami kegagalan maka dapat secara otomatis

digantikan oleh hard disk kedua.

5. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan kabel listrik

untuk menghindari noise terhadap sinyal jaringan.


33

BAB VKRIPTOGRAFI

5.1Dasar TeoriTujuan dari kriptografi adalah memproteksi informasi agar tidak dibaca ataupun

digunakan oleh pihak yang tidak berwenang atas informasi tersebut. Dengan kata lain

informasi yang dikirimkan tidak boleh sampai kepada penerima yang tidak seharusnya.

Untuk mencapai tujuan tersebut dilakukan kriptografi yaitu penulisan rahasia atau

penyandian informasi. Kriptografi terdiri dari lima bagian, yaitu:

1. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya.

2. Encryption algoritm, proses enkripsi merupakan transformasi dari “plaintext” ke

“chipertext”

3. Secret key

4. Chipertext, merupakan sebuah pesan dalam bentuk kode rahasia (tersandi).

5. Decrytion algorithm, proses deskripsi merupakan transformasi dari “chipertext” ke

“plaintext”.

Terdapat dua jenis sistem kriptografi yakni sistem kriptografi private dan public key.

Sistem kriptografi private key berdasar pada algoritma enkripsi simetris yang

menggunakan private (rahasia) key untuk mengenkripsi teks biasa menjadi ciphertext, dan

kunci yang sama digunakan juga untuk mendekripsi ciphertext tadi menjadi teks biasa.

Dalam hal ini, kunci tersebut simetris karena kunci enkripsi sama dengan kunci dekripsi.

Sistem kriptografi public key menggunakan sepasang kunci. Kunci pertama, yakni

private key, digunakan untuk mengenkripsi data, dan kunci kedua, yakni public key,

digunakan untuk mendekripsi data. Masing-masing kunci dapat digunakan untuk

mengenkripsi maupun mendekripsi data. Public key dapat diperoleh secara bebas untuk

mengenkripsi dan mengirim sebuah pesan. Berikut adalah beberapa hal penting

mengenai sistem kriptografi public key:

• Public key tidak dapat mendekripsi pesan yang telah dienkripsi oleh public key itu

sendiri.

• Idealnya, private key tidak dapat diturunkan atau didapat dari public key.

• Sebuah pesan yang dienkripsi oleh salah satu key dapat didekripsi oleh kunci yang

lain.


34

• Private key harus dirahasiakan.

Kriptografi juga digunakan dengan tujuan untuk menjaga integritas pesan atau data

yang dikirim dengan menggunakan digital signature. Digital signature dibuat dengan

memproses isi pesan menggunakan hash function untuk menghasilkan sebuah message

digest yang bersifat unik untuk setiap pesan. Message digest tersebut kemudian

dienkripsi dengan private key milik pengirim dan dilampirkan bersama dengan pesan

aslinya, barulah pesan tersebut dikirim. Penerima mendekripsi message digest yang

terlampir menggunakan public key milik pengirim. Apabila berhasil berarti identifikasi

pengirim berhasil diverifikasi. Selanjutnya penerima membuat message digest dari pesan

yang diterima menggunakan hash function yang sama dengan yang digunakan pengirim.

Apabila kedua message digest sama maka dapat disimpulkan bahwa isi pesan tidak

dimodifikasi.

5.2Analisa dan RekomendasiData-data yang bersifat confidential di dalam perusahaan ini telah dilindungi pada

level Access Control List. Sedangkan pengiriman e-mail baik internal maupun eksternal

belum menggunakan metode pengamanan dengan kriptografi. Maka penulis

merekomendasikan kepada PT Asuransi Maju Bersama untuk menggunakan kriptografi

berbasis Public Key Infrastructure. Untuk menghemat anggaran, perusahaan dapat

menggunakan PKI yang bersifat open source seperti Pretty Good Privacy yang memiliki

kehandalan yang cukup baik.

Dari sudut pandang jaringan komputer, perusahaan ini sama sekali belum

menggunakan metode enkripsi untuk pengamanan pengiriman data melalui jaringan, baik

untuk pengiriman data internal maupun dengan pihak luar. Hingga kini, PT Asuransi Maju

Bersama belum melakukan kegiatan e-bisnis yang melibatkan perusahaan lain, selain

melalui e-mail, sehingga belum memerlukan implementasi keamanan jaringan dengan

pihak eksternal. Namun apabila di masa depan diputuskan untuk melakukan kerja sama

e-bisnis dengan perusahaan lain, PT Asuransi Maju Bersama harus mempertimbangkan

implementasi keamanan jaringan demi kepentingannya sendiri dan kepentingan

perusahaan mitra.

Untuk keamanan pengiriman data di dalam LAN perusahaan, penulis

merekomendasikan penggunaan metode enkripsi IPSec. IPSec adalah sebuah standar

yang menyediakan enkripsi, kendali akses, non-repudiation, dan otentikasi dari pesan-

pesan yang dikirimkan melalui IP. Untuk implementasi IPSec ini, perusahaan dapat


35

menggunakan fitur IPSec yang dimiliki oleh sistem operasi Windows 2000 Server. Untuk

memperoleh tingkat keamanan sistem informasi, perusahaan disarankan untuk

menggunakan IPSec untuk pengiriman data oleh setiap komputer di dalam perusahaan.

Hal ini dapat dicapai melalui penerapan kebijakan keamanan domain Active Directory

Windows 2000 Server.


36

BAB VIARSITEKTUR DAN MODEL-MODEL KEAMANAN

6.1Dasar TeoriArsitektur keamanan dari sebuah sistem informasi sangat dibutuhkan untuk

menentukan kebijakan keamanan informasi sebuah organisasi. Karena itu hal-hal seperti

arsitektur komputer, mekanisme proteksi, isu-isu keamanan lingkungan, dan model formal

untuk framework kebijakan keamanan harus dipahami. Kebijakan keamanan yang biasa

dilakukan antara lain:

1. Proteksi. Merupakan teknik proteksi yang umum dalam suatu sistem.

Misal: Virtual memory melakukan isolasi address space dari setiap user.

2. Trusted Computing Based (TCB), merupakan kombinasi mekanisme proteksi yang ada

dalam sistem komputer (enforce security).

Basis atau pusta sistem yang paling aman.

3. Path of Logical Access: computing system

• Network

• Operating system platform

• Database

• Application layers

4. Proteksi terluar: networks

• Front-end system: perimeter dengan eksternal un-trusted systems

• Back-end systems: perimeter dengan user internal melalui login ke domain (OS)

TCB

5. Logical access control software

Kontrol akses ke operating sistem secara umum memiliki fungsi sebagai berikut:

1. User identification and authentication mechanisms

2. Restricted logon Ids

3. Rules for access to specific information resources

4. Create individual accountability and auditability

5. Create or change user profiles log events

6. log user activity

7. report capability


37

Kontrol akses ke database biasanya memiliki fungsi-fungsi berikut:

1. Membuat atau mengganti data dan profile database

2. Verify user authorization at the application and transaction levels

3. Verify user authorization whitin the application

4. Verify user authorization at the field level for changes whithin database

5. Verify subsystem athorization for the user at the file level

6. Log database/data communications access activities for monitoring access

violations.

6.2Analisa dan RekomendasiPenggunaan model dan arsitektur sekuriti mengikuti model sekuriti dan arsitektur

dari operating sistem yang dipakai. Tidak ada suatu arsitektur dan model yang khususyang diterapkan pada perusahaan ini. Model sekuriti dapat terlihat seperti pada tabel dibawah ini:

Aspek Model KeamananNetwork Access Control Network mengikuti credential dari Active DirectoryApplication Logon mengikuti credential dari Active DirectoryDatabase mengikuti credential dari DBMS yang digunakanFile System mengikuti credential dari Active Directory

Tabel 6.1 Model Keamanan

Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login dan

password untuk masuk ke aplikasi tersebut, sehingga hanya user yang memiliki hak akses

yang dapat menggunakan aplikasi tertentu. Sedangkan pada level database, keamanan

data dijaga selain dengan dilakukan back-up file, ada aturan tidak semua data dapat

diubah melalui aplikasi, terutama data-data keuangan, hal ini untuk menjaga keabsahan

data. Selain itu, seluruh karyawan juga diberikan pengetahuan mengenai penggunaaan

komputer melalui berbagai pelatihan dan disesuaikan dengan kebutuhan.


38

BAB VIIKEAMANAN OPERASI-OPERASI

7.1Dasar TeoriKeamanan operasi merupakan serangkaian kegiatan yang bertugas untuk

melakukan pengawasan terhadap semua fasilitas perangkat keras komputer, data, dan

orang-orang yang menggunakan fasilitas-fasiltas tersebut. Semua itu dilakukan agar

ketiga aspek penting dalam teknologi informasi dapat tetap terpelihara, yaitu

confidentiality, integrity, dan availability (C.I.A). Beberapa hal yang dapat dilakukan untuk

melakukan pengawasan ini adalah:

1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya

2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan

3. Pengawasan terhadap terjadinya kesalahan I/O

Domain ini seperti domain-domain lainnya juga memperhatikan ketiga aspek

berikut:

1. Threat. Dapat didefinisikan sebagai hal-hal yang dapat menyebabkan gangguan

keamanan operasi komputer yang disebabkan oleh pihak luar.

2. Vunerability. Merupakan kelemahan dari sistem itu sendiri yang dapat menyebabkan

gangguan keamanan operasi komputer.

3. Asset. Hal-hal yang berhubungan dengan perangkat lunak dan keras, data, serta

orang-orang yang menggunakan fasilitas tersebut.

7.2Analisa dan RekomendasiDalam melakukan keamanan operasi PT. Asuransi Maju Bersama mencoba untuk

menerapkan beberapa tindakan pengawasan berdasarkan tiga aspek pengawasa berikut:

1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya

2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan

3. Pengawasan terhadap terjadinya kesalahan I/O

Tindakan-tindakan pengawasan yang dilakukan adalah sebagai berikut:

1. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna

dapat menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak

semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan


39

penerapan akses kontrol.

2. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh

masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan

password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan

akses kontrol dan penerapan VLAN pada sistem perusahaan.

3. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan

perbaikan terhadap sistem teknologi informasi perusahaan.

4. Change Management Control. Tindakan perbaikan atau perubahan dalam sistem

teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh

perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan

pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara

tidak sengaja karena adanya perbaikan dan perubahan tersebut.

5. Adminstrative Control. Untuk melakukan pemasangan software baru dan perawatan

sistem dilakukan oleh bagian TI yang bertanggung jawab secara khusus.

6. Record Retention. Menerapkan berapa lama data akan disimpan dalam database

perusahaan.Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam

media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media

yang dapat dihapus harus dengan prinsip kehati-hatian.

7. Media Security Control. Menerapkan akses kontrol dan metode logging pada server

untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses

kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu

media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang

dan dihancurkan dengan cara yang tepat, agar data yang terdapat dimedia itu tidak

dapat di akses lagi oleh orang yang tidak berhak.


40

BAB VIIIPENGEMBANGAN APLIKASI DAN SISTEM

8.1Dasar TeoriTujuan dari penerapan applicaton dan system development security adalah

menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang harus

memahami betul beberapa aspek antara lain:

1. Software life cycle development process

2. Software process capability maturity model

3. Object-oriented systems

4. Artificial intelligence system

5. Database systems:

• Database security issues

• Data warehousinng

• Data mining

• Data dictionaries

6. Application Controls

Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu

menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan

keamanan pengembangan aplikasi dan sistem.

8.2Analisa dan RekomendasiAplikasi-aplikasi yang digunakan pada perusahaan ini adalah aplikasi yang

dikembangkan oleh pihak ketiga. Aspek keamanan dari aplikasi-aplikasi tersebut

mengikuti fitur keamanan yang telah disertakan oleh pengembang perangkat lunak

tersebut. Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah:

1. GEL Insurance system

2. FIT finance system

3. HR system

GEL adalah sebuah sistem yang berbasis Clipper dengan platform DOS, yang

secara logis adalah merupakan sebuah shared folder yang berisi sub-sub folder yang

terdiri dari file executable dan database berbasis file. Untuk menjalankan sistem ini, PC


41

klien harus membuat sebuah map network drive dengan hak akses read write ke server

dimana sistem GEL tersebut berada. Hal ini sangat membahayakan confidentiality dan

integrity dari sistem tersebut. Seseorang yang memiliki sedikit pengetahuan dan keahlian

dalam bidang komputer berbasis Windows akan dengan mudah membuka dan

mengacak-acak isi dari sistem tersebut. Oleh karena itu maka penulis merekomendasikan

kepada PT Asuransi Maju Bersama untuk segera mengganti sistem asuransi GEL

tersebut dengan sistem baru yang memiliki tingkat keamanan data lebih tinggi, misalnya

sistem dengan RDBMS, sehingga seorang pemakai tidak dapat mengakses langsung

basis data sistem.

Meskipun FIT dan HR merupakan sistem berbasis RDBMS dengan metode akses

menggunakan ODBC, namun keamanan basis data masih dapat terancam. Vulnerability

sistem tersebut tetap ada dengan adanya sebuah jalan pintas menuju basis data sistem

tersebut. Sebagai contoh, untuk memperoleh data yang dibutuhkan oleh pihak

manajemen dan pemakai, seorang staf data support menggunakan tool administrasi

RDBMS seperti MS Enterprise Manager untuk melakukan query data yang dibutuhkan

tersebut. Hal ini dapat terjadi sebab sistem yang ada tidak menyediakan fasilitas query

yang cukup baik. Penggunaan tool administrasi RDBMS tersebut sangat berbahaya,

sebab apabila tidak hati-hati, data di dalam RDBMS tersebut dapat secara sengaja

maupun tidak sengaja berubah, sehingga integritas data menjadi terganggu. Oleh karena

itu maka penulis merekomendasikan kepada perusahaan ini untuk melarang penggunaan

tool administrasi RDBMS tersebut dan menggantikannya dengan tool query yang lebih

aman seperti Seagate Crystal Report.


42

BAB IXBUSINESS CONTINUITY PLANNING DAN

DISASTER RECOVERY PLANNING

9.1Dasar TeoriPerencanaan Disanter Recovery dan business continuity adalah untuk segera

dapat menanggulangi apabila ada gangguan atau bencana terhadap sistem di

perusahaan khususnya sistem komputer. Perencanaan ini diharapkan apapun yang

terjadi bisnis tetap dapat beroperasi, dan melakukan penyelamatan sistem informasi. Ada

beberapa hal yang dapat dilakukan, yaitu

1. Pembuatan Business Continuity Plan (BCP)

Merupakan proses (otomisasi maupun manual) yang dirancang untuk mengurangi

ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas

layanan bagi operasi yang penting.

2. Pembuatan Disaster Recovery Plan (DRP)

Saat business continuity berlangsung, maka juga dimulailah langkah-langkah untuk

‘penyelamatan’ (recovery) terhadap fasilitas IT dan sistem informasi. Dapat dikatakan

juga DRP berupakan bagian dari BCP.

Pembuatan BCP dan DRP harus disesuaikan dengan jenis-jenis bencana yang

terjadi, misalkan penanganan untuk bencana kebakaran akan berbeda dengan banjir atau

kecurian, dan lain sebagainya.

9.2Analisa dan RekomendasiPT Asuransi Maju Bersama telah memiliki perencanaan disaster recovery dan

business continuity yang cukup baik. Namun hingga saat ini belum terdapat jadwal uji

coba terhadap perencanaan tersebut. Penulis merekomendasikan kepada perusahaan ini

untuk membuat jadwal rutin uji coba perencanaan disaster recovery dan business

continuity.

Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu

meyakinkan sistem operasional yang berkelanjutan mencakup IAS, FIT, GEL, E-mail, dan

Exchange di lingkungan PT. Asuransi Maju Bersama. Sasaran khusus dari rencana ini

termasuk:


43

1. Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti.

2. Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.

3. Untuk bekerja cepat dan lengkap atas pemulihan bencana.

4. Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT.

Berikut adalah tugas dari masing-masing anggota tim pemulihan bencana:

1. Ketua Tim Manajemen. Bertanggung jawab penuh untuk mengkoordinir strategi

pemulihan bencana PT. Asuransi Maju Bersama dan meyakinkan bahwa seluruh

karyawan sadar atas kebijakan pemulihan bencana dan merupakan tanggung jawab

mereka untuk melindungi informasi perusahaan.Tugas-tugasnya antara lain:

1) Memimpin pemulihan bencana

2) Mengumumkan rencana pemulihan bencana.

3) Menunjuk Koordinator pemulihan bencana.

2. Koordinator Pemulihan Bencana. Bertanggung jawab untuk mengkoordinir

pengembangan pemulihan bencana seperti digambarkan oleh kebijakan dan

mengarahkan implementasi dan uji coba rencana. Tugas-tugasnya antara lain:

1) Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana.

2) Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan

departemen terkait.

3) Bertanggung jawab untuk menjaga inventori aset IT yang terkini.

4) Mengelola pengetesan dan laporan hasil tes.

Pernyataan Bencana. Keputusan untuk menyatakan sebuah pemulihan bencana

merupakan wewenang Ketua Tim Manajemen setelah meneliti situasi yang berlangsung.

Jika Ketua Tim Manajemen memutuskan untuk menyatakan pelaksanaan prosedur

pemulihan bencana, maka seluruh anggota tim pemulihan bencana akan mengikuti

prosedur yang tercantum di dalam manual sampai pemulihan tuntas. Ketidaktersediaan

sistem, atas apapun penyebabnya, akan mengacu kepada tingkat kewaspadaan dengan

kode warna sebagai berikut:

WASPADA MERAH - Suatu kerusakan total pusat data yang menyebabkan perbaikan

jangka panjang, lebih dari tiga minggu.

WASPADA BIRU - Bencana lokal, misal kebakaran pada ruangan komputer, yang dapat

menyebabkan operasi terganggu lebih dari satu minggu.

WASPADA KUNING - Ketidaktersediaan ruangan komputer yang dapat menyebabkan

terganggunya operasi tiga hari sampai satu minggu.

WASPADA HIJAU - Kerusakan minor seperti kerusakan hardware yang dapat


44

menyebabkan pemulihan antara satu sampai tiga hari.

Apa Yang Harus Dilakukan Jika Terjadi Bencana. Bagian paling kompleks dan

kritis dari manajemen sumber daya adalah perencanaan dan organisasi personil yang

diperlukan sepanjang pelaksanaan rencana. Personil yang berpengalaman dan terlatih

akan jarang memerlukan prosedur terperinci tetapi mereka harus berada di tempat pada

waktu yang tepat, dan memastikan tugas mereka berjalan dengan lancar. Langkah

pertama jika terjadi kerusakan fatal adalah menilai sifat dan luas dari masalah itu.

Prioritas Pertama Dalam Situasi Darurat Adalah Meyakinkan EvakuasiSeluruh Personil Secara Aman:1. Semua karyawan berkumpul di luar lokasi gedung.

2. Manajemen gedung harus segera dihubungi atas situasi darurat, keamanan, dan pihak-

pihak yang berwenang.

3. Lengkapi lembaran konfirmasi bencana.

4. Memberi suatu penilaian awal kepada koordinator pemulihan bencana. Derajat

kerusakan pada bangunan dan peralatan dan status staf. Juga melaporkan tindakan

apa yang telah diambil.


45

BAB XHUKUM, INVESTIGASI, DAN ETIKA

10.1Dasar TeoriAda beberapa peraturan yang dapat diaplikasikan dalam keamanan sistem

informasi. Peraturan tersebut dapat suatu prosedur, aturan perusahaan, dan lain-lain

sampai dengan etika. Untuk peraturan seperti prosedur, pedoman, dan lain-lain

merupakan sesuatu yan tertulis, sedangkan etika perlakuannya sedikit berbeda. Etika

adalah sebuah prinsip antara yang benar dan yang salah, yang dapat digunakan sebagai

komitmen untuk sebuah konsep tindakan kejahatan dalam IT. Konsep dasar dari etika

dalam masyarakat informasi meliputi tanggung jawab, accountability, dan kewajiban.

Selain etika ada juga yang dikenal sebagai privasi, yakni perlindungan terhadap individu

dari intervensi oleh pihak lain. Dalam kasus TI juga dapat diterapkan information privacy.

Berikut adalah jenis-jenis umum dari kejahatan komputer:

1. Denial of Service dan Distributed Denial of Service.

2. Pencurian password.

3. Intrusi jaringan.

4. Emanation eavesdropping.

5. Social engineering.

6. Illegal content of material.

7. Fraud.

8. Software piracy.

9. Dumpster diving.

10.Malicious code.

11.Spoofing of IP address.

12.Information warfare.

13.Spionase.

14.Penghancuran atau perubahan informasi.

15.Penggunaan scripts yang tersedia di Internet.

16.Masquerading.

17.Embezzlement.

18.Data-diddling.


46

19.Terorisme.

10.2Analisa dan RekomendasiIndonesia belum memiliki hukum kejahatan komputer, kecuali untuk masalah

pembajakan perangkat lunak. Namun bukan berarti bahwa kejahatan komputer dapat

dibiarkan begitu saja tanpa ada sanksi yang memberatkan. Minimal suatu perusahaan

dapat membuat peraturan yang mengakomodasi kejahatan komputer yang dilakukan

pegawai-pegawainya beserta konsekuensi atau sanksinya. PT Asuransi Maju Bersama

secara umum telah menyinggung masalah ini di dalam kebijakan TI-nya sebagai berikut:

Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan

seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan perusahaan

lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan

hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.

Khusus domain ini PT. Asuransi Maju Bersama, memang tidak secara jelas

menuliskan peraturan yang bersifat etika dalam peraturan perusahaan. Peraturan tertulis

yang dimiliki perusahaan sehubungan dengan keamanan teknologi informasi antara lain

standard, guidelines dan prosedur. Sedangkan untuk etika dalam teknologi informasi

perusahaan akan mengacu pada nilai-nilai kebaikan yang berlaku umum di lingkungan

perusahaan. Misalkan hal-hal yang dapat mengakibatkan kerusakan pada sistem yang

dilakukan secara sengaja oleh orang tertentu dapat dikategorikan sebagai tindakan

kejahatan TI, berusahaan untuk melindungi data-data rahasia perusahaan, dan lain-lain.


47

BAB XIKEAMANAN FISIK

11.1Dasar TeoriDomain keamanan fisik membahas ancaman-ancaman, kelemahan-kelemahan,

dan tindakan-tindakan pengamanan yang dapat diutilisasi untuk secara fisik melindungi

sumber daya dan informasi sensitif perusahaan. Sumber daya ini meliputi pegawai,

fasilitas tempat pegawai bekerja, dan data, peralatan, sistem-sistem pendukung, dan

media yang digunakan.

Triad Confidentiality, Availability, dan Integrity berada pada kondisi beresiko di

dalam lingkungan fisik, dan oleh sebab itu harus dilindungi. Berikut adalah contoh-contoh

ancaman-ancaman terhadap keamanan fisik:

1. Keadaaan darurat, meliputi

• Kebakaran dan kontaminan asap.

• Keruntuhan atau ledakan gedung.

• Utility loss (tenaga listrik, AC, pemanasan).

• Kerusakan air (kebocoran pipa).

• Terlepasnya material beracun.

2. Bencana alam, meliputi

• Gempa dan tanah longsor.

• Badai (salju, es, dan banjir).

3. Campur tangan manusia, meliputi

• Sabotase.

• Vandalisme.

• Perang.

• Serangan.

Keamanan fisik aset-aset IT dapat dijalankan dengan suatu metode kontrol. Secara

umum aspek-aspek pengawasan meliputi:

1. Kendali-kendali administratif, meliputi

• Perencanaan kebutuhan-kebutuhan fasilitas. Membahas konsep diperlukannya

perencanaan untuk kendali-kendali keamanan fisik di tahap awal dari


48

pembangunan sebuah fasilitas data. Elemen-elemen keamanan fisik yang

terlibat di dalam tahap pembangunan meliputi pemilihan dan proses desain

sebuah situs aman. Pemilihan situs yang aman harus mempertimbangkan

masalah visibility, pertimbangan-pertimbangan lokal, potensi bencana alam,

transportasi, kepemilikan gedung (joint tenancy), dan layanan-layanan eksternal.

Sedangkan proses desain harus memperhatikan masalah jenis dinding, jenis

atap, jenis lantai, jendela, pintu, sistem sprinkler, pipa zat cair dan gas, air

conditioning, dan kebutuhan-kebutuhan listrik.

• Manajemen keamanan fasilitas. Membahas audit trail dan prosedur-prosedur

darurat.

• Kendali-kendali personel administratif. Meliputi proses-proses administratif yang

umumnya diimplementasi oleh departemen SDM selama proses rekrut dan

pemecatan.

2. Kendali-kendali lingkungan dan keselamatan jiwa. Meliputi kendali-kendali keamanan

fisik yang dibutuhkan untuk menopang baik lingkungan operasi komputer maupun

lingkungan operasi personel. Meliputi

• Tenaga listrik. Hal-hal yang dapat mengancam sistem listrik misalnya noise,

brownout, dan kelembaban udara.

• Deteksi dan supresi kebakaran. Hal-hal yang perlu diperhatikan antara lain

adalah kelas-kelas kebakaran, bahan-bahan yang mudah terbakar, pendeteksi

kebakaran, sistem-sistem pemadam kebakaran, medium-medium pemadam,

serta kontaminasi dan kerusakan.

• Pemanasan, ventilasi, dan air conditioning (HVAC).

3. Kendali-kendali fisik dan teknis. Meliputi

• Kebutuhan-kebutuhan kendali fasilitas, yang terdiri dari satuan pengamanan,

anjing penjaga, pemagaran, pencahayaan, kunci, dan CCTV.

• Alat-alat kendali akses fasilitas. Meliputi kartu-kartu akses keamanan dan alat-

alat biometrik.

• Pendeteksi intrusi dan alarm.

• Kendali inventori komputer.

• Kebutuhan-kebutuhan penyimpanan media.

11.2Analisa dan RekomendasiPT Asuransi Maju Bersama memiliki sebuah ruang khusus untuk menyimpan


49

server, yang berada di lantai yang sama dengan ruang kerja. Lokasi kantor cukup

strategis dan terhindar dari banjir, karena berada di lantai 16. Namun karena berada di

wilayah bisnis, transportasi dapat terganggu terutama pada jam-jam sibuk. Hal ini dapat

mengganggu akses mobil pemadam kebakaran di saat terjadi kebakaran. Satu-satunya

hal yang dapat dilakukan adalah meningkatkan kualitas sistem pemadam kebakaran

secara mandiri. Dari kepemilikan gedung, karena PT Asuransi Maju Bersama dan

perusahaan lain menyewa kantor yang digunakan, kendali terhadap listrik, sistem

pemadam kebakaran, dan HVAC tidak berada di tangan perusahaan. Hal ini dapat

menjadi masalah saat terjadinya bencana. Penulis merekomendasikan kepada

perusahaan ini untuk membicarakan masalah service level agreement dengan pengelola

gedung untuk menjamin ketersediaan layanan tadi.

Secara desain, ruang kantor perusahaan memiliki banyak kelemahan. Tidak

terdapat pertimbangan di dalam pemilihan jenis bahan dinding, atap, lantai, dan pintu.

Jenis dan lokasi sistem sprinkler tidak tercatat dengan baik oleh perusahaan. Katup-katup

pipa air, uap, atau gas berada di dalam bilik yang dikunci oleh pengelola gedung. Penulis

merekomendasikan kepada perusahaan ini untuk membicarakan masalah ini dengan

pengelola gedung untuk memperoleh solusinya.

Terdapat buku tamu dan catatan aktivitas di dalam ruang server. Namun tidak ada

penggunaan fitur audit trail di dalam sistem operasi server maupun PC untuk mencatat

aktivitas pemakai. Direkomendasikan untuk mengaktifkan fitur audit trail yang terdapat di

sistem operasi yang digunakan.

Untuk masalah tenaga listrik, perusahaan ini telah memiliki dua buah UPS. Namun

ini kurang mencukupi, baik dari segi jumlah maupun daya listrik. Selain itu server yang

menggunakan UPS ini belum dikonfigurasi untuk secara otomatis mematikan server

tersebut apabila listrik mati. Penulis merekomendasikan untuk menambah jumlah dan

daya listrik UPS serta melakukan konfigurasi yang sesuai.

Secara keamanan gedung maka keamanan menjadi tanggung jawab building

management untuk menyediakan tenaga keamanan. Bagian IT bertanggung jawab

terhadap keamanan dari ruang server. Selain itu lokasi, lingkungan, dan layout dari

gedung juga sangat menentukan keamanan dari aset-aset kantor.


50

BAB XIIAUDIT DAN ASSURANCE

12.1Dasar TeoriTujuan dari audit bisa sangat beragam antara lain adalah untuk evaluasi terhadap

sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan

maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan

secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit

ini juga perlu dilakukan. Tahapan-tahapan audit yang dapat dilakukan adalah sebagai

berikut:

1. Audit Subject.

• Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan

hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak

termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan

menyimpang dari tujuannya.

2. Audit Objective.

• Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari

pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit.

Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui

dengan pasti tujuan dari pelaksanaan audit.

3. Audit Scope (ruang lingkup).

• Menentukan sistem, fungsi dan bagian dari organisasi yang secara

spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai

batasan ruang lingkup yang jelas.

4. Preaudit Planning.

• Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan

dalam pelaksanaan audit.

• Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.

• Menentukan tempat dilaksanakannya audit.

5. Audit Procedures & Steps for data Gathering

• Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.

• Menentukan orang-orang yang berhubungan dengan permasalahan untuk


51

diwawancarai.

6. Evaluasi Hasil Pengujian dan Pemeriksaan

• Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan

dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau

masih ada faktor-faktor lain yang harus dipertimbangkan.

7. Prosedur Komunikasi dengan Pihak Manajemen

• Setelah dilaksanakan audit maka pihak yang mengaudit harus

mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan

audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak

manajemen, agar audit dapat berjalan dengan lancar.

8. Audit Report Preperation

• Menentukan bagaimana cara mereview hasil audit yang diperoleh.

• Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari

organisasi yang diaudit.

12.2Analisa dan RekomendasiPT Asuransi Maju Bersama telah menerapkan proses audit secara rutin yang

dilakukan oleh pihak ketiga. Audit harus dilakukan secara periodik terhadap faktor-faktor

yang telah disebutkan di atas oleh bagian IT dan oleh pihak eksternal. Dokumen audit

harus mendapat persetujuan dari pihak manajemen dan jika ada hal-hal yang perlu

diperbaiki menjadi tanggung jawab bagian IT. Audit meliputi:

• Perencanaan strategis sumber daya informasi

• Operasi sistem informasi

• Kerjasama dengan pihak ketiga

• Keamanan informasi

• Business continuity plan

• Implementasi dan pemeliharaan sistem aplikasi

• Dukungan dan implementasi database

• Dukungan jaringan

• Dukungan perangkat lunak

• Dukungan perangkat keras

Sehubungan dengan audit tersebut maka diperlukan dokumentasi-dokumentasi

sebagai berikut:

1. Struktur organisasi dan rincian tugas departemen IT.


52

2. Rencana kerja departemen IT untuk jangka pendek dan panjang.

3. BCP dan DRP.

4. Diagram jaringan komputer.

5. Daftar hardware dan software yang digunakan (termasuk sistem aplikasi yang

digunakan).

6. Dokumentasi sistem aplikasi.

7. Kebijakan keamanan sistem informasi.

8. Prosedur pengembangan sistem informasi.

9. Prosedur pengoperasian sistem komputer.

10.Prosedur pengamanan sistem informasi.

11.Prosedur pemeliharaan dan pengembangan jaringan komputer.

12.Perjanjian kerja sama dengan vendor atau pihak ketiga dalam pemeliharaan hardware

dan software.

Dari informasi-informasi tersebut maka dapat disimpulkan bahwa PT Asuransi Maju

Bersama telah memiliki proses audit yang baik.


53

BAB XIIIKESIMPULAN

Berdasarkan analisa terhadap kendali keamanan Sistem Informasi di PT Asuransi

Maju Bersama dapat disimpulkan beberapa hal berikut:

1. PT Asuransi Maju Bersama sebaiknya dapat mengakomodir pendefinisian aset

informasi yang dimiliki perusahaan tersebut. Perusahaan dapat mempertimbangkan

kembali administrator atau pemelihara masing-masing informasi tersebut sesuai

dengan kebijakan manajemen puncak.

2. Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-standar,

pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan

pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan

pembuatannya dengan disetujui dan disponsori oleh board of director kemudian

disosialisasikan ke seluruh pegawai.

3. Kebijakan IT yang telah dimiliki oleh perusahaan harus secara berkala (minimal 1 tahun

sekali) di uji atau direvisi untuk penyempurnaannya disesuakain dengan kondisi dan

tuntutan bisnis saat itu.

4. PT Asuransi Maju Bersama belum secara serius memperhatikan masalah keamanan

fisik di lingkungan kerjanya.

5. Audit harus dilakukan secara periodik terhadap faktor-faktor kritis oleh bagian IT dan

oleh pihak auditor eksternal. Dokumen audit harus mendapat persetujuan dari pihak

manajemen dan jika ditemukan ada hal-hal yang perlu diperbaiki menjadi tanggung

jawab bagian IT.


54

DAFTAR PUSTAKA

Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc.

Cisa review manual 2005. 2005. Illinois: Information System Audit and Control

Association.

Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik Keamanan

Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil Juni, 8, 2005 dari

http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2004/78/78-m-update-

AdiperkasaDistribusindo.pdf.


55

analisa proteksi dan teknik keamanan sistem informasi pt...

Documents