Contoh Presentasi Pengantar Bisnis Online Untuk Mahasiswa Ilkom Fisip Undip
It keamanan sistem informasi ilkom ui
-
Upload
fathoni-mahardika-ii -
Category
Education
-
view
216 -
download
0
Transcript of It keamanan sistem informasi ilkom ui
Keamanan Sistem Informasi untuk Perusahaan
Kecil dan Menengah
Studi Terhadap PT IMT
GROUP 106
Kahardityo 7203012149
Kisnu Widagso 7203012165
Wisnuaji 7203012297
MAGISTER TEKNOLOGI INFORMASIFAKULTAS ILMU KOMPUTER
UNIVERSITAS INDONESIA
Silahkan menggandakan makalah ini, selama mencantumkan nota hak cipta ini.
DAFTAR ISI
Halaman
Daftar Isi ………………………………………………………………………… i
Bab 1. Pendahuluan…………………………………………………………….. 11.1 Latar Belakang ……………………………………………………… 11.2 Permasalahan ……………………………………………………….. 41.3 Tujuan Penulisan …………………………………………………… 41.4 Kerangka Teori dan Konsep ………………………………………. 41.5 Kerangka Penulisan ………………………………………………… 8
Bab 2. Gambaran Umum Organisasi …………………………………………. 102.1 Profile Organisasi ....………………………………………………… 102.2 Permodalan …………………………………………………………. 132.3 Struktur dan Peran Dalam Organisasi ……………………………. 142.4 Proses Bisnis Utama Organisasi …………………………………… 172.5Aplikasi Organisasi …………………………………………………. 17
Bab 3. Keamanan Sistem Informasi Bisnis ...………………………………….. 243.1 Security Management Practices ..…………………………...........… 243.1.1 Identifikasi aset sistem informasi organisasi ......……................... 243.1.2 Manajemen resiko ...……………………………………................. 263.1.3 Kebijakan keamanan sistem informasi ...………………............... 273.1.4 Kesadaran keamanan sistem informasi organisasi ...…................ 293.1.5 Access Control Systems ......………………………………….......... 303.3 Telecomunication and Network Security …………………….......... 313.4 Cryptography …………………………………………………........... 343.5 Security Architecture and Models .……………………………......... 343.6 Operation Security .…………………………………………….......... 363.7 Application and Systems Development .………………………......... 383.8 Business Continuity Planning .............…………………………........ 383.9 Law, Investigation and Ethics .…………………………………........ 393.10 Physical Security ......……………………………………………...... 413.11 Audit Sistem Informasi ..…………………………………………… 42
Bab 4. Penutup .......…………………………………………………………….... 43
Daftar Bacaan ......……….………………………………………………………. 45
1
Bab 1
Pendahuluan
1.1 Latar Belakang
Sistem informasi saat ini merupakan sumber daya penting, mempunyai nilai strategis dan
mempunyai peranan yang sangat penting sebagai daya saing, kompetensi utama dan dalam
keberlangsungan hidup dari suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang
dijanjikan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari juga
sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan akan potensi
ancaman (threats). Sehingga menjadi suatu prinsip dasar bahwa dalam pengelolaan sistem
informasi juga harus diimbangi dengan perhatian yang serius terhadap keamanan sistem
informasi (information system security). Keamanan sistem informasi disadari merupakan salah
satu bagian yang penting dalam melakukan pengelolaan sistem informasi.
Prinsip-prinsip kerahasiaan, integritas dan ketersediaan data dan informasi (confidentiality,
integrity and availability - CIA) menjadi taruhan utama dalam setiap upaya-upaya pengamanan
terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme keamanan harus mampu
menjamin sistem informasi dapat terlindungi dari berbagai potensi ancaman yang mungkin
timbul. Atau setidaknya mampu mengurangi kerugian yang diderita apabila ancaman terhadap
sistem informasi teraktualisasi.
1
Tabel 1Potensi Ancaman dan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®Coordination Center
Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat pencegahan (prevention)
terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting, selain
upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi.
Pencegahan menjadi penting karena pencegahan dapat menghindarkan pengelola atau pemilik
sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar
dan upaya atau biaya yang besar dalam upaya melakukan deteksi, atau pun upaya menempuh
proses hukum dan recovery terhadap sistem informasi yang rusak.
Dalam satu hasil global survey diketahui bentuk pencegahan yang umum dilakukan atau
dijalankan oleh organisasi, seperti terlihat pada Tabel 2 dan Gambar 1. Firewall dan software
anti virus merupakan trend keamanan sistem informasi saat ini, masih mendominasi dan
dipercaya oleh banyak organisasi dan para ahli keamanan sebagai pencegahan kejahatan terhadap
sistem informasi yang efektif dan efisien. Lebih dari 95% responden mengimplementasi firewall
dan software anti virus dalm strategi keamanan sistem organisasi mereka.
2
Tabel 2Upaya Pencegahan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®Coordination Center.
Gambar 1Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi
Sumber : 2004 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.
Penggunaan sistem informasi bukan saja merupakan monopoli kalangan organiasi besar dan
kompleks. Saat ini organisasi yang dikenal dengan sebutan Usaha Mikro, Kecil dan Menengah
(UMKM) juga sudah menyadari pentingnya nilai sistem informasi dan mulai memanfaatkan
sistem informasi guna memperoleh keuntungan dan meningkatkan daya saing dengan
mengimplementasi sistem dalam kegiatan atau aktifitasnya. UMKM sebagai bagian integral dari
network economy mulai ber-e-volusi.
Salah satu faktor hambatan dan menjadi perhatian bagi UMKM untuk memulai tahapan ber-e-
volusi berkaitan dengan perhatian pada aspek keamanan sistem informasi.
3
1.2 Permasalahan
Dengan dicirikan akan keterbatasan modal dan sumber daya manusia untuk pengelolaan
keamanan sistem informasi membuat sebuah UMKM harus mampu mengatur pengelolaan
keamanan sistem informasinya secara efektif dan efisien. PT X merupakan salah satu dari sekian
banyak UMKM yang memanfaatkan sistem informasi guna mendukung proses bisnis utamanya.
Dan seperti umumnya UMKM PT X juga dicirikan dengan keterbatasan dana dan sumber daya
manusia dan harus mampu dalam mengimplementasi keamanan sistem informasi pada
organisasinya. Artinya bahwa merupakan hal yng sangat penting untuk membuat perencanaan
dan rancangan sistem keamanan terhadap sistem informasi yang sesuai dengan karakteristik
UMKM tersebut dengan tetap mengacu pada kerangka keamanan standar atau suatu best
practice.
1.3 Tujuan Penulisan
Penulisan makalah ini ditujukan untuk :
1. Mendeskripsikan potensi ancaman keamanan sistem informasi organisasi.
2. Mendeskripsikan pola pengelolaan keamanan sistem informasi organisasi.
3. Menyusun kerangka keamanan sistem informasi bagi organisasi.
4
1.4 Kerangka Teori dan Konsep
Small or Medium Enterprises didefinisikan sebagai :
Kegiatan ekonomi rakyat beskala kecil dengan criteria sebagai berikut : 1)
kekayaan bersih maksimal Rp. 200.000.000 (dua ratus juta rupiah) tidak
temasuk tanah dan bangunan tempat usaha, atau 2) penjualan tahunan
maksimal Rp. 1.000.000.000 (satu milyar rupiah). 3) milik warga negara
Indonesia;- 4) berdiri sendiri dan bukan merupakan anak perusahaan atau
cabang perusahaan yang dimiliki, dikuasai, atau berafiliasi baik langsung
maupun tidak langsung dengan usaha menengah maupun usaha besar;1
Berdasarkan jumlah karyawan UMKM didefinisikan sebagai :
Usaha Kecil (UK) jumlah karyawan 5-19 orang.
Usaha Menengah (UM): jumlah karyawan 20-99 orang.2
Information systems security didefinisikan sebagai :
“Policies, procedures, and technical measures used to prevent unauthorized access,
alteration, theft, or physical damege to information systems.”3
“Measures adopted to prevent unauthorized use, misuse, modification, or denial of
use of knowledge, facts, data, or capabilities.”4
1 http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1,diakses tanggal 20 Mei 2005 pukul 18.50.2 Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar,www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50.3 Ibid., page 454.4 Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4.
5
Idealnya, sebuah organisasi dengan sistem informasi, menjalankan perlindungan terhadap sistem
informasi organisasi yang dapat dilakukan dengan mengacu pada 10 Domain yang terdapat dalam
CISSP. Ke-10 domain tersebut meliputi :
1. Access Control Systems and Methodology.
Access Control Systems and Methodology merupakan kumpulan mekanisme yang bekerja sama
dalam menciptakan arsitektur keamanan dalam melindungi aset sistem informasi.
2. Applications and Systems Development.
Dalam CISSP domain ini menekankan pentingnya konsep keamanan ang diterapkan dalam
pengembangan aplikasi perangkat lunak. Applications and Systems Development menekankan
pada lingkungan tempat perangkat lunak dirancang dan dikembangkan dan menjelaskan peran
penting perangkat lunak dalam menyediakan keamanan sistem informasi.
3. Business Continuity Planning.
Business Continuity Plan (BCP) domain menekankan pada perlindungan dan pemulihan
kegiatan-kegiatan organisasi dalam kondisi atau kejadian darurat.
4. Cryptography.
Cryptography domain menekankan prinsip, tujuan dan metode-metode penyembunyian atau
menyamarkan informasi dalam menjamin integritas, kerahasiaan, dan keotentikannya.
5. Law, Investigation and Ethics.
Law, Investigation and Ethics domain menekankan pada :
i. Perangkat peraturan perndangan yang mengatur tentang penggunaan ICT.
ii. Langkah-langkah dan teknologi yang digunakan atau dilakukan dalam melakukan
investigasi insiden kejahatan komputer.
6. Operations Security.
6
Operations Security digunakan untuk melakukan identifikasi kendali terhadap hardware, media,
operators dan administrators dengan access privileges terhadap semua sumber daya sistem
informasi. Audit dan monitoring merupakan mechanisms, alat, dan fasilitas yang
memungkinkannya dilakukan identifikasi peristiwa keamanan dan urutan langkah atau tindakan
dalam mengidentifikasi elemen kunci dan laporan akan informasi yang relevan kepada
individu,kelompok atau proses yang membutuhkan.
7. Physical Security.
Physical Security domain menyediakan teknik-teknik perlindungan untuk keseluruhan fasilitas
sistem informasi, dari primeter luar hingga ke dalam ruang kerja termasuk seluruh information
system resources.
8. Security Architecture and Models.
Security Architecture and Models domain meliputi konsep, prinsip, struktur dan standar yang
digunakan dalm merancang, memonitor, dan mengamanan operating systems, perlengkapan,
jaringan, applications dan kendali tersebut digunakan untuk menegakkan suatu level tertentu dari
konsep availability, integrity, dan confidentiality.
9. Security Management Practices.
Manajemen keamanan meliputi pengidentifikasian aset sistem informasi organisasi,
pengembangan, pendokumentasian serta penerapan policies, standards, procedures, dan
guidelines organisasi. Perangkat manajemen seperti klasifikasi data dan analisa resiko digunakan
untuk mengidentifikasi ancaman, mengklasifikasikan aset dan membuat peringkat kerentanan
sistem informasi sehingga kendali yang efektif dapat diterapkan.
10. Telecommunications, Network and Internet Security.
Telecommunications, Network and Internet Security domain meliputi pembahasan :
• Network Structures.
• Transmission methods.
7
• Transport formats.
• Security measures used to provide availability, integrity, and confidentiality.
• Authentication for transmissions over private and public communications networks and
media.
11. Audit Sistem Informasi.
Audit terhadap proses bisnis perusahaan selalu dilakukan sedikitnya satu tahun sekali tapi
hanya pada proses finansial dengan tujuan untuk mengetahui kondisi finansial perusahaan,
sehingga pihak direksi dan komisaris dapat mengambil langkah-langkah kebijakan dengan
tepat. Pihak direksi selalu melakukan kontrol terhadap kondisi perusahaan. Namun untuk
audit terhadap sistem informasi praktis tidak pernah dilakukan sejak pertama kali perusahaan
ini berdiri.
1.5 Kerangka Penulisan
Secara umum tulisan ini akan dibagi menjadi 5 (lima) bagian, yaitu :
1. Bagian pertama yang berisikan pendahuluan, membahas issue-issue seputar keamanan
sistem informasi, dan fokus permasalahan yang diangkat dalam tulisan.
2. Bagian kedua berisikan gambaran umum dari organisasi yang menjadi subjek dari
penulisan.
3. Bagian ketiga berisikan paparan analisa keamanan sistem informasi dan rekomendasi
keamanan sistem informasi dengan mengacu pada 10 Domain CISSP, yang meliputi :
a. Access Control Systems and Methodology.
b. Applications and Systems Development.
c. Business Continuity Planning.
8
d. Cryptography.
e. Law, Investigation and Ethics.
f. Operations Security.
g. Physical Security.
h. Security Architecture and Models.
i. Security Management Practices.
j. Telecommunications, Network and Internet Security.
4. Bagian keempat berisikan penutup berupa kesimpulan dan saran yang melandaskan diri
pada hasil yang dicapai pada pembahasan sebelumnya.
9
Bab 2
Gambaran Umum Organisasi
2.1 Profile Organisasi
Visi
Menjadi agen pembaru dalam rangka ikut serta menciptakan masyarakat baru Indonesia.
Masyarakat yang berwatak baik, profesional, menjunjung tinggi demokrasi, terbuka mengakui
kemajemukan masyarakat, tanpa mengenal SARA, dan setia kepada lembaga.
Misi
Atas dasar azas solidaritas dan kemanusiaan mencerdaskan dan memajukan kehidupan bangsa
melalui bidang informasi dan bidang lain.
Tujuan Organisasi
1. Kelanggengan dan pertumbuhan dengan mengemban bisnis sehat
2. Meningkatkan kualitas Sumber Daya Manusia dan kesejahteraannya
3. Mengemban tugas tanggung jawab sosial dan memperluas kesempatan kerja
Riwayat Singkat
Tabloid X khusus mengupas sepakbola dunia, dengan pangsa pasar untuk kaum muda. Pada
awalnya Tabloid X merupakan media temporer dalam bentuk fisik majalah dengan nama dagang
10
HX yang terbit mengikuti sebuah event besar sepak bola dunia seperti Piala Eropa/ EURO, Piala
Dunia, atau membarengi pentupan akhir musim kompetisi sepak bola di negara-negara Eropa.
Tabloid HX menyajikan informasi seputar dunia sepakbola dengan perspektif yang tidak umum
untuk saat itu, yaitu gaya hidup dan hiburan sebagai menu utama. Sisi kompetisi yang di media
lain ditampilkan sebagai menu utama justru ditempatkan sebagai porsi menu kedua.
Berangkat dari kondisi laku kerasnya produk, yang penjualannya mencapai oplah 18.000
eksemplar per edisi, kemudian majalah HX diputuskan untuk diterbitkan menjadi majalah
reguler. Dalam waktu ± 6 bulan sejak terbit secara reguler, PT. IMT melakukan langkah baru
dengan memutuskan untuk menerbitkan sebuah media yang mampu mengakomodir permintaan
pembaca dan tentunya investor yang menginginkan terbit secara mingguan. Salah satu pemicunya
selain oplah yang relatif positif stabil, adalah permintaan dari banyak pembaca majalah HX yang
meminta PT. IMT untuk menerbitkan secara mingguan. Akhir kata, diputuskan Majalah HX tidak
akan diterbitkan secara mingguan tapi PT. IMT menelurkan produk baru berformat tabloid
mingguan dengan nama dagang yang sama dengan majalah, yaitu Tabloid HX.
Tabloid HX dihadirkan ke tengah publik dengan mengambil momentum waktu sebulan persis
sebelum EURO 2000 yang dibuka di kota Paris, Perancis. Tabloid HX menyajikan sepakbola
dengan format isi yang sama dengan majalah HX, menjual sisi kompetisi, hiburan, dan gaya
hidup. Salah satu nilai plus tabloid X adalah penjualannya per edisi selalu disisipi poster ukuran
2 halaman tabloid secara rutin. Selama EURO 2000 tabloid HX mampu mencapai nilai penjualan
luar biasa, dengan rata-rata penjualan 175.000 eksemplar. Sebagai gambaran, edisi perdananya
laris di pasar dengan penjualan sebesar 150.000 eksemplar. Cukup mengejutkan untuk sebuah
pendatang baru.
11
Secara garis besar produk, PT. IMT menyajikan media dengan lingkup bahasan seputar
sepakbola dunia (Eropa sebagai menu utama) dengan komposisi isi sebagai berikut:
1. News: Berita dan gosip gres, data, dan ulasan lengkap pertandingan, prediksi dan bursa
taruhan, informasi dibalik permainan.
2. Style: Panduan buat bolamania untuk mengekspresikan diri sebagai bolamania sejati
3. Entertainment: Pemujaan nama besar baik klub maupun pemain dengan menampilkan
sisi humanistiknya
Secara umum spesifikasi produk bisa dilihat sebagai berikut:
1. Terbit sejak: Juni 2000
2. Periode terbit: Mingguan (setiap Kamis)
3. Ukuran tabloid: 420 mm x 295 mm
4. Tebal: 24 halaman
5. Tiras terjual rata-rata: 120.000 eksemplar
6. Sasaran: bolamania yang berjiwa muda
7. Harga eceran: Rp 3.500
Semester kedua setelah terbitnya tabloid HX, PT. IMT mengalami perpecahan. Era ini adalah
masa buruk bagi PT. IMT, karena penjualan tabloid mengalami penurunan penjualan dengan
angka rata-rata 60.000 eksemplar. Pada ini, nama dagang tabloid HX berubah menjadi tabloid X
dengan maksud tidak mengganggu penjualan Majalah HX yang relatif stabil (sekaligus juga
mengalami perubahan logo). Tapi nama dagang baru malah berakibat buruk dengan turunnya
tingkat penjualan yang cukup tajam, sempat mencapai angka 35.000 eksemplar saja.
Selain itu, penurunan penjualan secara tajam juga mulai dialami oleh majalah HX. Setelah
sempat menjalani masa kolaps selama 4 bulan dengan hanya mampu menjual majalah sebanyak
12
5000 eksemplar, PT. IMT akhirnya terpaksa mengamputasi majalah HX. Produk andalan hanya
tabloid X. Namun terkadang, PT. IMT menerbitkan majalah edisi khusus (temporer) berdasar
dengan event besar sepak bola yang sedang ada.
Daerah persebaran utama penjualan tabloid X adalah Jabotabek 27% dari total penjualan/ oplah.
Propinsi Jawa Tengah adalah penyumbang penjualan terbesar kedua dengan nilai penjualan 19%
dari total oplah. Untuk lebih lengkapnya mengenai penjualan PT. IMT, grafik penjualan Juli-Sep
2004 dibawah ini bisa dilihat sebagai acuan terakhir karena fluktuasi penjualan PT. IMT relatif
tidak pernah bergejolak secara signifikan.
Gambar 2Persentase Penjualan Tabloid X di Indonesia
2.2 Permodalan
PT. IMT adalah penerbit Tabloid X di Indonesia yang didirikan dengan modal awal Rp. 1,5
milyar, dengan rentang usia pembaca yang berada pada cakupan rentang usia remaja pria dan
wanita hingga dewasa.
13
2.3 Struktur dan Peran Dalam Organisasi
Struktur, status dan peran yang ada dalam organisasi dapat dipaparkan sebagai berikut ini.
Gambar 3Diagram Organisasi
Pemimpin Perusahaan
Pengembangan Bisnis
Redaktur Pelaksana
Pemimpin Redaksi
Pemimpin Umum
Staf Redaksi Staf DokumentasiStaf Artistik
Staf TI
Iklan
Sirkulasi
Promosi
SDM dan Umum
Pra Cetak
Keamanan
Supporting
Anggaran
Sekretariat
Rumah Tangga
Tabel 3Status dan Peran Dalam Organisasi
Status Jumlah Kode
Peran
PemimpinPerusahaan
1 A 01 Mengatur kinerja perusahaan yang membawahi karyawan denganjumlah mencapai 43 orang setiap harinya dan memastikan perusahaanberada dalam keadaan sehat.
PemimpinUmum
1 A 02 Memimpin perusahaan dengan mengendalikan aktifitas sehari-hari dariorganisasi.
PengembanganBisnis
1 A 03 Memiliki tugas manajerial yang berhubungan langsung dengan areapengembangan produk dan membawahi bidang promosi, iklan, dansirkulasi.
Sirkulasi 2 A 04A 05
Bertugas mendistribusikan produk PT. IMT dengan menggunakkanjalur distribusi yang sudah ada sekaligus mencari peluang baru melaluikios-kios dan agen-agen yang belum tersentuh.
Promosi 2 A 06A 07
Bertugas melakukan upaya-upaya yang bisa membuat penjualantabloid X semakin membaik grafiknya. Ada kalanya promosi memberimasukan pada dewan redaksi untuk memperbaiki kualitas isi tabloidberdasar atas fakta-fakta penjualan dan lapangan untuk mempermudahkerja sosialisasi produk.
Iklan 3 A 08A 09A 10
Bertugas mencari pemasang iklan untuk bersedia membeli spot/ ruangiklan yang disediakan tabloid sebagai sumber utama pendapatantabloid.
14
PemimpinRedaksi
1 A 11 Memiliki kewajiban mengatur kinerja dewan redaksi yang mencakupredaktur pelaksana, redaktur, reporter, dan dokumentasi dalammenyajikan materi tulisan dan berita kepada pembaca.
RedakturPelaksana
1 A 12 Perpanjangan tangan dari Pemimpin Redaksi tapi dengan privilesekhusus, karena menjadi filter utama dalam penentuan sebuah beritalayak ditampilkan atau tidaknya melalui sidang redaksi yang digelarsecara mingguan.
Sekretariat 2 A 13A 14
Tugasnya seperti umumnya sekretaris, mencatat baik notulensi rapatredaksi maupun kebutuhan harian redaksi dan bertanggung jawablangsung ke Pemimpin Redaksi.
Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21
Adalah pihak dalam perusahaan yang bertugas mencari berita danmenuliskannya dalam format RTF untuk kemudian disimpan di serverredaksi.
Staf Artistik 5 A 22A 23A 24A 25A 26
Staf yang bertugas merancang lay out tabloid dengan menggunakanpola desain yang sudah ada. Artistik tidak boleh menggunakkantemplate lay out. Selain itu dalam tim artistik biasanya ada satu orangbertugas sebagai ilustrator. Hampir semua anggota tim artistikmemiliki kemampuan membuat ilustrasi karena backgroundpendidikan umumnya dari jurusan desain grafis.
StafDokumentasi
2 A 27A 28
Staf kepustakaan data yang tugas utamanya menyediakan foto,gambar, data historis atau literatur untuk keperluan penulisan reporter.
Supporting 1 A 29 Memiliki kewajiban mengatur kinerja perusahaan yang berurusandengan koordinasi antara bidang manajemen sumber daya manusia,keamanan, TI, Anggaran, dan Pracetak yang ada di PT. IMT.
Anggaran 1 A 30 Memiliki kewajiban mengatur anggaran kerja dan operasional PT.IMT selain melakukan dokumentasi keuangan perusahaan layaknyapekerjaan pada bagian keuangan pada umumnya.
SDM danUmum
5 A 31A 32A 33A 34A 35
Bertanggung jawab untuk pengelolaan sumber daya manusia.
Pra Cetak 2 A 36A 37
Bertugas mencetak atau mentranformasikan hasil lay out tim artistik kedalam bentuk film siap cetak.
Keamanan 4 A 38A 39A 40A 41
Bertugas jaga bergantian shift dengan pola 12/24.
Rumah Tangga 2 A 42A 43
Bertugas untuk hal-hal yang menyangkut kenyamanan dan kebersihanorganisasi.
Staf TI 2 A 44A 45
Bertugas khusus mengurusi jaringan dan sistem yang ada, sertamenangani media online.
Jumlah 45
15
Waktu Kerja
PT. IMT memiliki 3 waktu kerja berbeda:
1. Staff Redaksi kecuali pemimpin redaksi umumnya memiliki waktu kerja relatif fleksibel.
Tidak ada kewajiban harus datang jam tertentu asalkan tidak menyebabkan tulisan melewati
deadline yang jatuh pada pukul 3 sore setiap harinya. Konsep uang lembur baru dikenakan
bila kerja melewati jam 12 malam.
2. Satuan Pengamanan bekerja secara 24 jam selama 7 hari kerja tanpa kenal libur menjaga
keamanan kantor yang berada di daerah rawan maling karena posisinya di samping jalan
raya, Jl. Panjang, Jakarta Barat. Ketentuan libur dirotasikan dengan pembagian shift 2 kali
dalam sehari. Tidak ada libur hari besar dan minggu kecuali ada kebijakan khusus dari
Pimpinan Keamanan.
3. Karyawan dari Divisi Pengembangan Bisnis dan Supporting memiliki waktu kerja yang
umum berlaku, yakni pukul 9 hingga pukul 5 sore. Staf promosi dan iklan memiliki
perkecualian jam kerja karena bila sedang ada event tertentu (seperti nonton bola bareng di
cafe) yang berhubungan dengan sosialisasi citra produk bisa jadi jam kerjanya bertambah
secara tidak menentu.
2.4 Proses Bisnis Utama Organisasi
16
Proses bisnis utama organisasi dapat dilihat pada gambar di bawah ini.
Gambar 4Work Flow Proses Bisnis Utama
Staf Redaksi
Redaktur Pelaksana
Mencari danmenulis berita
Templete awal
Edit berita
Staf Dokumentasi
Mencarireferensi
pendukungberita
Staf Artistik
Merancanglay-out
Pemimpin RedaksiStaf Pra-Cetak
Templete Membuat film Film
Percetakan
Rapat Redaksi
Merumuskancontent dan
layoutterbitan
Notulensi rapat
2.5 Aplikasi Organisasi
Organization – Computer Interaction Patterns
Tabel 4Pola Penggunaan Komputer Dalam Organisasi
No
Status Jumlah
Kode
Pola Penggunaan Komputer AlokasiPC
1 PemimpinPerusahaan
1 A 01 Dengan menggunakan notebook pribadi,menulis dan mengedit tulisan denganaplikasi MSWord dan mengakses internetdengan aplikasi internet explorer.
-
2 PemimpinUmum
1 A 02 Dengan menggunakan notebook pribadi,menulis dan mengedit tulisan denganaplikasi MSWord dan mengakses internetdengan aplikasi internet explorer.
-
3 PengembanganBisnis
1 A 03 Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditbusiness plan dan proposal dengan aplikasiMSWord dan internet explorer.
1
17
4 Sirkulasi 2 A 04A 05
Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditlaporan sirkulasi majalah dengan aplikasiMSExel dan akses internet dengan aplikasiinternet explorer.
1
5 Promosi 2 A 06A 07
Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditlaporan yang berkaitan dengan promosimajalah ke media lain dengan aplikasiMSWord dan akses internet denganaplikasi internet explorer.
1
6 Iklan 3 A 08A 09A 10
Menulis dan mengedit laporan ataupenawaran pemasangan iklan kepada kliendengan aplikasi MSWord, MSExcell danakses internet dengan aplikasi internetexplorer.
1
7 PemimpinRedaksi
1 A 11 Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.
1
8 RedakturPelaksana
1 A 12 Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.
1
9 Sekretariat 2 A 13A 14
Menulis dan mengedit surat denganaplikasi MSWord dan akses internetdengan aplikasi internet explorer.
1
10 Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21
Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.
7
11 Staf Artistik 5 A 22A 23A 24A 25A 26
Merancang tampilan dan susunan dalammajalah, dengan aplikasi :PageMaker.MacOS.Freehand.Photoshop.Internet explorer, untuk akses internet.
3
12 StafDokumentasi
2 A 27A 28
Menulis dan mengedit tulisan, membuatindex terbitan dan referensi dengan aplikasiMSWord, internet explorer dan Winisis(database perpustakaan).
1
13 Supporting 1 A 29 Menulis dan mengedit tulisan denganaplikasi MSWord dan internet explorer.
1
14 Anggaran 1 A 30 Menulis dan mengedit laporan keuangandan rencna anggaran tahunan denganaplikasi MSExell dan akses internet.
1
18
15 SDM danUmum
5 A 31A 32A 33A 34A 35
Menulis dan mengedit tulisan denganaplikasi MSWord dan internet explorer.
3
16 Pra Cetak 2 A 36A 37
Merancang tampilan dan susunan dalammajalah yang siap cetak, dengan aplikasi :PageMaker.MacOS.Internet explorer.
2
17 Keamanan 4 A 38A 39A 40A 41
Internet explorer. -
18 Rumah Tangga 2 A 42A 43
Internet explorer. -
19 Staf TI 2 A 44A 45
MSWord.Internet explorer.
2
Komponen Perangkat Keras
Komponen JumlahFile Server 1WebServer
1
Firewall 1Router 1Modem 1Hub 1Printer 4Scanner 1Fax 1PC 27Plotter 1
Komponen Perangkat Lunak
Komponen KeteranganFile Server OS Windows Server 2000Web ServerOS
IIS
19
Infrasturktur Jaringan
Staf Redaksi
Redaktur Pelaksana
ID C
Server 2
Pemimpin Redaksi
Staf Dokumentasi
Staf Artistik Sekretariat Staf TI
ID C
Server 1
Internet
Firewall Firewall
Content editing
News editingLayout editing
Router
Layout NewsSource related to news
Pra Cetak
Design and graphics
20
Denah ruangan
Denah Lantai I
Pra Cetak
Pemimpin Redaksi
Dokumentasi
Redaksi
Sekretariat
Satpam danRumah tangga(Resepsionis)
Rapat Redaksi
DENAH LANTAI I
Tangga
21
Denah Lantai II
2.6 Security Check List Organisasi
Check List DescriptionPhysical andEnvironmentalSecurityPC location Tidak ada penempatan atau pengaturan ruang secara khusus terhadap PC. Semua anggota
organisasi menggunakan komputer, tanpa ada alokasi khusus, tiap pengguna daptmenggunakan komputer manapun selama tidak sedang digunakan. Pengguna sering merokoksementara menggunakan komputer.
Printer location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Scanner location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Fax location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Personnel Security Password Tidak ada penggunaan password. Kecuali pada proses pengambilan berita gambar (foto) dari
situs berlangganan tertentu,akan tetapi password tersebut diketahui oleh semua user.Certificates -Sign aggreement -Number of authorizedusers
Seluruh user, tidak ada pembatasan. Bahkan SATPAM dan Office Boy sering menggunakankomputer untuk browsing di sore hari atau malam hari.
Training Tidak pernah ada pelatihan yang dilakukan untuk meningkatkan security awarenessdikalangan pegawai.
Application Programand Usage Security Printing Semua user dapat mengakses.Browser security -Screen savers -
22
Warning -PC ConfogurationOS version Tidak di up dateBrowser configuration Tergantung iman dan kepercayaan.Browser version Tergantung iman dan kepercayaan.Patch / Update levelscurrent
Tidak di up date
Virus protection andupdate
Tidak di up date
Firewall Diurus oleh IT maintenance.USB Port AvailableNetworkConfigurationInternet accessmethod
Leased line di ISP.
Firewall
23
Bab 3
Keamanan Sistem Informasi Organisasi
3.1 Security Management Practices
We will systematize the process of determining the organization's computer assets,
and the methods for establishing the required levels of protection. We will learn
how to create security-budgets for each identified reduction.
Domain Security Management Practices pada prinsipnya ditujukan guna membantu organisasi
dalam merencanakan, mengorganisasikan dan mengendalikan pengguna dan penggunaan sistem
informasi dalam organisasi dengan perhatian utama pada pengamanan sistem informasi. Dalam
hal tersebut maka sebaiknya suatu organisasi menjalankan hal-hal sebagai berikut :
1. Melakukan identifikasi aset sistem informasi organisasi.
2. Melakukan analisa resiko terhadap sistem informasi.
3. Membuat kebijakan keamanan sistem informasi dalam organisasi.
4. Memunculkan kesadaran keamanan sistem informasi dalam organisasi.
3.1.1 Identifikasi aset sistem informasi organisasi
Mengacu kepada situasi dan kondisi sistem informasi yang ada dalam organisasi dapat
diidentifikasi hal-hal sebagai berikut :
Criteria ClassificationAset sisteminformasi
Value Age Useful life Personalassociation
24
Data daninformasiBukureferensi
Bernilai pentingsebagai referensipendukungkredibilitas berita.
Timeless, karenareferensi selaluterpakai karenapengungkapan faktahistorikal dalamberita dandigunakkan sebagaipendukung artikelfeature.
Referensi tetapbernilai tinggimeskipun adapenambahandata baru.
- Companyconfidential
Datagambar
Bernilai pentingsebagai referensipendukungkredibilitas beritadan berlanggananpada vendordengan nilaikontrak sangatmahal..
Hanya hingga saatnaik cetak.
Data gambartetap bernilaitinggimeskipun adapenambahandata baru.
- Companyconfidential
Hasil rapatredaksi
Bernilai pentingsebagai kunci isimateri penerbitansetiap minggu.
Hanya hingga saatnaik cetak.
Hanya hingganaik cetak.Berikutnyamenjadi bagiandari referensi.
Akumulasi ideredaksi dalamrapat yangsangat pentinguntukpenerbitan.
Companyconfidential
Datatulisanedisi
Bernilai pentingsebagai isi materiberita baik hardnews maupunfeature setiapminggunya.
Hanya hingga saatnaik cetak.
Hanya hingganaik cetak.Berikutnyamenjadi bagiandari referensi.
Akumulasi ideredaksi dalamrapat yangsangat pentinguntukpenerbitan.
Companyconfidential
Film untuknaik cetak
Bernilai pentingsebagai materipenerbitan yangsiap dicetak setiapminggu.
Hanya hingga saatnaik cetak.
Hanya hingganaik cetak.Berikutnyamenjadi bagiandari referensi.
Akumulasi ideredaksi dalamrapat yangsangat pentinguntukpenerbitan.
Companyconfidential
HardwareFaximile Bernilai sebagai
sarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.
Sepanjang bisadigunakkan.
Sepanjang bisadigunakkan.
- Internal use only
Telepon Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.
Sepanjang bisadigunakkan.
Sepanjang bisadigunakkan.
- Internal use only
Printer Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.
Sepanjang bisadigunakkan.
Sepanjang bisadigunakkan.
- Internal use only
25
Scanner Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.
Sepanjang bisadigunakkan.
Sepanjang bisadigunakkan.
- Internal use only
PC Bernilai sebagaisarana komunikasidan bolehdigunakkan diluarkepentingan bisnis.
Sepanjang bisadigunakkan.
Sepanjang bisadigunakkan.
- Internal use only
Tabel berikut ini merupakan identifikasi aset sistem informasi dari organisasi berdasarkan role
dari para stakeholder.
Aset sistem informasi Owner Custodian UserData dan informasiBuku referensi Pemilik perusahaan Dokumentasi Pemred, Redpel, dan Reporter.Data gambar Pemilik perusahaan Dokumentasi Pemred, Redpel, Artistik dan Reporter.Hasil rapat redaksi Pemilik perusahaan Sekretariat Pemred, Redpel, dan Reporter.Data tulisan edisi Pemilik perusahaan Redaksi Pemred, Redpel, dan Reporter.Film untuk naik cetak Pemilik perusahaan Pra cetak Redpel, Artistik, Percetakan dan Reporter.
HardwareFaximile Pemilik perusahaan Sekretariat Semua stakeholderTelepon Pemilik perusahaan Sekretariat Semua stakeholderPrinter Pemilik perusahaan Sekretariat Semua stakeholderScanner Pemilik perusahaan Sekretariat Semua stakeholderPC Pemilik perusahaan Masing-masing
stakeholderMasing-masing stakeholder
Server Pemilik perusahaan Masing-masingstakeholder
Masing-masing stakeholder
3.1.2 Manajemen resiko
Ancaman yang terindentifikasi terjadi di lingkungan organisasi tercantum seperti di bawah ini :
Ancaman Dampak KerugianData classification Virus menjadi masalah
bagi PT. IMT karena masihada penggunaan disketsebagai media pertukaranfile.
Dalam seminggu minimalterjadi 3 (tiga) unit PCterinfeksi.
• Data rusak.• Data hilang.• Pengulangan
penulisan beritasehinggamenyebabkan lembur.
Information warefare - - -
26
Personnel Anti Virus jarang diupdateoleh pengguna PC.
Anti virus menjadi mandulsetiap saat.
• Data rusak.• Data hilang.• Pengulangan
penulisan beritasehinggamenyebabkan lembur.
Staf redaksi memformatkomputer rekan kerja yangdibencinya.
Satu kali terjadi • Data hilang.• Pengulangan
pengumpulan datatulisan yang akanditerbitkan.
Application / operational - - -Criminal Personel melakukan
pembobolan aset (gambar).Jarang terjadi. Kompetitor
Pencurian hardware. Satu kali terjadi Proses kerja menjadi tidakberjalan sebagaimanaadanya.
Environmental Gangguan listrik. Setahun 2 kali. Proses kerja menjadi tidakberjalan sebagaimanaadanya.
Computer infrastructure Gangguan hardisk server. Rata-rata terjadi 2 minggusekali
Proses kerja menjadi tidakberjalan sebagaimanaadanya.
OS redaksi hang Hampir tiap hari terjadi Proses kerja menjadi tidakberjalan sebagaimanaadanya.
Delayed processing - - -
Kerusakan software yang terjadi sering disebabkan oleh virus, meskipun sudah disediakan
antivirus yang terbaru, hal tersebut terkadang tidak dapat mencegah terjadinya serangan virus.
Jika hanya menimpa beberapa aplikasi, penanggulangan diserahkan pada tanggung jawab
masing-masing pengguna agar berhati-hati dalam berbagi informasi. Namun jika menyebabkan
kerusakan total sistem operasi dan aplikasi, penanggulangan diserahkan untuk diisolasi dan
diservis. Antisipasi lain yang dijalankan adalah dengan penyediaan aplikasi antivirus terkini.
Setiap kali ada informasi tentang adanya aplikasi terkini untuk mendeteksi virus, administrator
akan berusaha untuk menyediakan aplikasi tersebut.
3.1.3 Kebijakan keamanan sistem informasi
Kebijakan keamanan sistem informasi pada organisasi tidak dirumuskan secara tertulis. Sehingga
apabila terjadi suatu hal yang menggangu sistem sering kali terjadi saling menyalahkan. Untuk
27
itu perlu dibuat kebijakan yang paling tidak mengatur secara tegas perang dan kewajiban para
stakeholder, seperti tercantum dibawah ini :
No
Status Jumlah Kode Roles and responsibilities
1 PemimpinPerusahaan
1 A 01 Bertanggung jawab terhadap masalah dan perumusan kebijakankeamanan kantor secara general.
2 Pemimpin Umum 1 A 02 Bertanggung jawab terhadap masalah dan perumusan kebijakankeamanan kantor secara general.
3 PengembanganBisnis
1 A 03 Bertanggung jawab terhadap masalah keamanan kantor di unitPengembangan Bisnis saja.
4 Sirkulasi 2 A 04A 05
Bertanggung jawab terhadap masalah keamanan kantor di unitSirkulasi saja.
5 Promosi 2 A 06A 07
Bertanggung jawab terhadap masalah keamanan kantor di unitPromosi saja.
6 Iklan 3 A 08A 09A 10
Bertanggung jawab terhadap masalah keamanan kantor di unitIklan saja.
7 Pemimpin Redaksi 1 A 11 Bertanggung jawab terhadap masalah keamanan kantor di unitRedaksi saja.
8 Redaktur Pelaksana 1 A 12 Bertanggung jawab terhadap masalah keamanan kantor di unitRedaksi saja.
9 Sekretariat 2 A 13A 14
Melaksanakan kebijakan yang sudah ditetapkan.
10 Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21
Melaksanakan kebijakan yang sudah ditetapkan.
11 Staf Artistik 5 A 22A 23A 24A 25A 26
Melaksanakan kebijakan yang sudah ditetapkan.
12 Staf Dokumentasi 2 A 27A 28
Melaksanakan kebijakan yang sudah ditetapkan.
13 Supporting 1 A 29 Melaksanakan kebijakan yang sudah ditetapkan.14 Anggaran 1 A 30 Melaksanakan kebijakan yang sudah ditetapkan.15 SDM dan Umum 5 A 31
A 32A 33A 34A 35
Melaksanakan kebijakan yang sudah ditetapkan.
16 Pra Cetak 2 A 36A 37
Melaksanakan kebijakan yang sudah ditetapkan.
17 Keamanan 4 A 38A 39A 40A 41
Melaksanakan kebijakan yang sudah ditetapkan.
18 Rumah Tangga 2 A 42A 43
Melaksanakan kebijakan yang sudah ditetapkan.
19 Staf TI 2 A 44A 45
Melaksanakan kebijakan yang sudah ditetapkan.
28
3.1.4 Kesadaran keamanan sistem informasi organisasi
Selama ini organisasi hanya menekankan pada pentingnya keamanan lokasi dari pencurian
(kejahatan konvensional). Sehingga kesadaran akan keamanan hanya ditekankan pada anggota
satuan pengamanan dengan disertakannya meraka pada pelatihan keamanan untuk SATPAM. Hal
ini berakibat masalah keamanan pada sistem informasi kurang tertangani mengingat bahwa
ancaman yang teraktualisasi tidak dapat sepenuhnya diatasi dengan cara pelatihan tersebut.
Kesadaran akan keamanan sistem informasi sebaiknya dilakukan dengan cara :
1. Mengikutsertakan pemilik perusahaan dan kepala-kepala bagian dalam pelatihan keamanan
sistem informasi.
2. Mengikutsertakan staf IT dalam pelatihan keamanan sistem informasi tingkat lanjut.
3. Membuat remainder bagi para user agar peduli dengan masalah keamanan sistem informasi.
3.2 Access Control Systems
Akses ke sistem informasi saat ini belum dilakukan dengan baik. Terbukti bahwa ada beberapa
stakeholder yang sebenarnya tidak berkaitan langsung dengan PC, justru dapat menggunakan PC
dengan leluasa. Satpam dan officeboy dapat mengakses internet tanpa ada teguran dan sudah
dianggap biasa. Untuk itu yang perlu dilakukan adalah :
1. Bekerja sama dengan pengelola gedung untuk melakukan penjagaan dan pengamanan.
29
2. Mengaktifkan ID Card sebagai kendali akses ke dalam lokasi organisasi yang
pengawasannya dilakukan oleh Satpam dan staf IT.
3. Membuat daftar akses kendali bagi setiap stakeholder dalam memanfaatkan sumber daya
sistem informasi.
Aplikasi yang digunakan untuk koneksi terhadap internet adalah internet explorer. Perusahaan
tidak memiliki web server oleh karena itu email hanya dapat diakses secara bebas menggunakan
fasilitas email free dari situs-situs yang menawarkan. Perusahaan belum melakukan ekspansi
usahanya melalui internet. Koneksi terhadap internet pun dilakukan secara dial-up, sehingga
hanya pengguna-pengguna tertentu yang diberikan hak ases untuk dapat menggunakan fasilitas
internet. Penggunaan fasilitas ini pun dibatasi, sekedar untuk menerima dan mengirimkan laporan
kepada direksi atau komisaris. Tanggung jawab pengawasan dan pengontrolan penggunaan
internet dibebankan kepada staf TI dan Pemimpin Redaksi. Biasanya pengguna diberikan hak
untuk mengakses internet secara bebas akrena menggunakkan leased line/ cable.
Pengaksesan internet dilakukan hanya melalui server utama dengan otoritas dari Pemimpin
Redaksi/ staf TI. Jika Pemimpin Redaksi berhalangan kerja (cuti, ijin, sakit dll.), tanggung jawab
akan diserahkan pada salah satu staf redaksi. Staf TI berkewajiban memantau akses pengguna
secara berkala. Jika terdapat situs-situs yang tidak bermanfaat diakses oleh pengguna, pengguna
akan diberi peringatan dan sanksi. Sanksi dapat berupa penyetopan hak akses untuk jangka waktu
tertentu.
No
Status Jumlah Kode Akses ke sistem informasi
1 PemimpinPerusahaan
1 A 01 Full access.
2 Pemimpin Umum 1 A 02 Full access.3 Pengembangan
Bisnis1 A 03 Akses ke keuangan.
4 Sirkulasi 2 A 04A 05
Akses ke keuangan.
30
5 Promosi 2 A 06A 07
Akses ke keuangan dan berbagi data ke bagian iklan.
6 Iklan 3 A 08A 09A 10
Akses ke keuangan dan berbagi data ke bagian promosi.
7 Pemimpin Redaksi 1 A 11 Full access.8 Redaktur Pelaksana 1 A 12 Akses data distribusi, iklan dan redaksi9 Sekretariat 2 A 13
A 14Akses data redaksi
10 Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21
Akses data redaksi
11 Staf Artistik 5 A 22A 23A 24A 25A 26
Akses data redaksi
12 Staf Dokumentasi 2 A 27A 28
Akses data redaksi
13 Supporting 1 A 29 Akses data pendukung dan redaksi.14 Anggaran 1 A 30 Akses data keuangan15 SDM dan Umum 5 A 31
A 32A 33A 34A 35
Akses data pegawai
16 Pra Cetak 2 A 36A 37
Akses data redaksi
17 Keamanan 4 A 38A 39A 40A 41
Tidak berhak mengakses sumber daya sistem informasi.
18 Rumah Tangga 2 A 42A 43
Tidak berhak mengakses sumber daya sistem informasi.
19 Staf TI 2 A 44A 45
Akses ke hardware.
3.3 Telecommunications and Network Security
We will review telecommunications aspects of Network security, including
protocols, network infrastructures and network topologies. We will also look at
remote access, devices, security issues and administration
31
Data yang pindah tempatkan hanya film untuk cetak ukuran tabloid. Pemindahannya dilakukan
secara fisik pada waktu malam hari sebelum terbit keesokan harinya. Pengamanannya dilakukan
dengan pengawalan oleh tenaga satuan pengamanan.
Topologi jaringan pada Local Area Network (LAN) di bagian redaksi menggunakan topologi
Star. Server ditempatkan di ruangan khusus yang digunakan bersama dengan bagian artistik
dan pracetak. Penanggung jawab server dan jaringan sekaligus menjadi administrator berada
di tangan Staf TI.
Dalam ruangan ini aturan keamanan diikuti secara ketat. Ruangan sangat dingin dengan
adanya alat pendingin ruangan (AC) berkekuatan tinggi. Tapi perhatian terhadap keamanan
kondisi fisik hardware dan jaringan kurang terjaga. Kedisiplinan dari para pengguna
komputer perlu ditingkatkan agar keamanan ruangan server dari suhu dan kelembaban dapat
terjaga dengan baik.
Sedangkan untuk komputer client, komputer masing-masing ditempatkan di meja para
pegawai dan manajer. Sumber daya printer dipakai bersama-sama untuk semua unit dan
pegawai. Server digunakan untuk menyimpan data-data seluruh materi media cetak, kecuali
data-data keuangan yang disimpan secara terpisah di komputer client bagian keuangan.
Administrator tidak perlu membagi hak akses berdasarkan otoritas penggunaan karena server
hanya berisi data-data metri media yang akan turun cetak dalam format pm (Pagemaker).
Pada umumnya akses penghapusan data tidak diberikan, dan harus dilakukan atas
persetujuan administrator.
32
Komputer yang digunakan untuk layout dan desainer diberikan hak akses tersendiri dan tidak
dapat diakses dari komputer lainnya. Hal tersebut dilakukan agar hasil-hasil layout dan
desainer tetap terjaga dengan baik. Begitu pula aplikasi yang digunakan disimpan di
komputer tersebut. Aplikasi umumnya berupa aplikasi khusus bagi layout dan desainer
seperti Adobe Pagemaker 7, Adobe Photoshop, aplikasi pendukung untuk scanner dan
antivirus Symantec Client Antivirus.
Masing-masing client diberikan hak untuk melakukan backup data di komputer masing-
masing, sedangkan backup data di server dilakukan secara berkala dengan pengkopian pada
CD dan partisi hard disk lain. Spesifikasi komputer umumnya digunakan Pentium III dan
Pentium IV. Sistem operasi digunakan Windows 2000 Profesional pada client, sedangkan
server menggunakan Windows 2000 NT.
Instalasi jaringan menggunakan HUB atau concentrator, kabel penghubung UTP (unshielded
twisted pair) Ethernet 10BaseT, Line Card Realtek RTL 8139 Base 10100 dan konektor
RJ45. Masing-masing client dapat saling berkomunikasi melalui jaringan dan diberikan hak
untuk mengakses internet. Selain itu komunikasi dilakukan pula melalui jaringan telepon
internal untuk menjangkau staf lainnya yang tidak berhubungan langsung dengan komputer.
Untuk gedung administratif hanya terdapat delapan komputer (Pentium IV) yang terhubung
dengan LAN dengan instalasi jaringan standar. Masing-masing komputer digunakan oleh staf
anggaran, staf distribusi, promosi, iklan serta dua komputer untuk keperluan desain dan lay
out bagi tim promosi dan iklan. Satu buah printer dipakai bersama-sama antar para pengguna
komputer. Kelima komputer tersebut masing-masing dapat saling mengakses data dan
berbagi data. Namun bagi informasi yang bersifat kritikal (data keuangan), data hanya dapat
33
diakses dengan memakai ID pengguna dan password khusus. Begitu pula dengan data-data
layout dan desainer dibatasi hanya bagi penggunanya.
Untuk keamanan jaringan dan kerusakan (troubles) yang terjadi diserahkan sepenuhnya pada
masing-masing pengguna. Pengguna yang memiliki pengetahuan lebih terhadap komputer
umumnya menjadi volunteer bagi penyelesaian kerusakan. Namun jika kerusakan tidak dapat
ditangani, peralatan akan dikirimkan untuk diservis.
Komunikasi lainnya dapat digunakan melalui telepon. Namun penggunaannya menjadi
tanggung jawab penuh bagian administrasi. Oleh karena ruangan perusahaan tidak begitu
luas, para pegawai penerbitan melakukan komunikasi secara manual (lisan). Telepon hanya
digunakan untuk menerima pemesanan dan keperluan tertentu.
3.4 Cryptography.
We will look at crypto techniques, methodologies and approaches
Mengacu kepada aset sistem informasi dan kemampuan komputesi yang ada, khususnya data
yang dipertukarkan, cryptography masih belum perlu diimplementasikan. Hal ini dikarenakan
data yang dipertukarkan berada dalam jaringan LAN internal organisasi.
3.5 Security Architecture and Models
34
We will examine concept models and techniques for designing and implementation
secure applications, operate systems, networks and systems.
Pada bagian ini menguraikan tentang konsep, prinsip dan standar untuk merancang dan
mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Namun pada perusahaan
PT. IMT, arsitektur dan model seperti yang dimaksudkan di atas hanya bisa diidentifikasi
beberapa arsitektur dan model. Arsitektur dan model yang diperoleh berupa arsitektur sistem
jaringan, sistem operasi, dan aplikasi.
Arsitektur sistem jaringan baik bagian redaksi maupun administrasi keduanya memiliki arsitektur
yang sama dengan topologi star. Masing-masing pengguna dapat mengakses file sistem dalam
server melalui jaringan. Aktivitas yang harus dilakukan adalah pengguna wajib melakukan login
untuk berinteraksi dengan jaringan. Pengguna akan diminta untuk memasukkan ID pengguna dan
Password agar mendapatkan hak ases.
Keberhasilan login akan memicu sistem operasi mengenali hak-hak akses apa yang diberikan
terhadap pengguna tersebut. Selanjutnya sistem operasi akan menghubungkan ke server dan
seluruh jaringan yang terkoneksi. Pada PT. IMT, tingkat jaminan keamanan dikategorikan low
level (proteksi lapisan bawah). Hal ini dapat dilihat dari metode pengamanan yang lebih
mengarah pada pengamanan yang berfokus hardware, lebih sederhana, namun melebar dan tidak
fleksibel. Oleh karena itu meskipun fungsionalitas sistem menurun, kompleksitas keamanan juga
menurun namun jaminan keamanan meningkat.
Tidak ada aplikasi-aplikasi yang dibangun secara khusus untuk perusahaan layaknya vendor ERP
seperti SAP ataupun Oracle, bahkan aplikasi spesifik misalnya Sistem Informasi PT. IMT.
Teknologi yang digunakan cukup mutakhir di pasaran saat ini (Pentium IV), begitu pula dengan
35
aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, namun semuanya
merupakan produk beli dan bukan merupakan produk yang dikembangkan secara khusus. Model
keamanan relatif tergolong sederhana.
3.6 Operations Security
We will cover aspects of control, audit and monitoring that apply to systems,
personnel, information and resources.
Dalam domain operasi keamanan difokuskan pada tindakan apa saja yang menjadikan sistem
beroperasi secara aman, terkendali dan terlindung. Sistem di sini dapat berupa jaringan,
komputer ataupun lingkungan. Sedangkan operasional diartikan sebagai berfungsinya sistem
setelah dijalankan. Adapun waktu dari operasional dapat mencakup jam atau hari
berfungsinya sistem tersebut.
Pada PT. IMT, proses bisnis berlangsung hampir delapan jam sehari pada unit administratif,
namun pada unit redaksi jam kerja bisa mencapai 14 jam. Kebijakan perusahaan tentang
pegawainya juga diterapkan jika kerja tim redaksi telah melewati jam 12 malam. Pekerjaan
akan dilanjutkan setelah jam kerja biasa dan dilakukan secara kontinyu. Biasanya pekerjaan
lembur ini hanya terjadi sewaktu-waktu saja, misalnya saat penerbitan edisi khusus atau
sempat terjadi masalah pada server yang mengakibatkan tim redaksi harus waspada pada
kemungkinan terjadinya perubahan materi cetak akibat kerusahaan pada sistem di pra cetak.
Secara umum operasinal bisnis perusahaan umumnya dimulai sekitar pukul 8.00 dan
berakhir pukul 17.00 setiap hari. Selain itu karena format bisnis perusahaan merupakan
36
usaha media informasi maka konsep lembur sebenarnya tidak terlalu dikenal. Bila ada event
tertentu (seperti nonton bola bareng di café) yang mengharuskan karyawan kerja ekstra
maka tidak ada kompensasi khusus. Kompensasi hanya diberikan bila pekerja keluar kantor
sesudah jam 12 malam yang ditandai dari absensi pegawai melalui mesin absensi. Frekuensi
lembur lebih umum terjadi pada staf redaksi saja. Pada bagian administratif hal tersebut
jarang terjadi, sebab proses kerja relatif sama dengan kantor-kantor lainnya.
Gangguan yang sering muncul dalam jaringan adalah berasal dari virus atau kerusakan secara
fisik karena arus pendek listrik dan petir. Virus umumnya menyebar melalui jaringan yang
terkoneksi ke internet. Sekalipun akses internet tidak ada pembatasan dan digunakan untuk
mengakses email atau informasi, gangguan yang disebabkan oleh hacker atau cracker belum
pernah terjadi.
Sesuai dengan aturan ketenagakerjaan, pegawai diberikan hak cuti setiap tahunnya kecuali
bagi karyawan kontrak. Diharapkan cuti tersebut dapat mengurangi problem demoralisasi
dan bisa mengembalikan kesegaran mental dan moral pegawai yang mengalami kejenuhan.
Cuti paling lama dua minggu atau 12 hari kerja, tidak termasuk hari libur, sabtu dan minggu.
Cuti tidak dapat diambil sekaligus karena tuntutan terbit seminggu sekali. Pelaksanaan cuti
diatur sesuai kebijakan yang sudah diterbitkan perusahaan. Bagi pegawai yang melakukan
cuti, pekerjaan dilimpahkan kepada rekannya dengan koordinasi terlebih dahulu dengan
pemimpin redaksi atau redaktur pelaksana.
Bagi keamanan lingkungan, dikarenakan lokasi bagian percetakan cukup luas, ditugaskan
petugas keamanan atau Satpam selama 24 jam dengan dua kali shif kerja. Satpam yang
bertugas pagi mulai pukul 7.00 sampai pukul 19.00 malam, berikutnya digantikan oleh
37
satpam yang bertugas malam mulai pukul 19.00 sampai pukul 7.00 pagi. Tugas pagi dan
malam dilakukan secara bergiliran selama satu minggu. Meskipun hari libur, satpam tetap
bertugas sesuai dengan jadwalnya. Setiap bulannya satpam diberikan pengarahan dari
manajer administrasi untuk menanggulangi berbagai kemungkinan ancaman dan kerawanan.
3.7 Applications and Systems Development.
We will look at system development lifecycles, change-control management and
operating system security components. Included in this domain are elements of
Quality assurance and the CMM.
Aplikasi pada umumnya tidak dibangun secara spesifik karena kebutuhan penerbitan hanya pada
aplikasi untuk keperluan desain lay out dan penulisan. Aplikasi-aplikasi tersebut sudah sangat
spesifik dan tersedia secara luas di pasaran. Aplikasi didapatkan dengan metode membeli
original product. Begitu pula dengan aplikasi lainnya seperti perkantoran (office automation
system) dan sistem operasi. Organisasi ini tidak mengembangkan perangkat lunak yang
dikhususkan untuk digunakkan mendukung proses bisnis. Aplikasi-aplikasi word processor,
spreadsheet, desainer dan ilustrator, semuanya merupakan produk beli yang dijual bebas di
pasaran. Yang dilakukan oleh organisasi saat ini adalah tinggal meng-update patch terbaru.
3.8 Business Continuity Planning.
Here we look at the capability of an organization to maintain its activities despite
interruptions. This domain also looks at Risk Assessment for the requirements of
BCP and implementation of adequate countermeasures and controls.
38
Pada umumnya hardware dan software akan mengalami gangguan. Gangguan muncul biasanya
berupa virus atau kerusakan komputer. Umumnya yang sering terkena adalah hub dan switch
penghubung jaringan. Tidak sedikit pula menyerang hardware. Jika terjadi demikian, secara total
hardware akan diservis bahkan diganti, namun untuk hardisk akan dicoba untuk diselamatkan.
Antisipasi untuk menangkal serang petir adalah dengan pemasangan penangkal petir. Namun
meskipun penangkal petir sudah terpasang, hal tersebut tidak dapat mencegah secara total
ancaman petir. Sehingga BCP menjadi penting untuk dibuat agar proses bisnis organisasi dapat
berjalan meskipun terjadi gangguan.
Organisasi belum mempunyai BCP, sehingga yang perlu dilakukan, dengan mengacu pada
kemungkinan terjadinya gangguan, adalah :
1. Bekerja sama dengan pengelola gedung dalam membuat blue print BCP, khususnya terhadap
aspek gangguan yang umum terjadi terhadap gedung, seperti kebakaran dan gangguan listrik.
2. Mempersiapkan UPS untuk setiap sumber daya sistem informasi yang menggunakan tenaga
listrik.
3. Staf IT harus selalu melakukan up date anti virus, menjalankan back up secara rutin pada
partisi hard disk server.
4. User harus dilibatkan dalam kegiatan BCP, termasuk agar berinisiatif untuk menggunakan
komputer dengan “sehat”, dan rajin membuat back up di PC masing-masing.
3.9 Law, Investigation and Ethics.
We will investigate computer crimes, and the laws and regulations which apply to
these particular crimes. We will also look at evolving technologies in forensics,
39
which dictate the appropriate techniques for investigation, preservation of collected
information, protection of affected systems, and prosecution requirements.
Beberapa ancaman sistem informasi organisasi muncul dari lingkungan dalam organisasi sendiri.
Untuk itu perlu disosialisasikan beberapa prinsip etik penggunaan komputer di lingkungan kerja,
seperti misalnya :
1. Tidak boleh menggunakan komputer untuk membahayakan orang/ pihak lain.
2. Tidak boleh melakukan gangguan terhadap kerja komputer orang/ pihak lain.
3. Tidak boleh menyadap file milik orang/ pihak lain.
4. Tidak boleh menggunakkan komputer untuk pencurian.
5. Tidak boleh menggunakkan komputer untuk memberikan kesaksian palsu.
6. Tidak boleh menyalin/ membajak atau menggunakkan software propietary tanpa
membayar.
7. Tidak boleh menggunakkan komputer orang/ pihak lain tanpa otorisasi atau
kompensasi.
8. Tidak boleh mengganggu hak intelektual orang/ pihak lain.
9. Harus berpikir tentang konsekwensi sosial dari program atau sistem yang dirancang.
10. Harus menggunakkan komputer sebagaimana adanya sesuai konsiderasi yang ada dan
menghormati sesama manusia.5
Selain itu juga organisasi harus tetap mengacu kepada peraturan yang ada, seperti :
1. Kode Etik Jurnalistik.
2. Kitab UU Hukum Pidana.
3. UU Telekomunikasi.
5 Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.
40
3.10 Physical Security.
Here we consider physical property and assets, and which threats and
vulnerabilities are involved. We will also look at physical access controls.
Secara fisik keamanan dijaga 24 jam penuh oleh satuan pengaman. SATPAM bertanggung
jawab menjaga aset fisik berupa peralatan produksi (mesin-mesin pracetak), peralatan kantor
(meja, kursi, komputer, lemari dan sebagainya), sarana dan prasarana (bangunan, instalasi
PDAM, listrik, telepon, kendaraan dll.). Selain itu SATPAM juga menjaga keamanan
lingkungan dari gangguan fisik seperti kebakaran, pencurian dan lain-lain. SATPAM
bertanggung jawab memegang kunci cadangan dari seluruh ruangan. Kunci-kunci tersebut
disimpan pada tempat khusus, untuk memudahkan akses pengamanan jika terjadi sesuatu
yang mencurigakan.
Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam. Dalam
melakukan tugasnya SATPAM harus mencatat kejadian-kejadian yang dialami. SATPAM
memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah
sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai
seluruh staf. SATPAM harus segera melaporkan jika terjadi hal-hal yang mencurigakan
seperti kabel yang tidak rapi sehingga menimbulkan percikan api, lampu-lampu yang tidak
berfungsi lagi (padam), pagar yang mulai rusak dll.
Penanggulangan bencana seperti kebakaran SATPAM bergabung dengan organisasi
pemadam kebakaran. Organisasi ini akan memberikan pelatihan teknik-teknik pemadaman
api secara efektif dan cepat. Jika kebakaran tidak dapat ditolerir dan dikhawatirkan
41
mengganggu lingkungan sekitarnya, SATPAM diwajibkan melaporkan kejadian kebakaran
tersebut.
3.11. Audit Sistem Informasi.
Audit terhadap proses bisnis perusahaan selalu dilakukan sedikitnya satu tahun sekali tapi
hanya pada proses finansial dengan tujuan untuk mengetahui kondisi finansial perusahaan.
Pihak direksi selalu melakukan kontrol terhadap kondisi perusahaan. Namun untuk audit
terhadap sistem informasi praktis tidak pernah dilakukan sejak pertama kali perusahaan ini
berdiri.
42
Bab 4
Penutup
Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian
khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari
berbagai bencana, ancaman dan kerawanan keamanan. Penekanan utama seharusnya terletak
pada akses kontrol yang melibatkan administrator ataupun manajer yang menuntut
kemampuan mengelola hak-hak dan peran pengguna dalam memanfaatkan data serta
informasi penting perusahaan. Keamanan baik dalam masalah telekomunikasi maupun
jaringan sangat mendukung ketersediaan data dan informasi. Apalagi PT. IMT memiliki
kebijakan dan prosedur yang mengatur tentang hak-hak dan peranan para pegawai.
Selain itu beban tugas staf TI ataupun redaksi pelaksana pada perusahaan ini sangatlah berat.
Keduanya dituntut kemampuannya dalam mengelola praktik keamanan seperti
pengklasifikasian data dan file-file, kebijakan, prosedur, standar dan panduan, resiko
manajemen dan keamanan personel di samping tugas pokoknya mengelola produksi berita
dan informasi. Aplikasi yang dimiliki umumnya berupa aplikasi khusus untuk penulisan, dan
perancangan tata letak tampilan (Microsoft Word, Adobe Photosop,Coreldraw, Page Maker
dll.). Sedangkan pengembangan aplikasi secara spesifik bagi keperluan organisasi belum
pernah dilakukan.
Bagi keamanan fisik, PT. IMT menempatkan dua SATPAM yang berjaga silih berganti pagi
dan malam. Mereka bertugas mengawasi dan mencegah gangguan keamanan ataupun
bencana dan kerawanan. Pengawasan dan kontol yang ketat difokuskan pada lokasi
dokumentasi dan redkasi sebab di tempat tersebut disimpan materi-materi yang bersifat
43
confidential. Untuk selalu menjaga kewaspadaan, SATPAM diikutsertakan dalam kegiatan
pelatihan keamanan.
Berdasarkan hasil analisis masih terdapat adanya kelemahan dalam hal proteksi dan teknik
keamanan sistem informasi pada PT. IMT. Kelemahan tersebut di antaranya masih kurangnya
pengawasan staf TI terhadap kelayakan ruangan penyimpanan server dan perilaku staf
artistik yang bekerja pada ruangan tersebut. Selain itu perlunya peningkatan keamanan dalam
pengelolaan data dan informasi (hardware dan software) dikarenakan lokasi di Jakarta Barat
yang sering mengalami cuaca buruk seperti hujan besar yang umumnya disertai dengan
banjir.
44
Daftar Bacaan
• Departemen Koperasi, “Karakteristik UKM di Indonesia”, http://www.depkop.go.id/in-
dex.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1,
diakses tanggal 20 Mei 2005 pukul 18.50.
• Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4.
• Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.
• CISA Team, “CISA Review Manual 2005”, Information System Audit and Control Asso-
ciation, 2005.
• Ronald L. Krutz et al,” The CISSP Preparation Guide”, Wiley Publishing , Inc, 2003.
45