I. Sistem Pada Informasi Kepegawaian

Transkripsi

1 TUGAS KEMANAN INFORMASI LANJUT SECURITY REQUIREMENTS SISTEM INFORMASI MANAJEMEN KEPEGAWAIAN (SIMPEG) Wahyu Hermawan I. Sistem Pada Informasi Kepegawaian Sistem informasi kepegawaian digunakan sebagai pneghubung antara pegawai di suatu daerah dengan induk kepegawaian yaitu Badan Kepegawaian Daerah. Badan Kepegawaian Daerah sesuai dengan tugas pokok dan fungsinya berperan sebagai inisiator, kolektor dan strorage data kepegawaian di daerahnya. Penggunaan Sistem Informasi Kepegawaian telah dilakukan sejak dulu. Dari yang konvensional, stand alone computing sampai dengan pemanfaatan intranet dan internet (SIMPEG Online). SIMPEG Online memiliki konsep backend dan front end, dengan sistem backend berada pada Badan Kepegawaian Daerah dan front end pada Dinas Kominfo selaku Pengelola Informasi Database Database User PNS 1 Internet Server Dinas Kominfo Intranet Server Badan Kepegawaian Daerah User PNS 2 User PNS 3 Pegawai Pengelola Data Eektronik SubBid SubBid Mutasi Kepegawaian Kepala Dinas II. Proses Kenaikan Pangkat Pegawai Menggunakan SIMPEG Online Kenaikan pangkat Pegawai Negeri Sipil terdiri atas dua jenis dengan batas waktu kenaikan pangkat yang berbeda, yaitu : 1. Kenaikan pangkat PNS fungsional memiliki jenjang kenaikan pangkat sesuai dengan angka kredit yang telah diperoleh. 2. Kenaikan pangkat PNS Struktural memiliki jenjang kenaikan pangkat 4 tahun sekali secara reguler Proses pengajuan kenaikan kenaikan pangkat/golongan ruang: 1. PNS / Instansi tempat bekerja mengajukan secara individu maupun kolektif kenaikanpangkat/ golongan ruang melalui komputer yang terhubung dengan

2 internet/intranet dan berada di SKPD masing-masing. PNS secara individu juga dapat melakuakn pengajuan kenaikan pangkat melalui personal computer di rumah atau dimanapun yang terhubung dengan internet. 2. Setiap PNS dan instansi mempunyai ID dan password masing-masing untuk login kedalam sistem frontend sistem informasi kepegawaian berbasis web yang ada di Dinas Kominfo. 3. Setelah login, maka PNS/SKPD tersebut dapat memilih interface untuk melakukan entry data pengajuan kenaikan pangkat/ golongan ruang serta menyisipkan (attacment) berkasberkas yang diperlukan untuk keperluan administrasi kenaikan pangkat seperti DP3 dalam bentuk file digital (hasil scan). Dalam hal ini, maka PNStidak langsung berhubungan dengan sistem backend sistem informasi kepegawaian yang berada di kantor BKD. 4. Hasil entry data usulan kenaikan pangkat tersimpan di server web kantor Dinas Kominfo. Ada seorang operator dari bagian Pengelola Informasi yang bertanggung jawab terhadap perubahan-perubahan data pada sistem frontend ini. Dia setiap hari melihat interface yang memperlihatkan apakah ada data usulan kenaikan pangkat/ golongan ruang yang dicreate oleh PNS atau tidak. Operator pengelola informasi ini tidak mempunyai kewenangan untuk merubah apapun dalam data usulankenaikan pangkat/ golongan yang di create oleh PNS. Dia hanya mempunyai kewenangan untuk melihat apakah sisipan (attac hment) untuk bahan pertimbangan kenaikan pangkat sudah dilengkapi si PNS atau belum. Disini ada list sisipan (attac hment) apa saja yang harus dilengkapi sesuai dengan jenis PNS yang mengajukan kenaikan pangkat/ golongan ruang, misalnya DP3 atau surat rekomendasi dari Atasan Langsung. Jika misalnya salah satu sisipan ini tidak disertakan dalam usulan kenaikan pangkat/ golongan ruang yang dicreate oleh si PNS, maka operator pengelola informasi melalui interface yang disediakan, memberitahu ke PNS yang mengajukan usulan agar segera melengkapi sisipan yang memang harus dilengkapi. Jika ternyata usulan kenaikan pangkat/ golongan ruang sudah lengkap, maka operator pengelola informasi melakukan submit usulan tersebut ke sistem backend sistem informasi kepegawaian yang berada di kantor BKD. 5. Pada sistem bac kend sistem informasi kepegawaian yang ada di Kantor BKD, Usulan langsung diklasifikasikan tergantung dari jenis PNS tersebut. 6. Sub Bidang Mutasi Pegawai melakukan verifikasi terhadap data usulan yang dikirimkan oleh PNS. Jika verifikasi usulan tersebut sudah sesuai dengan peraturan yang ditetapkan, maka dibuatlah draft kenaikan pangkat PNS. 7. Semua draft kenaikan pangkat PNS ini baik fungsional maupun non fungsional/struktural, masuk ke dalam interface Kepala Bidang Kepegawaian. 8. Kepala Bidang Kepegawaian berwenang untuk melakukan verifikasi draft kenaikan PNS ini menjadi draft Surat Kenaikan Pangkat/Golongan Ruang yang sah. Namun Surat Kenaikan Pangkat ini belum sah dikarenakan harus di otentifikasi oleh Kepala BKD. Draft Surat Kenaikan Pangkat/Golongan Ruang yang telah diverifikasi Kepala Bagian Kepegawaian masuk ke interface Kepala BKD. Secara kewenangan, Kepala BKD-lah yang melakukan verifikasi Surat Kenaikan Pangkat/Golongan ruang menjadi sah. 9. Setelah draft Surat Kenaikan Pangkat/Golongan Ruang diverifikasi dan menjadi Surat Kenaikan Pangkat/Golongan Ruang yang sah, maka surat ini dic etak untuk didistribusikan ke kantor-kantor SKPD terkait, sementara copy dalam bentuk digital diberikan juga ke si PNS yang dimaksud dalam surat tersebut.

3 User (PNS) Input Data Tidak Tidak lengkap lengkap Tidak Tidak valid valid Dinas Kominfo Verifikasi Berkas Kasubid Mutas Badan Kepegawaian Daera lengkap lengkap Verifikasi Data valid valid Draft Usulan Kenaikan Pangkat Tidak Tidak valid valid Kasubid Mutas Badan Kepegawaian Daera Verifikasi Draft valid valid Kepala BKD Pengesahan Kenaikan Pangkat Gambar 2 Proses Bisnis Pengajuan Kenaikan Pangkat Sistem Informasi Kepegawaian III. CELAH KEAMANAN YANG MUNGKIN MUNCUL Sebuah sistem yang terhubung secara online dengan unsecured network memiliki tingkat vulnerabilitas yang tinggi terhadap keamanan data dan jaringan. Celah-celah keamanan yang mungkin muncul pada SIMPEG Online antara lain : 1. Pengelola Informasi mungkin melakukan kesalahan dikarenakan kelalaian dalam memeriksa setiap kelengkapan sisipan yang dikirimkan oleh pegawai dalam mengajukan usulan kenaikan pangkat/ golongan ruang. Kelalaian tersebut apabila terjadi kekurangan sisipan yang diperlukan, tetapi telah masuk ke bagian backend sistem, maka penilaian yang akan dilakukan Subbid MutasiPegawai akan mengalami kesulitan dalam menentukan apakah pegawai tersebut layak naik pangkat/golongan ruang atau belum. 2. Pembuatan draft surat keputusan kenaikan pangkat/golongan ruang bukan oleh user yang berwenang pada Subbid Mutasi 3. Pengesahan draft surat keputusan kenaikan pangkat/ golongan ruang bukan oleh user yang berwenang dalam hal ini Kepala Bidang Kepegawaian. 4. Verifikasi draft surat keputusan kenaikan pangkat/ golongan ruang menjadi surat keputusan kenaikan pangkat/ golongan ruang yang sah bukan oleh user yang berwenang dalam hal ini Kepala BKD.

4 5. Pengubahan pengesahan atau pengubahan isi atau pembatalan surat keputusan kenaikan pangkat/ golongan ruang bukan oleh user yang berwenang dalam hal ini Kepala BKD. 6. Penggunaan unsecured network, memungkinkan terjadinya DoS Attack pada server yang mengakibatkan buffer overflow dan server menjadi lambat dalam pemrosesan data. 7. Pencurian data sebagai akibat man in the middle attac 8. Keabsahan berkas yang diragukan karena hanya hasil scan dokumen dan diupload langsung. IV. SOLUSI KEAMANAN Solusi keamanan untuk mencegah penerobosan keamanan jaringan maupun data pada SIMPEG Online antara lain : 1. Good Policy dari Pemerintah untuk mendukung keamanan informasi. Pemerintah terkadang melupakan hal penting dalam sebuah sistem yang menggunakan teknologi informasi. Kebanyakan dari mereka menggunakan IT hanya untuk mempermudah suatu pekerjaan tanpa mempedulikan keamanan data pada saat pertukaran informasi. Aturan hukum yang jelas baik berupa Undang-Undang sampai dengan Peraturan Daerah dan Peraturan Walikota harus disusun untuk mendukung sebuah sistem yang baik dan aman. Dalam Peraturan Daerah sebagai peraturan dalam organisasi pemerintahan daerah, perlu diatur penggunaan IT dengan aman dan sanksi-sanksi bagi penyalahgunaan IT. Dengan landasan hukum yang jelas, pengguna IT akan merasa terayomi dan beraktivitas tanpa rasa was-was. Sistem ini mengadposi penerapan Undangundang Lalu Lintas. Pada Undang-undang Lalu lintas, seluruh aspek diatur baik dari infrastruktur jalannya, prasarana pendukung (rambu dan traffic light), Bagaimana berlalulintas dengan baik, pengawasan oleh penegak peraturan yang semuanya diatur untuk memberi rasa aman bagi pengguna lalu lintas. Konsep ini dapat diadopsi untuk penerapan hukum IT di daerah. 2. Infrastruktur yang mendukung sebuah sistem informasi yang aman dan memenuhi 3 aspek keamanan (Confidentiality, Integrity dan Availability). Infrastruktur jaringan yang aman terdiri atas beberapa aspek penting, antara lain : 1. Penempatan server dan data center yang aman secara fisik (lokasi dan bangunannya) 2. Penggunaan bandwidth yang efektif (tidak terlalu besar dn tidak terlalu kecil) sehingga kecepatan akses dan pemrosesan data terjamin kualitasnya. 3. Penggunaan intranet untuk aplikasi yang tidak perlu diakses oleh pengguna dari luar. 4. Perangkat yang telah tersertifikasi oleh Direktorat Jenderal Postel Kementerian Kominfo. 5. Penyediaan prasarana internet dengan menggunakan privacy network. 6. Penyediaan prasarana pendukung IT (kabel LAN, Hot Spot, Fiber Optic) yang telah terstandarisasi keamanannya dengan penempatan dan pengawasan yang baik dan secure.

5 3. Authentication Sebuah sistem perlu diatur sehingga interaksi antar pengguna dan server dapat terjalin dengan baik dan komunikasi yang terjadi adalah benar-benar pada orang yang dituju. Pengguna memiliki 2 (dua) komponen penting dalam suatu sitem informasi yaitu : a. Komponen informasi yang diketahui pengguna (password dan username) Penggunaan password yang lemah akan mengakibatkan user id bisa digunakan oleh pihak-pihak yang tidak bertanggungjawab. Beberapa metode dalam penggunaan password yang aman adalah sebagai berikut : 1) Panjang minimum karakter 2) Penggunaan verifikasi dengan kamus bahasa, hal ini untuk memaksa pengguna menggunakan kata yang terdefinisi sebagai kalimat dalam kamus 3) Penerapan waktu kadaluarsa 4) Pencatatan waktu login secara berkala, untuk mendeteksi suatu perilakuyang mencurigakan 5) Validasi user dan server menggunakan public key dam private key. Proses ini menggunakan sebuah sistem dengan cara menyebarkan public key yang sudah dienkripsi kepada seluruh pengguna sistem dan private key yang dimiliki masing-masing user digunakan untuk mengirimkan data dan didekripsi oleh server untuk diautentikasi sebagai pengguna yang legal. b. Komponen informasi yang dimiliki oleh pengguna (hardware token atau kartu elektronik) Dalam kasus kepegawaian, jarang ditemukan penggunaan token dalam suatu proses transaksi, celah yang mungkin muncul adalah hardware yang digunakan dalam proses transaksi berupa perangkat PC atau laptop. Keamanan pada PC/laptop tersebut hars distandarisasi sehingga meminimalisir kemungkinan terserang spam atau virus. Kesulitannya adalah pengguna tidak bisa diatur sedemikian rupa sehingga seluruh perangkatnya disesuaikan dengan keinginan kita. Kesulitan lainnya adalah pengguna bisa mengakses web application dari manapun entah menggunakan gadget ataupu di warnet. Solusi yang baik adalah pengguna virtual private network. 4. Penyiapan mekanisme online trust melalui pengamanan sistem komputer yaitu dengan penggunaan Virtual Private Network untuk menjamin keamanan jaringan, sehingga hanya user-user yang benar-benar terautentikasi yang dapat mengakses Aplikasi Web tesebut. 5. Penggunaan metode steganografi atau watermarking dan digital signature untuk keabsahan berkas. Penggunaan metode-metode ini dapat digunakan sebagai stempel basah/legalisasi berkas. 6. Pengamanan sistem jaringan. - Firewall Firewall adalah sebuah system proteksi untuk melaksanakan pengawasan lalu lintas paket data yang menuju atau meninggalkan sebuah jaringan komputer sehingga paket data yang telah diperiksa dapat diterima atau ditolak atau bahkan dimodifikasi terlebih dahulu sebelum memasuki atau meninggalkan jaringan tersebut.

6 - Intrusion Detection System Sistem ini akan mendeteksi pola atau perilaku paket data yang masuk ke jaringan untuk beberapa waktu sehingga dapat dikenali apakah paket data tersebut merupakan kegiatan dari pihak yang tidak berhak atau bukan. - Network Scanner Scanner adalah sebuah program yang secara otomatis akan mendeteksi kelemahankelemahan (security weaknesses) sebuah komputer di jaringan local (local host) maupun komputer di jaringan dengan lokasi lain (remote host) - Packet Sniffing Program ini berfungsi sebagai alat untuk memonitor jaringan komputer. Alat ini dapat diperasikan hampir pada seluruh tipe protokol seperti Ethernet, TCP/IP, IPX, dan lain-lain 7. Peningkatan SDM yang peka terhadap keamanan informasi - Pelatihan kepada user/pns bagaimana melakukan input data dengan aman dan penggunaan password dengan hati-hati. - Pelatihan kepada operator pengelola server mengenai cara-cara autentikasi berkas.