Universitas Indonesia. IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi. P.T Penerbit Percetakan Jaya

Transkripsi

1 Universitas Indonesia IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi P.T Penerbit Percetakan Jaya Ade Gunawan Dananjaya Kekhususan Teknologi Informasi Program Magister Ilmu Komputer Fakultas Ilmu Komputer Universitas Indonesia 2004 Kelompok 74 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini

2 DAFTAR ISI I. Pendahuluan...3 II. Susunan Organisasi PT PPJ...4 II.1 Staff Perusahaan... 6 III. Analisa Jaringan Komputer PT PPJ...9 IV. Floor Plan PT PPJ...12 VI. Analisa Konfigurasi Struktur Jaringan WAN PT PPJ...13 VII. Analisa 11 Domain Keamanan infrastruktur TI PT PPJ...14 VII.1 Access Control Systems and Methodology VII.2 Telecommunications & Ne twork Security VII.3 Security Management Practices VII.4 Application and System Development Security VII.5 Cryptography VII.6 Security Architecture dan Models VII.7 Operations Security VII.8 Disaster Recovery & Business Continuity Plan VII.8.1 Mekanisme Backup...29 VII.8.2 Emergency List VII.9 Laws, Investigation & Ethics VII.10 Phisical Security VII.11 Auditing & Assurance

3 I. Pendahuluan I.1 Profil Perusahaan Nama perusahaan : PT Penerbit Percetakan Jaya (PT PPJ) Lokasi : Jakarta Jenis usaha : Penerbitan dan Percetakan Visi : Menjadi perusahaan percetakan Big Five di Indonesia Misi : Penyedia layanan penerbitan dan percetakan yang terpercaya Jumlah Modal di setor : Rp. 50 Juta Aset Saat ini : Rp. 500 Juta Revenue : Rp. 30 Juta / Bulan Spending IT : Rp. 20 Juta / Tahun Personel IT : 3 Orang I.2 Deskripsi Singkat P.T Penerbit Percetakan Jaya (PT PPJ) adalah sebuah perusahaan yang bergerak di bidang percetakan dan penerbitan, perusahaan ini berdiri pada tahun 1945 diawali dengan pembukaan kantor pertama di Jakarta di bilangan ruko Tanah Abang dengan luas bangunan sebesar 250M2. Pendiri PT PPJ adalah dua bersaudara Tan Aseng dan Tan Ahong warga Indonesia keturunan tionghoa yang sekarang menjadi Direktur dari perusahaan tersebut. Dengan berjalannya waktu maka semakin berkembanglah bisnis percetakan dan penerbitan milik dua bersaudara ini, yang semula hanya melayani percetakan kartu undangan pernikahan sekarang sudah melayani pencetakan buku-buku best seller, surat kabar, majalah dan tabloid. Cabang perusahaanpun sudah terdapat pada berbagai kota-kota besar di indonesia, diantaranya adalah 3

4 di Jakarta, Surabaya, Medan, Balik Papan dan Ujung Pandang. Pada saat dibentuk Tan Aseng dan Tan Ahong hanya mengeluarkan modal sebesar lima puluh juta rupiah dan saat ini sudah berkembang menjadi aset ratusan juta rupiah dengan keuntungan perbulan mencapai 30 Juta rupiah. Tulisan ini akan melakukan analisa dalam hal keamanan pada infrastruktur Teknologi Informasi yang diterapkan pada PT PPJ. Hal pertama yang dilakukan adalah dengan mensurvey dan membuat konfigurasi dari infrastruktur yang saat ini sudah di terapkan setelah itu akan dikaji konfigurasi keamanan berdasarkan sebelas domain keamanan infrastruktur teknologi informasi. II. SUSUNAN ORGANISASI PT PPJ PT PPJ dikepalai oleh dua orang direktur yaitu Tan Aseng dan Tan Ahong yang mana keduanya menjabat sebagai direktur sekaligus pemegang saham dari PT PPJ. Kemudian dibawah direktur terdapat 5 orang manajer yang masingmasing mengepalai setiap bagian divisi dari PT PPJ. Divisi yang ada adalah: - Divisi Produksi Divisi yang khusus menangani produksi dari PT PPJ seperti pembuatan layout buku, pencetakan buku sampai dengan pendistribusiannya. - Divisi Development Divisi ini bertugas untuk melakukan pengembangan produk seperti pembuatan design, layout dan melakukan editing. - Divisi Keuangan Divisi ini melakukan perencanaan anggaran keuangan bagi perusahaan dan merencanakan cashflow dari perusahaan. - Divisi Pemasaran dan Sales Divisi yang melakukan kegiatan mencari pasar dan menjual produk jasa yang diberikan oleh perusahaan dalam hal percetakan dan penerbitan. 4

5 - Divisi Teknologi Informasi Divisi ini bertugas melakukan perencanaan infrastruktur bagi perusahaan sekaligus memeliharanya. Setiap manajer mengepalai dan mengatur anggota divisi yang bertugas untuk berbagai kegiatan sepeti manajer produksi mengepalai dan mengatur anggotanya yang bertugas untuk melakukan tugas produksi seperti percetakan, penerbitan dan distribusi. Begitu juga untuk manajer TI mengepalai anggotaanggota divisinya yang bertugas untuk memelihara jaringan, sistem dan database. Bagan struktur oranisasi PT PPJ dapat dilihat pada gambar 1. Disamping struktur organisasi yang menggambarkan personel fungsional pada perusahaan juga terdapat personel yang berfungsi sebagai pendukung dalam melakukan bisnis perusahaan. Personel pendukung tersebut adalah untuk satu kantor terdapat dua orang office boy, dua orang supir perusahaan dan tiga orang satpam yang bertugas untuk menjaga aset-aset dari perusahaan. Dan juga sesuai dengan kebijakan perusahaan maka dalam setiap bagian divisi perusahaan setidaknya terdapat dua orang dengan keahlian yang sama sebagai cadangan apabila orang tersebut melakukan cuti ataupun sakit sehingga tidak masuk kerja sementara ada pekerjaan yang harus diselesaikan dengan segera. Dengan kebijakan ini diharapkan bisnis perusahaan akan tetap dapat berjalan dengan normal walaupun terdapat karyawan yang berhalangan masuk kerja. 5

6 Gambar 1. Bagan Struktur Organisasi PT PPJ Dalam melakukan aktifitas operasi perusahaan PT PPJ memberlakukan dua buah shift kerja yaitu shift pagi untuk melakukan pencetakan pada sore hari, dan shift malam untuk melakukan pencetakan pada pagi hari. Juga ada shift untuk hari libur seperti sabtu dan minggu yang dijadwalkan untuk setiap pegawai dengan menggantikan hari liburnya. II.1 Staff Perusahaan Staff PT PPJ terdiri dari lima puluh orang yang terbagi antar tiap-tiap divisi. Divisi produksi memiliki jumlah pegawai terbanyak yang terbagi atas dua shift yaitu shift siang dan shift malam. Dibawah ini adalah jumlah dan daftar dari pegawai PT PPJ. Jumlah pegawai : 50 Orang Direksi : 2 Orang Divisi Produksi : 15 Orang Divisi Development : 7 Orang Divisi Keuangan : 4 Orang 6

7 Divisi Pemasaran&Sales : 7 Orang Divisi Administrasi : 3 Orang Divisi TI : 4 Orang Office Boy : 2 Orang Satpam : 3 Orang Supir : 2 Orang Receptionist : 1 Orang Tabel I. Daftar dan Tanggung Jawab Pegawai Role Nama Description Direktur 1 A01 Memimpin perusahaan Direktur 2 A02 Memimpin Perusahaan Manajer Divisi Produksi A03 Memimpin Divisi Produksi Koordinator Percetakan A04 Koordinator Bagian Percetakan Koordinator Distribusi A05 Koordinator Bagian Distribusi Koordinator Penerbitan A06 Koordinator Bagian Penerbitan Staff Produksi 1 A07 Melakukan kegiatan produksi Staff Produksi 2 A08 Melakukan kegiatan produksi Staff Produksi 3 A09 Melakukan kegiatan produksi Staff Produksi 4 A10 Melakukan kegiatan produksi Staff Produksi 5 A11 Melakukan kegiatan produksi Staff Produksi 6 A12 Melakukan kegiatan produksi Staff Produksi 7 A13 Melakukan kegiatan produksi Staff Produksi 8 A14 Melakukan kegiatan produksi Staff Produksi 9 A15 Melakukan kegiatan produksi Staff Produksi 10 A16 Melakukan kegiatan produksi Staff Produksi 11 A17 Melakukan kegiatan produksi Manajer Divisi A18 Memimpin Divisi Development Development Koordinator Design A19 Koordinator Bagian Design 7

8 Koordinator Editing A20 Koordinator Bagian Editing Staff Development 1 A21 Melakukan kegiatan development Staff Development 2 A22 Melakukan kegiatan development Staff Development 3 A23 Melakukan kegiatan development Staff Development 4 A24 Melakukan kegiatan development Manajer Divisi Keuangan A25 Memimpin Divisi Keuangan Koordinator Keuangan A26 Koordinator Bagian Keuangan Staff Keuangan 1 A27 Melakukan kegiatan akuntansi Staff Keuangan 2 A28 Melakukan kegiatan akuntansi Manajer Divisi Pemasaran & Sales A29 Memimpin Divisi Pemasaran dan Sales Koordinator Sales A30 Koordinator Bagian Sales Market Analyst 1 A31 Melakukan analisa pasar Market Analyst 2 A32 Melakukan analisa pasar Staff Sales 1 A33 Melakukan kegiatan penjualan Staff Sales 2 A34 Melakukan kegiatan penjualan Staff Sales 3 A35 Melakukan kegiatan penjualan Manajer Divisi TI A36 Memimpin Divisi TI Network Admin A37 Mengelola Jaringan Komputer System Admin A38 Mengelola Sistem Komputer Security Specialist A39 Mengelola Keamanan Sistem TI Administratsi 1 A40 Mendukung kegiatan administratif Administratsi 2 A41 Mendukung kegiatan administratif Administratsi 3 A42 Mendukung kegiatan administratif Office Boy I A43 Mengelola kebersihan gedung Office Boy II A44 Mengelola kebersihan gedung Satpam I A45 Menjaga keamanan gedung Satpam II A46 Menjaga keamanan gedung Satpam III A47 Menjaga keamanan gedung Supir I A48 Melakukan kegiatan transportasi 8

9 Supir II A49 Melakukan kegiatan transportasi Receptionist A50 Melayani pelanggan di depan kantor III. ANALISA JARINGAN KOMPUTER PT PPJ Dalam rangka memudahkan dan mengeffektifkan kerja dari pada karyawannya dan untuk meningkatkan kinerja perusahaan maka sejak tahun 1997 PT PPJ sudah menerapkan infrastruktur Local Area Network di dalam perusahaannya. Pada setiap divisi terdapat komputer dengan spesifikasi yang berbeda-beda, untuk komputer divisi produksi dan development diberikan spesifikasi yang lebih tinggi dari pada divisi lainnya, hal ini disebabkan pada divisi ini dibutuhkan kompute r yang cukup bertenaga untuk melakukan editing gambar dengan resolusi tinggi. Dan untuk divisi marketing dan sales di berikan masing-masing laptop karena kerja nya yang berpindah-pindah untuk melakukan penjualan dan analisa pasar. Tabel II dibawah ini menerangkan jumlah dan spesifikasi dari komputer karyawan PT PPJ. Tabel II. Spesifikasi Komputer PT PPJ Divisi Spesifikasi Jumlah Direksi PC Desktop 2 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP Printers 1 Buah 9

10 Divisi Spesifikasi Jumlah Produksi PC Desktop 7 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP Printers 2 Buah Scaner 2 Buah Development PC Desktop 7 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP Printers 1 Buah Scanner 1 Buah Marketing dan Sales Mobile Computer 4 Buah Processor: Pentium III Memory : 256MB Video RAM : 128 MB OS: Microsoft Windows XP Printers 1 Buah Keuangan PC Desktop 7 Buah Processor: Pentium 4 Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP 10

11 Divisi Spesifikasi Jumlah Teknologi Informasi PC Desktop 4 Buah Administrasi Processor: Pentium 4 Memory : 512MB Video RAM : 256MB OS: Microsoft Windows XP PC Desktop 3 Buah Processor: Pentium III Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP Selain itu juga terdapat dua buah server yang berfungsi sebagai pendukung dari infrastruktur teknologi informasi yang di terapkan pada PT PPJ. Server yang beroperasi dapat dilihat pada tabel III. Tabel III. Spesifikasi Server PT PPJ Server Spesifikasi Fungsi File Server dan Processor: Pentium 4 Sebagai tempat meletakan Server Aplikasi Memory: 512 MB Video RAM: 256 MB berkas-berkas pekerjaan dari karyawan agar tersentralisasi OS: Microsoft Windows dan mudah melakukan 2003 pemeliharaan. Tempat aplikasi yang di akses dari kantor-kantor cabang. 11

12 Server Spesifikasi Fungsi Domain Server, Processor: Pentium 4 Sebagai domain controller Mail Server dan Memory: 512 MB yang berfungsi mengatur Procy Server Video RAM: 256 MB login dan hak akses dari OS: Microsoft Windows komputer karyawan terhadap 2003 berkas-berkas di file server. Aplikasi:Microsoft Exchange Sebagai server untuk menampung dan mengirimkan karyawan. IV. FLOOR PLAN PT PPJ Berdasarkan divisi dari PT PPJ dibuat suatu rancangan denah dari ruangan yang digunakan oleh perusahaan. Divisi terbagi atas 5 bagian yang masingmasing menempati ruangan tersendiri dan juga terdapat ruangan direksi, server, pantry dan front office. Denah ini berguna untuk mengetahui rancangan dari infrastruktur jaringan komputer PT PPJ. Komponen yang terlibat antara lain adalah komputer, printer, scanner dan telepon. Untuk ruang server komponennya adalah server, switch dan PABX. Denah dapat dilihat pada Gambar II. 12

13 Gambar II. Denah Floor Plan PT PPJ V. ANALISA KONFIGURASI STRUKTUR JARINGAN WAN PT PPJ PT PPJ memiliki cabang yang berada pada kota-kota besar di seluruh indonesia, diantaranya adalah Medan, Ujung Pandang, Surabaya dan Balik Papan. Untuk setiap cabang PT PPJ menggunakan jaringan WAN berupa ADSL melalui internet. Jaringan ini berfungsi untuk mempermudahkan sarana komunikasi antar cabang dan juga untuk mengakses aplikasi web yang berada pada cabang di Jakarta. Juga di implementasikan server yang berfungsi sebagai firewall dengan menggunakan proxy firewall. 13

14 Konfigurasi jaringan WAN PT PPJ dapat dilihat pada gambar IV. Gambar IV. Konfigurasi Jaringan WAN PT PPJ VI. ANALISA 11 DOMAIN KEAMANAN INFRASTRUKTUR TI PT PPJ VI.1 Access Control Systems and Methodology Access Control Systems adalah suatu metoda bagaimana mengkontrol pengaksesan sumber daya sehingga mencegah pembukaan dan pemodifikasian oleh orang-orang yang tidak berhak. 14

15 Penerapan akses kontrol oleh PT PPJ di terapkan terhadap: a. Ruangan Kantor Ruangan kantor dijaga agar hanya dapat dimasuki oleh orang-orang yang berhak saja, seperti karyawan PT PPJ. Untuk itu metoda pengamanan nya adalah: 1. Penjagaan oleh Satpam Untuk keamanan ruangan di pintu depan terdapat receptionist dan satpam sehingga apabila ada tamu ia tidak di perbolehkan memasuki ruang kantor begiru saja. Hal ini untuk menghindari tamu tersebut menggunakan salah satu komputer karyawan dan mengakses jaringan lokal PT.PJJ untuk mengambil data ataupun untuk menghindari terjadinya pencurian. 2. Penggunaan Magnetic Card Access Control Penggunaan magnetic card sebagai access control keluar masuk ruangan perkantoran sehingga diharapkan yang dapat memasuki ruangan kantor hanyalah orang-orang yang berhak saja seperti karyawan PT PPJ. Hal ini untuk menghindari terjadinya pencurian dan perusakan baik barang ataupun data oleh orang yang tidak berhak dan tidak berwewenang. b. Ruangan Server Ruangan server memerlukan akses kontrol untuk menjaga terjadinya kesalahan konfigurasi server oleh orang yang tidak berhak. Akses kontrol yang dilakukan diantaranya adalah: 1. Penggunaan Akses magnetic card yang terbatas Ruangan server selalu terkunci dan yang hanya dapat dibuka dengan menggunakan magnetic card karyawan tertentu. Dalam hal ini adalah bagian Teknologi Informasi seperti Netwok Administrator atau System Administrator. Hal ini dilakukan untuk mencegah masuknya orang yang tidak berhak yang dapat menyebabkan 15

16 kegagalan pada server baik akibat kegagalan fisik ( kabel yang tercabut) ataupun kesalahan konfigurasi. 2. Penggunaan password yang unik pada server Setiap server diberikan password yang unik untuk bisa mengakses kedalam. Yang mengetahui password tersebut hanyalah orangorang tertentu saja di dalam perusahaan, dalam hal ini adalah orang-orang teknologi informasi. Dengan penggunaan password yang unik di harapkan untuk menghindari kesalahan konfigurasi dan akses dari orang yang tidak berhak dan tidak berwewenang yang ingin mengakses server dan merubah konfigurasi. c. Jaringan LAN Penggunaan LAN juga dibatasi dengan akses kontrol untuk mencegah pengaksesan berkas-berkas perusahaan oleh orang yang tidak berhak atau tidak memiliki wewenang. Metoda ini diterapkan dengan cara: 1. Penggunaan login dan password untuk memasuki LAN Karyawan yang ingin memasuki jaringan internal perusahaan dan mengakses berkas-berkas pada perusahaan harus memasukan login dan passwordnya sehingga dapat diketahui hak akses yang dimilikinya. Metoda ini diterapkan dengan penggunaan domain controller untuk mengatur setiap hak akses dari karyawan berdasarkan login yang dimasukan. Dengan diterapkannya metoda ini diharapkan akses user terhadap berkas-berkas perusahaan dapat dibatasi berdasarkan hak aksesnya saja. Contoh: Karyawan pada divisi Produksi tidak boleh melihat berkas-berkas yang disimpan oleh karyawan pada divisi Keuangan. 2. Penggunaan Virtual LAN (VLAN) Penggunaan Virtual LAN dengan antara bagian Keuangan atau Produksi. Dengan demikian pengaksesan berkas oleh orang yang tidak berhak dapat dicegah. 16

17 3. Pencatatan Log kegagalan login Pada server domain juga terdapat log sebagai audit yang mencatat kegagalan login dari user, apabila terdapat lima kali kegagalan memasukan password maka account user tersebut akan di kunci sampai dengan dibukakan oleh administrator. Hal ini dilakukan untuk mencegah percobaan akses ke sumber daya server oleh orang yang tidak berhak secara berulang-ulang.misahkan segmentsegment dari jaringan komputer untuk setiap divisi dari perusahaan diharapkan dapat mencegah pengaksesan berkas-berkas yang seharusnya tidak boleh di akses. Karena dengan penggunaan Virtual LAN jaringan komputer dapat di sekat-sekat menjadi suatu segmen yang terpisah secara logis walaupun secara fisik bergabung. Dengan pemisahan secara logis tersebut karyawan pada divisi TI tidak dapat melihat komputer karyawan pada divisi VI.1.1 Metoda akses terhadap file-file di dalam server berkas Berkas-berkas di dalam server berkas terdiri dari folder-folder sebagai berikut: Laporan Produksi [Bulan] Design Library [Nama Project] Laporan Sales [Bulan] Dokumen TI [Kegiatan] Dokumen Admin [Hal] Laporan Keuangan [Bulan] 17

18 Hak akses yang diberikan untuk setiap staff PT PPJ adalah berdasarkan Tabel IV. Tabel IV. Hak akses staff terhadap berkas Folder Role Kode Laporan Design Dokumen Laporan Laporan Produksi Library TI Sales Keuangan Admin Direktur 1 A01 R/W R/W R/W R/W R/W R/W Direktur 2 A02 R/W R/W R/W R/W R/W R/W Manajer Divisi A03 Produksi R/W R/W - R - - Koordinator A04 Percetakan R/W R Koordinator A05 Distribusi R/W R Koordinator A06 Penerbitan R/W R Staff Produksi 1 A07 R Staff Produksi 2 A08 R Staff Produksi 3 A09 R Staff Produksi 4 A10 R Staff Produksi 5 A11 R Staff Produksi 6 A12 R Staff Produksi 7 A13 R Staff Produksi 8 A14 R Staff Produksi 9 A15 R Staff Produksi 10 A16 R Staff Produksi 11 A17 R Manajer Divisi A18 Development R/W R/W - R - - Koordinator A19 Design R R/W Koordinator A20 Editing R R/W Staff A21 - R

19 Folder Role Kode Laporan Design Dokumen Laporan Laporan Produksi Library TI Sales Keuangan Admin Development 1 Staff A22 Development 2 - R Staff A23 Development 3 - R Staff A24 Development 4 - R Manajer Divisi A25 Keuangan R/W R/W - Koordinator A26 Keuangan R R/W - Staff Keuangan 1 A R - Staff Keuangan 2 A R - Manajer Divisi A29 Pemasar an & Sales R/W R/W - Koordinator Sales A R/W R - Market Analyst 1 A31 R - - R - - Market Analyst 2 A32 R - - R - - Staff Sales 1 A33 R - - R - - Staff Sales 2 A34 R - - R - - Staff Sales 3 A35 R - - R - - Manajer Divisi TI A36 R R R/W Network Admin A37 R R R/W System Admin A38 R R R/W Security A39 Specialist R R R/W Administratsi 1 A R/W Administratsi 2 A R/W Administratsi 3 A R/W Office Boy I A Office Boy II A Satpam I A

20 Folder Role Kode Laporan Design Dokumen Laporan Laporan Produksi Library TI Sales Keuangan Admin Satpam II A Satpam III A Supir I A Supir II A Receptionist A50 R - - R - - VI.2 Telecommunications & Network Security Jaringan pada PT PJJ menggunakan protokol Open Standard yaitu protokol TCP/IP berbasiskan ethernet dengan koneksi sebesar 100MB. Topologi yang digunakan adalah topologi star dengan menggunakan switch yang masingmasing divisi dipisahkan oleh Virtual LAN (VLAN) untuk mencegah pengaksesan berkas-berkas rahasia pada masing-masing divisi. Alamat IP yang digunakan adalah tipe C untuk private IP yaitu x/24 dan menggunakan fasilitas NAT untuk mengakses internet melalui router. PT PPJ juga menggunakan DNS lokal pada server domain untuk memetakan namanama komputer karyawan ke dalam alamat IP. Firewall juga digunakan untuk melindungi jaringan lokal diakses oleh orang lain dari Internet. Konfigurasi firewall di set seaman mungkin berdasarkan portport yang boleh di akses. Port yang dibuka adalah port untuk http yaitu port 80. Untuk jaringan dengan kantor-kantor cabang di seluruh nusantara PT.PJJ menggunakan jaringan ADSL 128K yang diperlukan untuk saling mengirimkan berkas-berkas redaksional dan mempermudah untuk pertukaran informasi dengan menggunakan intranet perusahaan melalui web. Selain itu juga tersedia layanan dial-up sebagai backup apabila jaringan ADSL mengalami kegagalan. Konfigurasi jaringan PT PPJ dapat dilihat pada gambar V. 20

21 Gambar V. Konfigurasi jaringan PT PPJ Pada server-server PT PJJ juga diimplementasikan teknologi RAID sebagai redundansi apabila terjadi kerusakan pada salah satu disk. Dilakukan backup setiap seminggu sekali untuk berkas-berkas yang terdapat pada server berkas. VI.3 Security Management Practices Manajemen keamanan adalah proses bagaimana mengatur pengamanan infrastruktur dapat selalu terpelihara dalam operasi sehari-hari. PT PPJ mengimplementasikan manajemen keamanan adalah dengan membuat aturan-aturan dan panduan antara lain adalah aturan pembuatan password. Contoh aturan yang diimplementasikan dalam PT PPJ dalam hal manajemen password: 1. Panjang password harus minimal 6 karakter 2. Password terdiri dari huruf dan angka 3. Password diganti setiap bulan sekali 4. Penggantian password tidak boleh sama dengan password sebelumnya 5. Password tidak boleh di catat dimanapun Selain itu PT PPJ juga mempekerjakan IT Security specialist yang menangani keamanan dari keseluruhan jaringan dan data-data perusahaan agar tidak bocor keluar, juga mengatur akses kontrol dan role dari masing-masing pegawai dalam operasi sehari-hari perusahaan. 21

22 Penggunaan domain controller untuk mengatur hak akses dari setiap karyawan juga termasuk ke dalam manajemen keamanan yang di terapkan pada PT PPJ. Update antivirus setiap seminggu sekali juga merupakan manajemen keamanan yang terdapat di PT PPJ. VI.4 Application and System Development Security Application and System Development Security adalah keamanan yang berkaitan dengan aplikasi. PT PPJ tidak melakukan pengembangan aplikasi tetapi terdapat aplikasi yang digunakan secara bersama-sama oleh seluruh kantor cabang, yaitu aplikasi intranet PT PPJ. Keamanan yang di terapkan pada aplikasi ini adalah dengan menggunakan login dan password untuk setiap karyawan. Pada setiap login terdapat hak akses yang di terapkan berdasarkan peranan dari masing-masing karyawan. Apabila yang login adalah karyawan bagian keuangan maka dia akan dapat melihat anggaran keuangan yang di rencanakan dan cash flow dari perusahaan, sementara apabila yang login adalah karyawan bagian produksi maka hal tersebut tidak muncul. Selain keamanan berdasarkan login dan password aplikasi ini juga berada dibalik firewall dan hanya bisa diakses dari luar jaringan LAN dengan menggunakan port 80 karena hanya port itu sajalah yang diperbolehkan masuk ke dalam jaringan lokal oleh firewall. Didalam server aplikasi ini juga di install aplikasi Intrusion Detection System (IDS) sehingga apabila ada percobaan untuk memasuki sistem secara illegal dapat segera diketahui. Adalah tugas dari IT Security Specialist untuk melakukan pengecekan log dari sistem maupun dari IDS. Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah: Divisi Keuangan Microsoft Office General Ledger 22

23 Divisi Development Adobe Photoshop Divisi TI Network Monitoring Divisi Produksi CAD Aplikasi Web PT PPJ Divisi Lainnya Microsoft Office VI.5 Cryptography Cryptography adalah proses mengenkript suatu data untuk mengamankan data tersebut. Proses enkripsi yang terdapat pada PT PPJ adalah penggunaan digital signature dan metoda symetric key dalam pengiriman dengan menggunakan fasilitas program PGP.Antar kepala cabang dari PT PJJ dalam melakukan komunikasi menggunakan selalu menggunakan encrypsi dengan menggunakan metoda symetric key dan disertai dengan digital signature dari pengirim . Hal ini dimaksudkan untuk melindungi data yang dikirimkan agar tidak mudah di sadap oleh orang lain ataupun di palsukan. Dengan penggunaan symetric key dalam mengenkripsikan maka diharapkan data yang dikirimkan akan aman dari sadapan orang lain, dan dengan menyertakan digital signature di dalam maka akan dapat menjaga ke otentikan dari yang dikirimkan. Selain digunakan dalam proses enkripsi juga di gunakan untuk mengirimkan berkas-berkas yang berhubungan dengan strategi marketing dan peluncuran produk-produk baru yang akan dikirimkan kekantor cabang. Data akan di enkripsi terlebih dahulu dengan menggunakan metoda symetric key sebelum dilakukan pengiriman melalui jaringan internet. Dengan melakukan proses enkripsi diharapkan isi dari berkas yang dikirimkan tidak akan di sadap oleh orang lain di dalam internet, karena data tersebut berisi strategi perusahaan 23

24 untuk kantor cabang. Apabila sampai tersadap oleh pesaing PT PPJ maka strategi tersebut akan sia-sia. Dalam keperluan dari System Administrator untuk mengakses server pada kantor cabang maka metoda yang digunakan adalah dengan menggunakan fasilitas SSH (Secure Shell) yaitu fasilitas remote akses yang meng enkripsikan login dan password sebelum dikirimkan melalui internet. Dengan melakukan metoda ini diharapkan login dan password yang dikirimkan tidak akan di sadap oleh orang lain dan digunakan untuk mengakses secara illegal server dari PT PPJ. VI.6 Security Architecture dan Models Security model yang digunakan oleh PT PPJ adalah mengedepankan aspek dari kerahasiaan informasi dengan menggunakan model Bell-LaPadula (No read up, No write down). Setelah karyawan memasukan login dan password kedalam domain dari PT PPJ maka karyawan tersebut akan terikat oleh hak akses yang dimilikinya. Karyawan tersebut tidak diperkenankan membaca data pada level security yang lebih tinggi dari hak aksesnya hanya sebatas keperluannya saja. PT PPJ dapat diklasifikasikan kedalam kelas C2 (Controlled Access Protection) sebagai kelas default yang digunakan oleh Microsoft Windows dimana setiap karyawan diperlukan identifikasi melalui login dan password sebelum diperkenankan memasuki jaringan lokal PT PPJ dan mengakses sumber daya. VI.7 Operations Security Operation Security adalah kegiatan rutin untuk memelihara operasional sehari-hari setelah infrastruktur teknologi informasi di implementasikan agar selalu berjalan dengan baik dan dalam keadaan aman. Kegiatan Operation Security yang dilakukan di PT PPJ untuk menjaga operasi sehari-hari infrastruktur teknologi informasinya adalah: 24

25 1. Mengupdate patch pada server windows yang dilakukan oleh system administrator 2. Mengupdate antivirus update definition 3. Selalu memeriksa log dari audit login apakah ada yang mencuriga kan 4. Memeriksa log dari IDS. Clipping level di berlakukan pada loglog yang dihasilkan sehingga hanya pada level tertentu saja maka hal tersebut dianggap mencurigakan 5. Dilakukan dokumentasi change control dalam hal seperti ada komputer baru yang terinstall dan masuk kedalam jaringan LAN, aplikasi baru, patch baru, dan perubahan konfigurasi network 6. Menerapkan least privillages atau need-to-know kepada setiap user dimana hanya mendapatkan privilleges yang paling minimum dalam melakukan pekerjaannya. 7. Dalam hal keamanan pada maka PT PPJ selalu mengedukasi karyawannya mengenai keamanan , sepeti apa yang mengandung virus dan tidak boleh di buka. 8. Selain itu juga selalu mengupdate definisi scanner di dalam server VI.8 Disaster Recovery & Business Continuity Plan Disaster Recovery dan Business Continuity Plan adalah proses untuk meminimalisasikan efek yang disebabkan terjadinya bencana dan melakukan proses pemulihan dengan secepatnya sehingga bisnis dapat berjalan dengan baik kembali. PT PPJ telah menganalisa Business Analisis Impact dalam hal terjadi kegagalan pada infrastruktur. Proses BIA yang dilakukan adalah sebagai berikut: 1. Mendeskripsikan Komponen yang berhubungan dengan Infrastruktur Komponen pembentuk infrastruktur dapat di lihat pada tabel V. 25

26 Tabel V. Komponen yang berkaitan dengan Infrastruktur KOMPONEN JUMLAH SERVER DOMAIN, 1 DAN PROXY SERVER FILE DAN APLIKASI 1 PC KLIEN 34 PRINTER 5 SCANNER 3 SWITCH 2 MODEM 1 2. Kemudian mengidentifikasi akibat dan toleransi dari kegagalan Berdasarkan konsultasi dengan pengguna sumber daya PT PPJ maka didapat akibat dan toleransi dari kegagalan seperti pada tabel VI. Tabel VI. Akibat dan Toleransi kegagalan dari Infrastruktur TI KOMPONEN AKIBAT TOLERANSI SERVER DOMAIN, DAN PROXY SERVER FILE User tidak dapat mengirim dan menerima , yang lama pada server hilang. User tidak dapat login ke dalam jaringan dan mengambil berkas yang dibutuhkan User tidak dapat mengambil berkas yang dibutuhkan dan ada kemungkinan berkas tersebut hilang 10 PC KLIEN User tidak dapat bekerja dengan komputer nya User tidak dapat mencetak laporan 3 PRINTER ataupun sample dari produksi User tidak dapat men scan gambar dalam 2 SCANNER kegiatan produksi User tidak dapat koneksi kedalam jaringan 1 SWITCH untuk login kedalam domain 1 ROUTER User tidak dapat melakukan koneksi ke kantor cabang dan tidak dapat melakukan koneksi ke internet KEGAGALAN 5 Hari 1 Hari 1 Hari 5 Hari 3 Hari 2 Hari 2 Hari 26

27 3. Analisa Rancangan Ketersediaan Infrastruktur PT PPJ Berdasarkan tabel pada tahap ke dua maka dapat PT PPJ membuat perancangan ketersediaan infrastruktur untuk komponen-komponen infrastruktur sebagai berikut: a. Server UPS UPS digunakan untuk mencegah kegagalan akibat kelistrikan. Apabila terjadi kegagalan akibat kelistrikan maka UPS dapat untuk sementara menyediakan tenaga listrik sementara proses berjalan. Dan jika kegagalan berlangsung lama admin dapat mematikan server secara normal untuk mencegah terjadinya kehilangan data. RAID Solusi RAID digunakan untuk mencegah kegagalan pada disk sebagai metoda redundansi disk. Solusi RAID yang digunakan adalah RAID 0+1. Dengan implementasi solusi RAID 0+1 yaitu striping dan mirrorin maka apabila terjadi kegagalan pada salah satu disk masih terdapat mirror nya pada disk yang lain. Juga dengan implementasi striping dapat mempercepat proses transaksi. Backup data Server Proses backup dilakukan setiap seminggu sekali mengunakan tape backup. Dengan adanya backup diharapkan apabila terjadi kerusakan pada data di server data yang hilang tidak terlalu banyak atau tidak ada data yang hilang sama sekali. Dual Ethernet Dual ethernet adalah solusi server untuk mencegah kegagalan pada interface ethernet. Dengan adanya dua ethernet sehingga apabila salah satu ethernet mengalami kerusakan dapat dengan segera digantikan oleh ethernet cadangannya. Dengan demikian akan mengurangi waktu akibat terjadinya kegagalan akibat kerusakan ethernet. 27

28 b. PC Client Untuk solusi ketersediaan PC Client PT PPJ memberlakukan solusi sebagai berikut. 1. Implementasi Konsep Imaging Dengan ada nya image dari komputer klien proses pemulihan komputer dapat dilakukan dengan cepat tanpat perlu menginstall semua aplikasi lagi cukup dengan me-restore image yang terlah dibuat. 2. Penyimpanan berkas pada Server Berkas Setiap karyawan diwajibkan untuk menyimpan data-data pekerjaannya pada server berkas. Dengan demikian apabila terjadi kegagalan pada komputernya data-data pekerjaan masih dapat diambil pada server berkas dan pekerjaan masih dapat dilakukan dengan menggunakan komputer lainnya. c. Printer Solusi printer PT PPJ memberlakukan backup antar printer, disediakan minimal terdapat 3 printer yang berjalan secara normal. Apabila terjadi kegagalan pada salah satu printer maka karyawan dapat menggunakan printer yang lainnya karena semua printer terhubung dengan jaringan. d. Scanner Solusi scanner adalah sama seperti solusi printer diberlakukan backup antar scanner selama masih ada 2 scanner yang masih berfungsi proses bisnis masih dapat berjalan dengan baik. e. Switch Untuk solusi ketersediaan switch PT PPJ menyediakan 2 buah switch sebagai backup apabila salah satu switch mengalami kegagalan dapat menggunakan switch yang satunya lagi sebagai redundansi. Kedua nya sudah terhubung ke dalam jaringan. Disediakan juga extra port sebagai solusi redundansi port switch. 28

29 f. Modem Untuk keperluan koneksi ke internet dan ke kantor cabang PT PPJ menyediakan fasilitas modem dengan dial-up sebagai cadangan backup apabila terjadi kegagalan pada router. Selama router diperbaiki agar proses bisnis dapat tetap berjalan dengan baik maka solusi dialup menjadi backup nya. VI.8.1 Mekanisme Backup Backup dilakukan pada server berkas, hal ini dilakukan untuk melindung hilangnya atau rusaknya berkas-berkas penting yang di perlukan untuk operational PT PPJ. Jadwal backup yang dilakukan adalah seperti pada Tabel VII. Backup dilakukan mingguan oleh divisi TI, tape catridge yang diperlukan adalah 4 buat yang mana setiap bulannya di hapus untuk di isi dengan berkas yang terbaru. Table VII - Jadwal Backup Tape Pekan Senin Selasa Rabu Kamis Jumat Sabtu Ke-1 1 Ke-2 2 Ke-3 3 Ke

30 VI.8.2 Emergency List Dan apabila terjadi suatu keadaan yang membutuhkan penanganan dari divisi tertentu maka dibuat suatu emergency list yang berisi contact person dari manajer untuk tiap-tiap divisi dari PT PPJ. Lihat Tabel VIII. Table VIII- Emergency Contact List No Name Title Home Address Home Phone Cell Phone 1 A03 Manajer Divisi TI Jakarta A18 Manajer Divisi Jakarta Produksi 3 A25 Manajer Divisi Jakarta Development Manajer Divisi Jakarta A29 Pemasaran dan Sales A36 Manajer Divisi Jakarta Keuangan VI.9 Laws, Investigation & Ethics Laws, Investigations & Ethics adalah mengenai keamanan dari segi hukum dan etika serta kejahatan di dalam dunia komputer. Dalam hal hukum PT PPJ selalu mengedepankan aspek legalitas sebagaimana produk-produk PT PPJ juga selalu menyertakan label CopyRight sebagai hak cipta dari PT PPJ. Pengunaan software adalah pembelian asli berlisensi seperti software sistem operasi microsoft windows xp adalah berasal dari pembelian komputer branded. Begitu juga untuk software-software pada server semuanya adalah berlisensi. 30

31 VI.10 Phisical Security Physical Security adalah suatu metoda yang digunakan untuk melindungi aset perusahaan dari ancaman secara fisik. Ancaman yang dapat terjadi adalah: 1. Ancaman dari dalam (Internal Physical Threats) sepertu kebakaran, kegagalan pada kelistrikan 2. Ancaman dari Manusia (Human Threats) seperti pencurian, perusakan 3. Ancaman dari luar (External Threats) seperti banjir, gempa bumi Implementasi PT PPJ terhadap keamanan secara fisik diantaranya adalah menerapkan: 1. Penjagaan satpam secara shift di pintu masuk ke kantor Hal ini untuk melindungi ancaman dari manusia seperti pencurian dan perusakan 2. Penggunaan magnetik card untuk setiap karyawan Dengan penerapan magnetik card dapat membatasi orang yang dapat masuk ke dalam kantor yang akan meningkatkan keamanan aset dari ancaman tindak pencurian oleh orang luar. Selain itu dengan penerapan magnetik card ini dapat diketahui log dari keluar masuknya pegawai sehingga apabila terjadi pencurian dapat diketahui siapa yang berada di dalam kantor pada saat kejadian berlangsung. 3. Ruang server yang selalu terkunci dengan hak akses yang terbatas Ruang server selalu terkunci dan yang dapat memasuki ruang server terbatas hanya oleh beberapa orang saja dengan hak akses tertentu. Hal ini untuk mencegah terjadi nya orang masuk dan melakukan miskonfigurasi pada server ataupun pada perangkat jaringan. 4. Penggunaan UPS pada server Dengan digunakannya UPS pada server dapat mencegah kegagalan server yang diakibatkan kegagalan pada kelistrikan. Dalam rentang waktu tertentu apabila kegagalan kelistrikan tetap berlangsung maka server 31

32 dapat dimatikan secara normal dengan menggunakan tenaga baterai dari UPS. 5. Fire Detector PT PPJ menerapkan fire detektor pada setiap ruangan kantornya sehingga apabila terjadi kebakaran pada suatu ruangan dapat dengan segera mengaktifkan alarm dan menyiramkan air untuk mematikan api agar tidak menyebar pada ruangan lainnya. VI.11 Auditing & Assurance Dalam hal penerapan Audit Sistem Informasi di PT PPJ maka hal-hal yang perlu di audit adalah: 1. Audit Internal Jaringan LAN Hal yang perlu di audit adalah apakah setiap karyawan sudah memperoleh hak akses yang sesuai dengan pekerjaannya ataukah ada beberapa karyawan yang ternyata memiliki hal akses yang berlebih sehingga dapat melihat atau merubah berkas-berkas yang bukan merupakan haknya. 2. Audit External Jaringan WAN Yang perlu di audit adalah konfigurasi dari Router dan Firewall, apakah konfigurasi Router sudah di lakukan dengan mempertimbangkan aspek keamanan ataukah hanya mempertimbangkan akses koneksi saja. Dan konfigurasi firewall apakah sudah aman sehingga dapat mencegah akses sumber daya perusahaan dari luar jaringan internet oleh orang-orang yang tidak bertanggung jawab. Dengan demikian hal-hal yang perlu di perhatikan diantaranya adalah konfigurasi dari peralatan jaringan beserta dengan log-log yang dihasilkannya. 32