It keamanan sistem informasi ilkom ui

Keamanan Sistem Informasi untuk Perusahaan

Kecil dan Menengah

Studi Terhadap PT IMT

GROUP 106

Kahardityo 7203012149

Kisnu Widagso 7203012165

Wisnuaji 7203012297

MAGISTER TEKNOLOGI INFORMASIFAKULTAS ILMU KOMPUTER

UNIVERSITAS INDONESIA

Silahkan menggandakan makalah ini, selama mencantumkan nota hak cipta ini.

DAFTAR ISI

Halaman

Daftar Isi ………………………………………………………………………… i

Bab 1. Pendahuluan…………………………………………………………….. 11.1 Latar Belakang ……………………………………………………… 11.2 Permasalahan ……………………………………………………….. 41.3 Tujuan Penulisan …………………………………………………… 41.4 Kerangka Teori dan Konsep ………………………………………. 41.5 Kerangka Penulisan ………………………………………………… 8

Bab 2. Gambaran Umum Organisasi …………………………………………. 102.1 Profile Organisasi ....………………………………………………… 102.2 Permodalan …………………………………………………………. 132.3 Struktur dan Peran Dalam Organisasi ……………………………. 142.4 Proses Bisnis Utama Organisasi …………………………………… 172.5Aplikasi Organisasi …………………………………………………. 17

Bab 3. Keamanan Sistem Informasi Bisnis ...………………………………….. 243.1 Security Management Practices ..…………………………...........… 243.1.1 Identifikasi aset sistem informasi organisasi ......……................... 243.1.2 Manajemen resiko ...……………………………………................. 263.1.3 Kebijakan keamanan sistem informasi ...………………............... 273.1.4 Kesadaran keamanan sistem informasi organisasi ...…................ 293.1.5 Access Control Systems ......………………………………….......... 303.3 Telecomunication and Network Security …………………….......... 313.4 Cryptography …………………………………………………........... 343.5 Security Architecture and Models .……………………………......... 343.6 Operation Security .…………………………………………….......... 363.7 Application and Systems Development .………………………......... 383.8 Business Continuity Planning .............…………………………........ 383.9 Law, Investigation and Ethics .…………………………………........ 393.10 Physical Security ......……………………………………………...... 413.11 Audit Sistem Informasi ..…………………………………………… 42

Bab 4. Penutup .......…………………………………………………………….... 43

Daftar Bacaan ......……….………………………………………………………. 45

1

Bab 1

Pendahuluan

1.1 Latar Belakang

Sistem informasi saat ini merupakan sumber daya penting, mempunyai nilai strategis dan

mempunyai peranan yang sangat penting sebagai daya saing, kompetensi utama dan dalam

keberlangsungan hidup dari suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang

dijanjikan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari juga

sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan akan potensi

ancaman (threats). Sehingga menjadi suatu prinsip dasar bahwa dalam pengelolaan sistem

informasi juga harus diimbangi dengan perhatian yang serius terhadap keamanan sistem

informasi (information system security). Keamanan sistem informasi disadari merupakan salah

satu bagian yang penting dalam melakukan pengelolaan sistem informasi.

Prinsip-prinsip kerahasiaan, integritas dan ketersediaan data dan informasi (confidentiality,

integrity and availability - CIA) menjadi taruhan utama dalam setiap upaya-upaya pengamanan

terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme keamanan harus mampu

menjamin sistem informasi dapat terlindungi dari berbagai potensi ancaman yang mungkin

timbul. Atau setidaknya mampu mengurangi kerugian yang diderita apabila ancaman terhadap

sistem informasi teraktualisasi.

1

Tabel 1Potensi Ancaman dan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®Coordination Center

Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat pencegahan (prevention)

terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting, selain

upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi.

Pencegahan menjadi penting karena pencegahan dapat menghindarkan pengelola atau pemilik

sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar

dan upaya atau biaya yang besar dalam upaya melakukan deteksi, atau pun upaya menempuh

proses hukum dan recovery terhadap sistem informasi yang rusak.

Dalam satu hasil global survey diketahui bentuk pencegahan yang umum dilakukan atau

dijalankan oleh organisasi, seperti terlihat pada Tabel 2 dan Gambar 1. Firewall dan software

anti virus merupakan trend keamanan sistem informasi saat ini, masih mendominasi dan

dipercaya oleh banyak organisasi dan para ahli keamanan sebagai pencegahan kejahatan terhadap

sistem informasi yang efektif dan efisien. Lebih dari 95% responden mengimplementasi firewall

dan software anti virus dalm strategi keamanan sistem organisasi mereka.

2

Tabel 2Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT®Coordination Center.

Gambar 1Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Penggunaan sistem informasi bukan saja merupakan monopoli kalangan organiasi besar dan

kompleks. Saat ini organisasi yang dikenal dengan sebutan Usaha Mikro, Kecil dan Menengah

(UMKM) juga sudah menyadari pentingnya nilai sistem informasi dan mulai memanfaatkan

sistem informasi guna memperoleh keuntungan dan meningkatkan daya saing dengan

mengimplementasi sistem dalam kegiatan atau aktifitasnya. UMKM sebagai bagian integral dari

network economy mulai ber-e-volusi.

Salah satu faktor hambatan dan menjadi perhatian bagi UMKM untuk memulai tahapan ber-e-

volusi berkaitan dengan perhatian pada aspek keamanan sistem informasi.

3

1.2 Permasalahan

Dengan dicirikan akan keterbatasan modal dan sumber daya manusia untuk pengelolaan

keamanan sistem informasi membuat sebuah UMKM harus mampu mengatur pengelolaan

keamanan sistem informasinya secara efektif dan efisien. PT X merupakan salah satu dari sekian

banyak UMKM yang memanfaatkan sistem informasi guna mendukung proses bisnis utamanya.

Dan seperti umumnya UMKM PT X juga dicirikan dengan keterbatasan dana dan sumber daya

manusia dan harus mampu dalam mengimplementasi keamanan sistem informasi pada

organisasinya. Artinya bahwa merupakan hal yng sangat penting untuk membuat perencanaan

dan rancangan sistem keamanan terhadap sistem informasi yang sesuai dengan karakteristik

UMKM tersebut dengan tetap mengacu pada kerangka keamanan standar atau suatu best

practice.

1.3 Tujuan Penulisan

Penulisan makalah ini ditujukan untuk :

1. Mendeskripsikan potensi ancaman keamanan sistem informasi organisasi.

2. Mendeskripsikan pola pengelolaan keamanan sistem informasi organisasi.

3. Menyusun kerangka keamanan sistem informasi bagi organisasi.

4

1.4 Kerangka Teori dan Konsep

Small or Medium Enterprises didefinisikan sebagai :

Kegiatan ekonomi rakyat beskala kecil dengan criteria sebagai berikut : 1)

kekayaan bersih maksimal Rp. 200.000.000 (dua ratus juta rupiah) tidak

temasuk tanah dan bangunan tempat usaha, atau 2) penjualan tahunan

maksimal Rp. 1.000.000.000 (satu milyar rupiah). 3) milik warga negara

Indonesia;- 4) berdiri sendiri dan bukan merupakan anak perusahaan atau

cabang perusahaan yang dimiliki, dikuasai, atau berafiliasi baik langsung

maupun tidak langsung dengan usaha menengah maupun usaha besar;1

Berdasarkan jumlah karyawan UMKM didefinisikan sebagai :

Usaha Kecil (UK) jumlah karyawan 5-19 orang.

Usaha Menengah (UM): jumlah karyawan 20-99 orang.2

Information systems security didefinisikan sebagai :

“Policies, procedures, and technical measures used to prevent unauthorized access,

alteration, theft, or physical damege to information systems.”3

“Measures adopted to prevent unauthorized use, misuse, modification, or denial of

use of knowledge, facts, data, or capabilities.”4

1 http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1,diakses tanggal 20 Mei 2005 pukul 18.50.2 Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar,www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50.3 Ibid., page 454.4 Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4.

5

Idealnya, sebuah organisasi dengan sistem informasi, menjalankan perlindungan terhadap sistem

informasi organisasi yang dapat dilakukan dengan mengacu pada 10 Domain yang terdapat dalam

CISSP. Ke-10 domain tersebut meliputi :

1. Access Control Systems and Methodology.

Access Control Systems and Methodology merupakan kumpulan mekanisme yang bekerja sama

dalam menciptakan arsitektur keamanan dalam melindungi aset sistem informasi.

2. Applications and Systems Development.

Dalam CISSP domain ini menekankan pentingnya konsep keamanan ang diterapkan dalam

pengembangan aplikasi perangkat lunak. Applications and Systems Development menekankan

pada lingkungan tempat perangkat lunak dirancang dan dikembangkan dan menjelaskan peran

penting perangkat lunak dalam menyediakan keamanan sistem informasi.

3. Business Continuity Planning.

Business Continuity Plan (BCP) domain menekankan pada perlindungan dan pemulihan

kegiatan-kegiatan organisasi dalam kondisi atau kejadian darurat.

4. Cryptography.

Cryptography domain menekankan prinsip, tujuan dan metode-metode penyembunyian atau

menyamarkan informasi dalam menjamin integritas, kerahasiaan, dan keotentikannya.

5. Law, Investigation and Ethics.

Law, Investigation and Ethics domain menekankan pada :

i. Perangkat peraturan perndangan yang mengatur tentang penggunaan ICT.

ii. Langkah-langkah dan teknologi yang digunakan atau dilakukan dalam melakukan

investigasi insiden kejahatan komputer.

6. Operations Security.

6

Operations Security digunakan untuk melakukan identifikasi kendali terhadap hardware, media,

operators dan administrators dengan access privileges terhadap semua sumber daya sistem

informasi. Audit dan monitoring merupakan mechanisms, alat, dan fasilitas yang

memungkinkannya dilakukan identifikasi peristiwa keamanan dan urutan langkah atau tindakan

dalam mengidentifikasi elemen kunci dan laporan akan informasi yang relevan kepada

individu,kelompok atau proses yang membutuhkan.

7. Physical Security.

Physical Security domain menyediakan teknik-teknik perlindungan untuk keseluruhan fasilitas

sistem informasi, dari primeter luar hingga ke dalam ruang kerja termasuk seluruh information

system resources.

8. Security Architecture and Models.

Security Architecture and Models domain meliputi konsep, prinsip, struktur dan standar yang

digunakan dalm merancang, memonitor, dan mengamanan operating systems, perlengkapan,

jaringan, applications dan kendali tersebut digunakan untuk menegakkan suatu level tertentu dari

konsep availability, integrity, dan confidentiality.

9. Security Management Practices.

Manajemen keamanan meliputi pengidentifikasian aset sistem informasi organisasi,

pengembangan, pendokumentasian serta penerapan policies, standards, procedures, dan

guidelines organisasi. Perangkat manajemen seperti klasifikasi data dan analisa resiko digunakan

untuk mengidentifikasi ancaman, mengklasifikasikan aset dan membuat peringkat kerentanan

sistem informasi sehingga kendali yang efektif dapat diterapkan.

10. Telecommunications, Network and Internet Security.

Telecommunications, Network and Internet Security domain meliputi pembahasan :

• Network Structures.

• Transmission methods.

7

• Transport formats.

• Security measures used to provide availability, integrity, and confidentiality.

• Authentication for transmissions over private and public communications networks and

media.

11. Audit Sistem Informasi.

Audit terhadap proses bisnis perusahaan selalu dilakukan sedikitnya satu tahun sekali tapi

hanya pada proses finansial dengan tujuan untuk mengetahui kondisi finansial perusahaan,

sehingga pihak direksi dan komisaris dapat mengambil langkah-langkah kebijakan dengan

tepat. Pihak direksi selalu melakukan kontrol terhadap kondisi perusahaan. Namun untuk

audit terhadap sistem informasi praktis tidak pernah dilakukan sejak pertama kali perusahaan

ini berdiri.

1.5 Kerangka Penulisan

Secara umum tulisan ini akan dibagi menjadi 5 (lima) bagian, yaitu :

1. Bagian pertama yang berisikan pendahuluan, membahas issue-issue seputar keamanan

sistem informasi, dan fokus permasalahan yang diangkat dalam tulisan.

2. Bagian kedua berisikan gambaran umum dari organisasi yang menjadi subjek dari

penulisan.

3. Bagian ketiga berisikan paparan analisa keamanan sistem informasi dan rekomendasi

keamanan sistem informasi dengan mengacu pada 10 Domain CISSP, yang meliputi :

a. Access Control Systems and Methodology.

b. Applications and Systems Development.

c. Business Continuity Planning.

8

d. Cryptography.

e. Law, Investigation and Ethics.

f. Operations Security.

g. Physical Security.

h. Security Architecture and Models.

i. Security Management Practices.

j. Telecommunications, Network and Internet Security.

4. Bagian keempat berisikan penutup berupa kesimpulan dan saran yang melandaskan diri

pada hasil yang dicapai pada pembahasan sebelumnya.

9

Bab 2

Gambaran Umum Organisasi

2.1 Profile Organisasi

Visi

Menjadi agen pembaru dalam rangka ikut serta menciptakan masyarakat baru Indonesia.

Masyarakat yang berwatak baik, profesional, menjunjung tinggi demokrasi, terbuka mengakui

kemajemukan masyarakat, tanpa mengenal SARA, dan setia kepada lembaga.

Misi

Atas dasar azas solidaritas dan kemanusiaan mencerdaskan dan memajukan kehidupan bangsa

melalui bidang informasi dan bidang lain.

Tujuan Organisasi

1. Kelanggengan dan pertumbuhan dengan mengemban bisnis sehat

2. Meningkatkan kualitas Sumber Daya Manusia dan kesejahteraannya

3. Mengemban tugas tanggung jawab sosial dan memperluas kesempatan kerja

Riwayat Singkat

Tabloid X khusus mengupas sepakbola dunia, dengan pangsa pasar untuk kaum muda. Pada

awalnya Tabloid X merupakan media temporer dalam bentuk fisik majalah dengan nama dagang

10

HX yang terbit mengikuti sebuah event besar sepak bola dunia seperti Piala Eropa/ EURO, Piala

Dunia, atau membarengi pentupan akhir musim kompetisi sepak bola di negara-negara Eropa.

Tabloid HX menyajikan informasi seputar dunia sepakbola dengan perspektif yang tidak umum

untuk saat itu, yaitu gaya hidup dan hiburan sebagai menu utama. Sisi kompetisi yang di media

lain ditampilkan sebagai menu utama justru ditempatkan sebagai porsi menu kedua.

Berangkat dari kondisi laku kerasnya produk, yang penjualannya mencapai oplah 18.000

eksemplar per edisi, kemudian majalah HX diputuskan untuk diterbitkan menjadi majalah

reguler. Dalam waktu ± 6 bulan sejak terbit secara reguler, PT. IMT melakukan langkah baru

dengan memutuskan untuk menerbitkan sebuah media yang mampu mengakomodir permintaan

pembaca dan tentunya investor yang menginginkan terbit secara mingguan. Salah satu pemicunya

selain oplah yang relatif positif stabil, adalah permintaan dari banyak pembaca majalah HX yang

meminta PT. IMT untuk menerbitkan secara mingguan. Akhir kata, diputuskan Majalah HX tidak

akan diterbitkan secara mingguan tapi PT. IMT menelurkan produk baru berformat tabloid

mingguan dengan nama dagang yang sama dengan majalah, yaitu Tabloid HX.

Tabloid HX dihadirkan ke tengah publik dengan mengambil momentum waktu sebulan persis

sebelum EURO 2000 yang dibuka di kota Paris, Perancis. Tabloid HX menyajikan sepakbola

dengan format isi yang sama dengan majalah HX, menjual sisi kompetisi, hiburan, dan gaya

hidup. Salah satu nilai plus tabloid X adalah penjualannya per edisi selalu disisipi poster ukuran

2 halaman tabloid secara rutin. Selama EURO 2000 tabloid HX mampu mencapai nilai penjualan

luar biasa, dengan rata-rata penjualan 175.000 eksemplar. Sebagai gambaran, edisi perdananya

laris di pasar dengan penjualan sebesar 150.000 eksemplar. Cukup mengejutkan untuk sebuah

pendatang baru.

11

Secara garis besar produk, PT. IMT menyajikan media dengan lingkup bahasan seputar

sepakbola dunia (Eropa sebagai menu utama) dengan komposisi isi sebagai berikut:

1. News: Berita dan gosip gres, data, dan ulasan lengkap pertandingan, prediksi dan bursa

taruhan, informasi dibalik permainan.

2. Style: Panduan buat bolamania untuk mengekspresikan diri sebagai bolamania sejati

3. Entertainment: Pemujaan nama besar baik klub maupun pemain dengan menampilkan

sisi humanistiknya

Secara umum spesifikasi produk bisa dilihat sebagai berikut:

1. Terbit sejak: Juni 2000

2. Periode terbit: Mingguan (setiap Kamis)

3. Ukuran tabloid: 420 mm x 295 mm

4. Tebal: 24 halaman

5. Tiras terjual rata-rata: 120.000 eksemplar

6. Sasaran: bolamania yang berjiwa muda

7. Harga eceran: Rp 3.500

Semester kedua setelah terbitnya tabloid HX, PT. IMT mengalami perpecahan. Era ini adalah

masa buruk bagi PT. IMT, karena penjualan tabloid mengalami penurunan penjualan dengan

angka rata-rata 60.000 eksemplar. Pada ini, nama dagang tabloid HX berubah menjadi tabloid X

dengan maksud tidak mengganggu penjualan Majalah HX yang relatif stabil (sekaligus juga

mengalami perubahan logo). Tapi nama dagang baru malah berakibat buruk dengan turunnya

tingkat penjualan yang cukup tajam, sempat mencapai angka 35.000 eksemplar saja.

Selain itu, penurunan penjualan secara tajam juga mulai dialami oleh majalah HX. Setelah

sempat menjalani masa kolaps selama 4 bulan dengan hanya mampu menjual majalah sebanyak

12

5000 eksemplar, PT. IMT akhirnya terpaksa mengamputasi majalah HX. Produk andalan hanya

tabloid X. Namun terkadang, PT. IMT menerbitkan majalah edisi khusus (temporer) berdasar

dengan event besar sepak bola yang sedang ada.

Daerah persebaran utama penjualan tabloid X adalah Jabotabek 27% dari total penjualan/ oplah.

Propinsi Jawa Tengah adalah penyumbang penjualan terbesar kedua dengan nilai penjualan 19%

dari total oplah. Untuk lebih lengkapnya mengenai penjualan PT. IMT, grafik penjualan Juli-Sep

2004 dibawah ini bisa dilihat sebagai acuan terakhir karena fluktuasi penjualan PT. IMT relatif

tidak pernah bergejolak secara signifikan.

Gambar 2Persentase Penjualan Tabloid X di Indonesia

2.2 Permodalan

PT. IMT adalah penerbit Tabloid X di Indonesia yang didirikan dengan modal awal Rp. 1,5

milyar, dengan rentang usia pembaca yang berada pada cakupan rentang usia remaja pria dan

wanita hingga dewasa.

13

2.3 Struktur dan Peran Dalam Organisasi

Struktur, status dan peran yang ada dalam organisasi dapat dipaparkan sebagai berikut ini.

Gambar 3Diagram Organisasi

Pemimpin Perusahaan

Pengembangan Bisnis

Redaktur Pelaksana

Pemimpin Redaksi

Pemimpin Umum

Staf Redaksi Staf DokumentasiStaf Artistik

Staf TI

Iklan

Sirkulasi

Promosi

SDM dan Umum

Pra Cetak

Keamanan

Supporting

Anggaran

Sekretariat

Rumah Tangga

Tabel 3Status dan Peran Dalam Organisasi

Status Jumlah Kode

Peran

PemimpinPerusahaan

1 A 01 Mengatur kinerja perusahaan yang membawahi karyawan denganjumlah mencapai 43 orang setiap harinya dan memastikan perusahaanberada dalam keadaan sehat.

PemimpinUmum

1 A 02 Memimpin perusahaan dengan mengendalikan aktifitas sehari-hari dariorganisasi.

PengembanganBisnis

1 A 03 Memiliki tugas manajerial yang berhubungan langsung dengan areapengembangan produk dan membawahi bidang promosi, iklan, dansirkulasi.

Sirkulasi 2 A 04A 05

Bertugas mendistribusikan produk PT. IMT dengan menggunakkanjalur distribusi yang sudah ada sekaligus mencari peluang baru melaluikios-kios dan agen-agen yang belum tersentuh.

Promosi 2 A 06A 07

Bertugas melakukan upaya-upaya yang bisa membuat penjualantabloid X semakin membaik grafiknya. Ada kalanya promosi memberimasukan pada dewan redaksi untuk memperbaiki kualitas isi tabloidberdasar atas fakta-fakta penjualan dan lapangan untuk mempermudahkerja sosialisasi produk.

Iklan 3 A 08A 09A 10

Bertugas mencari pemasang iklan untuk bersedia membeli spot/ ruangiklan yang disediakan tabloid sebagai sumber utama pendapatantabloid.

14

PemimpinRedaksi

1 A 11 Memiliki kewajiban mengatur kinerja dewan redaksi yang mencakupredaktur pelaksana, redaktur, reporter, dan dokumentasi dalammenyajikan materi tulisan dan berita kepada pembaca.

RedakturPelaksana

1 A 12 Perpanjangan tangan dari Pemimpin Redaksi tapi dengan privilesekhusus, karena menjadi filter utama dalam penentuan sebuah beritalayak ditampilkan atau tidaknya melalui sidang redaksi yang digelarsecara mingguan.

Sekretariat 2 A 13A 14

Tugasnya seperti umumnya sekretaris, mencatat baik notulensi rapatredaksi maupun kebutuhan harian redaksi dan bertanggung jawablangsung ke Pemimpin Redaksi.

Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21

Adalah pihak dalam perusahaan yang bertugas mencari berita danmenuliskannya dalam format RTF untuk kemudian disimpan di serverredaksi.

Staf Artistik 5 A 22A 23A 24A 25A 26

Staf yang bertugas merancang lay out tabloid dengan menggunakanpola desain yang sudah ada. Artistik tidak boleh menggunakkantemplate lay out. Selain itu dalam tim artistik biasanya ada satu orangbertugas sebagai ilustrator. Hampir semua anggota tim artistikmemiliki kemampuan membuat ilustrasi karena backgroundpendidikan umumnya dari jurusan desain grafis.

StafDokumentasi

2 A 27A 28

Staf kepustakaan data yang tugas utamanya menyediakan foto,gambar, data historis atau literatur untuk keperluan penulisan reporter.

Supporting 1 A 29 Memiliki kewajiban mengatur kinerja perusahaan yang berurusandengan koordinasi antara bidang manajemen sumber daya manusia,keamanan, TI, Anggaran, dan Pracetak yang ada di PT. IMT.

Anggaran 1 A 30 Memiliki kewajiban mengatur anggaran kerja dan operasional PT.IMT selain melakukan dokumentasi keuangan perusahaan layaknyapekerjaan pada bagian keuangan pada umumnya.

SDM danUmum

5 A 31A 32A 33A 34A 35

Bertanggung jawab untuk pengelolaan sumber daya manusia.

Pra Cetak 2 A 36A 37

Bertugas mencetak atau mentranformasikan hasil lay out tim artistik kedalam bentuk film siap cetak.

Keamanan 4 A 38A 39A 40A 41

Bertugas jaga bergantian shift dengan pola 12/24.

Rumah Tangga 2 A 42A 43

Bertugas untuk hal-hal yang menyangkut kenyamanan dan kebersihanorganisasi.

Staf TI 2 A 44A 45

Bertugas khusus mengurusi jaringan dan sistem yang ada, sertamenangani media online.

Jumlah 45

15

Waktu Kerja

PT. IMT memiliki 3 waktu kerja berbeda:

1. Staff Redaksi kecuali pemimpin redaksi umumnya memiliki waktu kerja relatif fleksibel.

Tidak ada kewajiban harus datang jam tertentu asalkan tidak menyebabkan tulisan melewati

deadline yang jatuh pada pukul 3 sore setiap harinya. Konsep uang lembur baru dikenakan

bila kerja melewati jam 12 malam.

2. Satuan Pengamanan bekerja secara 24 jam selama 7 hari kerja tanpa kenal libur menjaga

keamanan kantor yang berada di daerah rawan maling karena posisinya di samping jalan

raya, Jl. Panjang, Jakarta Barat. Ketentuan libur dirotasikan dengan pembagian shift 2 kali

dalam sehari. Tidak ada libur hari besar dan minggu kecuali ada kebijakan khusus dari

Pimpinan Keamanan.

3. Karyawan dari Divisi Pengembangan Bisnis dan Supporting memiliki waktu kerja yang

umum berlaku, yakni pukul 9 hingga pukul 5 sore. Staf promosi dan iklan memiliki

perkecualian jam kerja karena bila sedang ada event tertentu (seperti nonton bola bareng di

cafe) yang berhubungan dengan sosialisasi citra produk bisa jadi jam kerjanya bertambah

secara tidak menentu.

2.4 Proses Bisnis Utama Organisasi

16

Proses bisnis utama organisasi dapat dilihat pada gambar di bawah ini.

Gambar 4Work Flow Proses Bisnis Utama

Staf Redaksi

Redaktur Pelaksana

Mencari danmenulis berita

Templete awal

Edit berita

Staf Dokumentasi

Mencarireferensi

pendukungberita

Staf Artistik

Merancanglay-out

Pemimpin RedaksiStaf Pra-Cetak

Templete Membuat film Film

Percetakan

Rapat Redaksi

Merumuskancontent dan

layoutterbitan

Notulensi rapat

2.5 Aplikasi Organisasi

Organization – Computer Interaction Patterns

Tabel 4Pola Penggunaan Komputer Dalam Organisasi

No

Status Jumlah

Kode

Pola Penggunaan Komputer AlokasiPC

1 PemimpinPerusahaan

1 A 01 Dengan menggunakan notebook pribadi,menulis dan mengedit tulisan denganaplikasi MSWord dan mengakses internetdengan aplikasi internet explorer.

-

2 PemimpinUmum

1 A 02 Dengan menggunakan notebook pribadi,menulis dan mengedit tulisan denganaplikasi MSWord dan mengakses internetdengan aplikasi internet explorer.

-

3 PengembanganBisnis

1 A 03 Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditbusiness plan dan proposal dengan aplikasiMSWord dan internet explorer.

1

17

4 Sirkulasi 2 A 04A 05

Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditlaporan sirkulasi majalah dengan aplikasiMSExel dan akses internet dengan aplikasiinternet explorer.

1

5 Promosi 2 A 06A 07

Dengan menggunakan PC milik perusahaandifasilitasi untuk menulis dan mengeditlaporan yang berkaitan dengan promosimajalah ke media lain dengan aplikasiMSWord dan akses internet denganaplikasi internet explorer.

1

6 Iklan 3 A 08A 09A 10

Menulis dan mengedit laporan ataupenawaran pemasangan iklan kepada kliendengan aplikasi MSWord, MSExcell danakses internet dengan aplikasi internetexplorer.

1

7 PemimpinRedaksi

1 A 11 Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.

1

8 RedakturPelaksana

1 A 12 Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.

1

9 Sekretariat 2 A 13A 14

Menulis dan mengedit surat denganaplikasi MSWord dan akses internetdengan aplikasi internet explorer.

1

10 Staf Redaksi 7 A 15A 16A 17A 18A 19A 20A 21

Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasiMSWord dan internet explorer.

7

11 Staf Artistik 5 A 22A 23A 24A 25A 26

Merancang tampilan dan susunan dalammajalah, dengan aplikasi :PageMaker.MacOS.Freehand.Photoshop.Internet explorer, untuk akses internet.

3

12 StafDokumentasi

2 A 27A 28

Menulis dan mengedit tulisan, membuatindex terbitan dan referensi dengan aplikasiMSWord, internet explorer dan Winisis(database perpustakaan).

1

13 Supporting 1 A 29 Menulis dan mengedit tulisan denganaplikasi MSWord dan internet explorer.

1

14 Anggaran 1 A 30 Menulis dan mengedit laporan keuangandan rencna anggaran tahunan denganaplikasi MSExell dan akses internet.

1

18

15 SDM danUmum

5 A 31A 32A 33A 34A 35

Menulis dan mengedit tulisan denganaplikasi MSWord dan internet explorer.

3

16 Pra Cetak 2 A 36A 37

Merancang tampilan dan susunan dalammajalah yang siap cetak, dengan aplikasi :PageMaker.MacOS.Internet explorer.

2

17 Keamanan 4 A 38A 39A 40A 41

Internet explorer. -

18 Rumah Tangga 2 A 42A 43

Internet explorer. -

19 Staf TI 2 A 44A 45

MSWord.Internet explorer.

2

Komponen Perangkat Keras

Komponen JumlahFile Server 1WebServer

1

Firewall 1Router 1Modem 1Hub 1Printer 4Scanner 1Fax 1PC 27Plotter 1

Komponen Perangkat Lunak

Komponen KeteranganFile Server OS Windows Server 2000Web ServerOS

IIS

19

Infrasturktur Jaringan

Staf Redaksi

Redaktur Pelaksana

ID C

Server 2

Pemimpin Redaksi

Staf Dokumentasi

Staf Artistik Sekretariat Staf TI

ID C

Server 1

Internet

Firewall Firewall

Content editing

News editingLayout editing

Router

Layout NewsSource related to news

Pra Cetak

Design and graphics

20

Denah ruangan

Denah Lantai I

Pra Cetak

Pemimpin Redaksi

Dokumentasi

Redaksi

Sekretariat

Satpam danRumah tangga(Resepsionis)

Rapat Redaksi

DENAH LANTAI I

Tangga

21

Denah Lantai II

2.6 Security Check List Organisasi

Check List DescriptionPhysical andEnvironmentalSecurityPC location Tidak ada penempatan atau pengaturan ruang secara khusus terhadap PC. Semua anggota

organisasi menggunakan komputer, tanpa ada alokasi khusus, tiap pengguna daptmenggunakan komputer manapun selama tidak sedang digunakan. Pengguna sering merokoksementara menggunakan komputer.

Printer location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Scanner location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Fax location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user.Personnel Security Password Tidak ada penggunaan password. Kecuali pada proses pengambilan berita gambar (foto) dari

situs berlangganan tertentu,akan tetapi password tersebut diketahui oleh semua user.Certificates -Sign aggreement -Number of authorizedusers

Seluruh user, tidak ada pembatasan. Bahkan SATPAM dan Office Boy sering menggunakankomputer untuk browsing di sore hari atau malam hari.

Training Tidak pernah ada pelatihan yang dilakukan untuk meningkatkan security awarenessdikalangan pegawai.

Application Programand Usage Security Printing Semua user dapat mengakses.Browser security -Screen savers -

22

Warning -PC ConfogurationOS version Tidak di up dateBrowser configuration Tergantung iman dan kepercayaan.Browser version Tergantung iman dan kepercayaan.Patch / Update levelscurrent

Tidak di up date

Virus protection andupdate

Tidak di up date

Firewall Diurus oleh IT maintenance.USB Port AvailableNetworkConfigurationInternet accessmethod

Leased line di ISP.

Firewall

23

Bab 3

Keamanan Sistem Informasi Organisasi

3.1 Security Management Practices

We will systematize the process of determining the organization's computer assets,

and the methods for establishing the required levels of protection. We will learn

how to create security-budgets for each identified reduction.

Domain Security Management Practices pada prinsipnya ditujukan guna membantu organisasi

dalam merencanakan, mengorganisasikan dan mengendalikan pengguna dan penggunaan sistem

informasi dalam organisasi dengan perhatian utama pada pengamanan sistem informasi. Dalam

hal tersebut maka sebaiknya suatu organisasi menjalankan hal-hal sebagai berikut :

1. Melakukan identifikasi aset sistem informasi organisasi.

2. Melakukan analisa resiko terhadap sistem informasi.

3. Membuat kebijakan keamanan sistem informasi dalam organisasi.

4. Memunculkan kesadaran keamanan sistem informasi dalam organisasi.

3.1.1 Identifikasi aset sistem informasi organisasi

Mengacu kepada situasi dan kondisi sistem informasi yang ada dalam organisasi dapat

diidentifikasi hal-hal sebagai berikut :

Criteria ClassificationAset sisteminformasi

Value Age Useful life Personalassociation

24

Data daninformasiBukureferensi

Bernilai pentingsebagai referensipendukungkredibilitas berita.

Timeless, karenareferensi selaluterpakai karenapengungkapan faktahistorikal dalamberita dandigunakkan sebagaipendukung artikelfeature.

Referensi tetapbernilai tinggimeskipun adapenambahandata baru.

- Companyconfidential

Datagambar

Bernilai pentingsebagai referensipendukungkredibilitas beritadan berlanggananpada vendordengan nilaikontrak sangatmahal..

Hanya hingga saatnaik cetak.

Data gambartetap bernilaitinggimeskipun adapenambahandata baru.

- Companyconfidential

Hasil rapatredaksi

Bernilai pentingsebagai kunci isimateri penerbitansetiap minggu.


Hanya hingganaik cetak.Berikutnyamenjadi bagiandari referensi.

Akumulasi ideredaksi dalamrapat yangsangat pentinguntukpenerbitan.

Companyconfidential

Datatulisanedisi

Bernilai pentingsebagai isi materiberita baik hardnews maupunfeature setiapminggunya.




Companyconfidential

Film untuknaik cetak

Bernilai pentingsebagai materipenerbitan yangsiap dicetak setiapminggu.




Companyconfidential

HardwareFaximile Bernilai sebagai

sarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.

Sepanjang bisadigunakkan.


- Internal use only

Telepon Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.



- Internal use only

Printer Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.



- Internal use only

25

Scanner Bernilai sebagaisarana komunikasidan hanyadigunakkan untukkepentingan bisnissaja.



- Internal use only

PC Bernilai sebagaisarana komunikasidan bolehdigunakkan diluarkepentingan bisnis.



- Internal use only

Tabel berikut ini merupakan identifikasi aset sistem informasi dari organisasi berdasarkan role

dari para stakeholder.

Aset sistem informasi Owner Custodian UserData dan informasiBuku referensi Pemilik perusahaan Dokumentasi Pemred, Redpel, dan Reporter.Data gambar Pemilik perusahaan Dokumentasi Pemred, Redpel, Artistik dan Reporter.Hasil rapat redaksi Pemilik perusahaan Sekretariat Pemred, Redpel, dan Reporter.Data tulisan edisi Pemilik perusahaan Redaksi Pemred, Redpel, dan Reporter.Film untuk naik cetak Pemilik perusahaan Pra cetak Redpel, Artistik, Percetakan dan Reporter.

HardwareFaximile Pemilik perusahaan Sekretariat Semua stakeholderTelepon Pemilik perusahaan Sekretariat Semua stakeholderPrinter Pemilik perusahaan Sekretariat Semua stakeholderScanner Pemilik perusahaan Sekretariat Semua stakeholderPC Pemilik perusahaan Masing-masing

stakeholderMasing-masing stakeholder

Server Pemilik perusahaan Masing-masingstakeholder

Masing-masing stakeholder

3.1.2 Manajemen resiko

Ancaman yang terindentifikasi terjadi di lingkungan organisasi tercantum seperti di bawah ini :

Ancaman Dampak KerugianData classification Virus menjadi masalah

bagi PT. IMT karena masihada penggunaan disketsebagai media pertukaranfile.

Dalam seminggu minimalterjadi 3 (tiga) unit PCterinfeksi.

• Data rusak.• Data hilang.• Pengulangan

penulisan beritasehinggamenyebabkan lembur.

Information warefare - - -

26

Personnel Anti Virus jarang diupdateoleh pengguna PC.

Anti virus menjadi mandulsetiap saat.

• Data rusak.• Data hilang.• Pengulangan

penulisan beritasehinggamenyebabkan lembur.

Staf redaksi memformatkomputer rekan kerja yangdibencinya.

Satu kali terjadi • Data hilang.• Pengulangan

pengumpulan datatulisan yang akanditerbitkan.

Application / operational - - -Criminal Personel melakukan

pembobolan aset (gambar).Jarang terjadi. Kompetitor

Pencurian hardware. Satu kali terjadi Proses kerja menjadi tidakberjalan sebagaimanaadanya.

Environmental Gangguan listrik. Setahun 2 kali. Proses kerja menjadi tidakberjalan sebagaimanaadanya.

Computer infrastructure Gangguan hardisk server. Rata-rata terjadi 2 minggusekali

Proses kerja menjadi tidakberjalan sebagaimanaadanya.

OS redaksi hang Hampir tiap hari terjadi Proses kerja menjadi tidakberjalan sebagaimanaadanya.

Delayed processing - - -

Kerusakan software yang terjadi sering disebabkan oleh virus, meskipun sudah disediakan

antivirus yang terbaru, hal tersebut terkadang tidak dapat mencegah terjadinya serangan virus.

Jika hanya menimpa beberapa aplikasi, penanggulangan diserahkan pada tanggung jawab

masing-masing pengguna agar berhati-hati dalam berbagi informasi. Namun jika menyebabkan

kerusakan total sistem operasi dan aplikasi, penanggulangan diserahkan untuk diisolasi dan

diservis. Antisipasi lain yang dijalankan adalah dengan penyediaan aplikasi antivirus terkini.

Setiap kali ada informasi tentang adanya aplikasi terkini untuk mendeteksi virus, administrator

akan berusaha untuk menyediakan aplikasi tersebut.

3.1.3 Kebijakan keamanan sistem informasi

Kebijakan keamanan sistem informasi pada organisasi tidak dirumuskan secara tertulis. Sehingga

apabila terjadi suatu hal yang menggangu sistem sering kali terjadi saling menyalahkan. Untuk

27

itu perlu dibuat kebijakan yang paling tidak mengatur secara tegas perang dan kewajiban para

stakeholder, seperti tercantum dibawah ini :

No

Status Jumlah Kode Roles and responsibilities


1 A 01 Bertanggung jawab terhadap masalah dan perumusan kebijakankeamanan kantor secara general.

2 Pemimpin Umum 1 A 02 Bertanggung jawab terhadap masalah dan perumusan kebijakankeamanan kantor secara general.

3 PengembanganBisnis

1 A 03 Bertanggung jawab terhadap masalah keamanan kantor di unitPengembangan Bisnis saja.


Bertanggung jawab terhadap masalah keamanan kantor di unitSirkulasi saja.


Bertanggung jawab terhadap masalah keamanan kantor di unitPromosi saja.

6 Iklan 3 A 08A 09A 10

Bertanggung jawab terhadap masalah keamanan kantor di unitIklan saja.

7 Pemimpin Redaksi 1 A 11 Bertanggung jawab terhadap masalah keamanan kantor di unitRedaksi saja.

8 Redaktur Pelaksana 1 A 12 Bertanggung jawab terhadap masalah keamanan kantor di unitRedaksi saja.

9 Sekretariat 2 A 13A 14

Melaksanakan kebijakan yang sudah ditetapkan.





12 Staf Dokumentasi 2 A 27A 28


13 Supporting 1 A 29 Melaksanakan kebijakan yang sudah ditetapkan.14 Anggaran 1 A 30 Melaksanakan kebijakan yang sudah ditetapkan.15 SDM dan Umum 5 A 31

A 32A 33A 34A 35








19 Staf TI 2 A 44A 45


28

3.1.4 Kesadaran keamanan sistem informasi organisasi

Selama ini organisasi hanya menekankan pada pentingnya keamanan lokasi dari pencurian

(kejahatan konvensional). Sehingga kesadaran akan keamanan hanya ditekankan pada anggota

satuan pengamanan dengan disertakannya meraka pada pelatihan keamanan untuk SATPAM. Hal

ini berakibat masalah keamanan pada sistem informasi kurang tertangani mengingat bahwa

ancaman yang teraktualisasi tidak dapat sepenuhnya diatasi dengan cara pelatihan tersebut.

Kesadaran akan keamanan sistem informasi sebaiknya dilakukan dengan cara :

1. Mengikutsertakan pemilik perusahaan dan kepala-kepala bagian dalam pelatihan keamanan

sistem informasi.

2. Mengikutsertakan staf IT dalam pelatihan keamanan sistem informasi tingkat lanjut.

3. Membuat remainder bagi para user agar peduli dengan masalah keamanan sistem informasi.

3.2 Access Control Systems

Akses ke sistem informasi saat ini belum dilakukan dengan baik. Terbukti bahwa ada beberapa

stakeholder yang sebenarnya tidak berkaitan langsung dengan PC, justru dapat menggunakan PC

dengan leluasa. Satpam dan officeboy dapat mengakses internet tanpa ada teguran dan sudah

dianggap biasa. Untuk itu yang perlu dilakukan adalah :

1. Bekerja sama dengan pengelola gedung untuk melakukan penjagaan dan pengamanan.

29

2. Mengaktifkan ID Card sebagai kendali akses ke dalam lokasi organisasi yang

pengawasannya dilakukan oleh Satpam dan staf IT.

3. Membuat daftar akses kendali bagi setiap stakeholder dalam memanfaatkan sumber daya

sistem informasi.

Aplikasi yang digunakan untuk koneksi terhadap internet adalah internet explorer. Perusahaan

tidak memiliki web server oleh karena itu email hanya dapat diakses secara bebas menggunakan

fasilitas email free dari situs-situs yang menawarkan. Perusahaan belum melakukan ekspansi

usahanya melalui internet. Koneksi terhadap internet pun dilakukan secara dial-up, sehingga

hanya pengguna-pengguna tertentu yang diberikan hak ases untuk dapat menggunakan fasilitas

internet. Penggunaan fasilitas ini pun dibatasi, sekedar untuk menerima dan mengirimkan laporan

kepada direksi atau komisaris. Tanggung jawab pengawasan dan pengontrolan penggunaan

internet dibebankan kepada staf TI dan Pemimpin Redaksi. Biasanya pengguna diberikan hak

untuk mengakses internet secara bebas akrena menggunakkan leased line/ cable.

Pengaksesan internet dilakukan hanya melalui server utama dengan otoritas dari Pemimpin

Redaksi/ staf TI. Jika Pemimpin Redaksi berhalangan kerja (cuti, ijin, sakit dll.), tanggung jawab

akan diserahkan pada salah satu staf redaksi. Staf TI berkewajiban memantau akses pengguna

secara berkala. Jika terdapat situs-situs yang tidak bermanfaat diakses oleh pengguna, pengguna

akan diberi peringatan dan sanksi. Sanksi dapat berupa penyetopan hak akses untuk jangka waktu

tertentu.

No

Status Jumlah Kode Akses ke sistem informasi


1 A 01 Full access.

2 Pemimpin Umum 1 A 02 Full access.3 Pengembangan

Bisnis1 A 03 Akses ke keuangan.


Akses ke keuangan.

30


Akses ke keuangan dan berbagi data ke bagian iklan.

6 Iklan 3 A 08A 09A 10

Akses ke keuangan dan berbagi data ke bagian promosi.

7 Pemimpin Redaksi 1 A 11 Full access.8 Redaktur Pelaksana 1 A 12 Akses data distribusi, iklan dan redaksi9 Sekretariat 2 A 13

A 14Akses data redaksi


Akses data redaksi


Akses data redaksi

12 Staf Dokumentasi 2 A 27A 28

Akses data redaksi

13 Supporting 1 A 29 Akses data pendukung dan redaksi.14 Anggaran 1 A 30 Akses data keuangan15 SDM dan Umum 5 A 31

A 32A 33A 34A 35

Akses data pegawai


Akses data redaksi


Tidak berhak mengakses sumber daya sistem informasi.


Tidak berhak mengakses sumber daya sistem informasi.

19 Staf TI 2 A 44A 45

Akses ke hardware.

3.3 Telecommunications and Network Security

We will review telecommunications aspects of Network security, including

protocols, network infrastructures and network topologies. We will also look at

remote access, devices, security issues and administration

31

Data yang pindah tempatkan hanya film untuk cetak ukuran tabloid. Pemindahannya dilakukan

secara fisik pada waktu malam hari sebelum terbit keesokan harinya. Pengamanannya dilakukan

dengan pengawalan oleh tenaga satuan pengamanan.

Topologi jaringan pada Local Area Network (LAN) di bagian redaksi menggunakan topologi

Star. Server ditempatkan di ruangan khusus yang digunakan bersama dengan bagian artistik

dan pracetak. Penanggung jawab server dan jaringan sekaligus menjadi administrator berada

di tangan Staf TI.

Dalam ruangan ini aturan keamanan diikuti secara ketat. Ruangan sangat dingin dengan

adanya alat pendingin ruangan (AC) berkekuatan tinggi. Tapi perhatian terhadap keamanan

kondisi fisik hardware dan jaringan kurang terjaga. Kedisiplinan dari para pengguna

komputer perlu ditingkatkan agar keamanan ruangan server dari suhu dan kelembaban dapat

terjaga dengan baik.

Sedangkan untuk komputer client, komputer masing-masing ditempatkan di meja para

pegawai dan manajer. Sumber daya printer dipakai bersama-sama untuk semua unit dan

pegawai. Server digunakan untuk menyimpan data-data seluruh materi media cetak, kecuali

data-data keuangan yang disimpan secara terpisah di komputer client bagian keuangan.

Administrator tidak perlu membagi hak akses berdasarkan otoritas penggunaan karena server

hanya berisi data-data metri media yang akan turun cetak dalam format pm (Pagemaker).

Pada umumnya akses penghapusan data tidak diberikan, dan harus dilakukan atas

persetujuan administrator.

32

Komputer yang digunakan untuk layout dan desainer diberikan hak akses tersendiri dan tidak

dapat diakses dari komputer lainnya. Hal tersebut dilakukan agar hasil-hasil layout dan

desainer tetap terjaga dengan baik. Begitu pula aplikasi yang digunakan disimpan di

komputer tersebut. Aplikasi umumnya berupa aplikasi khusus bagi layout dan desainer

seperti Adobe Pagemaker 7, Adobe Photoshop, aplikasi pendukung untuk scanner dan

antivirus Symantec Client Antivirus.

Masing-masing client diberikan hak untuk melakukan backup data di komputer masing-

masing, sedangkan backup data di server dilakukan secara berkala dengan pengkopian pada

CD dan partisi hard disk lain. Spesifikasi komputer umumnya digunakan Pentium III dan

Pentium IV. Sistem operasi digunakan Windows 2000 Profesional pada client, sedangkan

server menggunakan Windows 2000 NT.

Instalasi jaringan menggunakan HUB atau concentrator, kabel penghubung UTP (unshielded

twisted pair) Ethernet 10BaseT, Line Card Realtek RTL 8139 Base 10100 dan konektor

RJ45. Masing-masing client dapat saling berkomunikasi melalui jaringan dan diberikan hak

untuk mengakses internet. Selain itu komunikasi dilakukan pula melalui jaringan telepon

internal untuk menjangkau staf lainnya yang tidak berhubungan langsung dengan komputer.

Untuk gedung administratif hanya terdapat delapan komputer (Pentium IV) yang terhubung

dengan LAN dengan instalasi jaringan standar. Masing-masing komputer digunakan oleh staf

anggaran, staf distribusi, promosi, iklan serta dua komputer untuk keperluan desain dan lay

out bagi tim promosi dan iklan. Satu buah printer dipakai bersama-sama antar para pengguna

komputer. Kelima komputer tersebut masing-masing dapat saling mengakses data dan

berbagi data. Namun bagi informasi yang bersifat kritikal (data keuangan), data hanya dapat

33

diakses dengan memakai ID pengguna dan password khusus. Begitu pula dengan data-data

layout dan desainer dibatasi hanya bagi penggunanya.

Untuk keamanan jaringan dan kerusakan (troubles) yang terjadi diserahkan sepenuhnya pada

masing-masing pengguna. Pengguna yang memiliki pengetahuan lebih terhadap komputer

umumnya menjadi volunteer bagi penyelesaian kerusakan. Namun jika kerusakan tidak dapat

ditangani, peralatan akan dikirimkan untuk diservis.

Komunikasi lainnya dapat digunakan melalui telepon. Namun penggunaannya menjadi

tanggung jawab penuh bagian administrasi. Oleh karena ruangan perusahaan tidak begitu

luas, para pegawai penerbitan melakukan komunikasi secara manual (lisan). Telepon hanya

digunakan untuk menerima pemesanan dan keperluan tertentu.

3.4 Cryptography.

We will look at crypto techniques, methodologies and approaches

Mengacu kepada aset sistem informasi dan kemampuan komputesi yang ada, khususnya data

yang dipertukarkan, cryptography masih belum perlu diimplementasikan. Hal ini dikarenakan

data yang dipertukarkan berada dalam jaringan LAN internal organisasi.

3.5 Security Architecture and Models

34

We will examine concept models and techniques for designing and implementation

secure applications, operate systems, networks and systems.

Pada bagian ini menguraikan tentang konsep, prinsip dan standar untuk merancang dan

mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Namun pada perusahaan

PT. IMT, arsitektur dan model seperti yang dimaksudkan di atas hanya bisa diidentifikasi

beberapa arsitektur dan model. Arsitektur dan model yang diperoleh berupa arsitektur sistem

jaringan, sistem operasi, dan aplikasi.

Arsitektur sistem jaringan baik bagian redaksi maupun administrasi keduanya memiliki arsitektur

yang sama dengan topologi star. Masing-masing pengguna dapat mengakses file sistem dalam

server melalui jaringan. Aktivitas yang harus dilakukan adalah pengguna wajib melakukan login

untuk berinteraksi dengan jaringan. Pengguna akan diminta untuk memasukkan ID pengguna dan

Password agar mendapatkan hak ases.

Keberhasilan login akan memicu sistem operasi mengenali hak-hak akses apa yang diberikan

terhadap pengguna tersebut. Selanjutnya sistem operasi akan menghubungkan ke server dan

seluruh jaringan yang terkoneksi. Pada PT. IMT, tingkat jaminan keamanan dikategorikan low

level (proteksi lapisan bawah). Hal ini dapat dilihat dari metode pengamanan yang lebih

mengarah pada pengamanan yang berfokus hardware, lebih sederhana, namun melebar dan tidak

fleksibel. Oleh karena itu meskipun fungsionalitas sistem menurun, kompleksitas keamanan juga

menurun namun jaminan keamanan meningkat.

Tidak ada aplikasi-aplikasi yang dibangun secara khusus untuk perusahaan layaknya vendor ERP

seperti SAP ataupun Oracle, bahkan aplikasi spesifik misalnya Sistem Informasi PT. IMT.

Teknologi yang digunakan cukup mutakhir di pasaran saat ini (Pentium IV), begitu pula dengan

35

aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, namun semuanya

merupakan produk beli dan bukan merupakan produk yang dikembangkan secara khusus. Model

keamanan relatif tergolong sederhana.

3.6 Operations Security

We will cover aspects of control, audit and monitoring that apply to systems,

personnel, information and resources.

Dalam domain operasi keamanan difokuskan pada tindakan apa saja yang menjadikan sistem

beroperasi secara aman, terkendali dan terlindung. Sistem di sini dapat berupa jaringan,

komputer ataupun lingkungan. Sedangkan operasional diartikan sebagai berfungsinya sistem

setelah dijalankan. Adapun waktu dari operasional dapat mencakup jam atau hari

berfungsinya sistem tersebut.

Pada PT. IMT, proses bisnis berlangsung hampir delapan jam sehari pada unit administratif,

namun pada unit redaksi jam kerja bisa mencapai 14 jam. Kebijakan perusahaan tentang

pegawainya juga diterapkan jika kerja tim redaksi telah melewati jam 12 malam. Pekerjaan

akan dilanjutkan setelah jam kerja biasa dan dilakukan secara kontinyu. Biasanya pekerjaan

lembur ini hanya terjadi sewaktu-waktu saja, misalnya saat penerbitan edisi khusus atau

sempat terjadi masalah pada server yang mengakibatkan tim redaksi harus waspada pada

kemungkinan terjadinya perubahan materi cetak akibat kerusahaan pada sistem di pra cetak.

Secara umum operasinal bisnis perusahaan umumnya dimulai sekitar pukul 8.00 dan

berakhir pukul 17.00 setiap hari. Selain itu karena format bisnis perusahaan merupakan

36

usaha media informasi maka konsep lembur sebenarnya tidak terlalu dikenal. Bila ada event

tertentu (seperti nonton bola bareng di café) yang mengharuskan karyawan kerja ekstra

maka tidak ada kompensasi khusus. Kompensasi hanya diberikan bila pekerja keluar kantor

sesudah jam 12 malam yang ditandai dari absensi pegawai melalui mesin absensi. Frekuensi

lembur lebih umum terjadi pada staf redaksi saja. Pada bagian administratif hal tersebut

jarang terjadi, sebab proses kerja relatif sama dengan kantor-kantor lainnya.

Gangguan yang sering muncul dalam jaringan adalah berasal dari virus atau kerusakan secara

fisik karena arus pendek listrik dan petir. Virus umumnya menyebar melalui jaringan yang

terkoneksi ke internet. Sekalipun akses internet tidak ada pembatasan dan digunakan untuk

mengakses email atau informasi, gangguan yang disebabkan oleh hacker atau cracker belum

pernah terjadi.

Sesuai dengan aturan ketenagakerjaan, pegawai diberikan hak cuti setiap tahunnya kecuali

bagi karyawan kontrak. Diharapkan cuti tersebut dapat mengurangi problem demoralisasi

dan bisa mengembalikan kesegaran mental dan moral pegawai yang mengalami kejenuhan.

Cuti paling lama dua minggu atau 12 hari kerja, tidak termasuk hari libur, sabtu dan minggu.

Cuti tidak dapat diambil sekaligus karena tuntutan terbit seminggu sekali. Pelaksanaan cuti

diatur sesuai kebijakan yang sudah diterbitkan perusahaan. Bagi pegawai yang melakukan

cuti, pekerjaan dilimpahkan kepada rekannya dengan koordinasi terlebih dahulu dengan

pemimpin redaksi atau redaktur pelaksana.

Bagi keamanan lingkungan, dikarenakan lokasi bagian percetakan cukup luas, ditugaskan

petugas keamanan atau Satpam selama 24 jam dengan dua kali shif kerja. Satpam yang

bertugas pagi mulai pukul 7.00 sampai pukul 19.00 malam, berikutnya digantikan oleh

37

satpam yang bertugas malam mulai pukul 19.00 sampai pukul 7.00 pagi. Tugas pagi dan

malam dilakukan secara bergiliran selama satu minggu. Meskipun hari libur, satpam tetap

bertugas sesuai dengan jadwalnya. Setiap bulannya satpam diberikan pengarahan dari

manajer administrasi untuk menanggulangi berbagai kemungkinan ancaman dan kerawanan.

3.7 Applications and Systems Development.

We will look at system development lifecycles, change-control management and

operating system security components. Included in this domain are elements of

Quality assurance and the CMM.

Aplikasi pada umumnya tidak dibangun secara spesifik karena kebutuhan penerbitan hanya pada

aplikasi untuk keperluan desain lay out dan penulisan. Aplikasi-aplikasi tersebut sudah sangat

spesifik dan tersedia secara luas di pasaran. Aplikasi didapatkan dengan metode membeli

original product. Begitu pula dengan aplikasi lainnya seperti perkantoran (office automation

system) dan sistem operasi. Organisasi ini tidak mengembangkan perangkat lunak yang

dikhususkan untuk digunakkan mendukung proses bisnis. Aplikasi-aplikasi word processor,

spreadsheet, desainer dan ilustrator, semuanya merupakan produk beli yang dijual bebas di

pasaran. Yang dilakukan oleh organisasi saat ini adalah tinggal meng-update patch terbaru.

3.8 Business Continuity Planning.

Here we look at the capability of an organization to maintain its activities despite

interruptions. This domain also looks at Risk Assessment for the requirements of

BCP and implementation of adequate countermeasures and controls.

38

Pada umumnya hardware dan software akan mengalami gangguan. Gangguan muncul biasanya

berupa virus atau kerusakan komputer. Umumnya yang sering terkena adalah hub dan switch

penghubung jaringan. Tidak sedikit pula menyerang hardware. Jika terjadi demikian, secara total

hardware akan diservis bahkan diganti, namun untuk hardisk akan dicoba untuk diselamatkan.

Antisipasi untuk menangkal serang petir adalah dengan pemasangan penangkal petir. Namun

meskipun penangkal petir sudah terpasang, hal tersebut tidak dapat mencegah secara total

ancaman petir. Sehingga BCP menjadi penting untuk dibuat agar proses bisnis organisasi dapat

berjalan meskipun terjadi gangguan.

Organisasi belum mempunyai BCP, sehingga yang perlu dilakukan, dengan mengacu pada

kemungkinan terjadinya gangguan, adalah :

1. Bekerja sama dengan pengelola gedung dalam membuat blue print BCP, khususnya terhadap

aspek gangguan yang umum terjadi terhadap gedung, seperti kebakaran dan gangguan listrik.

2. Mempersiapkan UPS untuk setiap sumber daya sistem informasi yang menggunakan tenaga

listrik.

3. Staf IT harus selalu melakukan up date anti virus, menjalankan back up secara rutin pada

partisi hard disk server.

4. User harus dilibatkan dalam kegiatan BCP, termasuk agar berinisiatif untuk menggunakan

komputer dengan “sehat”, dan rajin membuat back up di PC masing-masing.

3.9 Law, Investigation and Ethics.

We will investigate computer crimes, and the laws and regulations which apply to

these particular crimes. We will also look at evolving technologies in forensics,

39

which dictate the appropriate techniques for investigation, preservation of collected

information, protection of affected systems, and prosecution requirements.

Beberapa ancaman sistem informasi organisasi muncul dari lingkungan dalam organisasi sendiri.

Untuk itu perlu disosialisasikan beberapa prinsip etik penggunaan komputer di lingkungan kerja,

seperti misalnya :

1. Tidak boleh menggunakan komputer untuk membahayakan orang/ pihak lain.

2. Tidak boleh melakukan gangguan terhadap kerja komputer orang/ pihak lain.

3. Tidak boleh menyadap file milik orang/ pihak lain.

4. Tidak boleh menggunakkan komputer untuk pencurian.

5. Tidak boleh menggunakkan komputer untuk memberikan kesaksian palsu.

6. Tidak boleh menyalin/ membajak atau menggunakkan software propietary tanpa

membayar.

7. Tidak boleh menggunakkan komputer orang/ pihak lain tanpa otorisasi atau

kompensasi.

8. Tidak boleh mengganggu hak intelektual orang/ pihak lain.

9. Harus berpikir tentang konsekwensi sosial dari program atau sistem yang dirancang.

10. Harus menggunakkan komputer sebagaimana adanya sesuai konsiderasi yang ada dan

menghormati sesama manusia.5

Selain itu juga organisasi harus tetap mengacu kepada peraturan yang ada, seperti :

1. Kode Etik Jurnalistik.

2. Kitab UU Hukum Pidana.

3. UU Telekomunikasi.

5 Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.

40

3.10 Physical Security.

Here we consider physical property and assets, and which threats and

vulnerabilities are involved. We will also look at physical access controls.

Secara fisik keamanan dijaga 24 jam penuh oleh satuan pengaman. SATPAM bertanggung

jawab menjaga aset fisik berupa peralatan produksi (mesin-mesin pracetak), peralatan kantor

(meja, kursi, komputer, lemari dan sebagainya), sarana dan prasarana (bangunan, instalasi

PDAM, listrik, telepon, kendaraan dll.). Selain itu SATPAM juga menjaga keamanan

lingkungan dari gangguan fisik seperti kebakaran, pencurian dan lain-lain. SATPAM

bertanggung jawab memegang kunci cadangan dari seluruh ruangan. Kunci-kunci tersebut

disimpan pada tempat khusus, untuk memudahkan akses pengamanan jika terjadi sesuatu

yang mencurigakan.

Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam. Dalam

melakukan tugasnya SATPAM harus mencatat kejadian-kejadian yang dialami. SATPAM

memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah

sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai

seluruh staf. SATPAM harus segera melaporkan jika terjadi hal-hal yang mencurigakan

seperti kabel yang tidak rapi sehingga menimbulkan percikan api, lampu-lampu yang tidak

berfungsi lagi (padam), pagar yang mulai rusak dll.

Penanggulangan bencana seperti kebakaran SATPAM bergabung dengan organisasi

pemadam kebakaran. Organisasi ini akan memberikan pelatihan teknik-teknik pemadaman

api secara efektif dan cepat. Jika kebakaran tidak dapat ditolerir dan dikhawatirkan

41

mengganggu lingkungan sekitarnya, SATPAM diwajibkan melaporkan kejadian kebakaran

tersebut.

3.11. Audit Sistem Informasi.

Audit terhadap proses bisnis perusahaan selalu dilakukan sedikitnya satu tahun sekali tapi

hanya pada proses finansial dengan tujuan untuk mengetahui kondisi finansial perusahaan.

Pihak direksi selalu melakukan kontrol terhadap kondisi perusahaan. Namun untuk audit

terhadap sistem informasi praktis tidak pernah dilakukan sejak pertama kali perusahaan ini

berdiri.

42

Bab 4

Penutup

Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian

khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari

berbagai bencana, ancaman dan kerawanan keamanan. Penekanan utama seharusnya terletak

pada akses kontrol yang melibatkan administrator ataupun manajer yang menuntut

kemampuan mengelola hak-hak dan peran pengguna dalam memanfaatkan data serta

informasi penting perusahaan. Keamanan baik dalam masalah telekomunikasi maupun

jaringan sangat mendukung ketersediaan data dan informasi. Apalagi PT. IMT memiliki

kebijakan dan prosedur yang mengatur tentang hak-hak dan peranan para pegawai.

Selain itu beban tugas staf TI ataupun redaksi pelaksana pada perusahaan ini sangatlah berat.

Keduanya dituntut kemampuannya dalam mengelola praktik keamanan seperti

pengklasifikasian data dan file-file, kebijakan, prosedur, standar dan panduan, resiko

manajemen dan keamanan personel di samping tugas pokoknya mengelola produksi berita

dan informasi. Aplikasi yang dimiliki umumnya berupa aplikasi khusus untuk penulisan, dan

perancangan tata letak tampilan (Microsoft Word, Adobe Photosop,Coreldraw, Page Maker

dll.). Sedangkan pengembangan aplikasi secara spesifik bagi keperluan organisasi belum

pernah dilakukan.

Bagi keamanan fisik, PT. IMT menempatkan dua SATPAM yang berjaga silih berganti pagi

dan malam. Mereka bertugas mengawasi dan mencegah gangguan keamanan ataupun

bencana dan kerawanan. Pengawasan dan kontol yang ketat difokuskan pada lokasi

dokumentasi dan redkasi sebab di tempat tersebut disimpan materi-materi yang bersifat

43

confidential. Untuk selalu menjaga kewaspadaan, SATPAM diikutsertakan dalam kegiatan

pelatihan keamanan.

Berdasarkan hasil analisis masih terdapat adanya kelemahan dalam hal proteksi dan teknik

keamanan sistem informasi pada PT. IMT. Kelemahan tersebut di antaranya masih kurangnya

pengawasan staf TI terhadap kelayakan ruangan penyimpanan server dan perilaku staf

artistik yang bekerja pada ruangan tersebut. Selain itu perlunya peningkatan keamanan dalam

pengelolaan data dan informasi (hardware dan software) dikarenakan lokasi di Jakarta Barat

yang sering mengalami cuaca buruk seperti hujan besar yang umumnya disertai dengan

banjir.

44

Daftar Bacaan

• Departemen Koperasi, “Karakteristik UKM di Indonesia”, http://www.depkop.go.id/in-

dex.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1,

diakses tanggal 20 Mei 2005 pukul 18.50.

• Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4.

• Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.

• CISA Team, “CISA Review Manual 2005”, Information System Audit and Control Asso-

ciation, 2005.

• Ronald L. Krutz et al,” The CISSP Preparation Guide”, Wiley Publishing , Inc, 2003.

45

It keamanan sistem informasi ilkom ui

Education

Transcript of It keamanan sistem informasi ilkom ui