MANAJEMEN KEAMANAN SISTEM INFORMASI PERUSAHAAN MANUFAKTUR BERSEKALA
ENTERPRISE
(STUDI KASUS CV. GRAHA MESIN GLOBALINDO)
Ujian Akhir Semester Keamanan Sistem Informasi
Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS MA CHUNG
MALANG
2015
UCAPAN TERIMA KASIH
Selama pengerjaan UAS ini kami menyadari sepenuhnya bahwa begitu
banyak pihak yang telah turut membantu dalam penyelesaian program ini,
melalui kesempatan ini dengan segala kerendahan hati, sebagai rasa
penghargaan atas bimbingan dan dorongan yang telah diberikan, maka
perkenankanlah kami mengucapkan terima kasih kepada :
1. Allah SWT yang telah memberikan kemudahan dan kelancaran dalam
menyelesaikan laporan ini.
2. Kedua orang tua yang telah memberikan dukungan secara moral dan
material.
3. Bapak Yudhi Kurniawan, S.Kom. M.MT. selaku dosen pengampu yang telah
meluangkan ilmu dan waktunya demi kesempurnaan dan kelancaran laporan
ini.
4. Semua pihak yang tidak dapat disebutkan satu-persatu yang membantu
pengerjaan laporan ini.
KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan
rahmat dan kuasa-Nya, laporan dengan judul "Manajemen Keamanan Sistem
Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN GLOBALINDO)."
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan
rule dalam bidang keamanan IT/IS untuk seluruh layanan yang ada
diorganisasi CV. GRAHA MESIN GLOBALINDO dan menggunakan Information
Security Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan
dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan
kritik dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi
pengulasan lanjutan sehingga kajian yang diberikan akan lebih informatif
dan tepat sasaran kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat
dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi
pembaca.
Malang, 18 Desember 2015
Penulis
DAFTAR ISI
LEMBAR PENGESAHAN i
UCAPAN TERIMA KASIH ii
MOTTO iii
KATA PENGANTAR iv
Bab I Pendahuluan 1
1.1 Latar Belakang 1
1.2 Identifikasi Masalah 2
1.3 Rumusan Masalah 2
1.4 Tujuan 3
1.5 Ruang Lingkup 3
1.6 Manfaat 3
1.7 Waktu dan Pelaksanaan 4
Bab II Profil Perusahaan 5
2.1 Sejarah Singkat 5
2.2 Visi dan Misi 5
Visi : 5
Misi : 5
2.3 Alamat dan Peta Lokasi 6
2.4 Aktifitas 7
2.5 Struktur Organisasi 7
2.6 Personalia 7
Bab III Tinjauan Pustaka 8
3.1 Konsep Dasar Sistem Informasi 8
3.2 Radio 13
3.3 Code Igniter 18
3.4 PHP 18
3.5 MySQL 20
Bab IV Analisis dan Perancangan 22
a. System Flow yang diusulkan 24
b. Diagram konteks 25
c. DFD Level 1 26
d. ERD 27
e. Kamus Data 28
f. Sitemap 30
g. Desain Input Output 32
Bab VI Simpulan dan Saran 45
6.1 Simpulan 45
6.2 Saran 45
DAFTAR GAMBAR
Gambar 2.1 PT. Ureyana Cordis 6
Gambar 2.2 Denah Lokasi PT Ureyana Cordis 6
Gambar 2.3 Gambar Struktur Organisasi 7
Gambar 4.1 System flow request lagu lama 23
Gambar 4.2 System flow yang diusulkan 24
Gambar 4.3 Diagram Konteks Level 0 25
Gambar 4.4 DFD Level 1 26
Gambar 4.5 ERD 27
Gambar 4.6 Sitemap Home 30
Gambar 4.7 Sitemap Admin 31
Gambar 4.8 Form Home 32
Gambar 4.9 Form Berita 32
Gambar 4.10 Form Jadwal 33
Gambar 4.11 Request Box 34
Gambar 4.12 Form Manage User 34
Gambar 4.13 Form Manage Request 35
Gambar 4.14 Form Jadwal Siaran 35
Gambar 4.15 Form Manage News 36
Gambar 5.1 Error username atau password salah 38
Gambar 5.2 Add user 38
Gambar 5.3 Add user berhasil 39
Gambar 5.4 Delete user 39
Gambar 5.5 Edit user 40
Gambar 5.6 Edit user berhasil 40
Gambar 5.7 Home 41
Gambar 5.8 Berita 41
Gambar 5.9 Jadwal 41
Gambar 5.10 Request Box 42
Gambar 5.11 Manage User 42
Gambar 5.12 Manage Request 43
Gambar 5.13 Manage Jadwal Siaran 43
Gambar 5.14 Manage News 44
DAFTAR TABEL
Tabel 1.1 Waktu dan Pelaksanaan 4
Tabel 4.1 Tabel User(Admin) 28
Tabel 4.2 Tabel Request 28
Tabel 4.3 Tabel Jadwal Siaran 28
Tabel 4.4 Tabel Berita 29
Bab I
Pendahuluan
1. Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung jawabkan
oleh setiap departemen yang ada didalam suatu perusahaan. Keamanan data
secara tidak langsung dapat memastikan kontinuitas bisnis, mengurangi
resiko dan mencari kesempatan bisnis. Semakin banyak informasi yang
tersimpan dalam perusahaan, dikelola dan dibagi, maka semakin besar pula
resiko terjadinya kerusakan, kehilangan atau bahkan tereksposnya data ke
pihak external yang mungkin tidak bersangkutan atau tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas
strategi dan pembagian tanggung jawab, yang bertujuan utama untuk
menurunkan risiko yang berpotensi menjadi ancaman terhadap operasional
perusahaan. Jika penyusunan rencana keamanan tidak berdasarkan hasil
analisis risiko, maka dapat menyebabkan lemahnya strategi dalam
mengantisipasi ancaman gangguan dan serangan terhadap aset perusahaan.
Lemahnya strategi tersebut, disebabkan oleh proses identifikasi
kelemahan dan kerawanan teknologi informasi yang tidak dilakukan dengan
baik. Sebaliknya dalam penyusunan rencana keamanan seharusnya didasari
oleh hasil analisis dan mitigasi risiko teknologi informasi, agar
strategi keamanan yang diusulkan dapat secara efektif menurunkan risiko
yang telah diidentifikasi melalui analisis dan mitigasi risiko.
2. Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti
perubahan proses bisnis dan fungsi bisnis, maka sistem informasi yang
dulunya masih terpisah berdasarkan modulnya seperti dibagian keuangan,
pergudangan, penjualan, dan produksi. Masing-masing modul aplikasi
tersebut berbeda, sehingga sulit untuk berkomunikasi atau
mengintegrasikan data dan tidak real time. Dampak dari modul yang
terpisah dan data yang dibutuhkan harus bersifat real time maka terjadi
keterlambatan dalam integrasi dan penyesuain data.
Sehingga diperlukan suatu sistem yang dapat dipercaya untuk
memfasilitasi proses perputaran data antara departemen dalam perusahaan
yang dilakukan secara online tanpa memandang jarak yang berjauhan sebagai
suatu permasalahan tertutama apabila perusahaan yang memiliki kantor
cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut
dengan sistem Enterprise, dimana didalamnya terdapat bermacam-macam
departement yang terlibat secara langsung bahkan bersamaan dalam
pengolahan datanya. Dengan sistem bersekala enterprise pada perusahaan
manufaktur maka pertukaran data lintas department dapat dilakukan tanpa
harus saling menunggu data secara fisik. Dikarenakan tingginya mobilitas
pihak-pihak dalam setiap department khususnya maka sistem tersebut harus
dapat diakses dimana saja dan kapan saja dengan menggunakan berbagai
perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal
dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah
keamanan transaksi data yang dilakukan baik lintas department maupun
lintas cabang perusahaan. Pada laporan ini akan dibuat suatu rancangan
sistem manajemen keamanan informasi yang berguna untuk menangani
perputaran data atau transaksi data dalam perusahaan.
3. Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar belakang diatas,
adalah :
Information Security Management System (ISMS) merupakan sebuah kesatuan
sistem yang disusun berdasarkan pendekatan resiko bisnis untuk
pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta
peningkatan keamaan informasi perusahaan.
Sebagai sebuah sistem, keamanan informasi harus didukung oleh
keberadaan dari hal-hal berikut yang menjadi objek yang diteliti, antara
lain:
Perancangan Keamanan (Security Planning)
Manajemen Keamanan (Security Management)
Kebijakan Keamanan (Security Policy)
Prosedur dan proses (Standard Procedures)
Analisa Resiko Keamanan (Security Risk)
Masalah yang ingin diteliti pada objek penelitian ini, adalah
Tindakan preventif dan kepedulian pengguna jaringan yang
memanfaatkan informasi. Apakah semua permasalahan jaringan dan
kejadian pelanggaran keamanan atas setiap kelemahan sistem
informasi telah"segera" dilaporkan sehingga administrator (jaringan
maupun database perusahaan) dapat segera mengambil langkah-langkah
keamanan yang dianggap perlu.
Apakah akses terhadap sumber daya pada sistem sudah dikendalikan
secara ketat untuk mencegah akses dari yang tidak berhak.
Apakah semua prosedur serta proses-proses yang terkait dengan
usaha-usaha pengimplementasian keamanan informasi sudah dijalankan
dengan benar
4. Tujuan dan Manfaat Implementasi ISO20071
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan
gambaran implementasi sistem manajemen keamanan informasi berstandar
internasional kepada perusahaan, organisasi nirlaba, instansi atau publik
agar dapat mempelajari dan mencoba mengimplementasikannya dilingkungan
sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba
melakukan kegiatan audit terhadap semua aspek terkait, seperti: kondisi
jaringan komputer lokal, policy, manajemen SDM, organisasi keamanan
informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005:
Audit ISMS memberi pemahaman yang lebih baik mengenai aset
informasi dan proses manajemen keamanan informasi yang diperlukan.
Membantu memberikan pemahaman pentingnya keamanan informasi pada
karyawan, stakeholder dan masyarakat umum.
Membantu mengarahkan implementasi sistem manajemen keamanan
informasi berdasarkan kepada pertimbangan manajemen risiko.
5. Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang
dijalankan, antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat
dikelas, dan dengan mencari sumber lain seperti website, buku
sebagai tambahan informasi yang dibutuhkan dalam penyusunanan
laporan.
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai
3. Desain sistem informasi keamanan yaitu merancang usulan mulai
dari securtity plan, security management & security risk, dan
security assement.
6. Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen
ISMS, ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi
dan metodologi kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari
dokumen ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi
kasus CV. GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan
gambaran lengkap mengenai proses bisnis perusahaan dan department yang
terlibat didalamnya.
Bab 4 Berisi penjelasan detail dari Manajemen Keamanan Sistem Informasi
yang meliputi Implementasi DPCA, Security Planning sistem, Security
Management, dan Security Risk & Assessment.
Bab II
Profil Perusahaan
1. Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam
bidang produksi alat dan mesin teknologi yang tepat guna, serta penjualan
mesin impor yang bersertifikasi dan bergaransi. Spesialisasi yang dimiliki
dalam produksi mesin teknologi tepat guna pertanian, alat dan mesin
pengolahan makanan, serta supplier mesin pengemasan (Agriculture equipment,
food processor & packing machinery). CV. Graha Mesin Globalindo bekerjasama
dengan banyak vendor hal ini dapat dibuktikan dengan melihat dari banyaknya
kategori dan produk mesin yang disediakan. Jumlah varian dari produk yang
dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin
banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari
luar kota Malang saja, melainkan sudah meluas hingga luar kota, antar pulau
seluruh Indonesia hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi
tepat guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin
pengemasan (Agriculture equipment, food processor & packaging machinery).
Letak lokasi CV Graha Mesin Globalindo berpusat di Malang, Jawa Timur,
Indonesia.
CV Graha Mesin Globalindo menyediakan alat dan mesin kebutuhan usaha yang
terbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor
yang sudah bersertifikasi.
Alat dan mesin tersebut di kelompokan menjadi beberapa kategori, di
antaranya:
1. Mesin produksi
2. Mesin industri
3. Mesin pengolah makanan (Food Processing)
4. Mesin pengemas (Packaging)
5. Mesin pertanian
6. Mesin perikanan
7. Mesin peternakan
8. Mesin perkebunan
2. Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat
didalam kemajuan perusahaan, antara lain:
1. Departement Keuangan
2. Departement Produksi
3. Departement Delivery
4. Departement Marketing dan Sales.
3. Alamat dan Peta Lokasi
PT. X merupakan suatu perusahaan manufaktur yang terletak di
Kawasan X, Malang Jawa Timur.
Gambar 2.1 PT. X
Berikut ini merupakan peta lokasi PT. X berada yang dapat diakses
dengan menggunakan Google Map.
Gambar 2.2 Denah Lokasi PT X
4. Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan
dan produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha.
Dan tererbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan
impor yang sudah bersertifikasi. Alat dan mesin tersebut di kelompokan
berdasarkan kategori seperti pada penjelasan sebalumnya. Bagian
marketing and sales yang bertugas dalam mencari calon pembeli kemudian
data konsumen yang berminat pada produk yang ditawarkan tersebut akan
diserahkan pada bagian keuangan, yang nantinya bagian keuangan akan
memproses pembayaran produk yang dibeli oleh konsumen dan setelah proses
pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan
laporan pengiriman barang pada department pengiriman hingga produk
sampai ke tempat konsumen.
Bab III
Tinjauan Pustaka
1.
2.
3.
1. Security Management
Berikut adalah masing- masing bagian dari security management yang
termasuk dalam contingency planning. Contingency planning adalah sebuah
rencana untuk membuat suatu panduan dan dokumentasi atas suatu kejadian
yang tidak terduga, dan sebagai dokumentasi dasar terhadap tanggap
darurat dalam upaya pemulihan perencanaa. Tujuan utama dari contingency
planning adalah untuk mengembalikan proses bisnis secara normal dengan
biaya operasional tidak membengkak secara signifikan, dan yang
bertanggungjawan atas proses ini adalah manajer proses bisnis dan
eksekutif. Contingency planning itu berlangsung terus menerus untuk
menyediakan sumbe daya yang dibutuhkan untuk:
Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan
departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi
pemulihan dan kembalinya
Melakukan kegiatan pemeliharaan
Gambar 3.1 Security Management
4. IRP (Incident Response Plan)
Incident Response Plan adalah suatu pendekatan yang terorganisis,
untuk mengatasi dan mengelola setelah proses yang tidak diduga
terjadi. Tujuannya untuk menangani situasi dengan cara membatasai
kerusakan dan mengurangi waktu dan biaya pemullihan. Dalam proses ini,
dibuat satu set proses secara rinci dan suatu prosedur untuk
mengantisipasi, mendeteksi dan mengurangi dampak dari suatu peristiwa
yang tidak terduga uang mungkin membahayakan sumber daya informasi.
Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan
cermat.
4. DRP (Disaster Recovery Plan)
Disaater Recovery Plan merupakan sutau proses yang
didokumentasikan, atau serangkaian prosedur yang digunakan untuk
memulihkan atau mengembalikan dan melindungi infrastruktur IT bisnis
dalam kejaian yang tidak terduga. Rencana atau proses ini biasa
didokumentasikan dalam bentuk tertulis dan menjadi suatu pedman jika
terjadi keadaan yang tidak terduga di dalam bisnis. Keuntungan dari
DRP antara lain:
Memberikan rasa aman
Meminimalkan resiko keterlambatan
Meminimalkan pengambilan keputusan saat bencana
5. BCP (Business Continuity Plan)
Business Continuity Plan mengidentifikasi pemaparan organisasi
terhadap ancaman internal dan eksternal dan mensintesis hard dan soft
asset untuk memberikan penceghan yang efektif dan memberikan pemulihan
bagi organisasi dengan tetap menjaga eunggulan kompetitif dan
integritas sistem nilai.
1.
2. Keamanan Sistem Informasi
3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi
satu untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi
dari sistem oleh beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen
yang berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini
menggambarkan suatu kejadian-kejadian dan kesatuan yang nyata, seperti
tempat, benda dan orang-orang yang betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan – kumpulan dari
komponen – komponen yang memiliki unsur keterkaitan antara satu dengan
lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang
membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan
yang mencari suatu bagian atau tujuan bersama dengan mengoperasikan data
dan/atau barang pada waktu rujukan tertentu untuk menghasilkan informasi
dan/atau energy dan/atau barang.
3.2.2 Definisi Sistem Informasi
Definisi sistem informasi menurut beberapa ahli antara lain:
Menurut Jogiyanto (2005:11) dalam buku yang berjudul Analisis dan
Desain Sistem Informasi, menyebutkan bahwa sistem informasi adalah suatu
sistem di dalam suatu organisasi yang mempertemukan kebutuhan pengolahan
transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan
strategi dari suatu organisasi dan menyediakan pihak luar tertentu dengan
laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul
Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem
informasi adalah sekumpulan prosedur organisasi yang pada saat
dilaksanakan akan memberikan informasi bagi pengambilan keputusan dan
atau untuk mengendalikan organisasi.
3.2.3 Definisi Keamanan Sistem Informasi
Pengertian keamanan sistem informasi menurut G.J Simons adalah
bagaimana kita dapat mencegah penipuan (cheating) atau paling tidak
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan
dengan menggunakan teknik-teknik dan peralatan-peralatan untuk
mengamankan perangkat keras dan kunak komputer, jaringan komputer, dan
data. Selain itu keamanan sistem informasi bisa diartikan sebagai
kebijakan, prosedur, dan pengukurannteknis yang digunakan untuk mencegah
akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik
terhadap sistem informasi.
3. Security Planning
Keamanan informasi berkaitan dengan perlindungan aset berharga
terhadap kehilangan, pengungkapan penyalahgunaan atau kerusakan. Dalam
konteks ini, "aset berharga" adalah informasi yang direka, diproses,
disimpan, dikirim atau diambil baik dari media elektronik ataupun non
elektronik. Upaya perindungan tersebut dimaksudkan untuk memastikan
keberlanjutan bisnis, meminimalkan risiko yang mungkin terjadi dan
memaksimalkan keuntungan yang didapat dari investasi dan kesempatan
bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami
untuk bisa menreapkannya, aspek tersebut biasa disebut dengan CIA Triad
Mode, yang antara lain adalah:
Confidentiality (kerahasiaan) yaitu aspek yang memastikan bahwa
informasi hanya dapat diakses oleh orang yang berwenang.
Integrity (integritas) yaitu aspek yang menjamin tidak adanya
pengubaan data tanpa seijin pihak yang berwenang, menjaga
keakuratan dan keutuhan informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan
atas ketersediaan data saat dibutuhkan, kapapun dan dimanapun.
Selain aspek diatas, keamanan informasi dapat juga diklasifikasian
sesuai berikut:
Physical security yaitu strategi untuk mengamankan pekerja atau
anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi dan
bencana alam.
Personal security adalah bagian dari keamanan fisik yang melindungi
sumber daya manusia dalam organisasi atau pengguna yang memiliki
akses terhadap informasi.
Operation security adalah yang memfokuskan strategi untuk
mengamankan kemapuan organisasi atau perusahaan untuk bekerja tanpa
gangguan.
Communication security yaitu bertujuan mengamankan media
komunikasi, teknologi komunikasi dan isinya, serta kemapuan untuk
memanfaatkan alat ini untuk mencapai tujuan organisasi.
Network security yaitu memfokuskan pada pengamanan peralatan
jaringan data organisasi, jaringannya dan isinya, serta kemapuan
untuk menggunakan jaringan tersebut dalam memebuhi fungsi
komunikasi data organisasi.
4. Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan
suatu kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah
awal pada risk assessment adalah identifikasi dari bahaya dari hazard dan
efek dari hazard tersebut dan siapa/apa yang akan terkena dampaknya.
Langkah selanjutnya adalah menentukan besarnya frekuensi atau probability
dari kejadianm karena risk adalah kombinasi dari consequency dan
probability.
5. Framework
Framework adalah kumpulan dari fungsi-fungsi / prosedur-prosedur dan
class-class untuk tujuan tertentu yang sudah siap digunakan. Sehingga
bisa mempermudah dan mempercepat pekerjaan seorang programmer maupun
analis, tanpa harus membuat fungsi atau class dari awal. Jadi dengan
adanya framework, pekerjaan akan lebih tertata dan teroraginir. Sehingga
dalam pencarian kesalahan dalam pembuatan sistem akan lebih mudah
terdeksi.
Intinya framework merupakan modal awal kita sebelum melakukan
pembuatan sistem.
Bab IV
Manajemen Keamanan Sistem Informasi
1. Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan akan
menggunakan standar model PDCA yaitu Plan, Do, Check, Act
1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
1. Ruang Lingkup Keamanan pada perusahaan
Pemetaan ruang lingkup keamaan SI agar sesuai dengan kebutuhan
keamanan informasi perusahaan seperti pemetaan terhadap proses-
proses bisnis yang ada, fungsi-fungsi yang berjalan dalam sistem
informasi dan aspek-aspek teknologi yang diterapakan.
2. Pendekatan Metodologi Bebasis Resiko
Pendekatan metodologi berbasis risiko ini disesuaiakan dengan
kriteria perusahaan atau dapat menggunakan standard atau framework
yang paling sesuai diterapkan.
3. Analisa Resiko
Dalam tahap ini terdapat beberapa aktivitas seperti asesmen
risiko seperti indentifikasi threat, vurnerablity, karakterisktik
sistem, likelyhood, analisa dampak/menghitung BIA dan lain-lain.
Tujuan dari tahap ini untuk memeperoleh gambaran detail dari
4. Risk Mitigation
Pemilihan terhadap mitigasi risiko yang akan digunakan, strategi
mitigasi risiko, cost benefit analysis dan lain-lain. Pemilihan
kontrol dan metrik terhadap ISMS yang bertujuan untuk memperoleh
suatu "nilai" berdasarkan gambaran kondisi ISMS dan target
pencapaian dari penerapan
5. Risk Evaluation and Monitoring
Monitoring dan evaluasi terhadap risiko yang ada
6. Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait keamanan SI yang
dapat berupa Policy, procedure, standard, guideline dan work
instruction pada setiap department yang terlibat dalam perusahaan
khususnya pertukaran informasi atau data perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha Mesin
Globalindo di dalam menjaga dan memelihara privasi dan keamanan
data perusahaan. Kebijakan tersebut adalah kebijakan privasi,
setiap pegawai dalam setiap departement memiliki hak akses sendiri-
sendiri untuk dapat login ke dalam system perusahaan sesuai dengan
jabatan dan jobs desc masing-masing.
Perusahaan dapat melacak situs atau IP pengguna sistem dimana
koneksi user berasal untuk kebutuhan investigasi. Akses ke situs
perusahaan hanya dapat dilakukan melalui login user yang telah
ditetapkan. Selama pengguna login ke situs perusahaan, perusahaan
akan menggunakan cookie yang akan terakhir pada saat anda logout.
Semua informasi atas transaksi data di situs perusahaan yang
pengguna lakukan akan dicatat.
7. SOA (Statement of Applicability)
Dokumentasi analisis terkait apa dan mengapa kontrol atau
kebijakan keamanan SI tersebut dipilih dan akan diterapkan. SOA
dapat dilakukan setelah melakukan metodologi berbasis risiko.
2. Do
Pada tahap ini terdapat kumpulan aktivitas-aktivitas hasil
implementasi dari Plan yang sudah dirancang.
Mengelola semua pengoperasian resources yang mungkin terlibat
dalam keamanan Perusahaan mencakup: Registrasi, Aktivasi,
keuangan, data konsumen, data proses produksi dan data
perusahaan rekananan
Pengawasan implementasi dari keamanan perusahaan
Pengembangan kebijakan yang disesuaian dengan kerangka yang
dihasilkan dalam tahap plan
3. Check
Keamanan sistem informasi perusahaan memerlukan adanya pengukuran
dalam tahap perencanaan dan implementasi untuk memberikan gambaran
antara perencanaan dengan implementasi dan dalam rangka menuju langkah
improvement keamanan perusahaan terebut. Dalam tahap ini aktivitas
yang dapat dilakukan antara lain:
Pengukuran hasil kinerja dari keseluruhan keamanan perusahaan
mecakup pencatatan dan pengumpulan bukti-bukti baik fisik
maupun logik sebagai sarana audit.
Pengukuran efektifitas dari transaksi data pada setiap
depatement dan antar department hingga ke kantor cabang.
Melakukan audit internal pada keamanan perusahaan pada setiap
departementnya
Mengeksekusi prosedur - prosedur pengawasan
4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam
perusahaan tidak akan memberikan hasil yang efektif tanpa adanya
improvement atau semua itu hanya akan menjadi tumpukan dokumen atau
kumpulan file-file tanpa arti. Tahap "Act" mencakup point penting
antara lain:
Menerapkan perbaikan yang diidentifikasikan.
Memastikan kegagalan tidak terulang kembali.
Tahap penanggulangan dan perbaikan saat ancaman dan serangan
terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang terkait
1. Security Planning
1. Objectives
Pemanfaatan keamanan sistem informasi perusahaan atau lebih
mengglobal dengan istilah teamwork dapat mengurangi resiko.
2. Scope
Perencanaan keamanan informasi yang akan dibuat adalah keamanan sistem
informasi perusahaan manufaktur.
3. Stakeholder
The mobile payment ecosystem involves the following types of
stakeholders:
Owner/ Pemilik perusahaan
Financial service providers (FSPs)
Payment service providers (PSPs)
Content providers
Network service providers (NSPs)
Device manufacturers
Regulators
Trusted service managers (TSMs)
Application developers
4. CIA Triangle
Sistem pengamanan pada Perusahaan ada 2 lapis akses, yaitu :
a. Password
b. Pengamanan htacsess yang dihasilkan oleh sistem perusahaan.
Htacsess adalah sebuah file konfigurasi yang ditaruh pada
directori root sistem aplikasi web. Htaccess dapat dipakai untuk
konfigurasi khuses apalikasi web, contoh redirect ke halaman
tertentu, untuk membati akses halaman atau untuk merestrict
(membatasi) pengaksesan folder-foldertertentu di dalam sistem.
Pada 3 aspek keamanan dan didukung oleh beberapa aspek keamanan
informasi untuk sistem perusahaan dapat disimpulkan sebagai berikut:
1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi kepada
individu atau sistem yang tidak sah. Confidentiality ditujukan
kepada suatu pihak untuk hal tertentu dan hanya diperbolehkan
untuk hal itu saja. Confidentiality hanya bisa diakses oleh
orang-orang yang mendapatkan ijin mengaksesnya. Dalam kasus ini
ada beberapa security planning pada aspek confidentiality antara
lain:
Merahasiakan informasi penting yang merupakan aset untuk
perusahaan (di dalam database, file,backup, penerima
dicetak, dsb) dan dengan membatasai akses ke tempat-tempat
di mana disimpan.
Strategy Plan (perencanaan strategis perusahaan)
Merahasiakan rencana strategis yang meliputi target
pelanggan,area penjualan dan hal-hal yang berkaitan dengan
marketing.
Data User (informasi personal)
Kerahaisaan semua data pribadi pelanggan oleh pihak-pihak
yang dilarang mengakses.
2. Integrity
Yaitu aspek yang mengutamakan data atau informasi tidak boleh
diakses tanpa seijin perusahaan. Dalam studi kasus ini ada
beberapa aspek integrity, yaitu :
Menjaga kevalidan data saat proses transmisi, bisa pada
proses penggunaaan dan pengolahan bahan baku dalam
pembuatan produk, data keuangan perusahaan, dsb.
Modifikasi sumber daya sistem komputer hanya bisa oleh
pihak-pihak yang sudah terotorisasi.
3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan informasi
ketika dibutuhkan. Sebuah sistem informasi yang diserang dapat
menghambat ketersediaan informasi yang diberikan. Ada beberapa
aspek availability pada studi kasus ini, antara lain :
Adanya sistem komputerisasi yang digunakan untk menyimpan
dan memproses informasi.
Adanya control security, yang digunakan untuk melindungi
informasi.
Adanya jaringan informasi yang digunakan untuk mengakses
informasi dengan benar.
Backup data secara berkala yang dapat meminimalisir dampak
yang timbul.
Adanya server cadangan atau schema proteksi lainnya untuk
data-data dan informasi yang dirasa sangat penting, agar
tetap bisa diakses ketika ada ganggguan,
Adapun tujuan dari aspek availability ini adalah untuk tetap
tersedia setiap saat, mencegah ganggguan layanan akibat listrik
padam, kegagalan hardware, dan upgrade sistem.
4. Privacy
Usaha untuk menjaga data dan informasi dari pihak yang tidak
diperbolehkan mengaksesnya, data dan informasi tersebut bersifat
privat, yaitu :
1. Email dan Password karyawan dan user yang tidak boleh tidak
boleh di sebar luaskan kepada pihak manapun baik di dalam
perusahaan maupun di luar perusahaan.
2. Data Penting User yaitu no. rekening bank, data transaksi
user,data no. telp/handpone yang tidak boleh disebarluaskan
baik oleh admin,karyawan maupun user sendiri.
3. Data Hasil Penjualan,Hasil produksi dan Data Penggunaan
bahan yang hanya boleh diketahui oleh pihak tertentu dalam
perusahaan.
5. Identification
Pada aspek ini adalah mengenali individu pengguna, yaitu
langkah pertama dalam memperoleh hak akses ke informasi yang
diamankan. aspek identifikasi atara lain adalah sebagai berikut
yaitu :
1. Mengenali email/username dan password user (pembeli) saat
ingin melakukan login pada tempat tertentu.
2. Mengenali email/username dan password karyawan saat login
menggunakan komputer kantor/laptop karyawan yang sudah
diregistrasi oleh pihak perusahaan.
6. Authentication
Aspek ini menekankan mengenai keaslian suatu data/informasi ,
termasuk pihak yang memberi atau mengkasesnya termasuk pihak
yang dimaksud atau bukan. Contohnya yaitu :
1. Penggunaan pin atau password
2. Nomor mobile jika melakukan login menggunakan mobile.
3. Akses untuk pihak admin,karyawan dan pembeli.
7. Authorization
Aspek dimana memberikan jaminan bahwa pengguna (manusia
ataupun komputer) telah mendapatkan autorisasi secara spesifik
dan jelas untuk mengakses, mengubah, atau menghapus isi dari
aset informasi.
Salah satu cara memberi otorisasi adalah dengan memberi hak
akses yang berbeda untuk tiap golongan pengguna(admin,karyawan
sesuai dengan departmentnya dan pembeli.
8. Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data
semua aktifitas terhadap aset informasi yang telah dilakukan dan
siapa saja yang terlibat dan yang melakukan aktifitas itu.
1. Security Management
Pada dasarnya sistem yang dingunakan oleh perusahaan ini masih
belum optimal dilihat segi keamanan data di dalam perusahan,keamanan
website dan lainnya. Kondisi pengamanan masih lebih berfokuskan pada
keamanan hardware dan alat-alat/mesin yang digunakan untuk proses
produksi yang selalu dipantau dan ditingkatkan sejalan dengan
perkembangan teknologi dan ancaman yang ada.
Ancaman juga sering dialami oleh pengguna internet termasuk
pembeli dimana data pribadi dan no. rekening banknya teregistrasi
saat melakukan pembayaran via website perusahaan. Oleh karena itu
pihak perusahaan meminta perhatian kita semua baik yang terlibat
dalam perusahaan sendiri maupun pembeli produk untuk lebih
meningkatkan self-awarness terhadap ancaman yang ada. Dengan itu
kasus beserta cara pengamanan yang dapat dilakukan selama proses
bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh pihak-
pihak tertentu untuk mendapatkan informasi-informasi rahasia
pengguna seperti alamat email, Password dan Kode Transaksi.
Ada beberapa cara yang digunakan antara lain:
a. Membuat situs palsu yang memiliki alamat dan tampilan
mirip dengan situs resmi perusahaan atau atau page khusus
di social media yang mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link dan meminta
Anda melakukan login dengan memasukkan alamat email,
Password dan Kode Transaksi kedalam alamat link yang
diberikan.
c. Mengaku sebagai salah satu karyawan perusahaan dan meminta
data Anda dengan alasan-alasan tertentu.
Kiat-kiat pengamanan:
a. Pastikan Anda mengakses website perusahaan melalui alamat
resmi situs yang diberikan perusahaan di www.bla2.com
Untuk menghindari kesalahan penulisan alamat situs. Atau
dengan melakukan bookmark pada situs perusahaan.
b. Melakukan cross-check jika ada karyawan yang
mengatasnamakan perusahaan untuk mengisi form tertentu
dengan melalui layanan customer care perusahaan dengan no.
telp 085234502888/0341-21787.
c. Pastikan bahwa Anda telah logout saat meninggalkan
komputer Anda meskipun hanya sesaat.
d. Sebaiknya Anda tidak mengakses website dan melakukan
pembayaran pada koneksi internet yang tersambung di
jaringan umum seperti wifi dan warnet.
2. Virus / Worm
Virus komputer adalah program-program komputer yang dibuat
dengan tujuan-tujuan tertentu. Pada umumnya virus merusak
sistem operasi, aplikasi dan data di komputer yang terinfeksi.
Virus dapat menyebar melalui banyak media, antara lain : e-
mail, disket, CD, USB drive, flash memory, program dari
internet, maupun jaringan.
Beberapa contoh dampak dari infeksi virus:
a. Komputer menjadi tidak stabil dan sering 'hang' (macet).
b. Komputer manjadi lambat.
c. Data di harddisk terhapus.
d. Program software tidak dapat dijalankan/tidak berfungsi
dengan semestinya.
Yang mirip dengan virus adalah worm yang dibuat untuk dapat
menyebar dengan cepat ke banyak komputer. Walaupun umumnya
worm tidak menimbulkan kerusakan seperti virus, namun worm
dapat digunakan untuk membawa berbagai macam muatan/attachment
berbahaya.
Kiat-kiat pengamanan:
a. Gunakan anti virus ter-update di komputer Anda, dan
pastikan bahwa komputer Anda di-scan secara real time.
b. Banyak virus yang masuk melalui email yang diterima,
sehingga Anda harus lebih hati-hati pada waktu menggunakan
email. Hapus e-mail yang mencurigakan atau yang datang
dari pengirim yang tidak dikenal, dan scan attachment e-
mail sebelum dibuka.
c. Gunakan firewall pada sistem operasi di komputer Anda atau
install personal firewall dan pastikan bahwa pengaturan
firewall yang terpasang dapat mengamankan Personal
Computer (PC) Anda.
d. Sebaiknya Anda tidak mengakses atau bahkan men-download
file/program-program di internet dari situs yang tidak
dikenal/tidak dapat dipastikan keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun USB
drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di komputer
Anda sudah dilindungi dengan sistem proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang diprogram
untuk 'mencuri' informasi-informasi penting/pribadi dari
komputer yang terinfeksi dan mengirimnya ke lokasi tertentu di
internet untuk kemudian diambil oleh pembuatnya. Informasi
yang menjadi target utama contohnya User ID dan password,
nomor rekening, e-mail.
Malware/spyware dapat ter-install melalui attachment email
atau program yang di-install dari sumber-sumber yang tidak
jelas, ataupun oleh situs yang 'jahat'.
Virus dapat diprogram untuk menyebarkan malware/spyware.
Namun, berbeda dengan virus yang sifatnya lebih merusak,
spyware bekerja secara diam-diam agar tidak terlacak sehingga
lebih mudah mengumpulkan informasi yang diinginkan sang
pembuat/penyebar malware/spyware.
Kiat-kiat pengamanan:
Pengamanan terhadap malware/spyware sama dengan pengamanan
terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara mendapatkan data pribadi tanpa
harus tersambung dengan internet.
Hal ini dapat dilakukan oleh siapa saja disekitar kita
(Teman,Keluarga atau kesalahan dari pihak pengguna sendiri.)
Kiat-kiat pengamanan:
a. Jangan pernah menggunakan komputer/hp teman/keluarga saat
melakukan sebuah kegiatan seperti pembelian dan pembayaran
atau hal-hal lain yang memiliki data privasi pengguna.
b. Jangan Menyimpan Data Pribadi pada HP/Komputer/Buku
seperti ID dan password.jika terjadi kehilangan maka data-
data tersebut akan tersebar dan dapat disalahgunakan.
c. Pastikan anda tidak memberitahukan data pribadi ada kepada
pihak perusahaan maupun pihak yang mengatasnamakan
perusahaan karena pihak perusahaan tidak akan menanyakan
hal tersebut dan hanya membuthkan no. transaksi/bukti
pembayaran untuk konfirmasi pembayaran.
1. IRP (Incident Response Plan)
"NO "Risk Factors "Recommended "Cost "Type "Control "Action "
" " "Controls "Justificati" "Method "Method "
" " " "on " " " "
"1. "Kelemahan "Pengajuan " " " " "
" "Hardware "Pemebelian "> 5.000.000" "Tactical "Manual "
" "Spek Tidak "Unit Baru "> 1.000.000" "Tactical "Manual "
" "Mumpuni "yang sesuai "> 3.000.000" "Tactical "Manual "
" "Jaringan Terputus"Standart " " "Tactical "Manual "
" "(Kabel Rusak) "Adanya " " " " "
" "Slow (Berat) "Maintenece " " " " "
" "Lemot "Terhadap " " " " "
" "Mesin Produksi "Jaringan " " " " "
" "Rusak "Secara " " " " "
" " "Berkala " " " " "
" " "Menggunakan " " " " "
" " "SAAS atau " " " " "
" " "Tools " " " " "
" " "Software " " " " "
" " "yang Sesuai " " " " "
" " "dan Developt" " " " "
" " "Sendiri " " " " "
" " "Sesuai " " " " "
" " "Kebutuhan " " " " "
"2. "Kejadian tak "Memiliki "10.000.000 " "Tactical "Manual "
" "Terduga (Alam) "Bakcup " " " " "
" "Banjir "Server di " " " " "
" "Gempa Bumi "Beberapa " " " " "
" "Tanah Longsor "Tempat / " " " " "
" "Mesin Malfunction"Daerah "2.000.000 " " " "
" "Termakan oleh " " " "Tactical "Manual "
" "Pengerat " "5.000.000 " " " "
" " "Adanya " " "Tactical "Manual "
" "Terbakar (Mesin "Maintenance " " " " "
" "Overheat) "Adanya " " " " "
" " "Secondary " " " " "
" " "Device untuk" " " " "
" " "Pengganti " " " " "
" " "Secara " " " " "
" " "Berkala " " " " "
"3. "Kelemahan Sistem " " " " " "
" "Gagal Login "Fasilitas " " "Administr"Automat"
" "Lupa Password "Forgot " " "atif "ic "
" " "Password " " " " "
" "Salah Input " " " " " "
" " "Case Input " " "Administr"Automat"
" " "Sesuai " " "atif "ic "
" " "Kebutuhan " " " " "
2. DRP (Disaster Recovery Plan)
DRP atau Disaster Recovery Plan adalah rencana pemulihan dari
kemungkinan kerusakan-kerusakan yang terjadi. —Aspek yang terkandung
di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana
pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi.
RPO (recovery point objective): target titik waktu dimana
transaksi-transaksi terbaru dapat diselamatkan.
RTO (recovery time objective): target waktu pemulihan layanan dari
gangguan.
"NO "Critical "RTO/RPO "Threat "Prevention"Respon "Recovery "
" "System " " "Strategy "Strategy "Strategy "
"1 "Transaksi "2 Hours / "Server "Backup "Switch Over"Fix/Repla"
" "Pembayaran "2 Hours "Failure "Server, "to The "ce "
" " " " "Secure "BAckup "Primary "
" " " " "Room "Server or "Server "
" " " " "Equipment "Secondary " "
" " " " " "Server. and" "
" " " " " "Running UPS" "
"2 "Login System"2 Hours/2 "Security "Instal "Deploy "Obtain.In"
" " "Hours "Fail, "Protection"Guard "stall "
" " " "Hacking, "and "System at "replaceme"
" " " "Virus "Antivirus,"Strategic "nt Unit, "
" " " " "Use "Point, Use "Sensor "
" " " " "Security "Firewall "and Login"
" " " " "or Equipt "and Close "Page "
" " " " "Security "Public Port" "
" " " " "tools " " "
"3. "Operational "3 Hours/ 3"Fail in "Instal "repair the "rest for "
" "System(Data-"Hours "Software "Antivirus "Software or"primary "
" "data " "and "and Check "Re-install "hardware "
" "operational " "Hardware "Update and"Software. "or "
" "perusashaan)" "Cause "Maintence "Use "device. "
" " " "Virus and "for "Secondaru "fix and "
" " " "'Konslet' "Software. "device or "resolve "
" " " "Warm "There is "Hardware. "the bug "
" " " "Device and"Backup " "of "
" " " "Tools "Hardware " "software."
" " " " "and Time " " "
" " " " "for Rest " " "
3. BCP (Business Continnuity Plan)
BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan antara Pengguna, pihak Perusahaan dan Supplier.
"Critical "Description "Priority "Impact of loss"RTO "
"Business " " " " "
"Activity " " " " "
"Akses Layanan "Gangguan tidak"3 "Customer "1 Day~3 "
"sharing data "disengaja : " "Complain "Days "
" "Serangan " "Cannot Access " "
" "virus, Trojan," "Update and Add" "
" "Worm " "Data not " "
" " " "Realtime " "
" " " "Loss Data " "
" " " "Transaction " "
" " " "Cannot Save " "
" " " "Transaction to" "
" " " "Database " "
"Akses Layanan "Gangguan "4 "Data "1 Day-3 "
"Informasi "disengaja : " "Manipulation "Days "
"dengan "Cyber crime " "Stollen Data " "
"Internet "(kejahatan " "and Bank " "
" "internet, " "Accounts " "
" "seperti SQL " "Server Down " "
" "Injection, " "Cannot Access " "
" "Spoofing,hacki" "mBanking " "
" "ng,DDOS dll) " " " "
"Aktivitas Di "Gangguan "5 "Aktivitas "2 "
"Gedung "Bencana Alam " "Keseluruhan "Weeks~4Week"
"Perusahaan "(Banjir, Tanah" "Sistem "s "
" "Longsor, Gempa" "Database " "
" "Bumi, Tsunami," "Fisik(Server) " "
" "dll) " "Kerusakan " "
" " " "Hardware,Softw" "
" " " "are " "
" " " "Berhentinya " "
" " " "Proses Bisnis " "
" " " "Lumpuhnya " "
" " " "Aktivitas " "
" " " "secara Global " "
"Jalur Koneksi "Gangguan Alam "3 "Berhentinya "12 Hours~24"
"Jaringan "Perusakan " "Sharing Data "Hours "
" "Kabel akibat " "Koneksi " "
" "Hewan " "Terputus " "
" "Penggerat " "Tidak Realtime" "
" " " "Aktivitas " "
" " " "Transaksi " "
" " " "Terganggu " "
" " " "Akses Berhenti" "
Notes : Priority Level (1 Low " 2 Low-Medium " 3 Medium " 4 Medium-
High " 5 High)
2. Security Risk and Assessment
1. Risk Identification
Identifikasi Resiko
"Business Process Risk And Website "
"Target Type "Vulnerability "Threat "Risk "Countermeasures "
"User " " " " "
"User " " " " "
"Karyawan " " " " "
"Karyawan " " " " "
"Karyawan " " " " "
"Manager " " " " "
"Manager " " " " "
"Admin " " " " "
"- " " " " "
"No "Resiko "Risk "Recommended Control "
" " "Level " "
" " " "Preventive "Detective "
"1 "Risiko kehilangan "Critical"Policy & Procedure "Pembagian dan "
" "keamanan informasi " " "pengklasifikasia"
" "(confidentiality, " " "n informasi "
" "integrity, " " "sensitis "
" "availability), jika " " " "
" "informasi yang " " " "
" "berada didalam " " " "
" "perusahaan, tidak " " " "
" "terklasifikasi " " " "
" "dengan baik berdasar" " " "
" "kan aspek " " " "
" "kerahasiaannya, maka" " " "
" "dapat " " " "
" "berpotensi informasi" " " "
" "rahasia dapat " " " "
" "terbuka " " " "
"2 "Risiko terhentinya "Critical"Policy & Procedure "Policy & "
" "bisnis perusahaan, " " "Procedure "
" "karena tidak " " " "
" "memiliki rencana " " " "
" "penanggulangan " " " "
" "bencana, sehingga " " " "
" "ketika terjadi " " " "
" "bencana tidak mampu " " " "
" "mempertahankan " " " "
" "dukungan IT terhadap" " " "
" "jalannya bisnis, " " " "
" "secara sistematis " " " "
"3 "Kerusakan/bencana "High "Policy & Procedure,"Policy & "
" "alam di lokasi " "anti petir dan "Procedure "
" "server yang " "grounded " "
" "tergolong " " " "
" "intensitasnya cukup " " " "
" "besar sehingga dapat" " " "
" "berpotensi merusak " " " "
" "server dan perangkat" " " "
" "jaringan. " " " "
"4 "Risiko hilangnya "Critical"Policy & Procedure,"Policy & "
" "data master dan " "Penyimpanan data "Procedure "
" "backup berpotensi " "backup di tempat " "
" "terjadi, jika ruang " "aman, mirroring " "
" "DRC berada pada " " " "
" "ruang yang sama " " " "
" "dengan ruang data " " " "
" "center atau server " " " "
" "yang saat mengalami " " " "
" "bencana " " " "
"5 "Risiko penggunaan "High "Pelatihan security "Violation "
" "sistem operasi yang " "awarness, "reports "
" "rentan dengan " "pemasangan " "
" "gangguan virus, " "antivirus, scanning" "
" "tanpa didukung oleh " "virus rutin " "
" "perangkat anti virus" " " "
" "yang cukup handal, " " " "
" "berpotensi " " " "
" "menimbulkan " " " "
" "kerusakan file, dan " " " "
" "kehilangan data " " " "
"6 "Firewall diletakkan "High "Policy & Procedure,"Intrussion "
" "di sisi luar DMZ " "Firewall "detection "
" "terhadap jaringan " " "system, alert "
" "luas internet, dan " " "software / "
" "tidak memiliki " " "protection "
" "firewall lainnya " " " "
" "disisi dalam DMZ " " " "
" "terhadap jaringan " " " "
" "lokal internal, " " " "
" "sehingga berpotensi " " " "
" "server menjadi " " " "
" "terbuka dari " " " "
" "serangan yang " " " "
" "berasal dari " " " "
" "jaringan internal. " " " "
"7 "File system backup "Critical"Policy & Procedure,"Sharing "
" "gagal saat " "Penyimpanan data "Responsibilities"
" "direstore, maka " "backup di tempat " "
" "berpotensi jika " "aman, mirroring " "
" "terjadi kehilangan " " " "
" "data pada sistem " " " "
" "utama, maka hasil " " " "
" "backup tidak dapat " " " "
" "direstore, sehingga " " " "
" "harus meng-entry " " " "
" "ulang berdasarkan " " " "
" "form manual " " " "
"8 "Resiko kebocoran "High "Policy & Procedure "Proteksi "
" "data saat melakukan " " "bertingkat pada "
" "transaksi di sisi " " "protokol "
" "Provider SMS / " " " "
" "penyedia layanan " " " "
" "jaringan seluler " " " "
"9 "- "- "- "- "
"10 "- "- "- "- "
2. Threat and Vulnerability
"No "Target "Vulnerability "Threats "C "I "A "RISK "
"1 "Bank BCA"Informasi yang "Informasi yang akan" " " "C "
" " "berada didalam "keluar dari " " " " "
" " "perusahaan, tidak "perusahaan, harus " " " " "
" " "terklasifikasi "terklasifikasi dan " " " " "
" " "dengan baik "dilabelkan " " " " "
" " "berdasarkan aspek "berdasarkan " " " " "
" " "kerahasiaannya, "sensitifitas, jika " " " " "
" " "maka dapat "tidak, maka " " " " "
" " "berpotensi "informasi tersebut " " " " "
" " "informasi rahasia "menjadi tidak " " " " "
" " "dapat terbuka "diproteksi secara " " " " "
" " " "baik, menyebabkan " " " " "
" " " "hilangnya " " " " "
" " " "kerahasiaan " " " " "
" " " "informasi " " " " "
"2 "Bank BCA"Risiko terhentinya"Jika terjadi " " " "C "
" " "bisnis perusahaan,"bencana, tidak " " " " "
" " "karena tidak "memiliki " " " " "
" " "memiliki rencana "alternative cara " " " " "
" " "penanggulangan "agar bisnis dapat " " " " "
" " "bencana, sehingga "terus berjalan, " " " " "
" " "ketika terjadi "sehingga yang " " " " "
" " "bencana tidak "terjadi bisnis " " " " "
" " "mampu "terhenti dan " " " " "
" " "mempertahankan "perusahaan " " " " "
" " "dukungan TI "mengalami kerugian." " " " "
" " "terhadap jalannya " " " " " "
" " "bisnis, secara " " " " " "
" " "sistematis " " " " " "
"3 "Bank BCA"Petir di lokasi "Server dan BTS " " " "H "
" "& "server baik di "terancam rusak dan " " " " "
" "Service "sisi Bank atau "terbakar, " " " " "
" "Provider"Provider, "disebabkan terkena " " " " "
" " "intensitasnya "petir. " " " " "
" " "cukup besar an " " " " " "
" " "peralatan " " " " " "
" " "penangkal petir " " " " " "
" " "(anti petir dan " " " " " "
" " "grounding) belum " " " " " "
" " "mampu meredamnya " " " " " "
"4 "Bank BCA"Perangkat DRC yang"Jika terjadi " " " "C "
" " "masih berada pada "bencana pada ruang " " " " "
" " "ruang yang sama "server dan data " " " " "
" " "dengan data center"center, maka DRC " " " " "
" " "dan server saat "dan file backup " " " " "
" " "terjadi bencana "mengalami bencana " " " " "
" " " "yang sama sehingga " " " " "
" " " "tidak mampu " " " " "
" " " "mengembalikan " " " " "
" " " "informasi dan " " " " "
" " " "sistem beroperasi " " " " "
" " " "kembali. " " " " "
"5 "Bank BCA"Sistem operasi "Sistem operasi yang" " " "H "
" "& "yang rentan dengan"rentan dengan " " " " "
" "Service "gangguan virus, "penyebaran " " " " "
" "Provider"tanpa didukung "virus, dapat " " " " "
" " "oleh perangkat "berpotensi merusak " " " " "
" " "anti virus yang "informasi dan " " " " "
" " "cukup handal, "mengganggu jaringan" " " " "
" " "berpotensi "komputer " " " " "
" " "menimbulkan "perusahaan. " " " " "
" " "kerusakan file, " " " " " "
" " "dan kehilangan " " " " " "
" " "data " " " " " "
"6 "Bank BCA"Penggunaan "Penyusupan dan " " " "H "
" "& "firewall hanya "gangguan yang " " " " "
" "Service "pada sisi luar DMZ"berasal dari " " " " "
" "Provider"saja, berpotensi "jaringan local " " " " "
" " "terbukanya wilayah"dapat langsung " " " " "
" " "server dari "masuk ke area DMZ " " " " "
" " "gangguan yang "dimana server " " " " "
" " "berasal dari "berada, dan " " " " "
" " "dalam jaringan "mengakses informasi" " " " "
" " "(local), karena "dan system yang " " " " "
" " "area dalam DMZ "sensitive dan " " " " "
" " "tidak dilindungi "kritikal. " " " " "
" " "firewall " " " " " "
"7 "Bank BCA"File system backup"Hasil backup tidak " " " "C "
" " "gagal saat "dapat direstore, " " " " "
" " "direstore, maka "sehingga harus " " " " "
" " "berpotensi jika "meng-entry ulang " " " " "
" " "terjadi kehilangan"berdasarkan form " " " " "
" " "data pada sistem "manual " " " " "
" " "utama " " " " " "
"8 "Service "Resiko kebocoran "Penyalahgunaan data" " " "H "
" "Provider"data saat "nasabah dan " " " " "
" " "melakukan "pencurian uang " " " " "
" " "transaksi di sisi "nasabah " " " " "
" " "Provider SMS / " " " " " "
" " "penyedia layanan " " " " " "
" " "jaringan seluler " " " " " "
"9 "User "Nasabah salah "Kesalahan " " " "H "
" " "input data "pengiriman " " " " "
" " " "transfer, kesalahan" " " " "
" " " "input nominal uang " " " " "
"10 "Service "Proses data yang "SMS Banking tidak " " " " "
" "Provider"terkadang lambat "dapat di akses " " " " "
" " "pada jam-jam " " " " " "
" " "tertentu. " " " " " "
3. Mitigation Plan
"NO "Risk Factor "Most Likely"Potential "Likelihood ""Mitigation Plan"
" " "Impact "Impact on "of "(Strongly "
" " " "Project "Occurrence "Recommended)" "
" " " "Success " " "
"1 "Akses Layanan"Medium "HIgh "Medium "Backup server "
" "sharing data " " " " "
"2 "Human Error "High "Medium "High "Manual Guide, "
" " " " " "Validasi Input, "
" " " " " "Session expired "
"3 "Penyalahgunaa"High "Medium "Medium "Monitoring 24/7,"
" "n akses " " " "Pembagian Hak "
" "(Broken " " " "Akses sesuai "
" "Access " " " "Role "
" "Controls) " " " "(Authorization) "
"4 "Akses Layanan" " " " "
" "Informasi " " " " "
" "dengan SMS " " " " "
" "dan Internet " " " " "
3. Procedure / Policy / Standard
1. EISP
Menentukan kebijakan departemen keamanan informasi dan
menciptakkan kondisi keamanan informasi di setiap bagian organisasi.
EISP menentukan arah strategi suatu organisasi, dan cakupan dalam
upaya keamanan. EISP juga memberikan tanggung jawab, panduan
pengembangan, implementasi, dan persyaratan pengelolaan program untuk
berbagai bidang tentang keamanan.
Tujuan dari kebihakan program ini berhubungan dengan keamanan
(integritas) ketersediaan dan kerahasiaan yang digunakan dalam sebuah
organisasi. Keamanan ini digunakan dalam sebuah organisasi untuk
menanggulangi terjadinya kesalahan yang mengakibatkan rusakanya
database, hilangnya data secara tidak sengan, rusaknya data dan
megurangi kesalahan yang terjadi.
Dokumen EISP harus menyediakan :
Gambaran dari filosofi perusahaan pada keamanan
Informasi tentang organisasi infosec dan peran infosec :
Tanggung jawab untuk keamanan bersama oleh semua
anggota organisasi
Tanggung jawab untuk menyediakan keamanan yang
berbeda untuk masing-masing peran organisasi
Komponen EISP antara lain :
Pernyataan Tujuan akan "What the policy for"
Teknologi Informasi Keamanan Elemen "Mendefinisikan
infosec"
Teknologi Informasi Keamanan :
Membenarkan pentingnya infosec dalam organisasi
Teknologi Informasi Keamanan Tanggung Jawab dan Peran
Mendefinisikan struktur organisasi
Referensi Teknologi Informasi standar dan berpedoman
2. ISSP
Dalam keamanan ini menyediakan rincian yang ditargetkan untuk
menginstruksikan organisasi dalam penggunaan sistem teknologi secara
aman. Dimulai dari pengenalan filsafat teknologi dasar organisasi.
Keamanan ini berfungsi untuk melindungi karyawan dan organisasi dari
kesalahan. ISSP juga mempunyai dokumen bagaimana sistem berbasis
teknologi dapat dikendalikan untuk mengidentifikasi proses dan
otoritas yang diberikan pada ISSP. Dengan adanya ISSP, suatu
organisasi dapat mencegah terjadinya penggantian kerugian terhadap
kewajiban yang tidak pantas / ilegal dalam menggunakan sistem. ISSP
harus mengandung alamat sistem yang berbasis teknologi secara
spesifik, selain itu juga harus sering melakukan update.
Cakupan ISSP yaitu :
Email
Penggunaan Internet dan World Wide Web
Konfigutasi minimum pada komputer untuk terlindungi dari
serangan malware
Larangan terhadap hacking atau organisasi dalam pengujian
kontrol keamanan
Penggunaan peralatan komputer milik perusahaan
Penggunaan peralatan pribadi di jaringan perusahaan
Penggunaan teknologi telekomunikasi
Penggunaan peralatan fotokopi
Komponen pada ISSP
Statement of Purpose
Ruang Lingkup dan berlakunya
Definisi Tujuan Teknologi
Responsibilities
Hak Akses dan Penggunaan Peralatan
Hak akses pengguna
Adil dan Penggunaan yang bertanggung jawab
Perlindungan privasi
Larangan Penggunaan Peralatan
Penggunaan alat pengganggu atau Penyalahgunaan
Digunakan untuk tindak kriminal
Serangan atau sebagai bahan untuk melecehkan
Hak cipta, ijin, atau kekayaan intelektual lainnya
Pembatasan lain
Sistem Manajemen
Pengelolaan Bahan Baku
Memonitor karyawan
Perlindungan virus
Physical Security
Enkripsi
Pelangganan Policy/Kebijakan
Prosedur untuk pelaporan pelanggaran
Hukuman untuk pelanggaran
Tinjauan Kebijakan dan Modifikasi
Dijadwalkan ulasan kebijakan dan prosedur untuk modifikasi
Batasan Tanggung Jawab
Pernyataan tanggung jawab atau penyangkalan
Pendekatan umum untuk menerapkan ISSP
Jumlah dokumen ISSP harus independen
Satu dokumen ISSP yang komprehensif
Dokumen ISSP modular yang menyatukan pembuatan dan administrasi
kebijakan
Pendekatan yang disarankan adalah kebijakan modular, yang
menyediakan keseimbangan antara masalah orientasi dan manajemen
kebijakan
3. SSP
SSP biasa digunakan untuk berfungsi sebagai standar atau prosedur yang
kaan digunakan ketika mengkonfigurasi atau perbaikan sistem. SSP dibagi
menjadi :
1. Management Guidance
2. Technical Specifications
3. Combined in a single pocily document
Management Guidance
Dibuat oleh manajemen untuk memandu pelaksanaan dan konfigurasi
teknologi
Digunakan pada setiap teknologi yang mempunyai kerahasiaan,
integritas atau ketersediaan informasi
Menginformasikan teknologi manajemen secara terus menerus
Technical Specifications
Sistem administrator dilaksanakan pada kebijakan manajerial
Setiap jenis peralatan kebijakan masing-masing
Dua metode umum dalam menerapkan technical controls :
Daftar akses kontrol
Configuration rules
Access Control Lists (ACL)
Hak akes pada ACL Administrator
Read
Write
Create
Modify
Delete
Compare
Copy
DAFTAR PUSTAKA
1. Pratama, Antonius Nugraha Widhi. CodeIgniter : Cara Mudah Membangun
Aplikasi PHP, Penerbit MediaKita, Jakarta, 2010.
2. Ellislab, CodeIgniter User Guide, (Online),
(http://ellislab.com/codeigniter/user-guide/, diakses 8 Mei 2015).
3. Jogiyanto, Analisis dan Disain Sistem Informasi, Penerbit Andi,
Yogyakarta, 2005.
4. Soedjono. dkk, Sejarah Gramafon, Radio dan Televisi, Penerbit Titian
Ilmu, Bandung, 1999.
5. Wahyudi, Bambang, Juni 2012, Catatan Perancangan Sistem, (Online),
(http://bwahyudi.staff.gunadarma.ac.id/Downloads/files/1289/perancis.doc,
diakses 28 April 2015).
6. Riffle, Keith, The Free Web Design EBook, (Online), 2009.
(http://www.freewebdesignebook.com/FreeWebDesignEbook.pdf,
diakses 25 Mei 2015).
7. Sidik, Beta. Framework CodeIgniter, Penerbit Gramedia, Jakarta, 2012.
8. Solichin, Achmad, MySQL 5, Dari Pemula Hingga Mahir, (Online), 2010.
(http://achmatim.net/2010/01/30/buku-gratis-mysql-5-dari-pemula-hingga-
mahir/,
diakses 12 Juni 2015).
