Proteksi Dan Teknik Keamanan Sistem Informasi. Mata Kuliah Proteksi dan Teknik Keamanan Sistem Informasi

Transkripsi

1 Tugas Kuliah Proteksi Dan Teknik Keamanan Sistem Informasi Kelompok 101 Abstraksi Dokumen ini berisi Perancangan Keamanan Sistem Informasi Kantor Notaris XYZ sebuah kantor yang bergerak di bidang hukum Tipe Dokumen Tugas Kuliah Klasifikasi Dokumen Kuliah Referensi Mata Kuliah Proteksi dan Teknik Keamanan Sistem Informasi Status Revisi 4 Tanggal 20 Mei 2005 Disiapkan oleh Sukma Wardhana ( ) Michael Edison Nata ( ) Johannes Edwin ( Y)

2 Daftar Isi Daftar Isi...2 Daftar Gambar dan Table...3 Abstrak Pendahuluan Latar Belakang Tujuan Ruang Lingkup Permasalahan Sekilas mengenai Kantor Notaris XYZ Struktur organisasi...7 Daftar jabatan dan nama dari staff kantor notaris XYZ...8 Daftar jabatan dan pekerjaan kantor notaris XYZ...8 Rincian infrastruktur yang digunakan oleh Kantor Notaris XYZ...10 Rincian sistem informasi yang digunakan oleh Kantor Notaris XYZ...11 Network Topologi dari Kantor Notaris XYZ Ruang Lingkup bidang usaha Denah Ruangan Kantor Pembahasan IT Security Domain Security Management Practices Access Control Systems and Methodology Telecommunication and Network Security Cryptography Security Architectures and Model Operations Security Application and Systems Development Security Disaster Recovery and Business Continuity Plan Laws, Investigations and Ethics Physical Security Auditing Kelompok 101 IKI MTI UI Page 2 of 23

3 Daftar Gambar dan Table Gambar 1. Struktur Organisasi Kantor Notaris XYZ... 7 Gambar 2. Denah Network Topologi Kantor Notaris XYZ Gambar 3. Denah Ruangan Lantai Gambar 4. Denah Ruangan Lantai Gambar 5. Denah Ruangan Lantai Tabel 1. Komposisi Pegawai Kantor Notaris XYZ... 8 Tabel 2. Komposisi Pegawai dan Deskripsi pekerjaan Tabel 3. Daftar Infrastruktur Kantor Notaris XYZ Tabel 4. Daftar Sistem Informasi Kantor Notaris XYZ Kelompok 101 IKI MTI UI Page 3 of 23

4 Abstrak Tulisan ini membahas keamanan sistem informasi berdasarkan 10 domain keamanan sistem informasi. Ke-10 domain keamanan sistem informasi yang dijadikan dasar pembahasan merupakan kerangka acuan standar yang digunakan dalam mengaudit suatu sistem informasi. Kerangka acuan tersebut dikembangkan oleh ISACA (Information Systems Audit and Control Association) dan digunakan secara luas di dunia dalam melakukan audit terhadap suatu sistem informasi. Fokus pembahasan ke-10 domain keamanan sistem informasi adalah Sistem Informasi NotarisNet yang dikembangkan dan digunakan oleh Kantor Notaris XYZ. Kantor Notaris XYZ adalah sebuah usaha kecil menengah yang bergerak dibidang jasa pembuatan akta tanah dan Perseroan Terbatas. Kantor Notaris XYZ memiliki karyawan 55 orang dan menempati sebuah ruko di suatu kawasan bisnis di Jakarta. Dalam melakukan kegiatan bisnisnya, Kantor Notaris XYZ telah mengembangkan suatu sistem informasi yang disebut Sistem Informasi NotarisNet yang ditujukan untuk memberikan informasi kepada para calon klien dan klien dari kantor notaris ini mengenai pengumuman, jadwal acara, dan status proyek yang sedang dikerjakan untuk masing-masing klien. Kantor Notaris XYZ yang menjadi pusat pembahasan dalam tulisan ini adalah sebuah perusahaan fiktif. Bila terdapat kesamaan nama, tempat, situasi, dan hal lainnya dengan dunia nyata, hal itu bukanlah suatu kesengajaan Kelompok 101 IKI MTI UI Page 4 of 23

5 1. Pendahuluan 1.1 Latar Belakang Tulisan ini dibuat sebagai bagian dari mata kuliah Proteksi dan Teknik Keamanan Sistem Informasi pada jurusan Manajemen Teknologi Informasi, Fakultas Ilmu Komputer Universitas Indonesia. Dalam mata kuliah Proteksi dan Teknik Keamanan Sistem Informasi dipelajari aspekaspek yang memegang peran penting dalam menjamin keamanan suatu sistem informasi berdasarkan kerangka acuan yang dikembangkan oleh ISACA (Information Systems Audit and Control Association). Kerangka acuan yang digunakan dalam analisis keamanan sistem informasi dalam tulisan ini merupakan standar yang umum digunakan di dunia dalam melakukan audit sistem informasi. 1.2 Tujuan Untuk meningkatkan pemahaman mengenai keamanan suatu sistem informasi melalui pengalaman langsung melakukan analisis keamanan sistem informasi berdasarkan 10 domain keamanan. 1.3 Ruang Lingkup Permasalahan Tulisan ini dipusatkan pada pembahasan 10 domain keamanan sistem informasi berdasarkan kerangka acuan yang dikembangkan oleh ISACA (Information Systems Audit and Control Association). Pembahasan dilakukan terhadap Sistem Informasi KurirNet yang dikembangkan dan digunakan oleh suatu perusahaan fiktif PT. Titipan Kurir Jaya. Penggunaan sistem fiktif dilakukan sesuai dengan prasyarat pembuatan makalah sebagai telah disebutkan pada bagian latar belakang dengan tidak mengurangi nilai dan bobot akademik dari analisis yang dilakukan Kelompok 101 IKI MTI UI Page 5 of 23

6 1.4 Sekilas mengenai Kantor Notaris XYZ Kantor notaris XYZ adalah merupakan sebuah usaha yang bergerak dalam bidang layanan jasa hukum dimana kantor notaris ini menempati posisi lima besar di Indonesia. Pada saat ini selain melayani dalam bidang hukum, kantor notaris ini berencana untuk mengambil ISO. Kantor notaris XYZ berdiri pada tahun 1979, pada saat ini kantor notaris XYZ memperkerjakan sekitar 55 orang. Untuk melayani kebutuhan jasa dalam bidang hukum, meningkatkan efesiensi kerja, paperless, dan menyelesaikan proyek tepat pada waktunya maka kantor notaris ini menggunakan sistem komputer yang digunakan untuk perhitungan anggaran, database, penjadwalan proyek dan membuat operasi prosedur. Kantor notaris ini menggunakan kurang lebih 50 komputer dimana sebagian dari jumlah pc ini memiliki fasilitas dual monitor Kelompok 101 IKI MTI UI Page 6 of 23

7 Struktur organisasi Kantor notaris XYZ didirikan pada tahun 1979 oleh A1 dengan modal awal Rp 300 juta. Hingga kini posisi direktur utama dipegang oleh A1 sekaligus pemilik. Struktur organisasi yang berlaku sampai saat ini adalah sebagai berikut: Direktur Gambar 1. Struktur Organisasi Kantor Notaris XYZ TI HRD Keuangan Administrasi Bussines Development PT Notaris Driver Kurir Office Boy Office Girl 2005 Kelompok 101 IKI MTI UI Page 7 of 23

8 Daftar jabatan dan nama dari staff kantor notaris XYZ Daftar nama dari staff kantor notaris XYZ dapat dilihat pada tabel berikut ini: No. Jabatan Jumlah Personil Nama 1. Direktur (Direktur XYZ) 1 A1 2. HRD 2 A2, A3 3. Keuangan 3 A4, A5, A6 4. Administrasi 9 A6, A7, A8, A9, A10, A11, A12, A13, A14 5. Business Development 3 A15, A16, A17 6. PT 7 A18, A19, A20, A21, A22, A23, A24 7. Notaris 15 A25, A26, A27, A28, A29, A30, A31, A32, A33, A34, A35, A36, A37, A38, A39 8. IT 2 A40, A41 9. Driver 2 A42, A Kurir 2 A44, A Office Boy 1 A Office Girl 1 A47 Tabel 1. Komposisi Pegawai Kantor Notaris XYZ Daftar jabatan dan pekerjaan kantor notaris XYZ Spesifikasi sistem yang digunakan oleh staff dapat dilihat pada tabel sebagai berikut: Staff Work Hour Description Computer Direktur Pemimpin perusahaan P4 2.8 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Ms Project, monitor 17. Staff TI 40 jam Membangun aplikasi P4 2.8 GB, DDRAM per untuk company web, 256 MB, HD 80 GB, 2005 Kelompok 101 IKI MTI UI Page 8 of 23

9 Staff HRD Staff Keuangan Staff Administrasi Staff Business Development Staff PT Staff Notaris minggu sistem absensi dan HRD (pengajian, lembur, bonus, dan prestasi kerja) 40 jam per minggu 40 jam per minggu 40 jam per minggu 40 jam per minggu 40 jam per minggu 40 jam per minggu Personalia. Accounting dan Finance 1. Bagian pembelian stok stationary, pembayaran biaya-biaya operasional, dll. 2. Bagian penagihan, billing kepada klien, dll. Bagian front office kantor, resepsionis, operator telepon, penerima tamu, kontak person, bagian pengurusan surat-surat dengan pihak luar, dll. Menganalisa perkembangan bisnis, menganalisa kebutuhan perusahaan. Mengurus surat-surat akta untuk klien korporate, termasuk akta pendirian perusahaan, penambahan modal, pembagian deviden, dll. Notaris pembuat akte dan surat tanah, mengurus surat-surat ke badan pertanahan nasional, mengurus jual-beli tanah, Ms W2K Professional Edition, Ms Office XP, Ms Visual Studio.Net, Ms SQL Server, NAV Client Corporate Edition, monitor 17. P4 2.4 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Printer LaserJet, monitor 17. P4 2.4 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Printer LQ P4 2.0 GB, DDRAM 128 MB, HD 40 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Printer LX- 300+, monitor 15. P4 2.4 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Ms Project., monitor 17 P4 2.4 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate Edition, Ms Project., monitor 17 P4 2.4 GB, DDRAM 256 MB, HD 80 GB, Ms W2K Professional Edition, Ms Office XP, NAV Client Corporate 2005 Kelompok 101 IKI MTI UI Page 9 of 23

10 Office Boy dan Office Girl Driver Kurir 40 jam per minggu 40 jam per minggu 40 jam per minggu pemindahtanganan, warisan, dll. Mempesiapkan makan, membersihkan kantor. Sopir. Mengantar surat, dokumen, menjemput dokumen dari klien, dll. Edition, Ms Project., monitor 17 Tabel 2. Komposisi Pegawai dan Deskripsi pekerjaan di Kantor Notaris XYZ Rincian infrastruktur yang digunakan oleh Kantor Notaris XYZ Rincian perangkat keras yang telah di implementasikan dikantor notaris XYZ adalah sebagai berikut: Item Description Total PC PC yang digunakan oleh staff yang 42 hampir semuanya memiliki fasilitas dual monitor untuk memudahkan komparasi dokumen Server Windows 2000 Server Edition untuk: 4 1. Project Server 2. Backup Project Server 3. Domain Controller Server 4. Web Server Jaringan komputer TCP/IP, LAN 10/100 Internet ADSL, Cable Modem dari KabelVision sebagai backup hosting None, menggunakan pribadi, 0 tidak ada corporate Web hosting Menggunakan web hosting yang free di 1 geocity untuk menampilkan profil perusahaan, rencananya akan membeli nama domain untuk nama websitenya Printer - Printer LQ-2180 untuk mencetak - 3 LQ2180 dokumen-dokumen rangkap dan dokumen yang memiliki ukuran sampai dengan US StanFold yang 2005 Kelompok 101 IKI MTI UI Page 10 of 23

11 Scanner terletak dibagian administrasi (3 buah). - Printer DeskJet untuk mencetak dokumen-dokumen yang digunakan oleh divisi PPAT, PT, Direktur dan divisi TI (3 di bagian PPAT dan 2 dibagian PT, 1 buah di ruangan direktur, 1 untuk divisi TI) Digunakan untuk menyimpan arsiparsip menjadi data digital (1 buah untuk divisi TI, 1 buah di divisi PPAT, 1 buah untuk divisi PT dan 1 buah untuk divisi administrasi). - 7 DeskJet 4 Tabel 3. Daftar Infrastruktur Kantor Notaris XYZ Rincian sistem informasi yang digunakan oleh Kantor Notaris XYZ Rincian sistem informasi yang telah di implementasikan dikantor notaris XYZ adalah sebagai berikut: Item Description Location Aplikasi HRD Aplikasi pengajian, cuti, honor dan Local Web bonus, lembur, serta prestasi kerja Server Aplikasi Absensi Aplikasi absensi karyawan yang bisa Local Web di ekstrak datanya sebagai masukan Server bagi aplikasi HRD Aplikasi Keuangan Client Application Billing Project Application Domain System Controller Aplikasi untuk mencatat pemasukan dan pengeluaran bagi keperluan perusahaan. Aplikasi untuk mencatat tagihan ke klien, melihat aging tagihan untuk klien Aplikasi untuk pengaturan proyek yang ada, penjadwalan, mencatat kemajuan proyek, dll. Fasilitas dari Windows 2000 Server Edition untuk mengatur otorisasi dari user mengenai akses file (file sharring), akses dokumen, pengamanan jaringan (user login), web akses, dll Web Application Aplikasi local web untuk pengumuman jadwal proyek, hasil dari Local Web Server Local Web Server Project Server dan Backup Server Domain Controller Server Local Web Server 2005 Kelompok 101 IKI MTI UI Page 11 of 23

12 proyek yang dikerjakan bagi klien (client notification), daftar klien, profil perusahaan, pendaftaran online via web yang hasilnya akan ditindak lanjuti oleh bagian administrasi, PT dan Notaris PPAT. Tabel 4. Daftar Sistem Informasi Kantor Notaris XYZ Network Topologi dari Kantor Notaris XYZ Gambar 2. Denah Network Topologi Kantor Notaris XYZ Ruang Lingkup bidang usaha Fokus kerja dari Kantor Notaris XYZ adalah dibidang pembuatan akta bagi Perseroan Terbatas (bagian divisi PT) serta mengurus akta tanah bagi perseorangan dan perusahaan (bagian divisi Notaris PPAT) Kelompok 101 IKI MTI UI Page 12 of 23

13 Kantor Notaris XYZ menyediakan layanan jemput antar bagi dokumen dan akta dari klien, klien tidak perlu datang ke Kantor Notaris XYZ untuk mengurus dokumen kecuali untuk beberapa hal yang memerlukan adanya kehadiran dari klien untuk pengurusan data Denah Ruangan Kantor Kantor Notaris XYZ ini berdiri diatas sebidang tanah dengan gedung berbentuk rumah toko (ruko) tiga lantai. Lantai 1 dari kantor ini digunakan untuk ruang administrasi dan resepsionis, ruang tunggu tamu, ruang pertemuan, ruang makan dan pantry serta kamar mandi. Selain itu, lantai 1 ini juga digunakan sebagai ruang istirahat bagi office boy, office girl, kurir serta satpam jaga. Gambar 3. Denah Ruangan Lantai 1 Lantai 2 digunakan untuk ruang notaris (PPAT), notaris (PT), ruang direksi dan kamar mandi Kelompok 101 IKI MTI UI Page 13 of 23

14 Gambar 4. Denah Ruangan Lantai 2 Lantai 3 digunakan sebagai ruang penyimpanan arsip, ruang server yang menyatu dengan ruangan divisi TI. Gambar 5. Denah Ruangan Lantai Kelompok 101 IKI MTI UI Page 14 of 23

15 2. Pembahasan IT Security Domain 2.1. Security Management Practices Resiko: Ada sejumlah resiko yang dihadapi oleh Kantor Notaris XYZ terkait dengan berbagai ancaman yang mungkin terjadi seperti: 1. Kerusakan data (destruction) Kehilangan data-data transaksi atau data pelaporan yang dapat terjadi karena kelalaian manusia, bencana alam, kebakaran, kerusuhan, listrik mati atau serangan virus. 2. Pencurian (theft/disclosure) Data-data penting yang dapat dicuri dan disalahgunakan.untuk kepentingan pihak lain, contohnya saingan atau pihak-pihak lain yang terkait. 3. Pengubahan (modification) Pengubahan data-data baik data vital maupun non vital yang ada, pengantian isi surat perjanjian, perubahan nilai kontrak, dll oleh pihak yang tidak bertanggung jawab. 4. Penipuan (fraud) Menambah atau mengurangi isi data yang ada dengan tujuan untuk memanipulasi nilai, isi maupun tujuan dari data itu sehingga isinya menjadi berbeda dengan isi yang seharusnya. Tujuan: Setiap resiko dari ancaman yang sudah diidentifikasikan di atas harus dapat dieliminasi atau diantisipasi dengan serangkaian prosedur yang baku untuk melindungi keamanan informasi Kelompok 101 IKI MTI UI Page 15 of 23

16 2.2. Access Control Systems and Methodology Resiko: Unauthorized access untuk data pada sistem pelaporan dan data transaksi. Tujuan: Resiko unauthorized access akan dihilangkan dengan penerapan password dan right access secara sederhana dengan memanfaatkan fasilitas yang disediakan oleh operating system atau LAN. Selain itu tujuan dari pembagian domain ini adalah adanya mekanisme dan metode yang digunakan oleh para administrator/manajer untuk mengontrol apa yang boleh diakses pengguna, termasuk apa yang boleh dilakukan setelah otentikasi dan otorisasi, termasuk pemantauannya. Secara umum acess control system & methodology di bagi ke dalam tiga cara. 1. Identification Melakukan identifikasi terhadap pengguna yang akan memasuki resource, dengan menanyakan apa yang diketahui oleh pengguna tersebut. Misalnya: Password. 2. Authentication Melakukan autentifikasi terhadap pengguna yang akan memasuki resource, dengan menanyakan apa yang dimiliki oleh pengguna tersebut. Misalnya: smart card 3. Authorization Melakukan autorisasi terhadap pengguna yang akan memasuki resource dengan melakukan pengecekan terhadap daftar orang yang memiliki autorisasi. Access Control System yang sudah dilakukan di Kantor Notaris XYZ adalah: 1. File Sharing dengan melakukan pembatasan melalui login yang diatur secara terpusat lewat Windows Domain Controller Kelompok 101 IKI MTI UI Page 16 of 23

17 2. Pembatasan hak akses untuk aplikasi HRD, Absensi, Keuangan, Client Billing Application melalui otorisasi login yang dilakukan pada saat akan menjalankan aplikasi-aplikasi diatas. 3. Pembatasan akses data yang akan digunakan bersama dan hanya dapat diakses oleh tim yang berkepentingan. Termasuk didalamnya data-data mengenai proyek berjalan yang ditangani oleh masing-masing tim, file dan dokumen yang berkaitan dengan proyek tersebut Telecommunication and Network Security Resiko: Kerusakan fisik infrastruktur jaringan LAN (Cabling, ports, UPS dll) Tujuan: Resiko ini dapat dieliminasi dengan mempersiapkan program maintenance terjadwal untuk memeriksa kondisi fisik infrastruktur secara periodik Cryptography Resiko: Penyadapan data sensitif perusahaan oleh pihak yang tidak berhak. Tujuan: Resiko penyadapan data yang tidak disandikan dianggap sebagai resiko yang dapat diabaikan mengingat data tidak ditransmisikan keluar perusahaan Security Architectures and Model Resiko: 1. Tidak semua staf yang menggunakan computer memiliki pemahaman akan pentingnya adanya tingkat keamanan akan data-data yang mereka gunakan. Hanya beberapa orang saja yang benar-benar perduli akan pentingnya keamanan dari data-data mereka Kelompok 101 IKI MTI UI Page 17 of 23

18 2. Informasi sensitif yang tidak boleh disebarluaskan kepada seluruh pegawai, seperti data klien, data-data keuangan perusahaan, dan data pegawai. 3. Sistem operasi pada komputer yang mendukung pembatasan akses dengan fasilitas password. 4. Beberapa aplikasi yang digunakan masih beresiko memiliki back door. Tujuan: 1. Membuat kebijakan keamanan SI/TI yang sederhana dan mudah dipahami, dan tidak terasa menyulitkan pekerjaan dari masing-masing staf. 2. Membatasi proteksi keamanan SI/TI pada tingkat yang mampu dikelola (managable). Sehingga resiko seperti back door pada aplikasi akan tetap terbuka karena tidak tertangani dengan sumber daya yang ada namun cukup bias dikendalikan kebocorannya. 3. Kendali keamanan SI/TI mengikuti kebijakan pada aspek lainnya (seperti kepegawaian dan keuangan) yang mengikuti kebijakan dari direksi Kantor Notaris XYZ. Sehingga kebijakan keamanan tidak dianggap terpisah dari kebijakan lainnya Operations Security Resiko: 1. Pegawai yang menyalahgunakan hak akses yang diberikan kepadanya untuk kepentingan lain diluar tugas dan kewajibannya. 2. Pembatasan akses akan menyulitkan staf untuk bekerja maksimal sesuai dengan kemampuannya. Tujuan: Memberi penugasan kepada pegawai yang efektif, memberikan insentif dan sanksi atas kedisiplinan pegawai Kelompok 101 IKI MTI UI Page 18 of 23

19 2.7. Application and Systems Development Security Resiko: Data yang digunakan sebagai data contoh ketika akan mengembangkan suatu aplikasi baru maupun akan melakukan pengembangan / modifikasi pada aplikasi yang sudah berjalan dapat saja diperlukan untuk menyesuaikan dengan bisnis proses perusahaan yang dapat berubah secara dinamis. Tujuan: Adanya antisipasi agar proses pengembangan maupun modifikasi dari aplikasi baru maupun aplikasi yang sudah berjalan dapat berjalan dengan lancar dan tidak mengalami hambatan Disaster Recovery and Business Continuity Plan Resiko: 1. Terputusnya aliran listrik. Listrik yang disuplai oleh PLN tidak selalu ada setiap waktu, terkadang secara terduga aliran listrik itu terputus, hal ini bisa disebabkan oleh karena adanya perawatan jaringan, perbaikan jaringan ataupun juga dapat disebabkan oleh faktor-faktor lain yang tidak terduga. 2. Banjir. Bajir yang terjadi dapat merusak file-file dan dokumen yang ada, terlebih lagi untuk notaris, hampir semua data disimpan dalam bentuk kertas. Banjir yang merendam dapat merusakan semua datadata tersebut. 3. Kelembaban. Hampir sama dengan banjir, kelembaban yang tidak sesuai dengan standar yang ada dapat membuat dokumen menjadi cepat lapuk, kertas-kertas jadi saling menempel, dll. Hal ini dapat merusak dokumen. Selain itu kelembaban juga berpengaruh pada komponen elektronik yang cenderung sesitif pada kelembaban yang tinggi. 4. Kebakaran. Resiko kebakaran terbesar dari kantor ini adalah dari bagian pantry karena adanya kompor untuk memasak / menghangatkan 2005 Kelompok 101 IKI MTI UI Page 19 of 23

20 makan. Izin usaha dari pemerintah telah mensyaratkan kelengkapan pemadam kebakaran untuk meminimalisasi resiko tersebut. 5. Tungau, rayap, tikus dan serangga pengganggu lainnya karena bisa merusak dokumen dan perangkat elektronik. Tujuan: 1. Penanggulangan bencana terhadap aset TI mengikuti kebijakan dari pemerintah secara umum yang memprioritaskan penyelamatan manusia dan aset fisik berupa peralatan dan bangunan ruko tempat kantor tersebut berada. 2. Kelanjutan aktivitas perusahaan pada saat bencana tergantung klasifikasi bencana dan status serta kondisi bangunan. Rekomendasi: Walaupun setelah dilihat UKM ini telah memiliki tingkat minimal dari DRP kami melihat masih ada kemungkinan untuk lebih ditingkatkannya UKM ini dalam hal preventif action maupun corrective action dari segi Bisnis Continuity Plan UKM ini, adapun hal hal tersebut diantaranya 1. Diadakannya Sistem Back Up yang lebih terencana dan disiplin, dalam arti dibuat rencana back-up yang lebih teratur dan rinci dari harian, mingguan dan bulanan. 2. Saat ini masih dapat dikatakan UKM tersebut memiliki cold sites dalam hal ini adalah kediaman direktur masih dapat ditingkatkan menjadi warm sites dengan menyiapkan infrastruktur yang lebih memadai di lokasi DRP tersebut. 3. Dilakukan pemeriksaan terhadap alat pemadam kebakaran dan latihan penggunaan alat tersebut bukan hanya terhadap satpam juga terhadap seluruh personil Laws, Investigations and Ethics Resiko: 1. Melanggar undang-undang mengenai hak cipta akibat dari penggunaan piranti lunak bukan freeware yang tidak memiliki lisensi Kelompok 101 IKI MTI UI Page 20 of 23

21 2. Pencurian informasi secara elektronik yang dimungkinkan dengan belum adanya aturan resmi dan kontrol secara langsung pada piranti keras yang digunakan untuk membatasi keluar masuknya data lewat jalan yang tidak seharusnya, contohnya USB Port yang dapat dengan mudah dihubungkan dengan Pen Drive sehingga transfer data semakin mudah sementara piranti lunak yang digunakan belum mempunyai kemampuan untuk mengontrol pembatasan penggunaan USB Port tersebut lewat login yang digunakan. Tujuan: 1. Mengurangi resiko pelanggaran undang-undang tentang hak cipta untuk piranti lunak yang digunakan, contohnya berpindah ke aplikasi yang tidak membutuhkan lisensi atau yang open source. 2. Mengurangi resiko bocornya data kepihak-pihak yang tidak berkepentingan oleh karena mudahnya akses keluar masuknya data dari setiap workstation yang ada di kantor notaris ini. 3. Adanya fasilitas untuk mencatat status dan user yang melakukan modifikasi, pembuatan, maupun penghapusan data untuk memudahkan pelacakan jika terjadi hal-hal yang tidak diinginkan. Rekomendasi: Saat ini karena berdasarkan nature bisnis UKM adalah badan hukum pada dasarnya UKM ini sudah memahami masalah hukum dalam penggunaan perangkat lunak dan hak cipta, sehingga tingkat kesadaran mereka cukup tinggi terbukti dengan penggunaan sofrware legal dan kesadaran akan pentingnya hakcipta. Namun dalam hal etika masih dapat kami rekomendasikan seputar penggunaan fasilitas IT di kantor Notaris ini sbb, 1. Masih diperlukan sosialisasi kepada karyawan akan pentingnya efisiensi dan efektifitas dari penggunaann fasilitas IT yang dimiliki UKM ini sehingga tingkat kewaspadaan dan kesadaran dari personelnya tetap tinggi Kelompok 101 IKI MTI UI Page 21 of 23

22 2. Diperlukan suatu sistematika atau prosedur aturan internal dari UKM tentang kebijakan dari penggunaan sumber daya teknologi informasi dan komunikasi yang merupakan aset dari UKM. Sehingga ada semacam aturan tertulis tentang kebijakan penggunaan dan etika dari pemakaian sumber daya Teknologi Informasi dan komunikasi Physical Security Resiko: 1. Pihak yang tidak berwenang dapat mengakses data rahasia perusahaan yang tersimpan di bagian Administrasi. 2. Aset perangkat TI beresiko dicuri oleh pihak internal maupun eksternal. 3. Notebook pemilik beresiko tinggi dicuri. 4. Pegawai bengkel yang tidak menjaga aset dengan baik, misalnya dengan menukar mouse atau keyboard milik perusahaan. 5. Komputer cepat rusak karena terkena oli, air atau bahan lain yang bersifat merusak. Misalnya penggunanya sering memegang oli. Tujuan: Mengurangi resiko kerugian secara nominal. Rekomendasi: Tingkat keamanan fisik dari UKM ini masih pada level minimal, terbukti dengan adanya satpam dan mekanisme keamanaan dasar, namun pada dasarnya kami melihat masih dapat di tingkatkanya level keamanan fisik yang dimiliki oleh UKM ini yaitu, 1. Pengoptimalan sistem penguncian pada lantai 3 dimana tidak semua personil bisa masuk ke lantai 3 tempat arsip (hardcopy) dan ruang server dari UKM. 2. Demikian juga dengan optmalisasi dari penguncian di lantai dua yang mana terdapat komputer dari bagian bagain penting UKM ini sehingga kemungkinan kehilangan dapat diperkecil Kelompok 101 IKI MTI UI Page 22 of 23

23 2.11. Auditing Resiko: Kebocoran keamanan SI/TI yang tidak teridentifikasi dan merugikan perusahaan. Tujuan: 1. Memeriksa apakah tugas dari masing-masing staf telah dilaksanakan dengan baik. 2. Mengurangi kerugian perusahaan. Rekomendasi: Saat ini UKM ini diaudit oleh KAP yang tentunya bukan KAP besar namun, masih sesuai dengan Norma Pemeriksaan Akuntan Publik yang di dalamnya terdapat kaidah pemeriksaan terhadap pengolahan data elektronik, namun tentunya tidak se komprehensif yang terdapat pada COBIT atau GAAP dari AICPA yang sekarang ini menjadi tolok ukur paling komprehensif dibidang IT Audit. Untuk itu kami merekomendasikan 1. Diadakannya pengevaluasian terhadap kinerja dengan mengacu kepada frame work diatas, karena pada dasarnya secara komprehensif nantinya tujuan dari auditing akan menuju pada suatu kesimpulan komprehensif juga. 2. Hal ini akan menguntungkan UKM karena pada dengan demikian UKM akan menyiapkan diri menjadi organisasi bisnis yang lebih kompleks, dalam arti UKM ini nantinya akan siap menjadi organisasi yang lebih profesional termasuk dalm hal pengelolaan divisi IT nya Kelompok 101 IKI MTI UI Page 23 of 23