Keamanan Sistem Informasi untuk Perusahaan. Kecil dan Menengah. Studi Terhadap PT IMT

Transkripsi

1 Keamanan Sistem Informasi untuk Perusahaan Kecil dan Menengah Studi Terhadap PT IMT GROUP 106 Kahardityo Kisnu Widagso Wisnuaji MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONESIA Silahkan menggandakan makalah ini, selama mencantumkan nota hak cipta ini.

2

3 DAFTAR ISI Halaman Daftar Isi i Bab 1. Pendahuluan Latar Belakang Permasalahan Tujuan Penulisan Kerangka Teori dan Konsep Kerangka Penulisan 8 Bab 2. Gambaran Umum Organisasi Profile Organisasi Permodalan Struktur dan Peran Dalam Organisasi Proses Bisnis Utama Organisasi Aplikasi Organisasi Bab 3. Keamanan Sistem Informasi Bisnis Security Management Practices Identifikasi aset sistem informasi organisasi Manajemen resiko Kebijakan keamanan sistem informasi Kesadaran keamanan sistem informasi organisasi Access Control Systems Telecomunication and Network Security Cryptography Security Architecture and Models i

4 3.6 Operation Security Application and Systems Development Business Continuity Planning Law, Investigation and Ethics Physical Security Bab 4. Penutup Daftar Bacaan.. 45 ii

5 Bab 1 Pendahuluan 1.1 Latar Belakang Sistem informasi saat ini merupakan sumber daya penting, mempunyai nilai strategis dan mempunyai peranan yang sangat penting sebagai daya saing, kompetensi utama dan dalam keberlangsungan hidup dari suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang dijanjikan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari juga sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan akan potensi ancaman (threats). Sehingga menjadi suatu prinsip dasar bahwa dalam pengelolaan sistem informasi juga harus diimbangi dengan perhatian yang serius terhadap keamanan sistem informasi (information system security). Keamanan sistem informasi disadari merupakan salah satu bagian yang penting dalam melakukan pengelolaan sistem informasi. Prinsip-prinsip kerahasiaan, integritas dan ketersediaan data dan informasi (confidentiality, integrity and availability - CIA) menjadi taruhan utama dalam setiap upaya-upaya pengamanan terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme keamanan harus mampu menjamin sistem informasi dapat terlindungi dari berbagai potensi ancaman yang mungkin timbul. Atau setidaknya mampu mengurangi kerugian yang diderita apabila ancaman terhadap sistem informasi teraktualisasi. 1

6 Tabel 1 Potensi Ancaman dan Kejahatan Terhadap Sistem Informasi Sumber : 2004 e-crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT Coordination Center Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat pencegahan (prevention) terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting, selain upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi. Pencegahan menjadi penting karena pencegahan dapat menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya melakukan deteksi, atau pun upaya menempuh proses hukum dan recovery terhadap sistem informasi yang rusak. Dalam satu hasil global survey diketahui bentuk pencegahan yang umum dilakukan atau dijalankan oleh organisasi, seperti terlihat pada Tabel 2 dan Gambar 1. Firewall dan software anti virus merupakan trend keamanan sistem informasi saat ini, masih mendominasi dan dipercaya oleh banyak organisasi dan para ahli keamanan sebagai pencegahan kejahatan terhadap sistem informasi yang efektif dan efisien. Lebih dari 95% responden mengimplementasi firewall dan software anti virus dalm strategi keamanan sistem organisasi mereka. 2

7 Tabel 2 Upaya Pencegahan Kejahatan Terhadap Sistem Informasi Sumber : 2004 e-crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT Coordination Center. Gambar 1 Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi Sumber : 2004 CSI / FBI Computer Crime and Security Survey, Computer Security Institute. Penggunaan sistem informasi bukan saja merupakan monopoli kalangan organiasi besar dan kompleks. Saat ini organisasi yang dikenal dengan sebutan Usaha Mikro, Kecil dan Menengah (UMKM) juga sudah menyadari pentingnya nilai sistem informasi dan mulai memanfaatkan sistem informasi guna memperoleh keuntungan dan meningkatkan daya saing dengan mengimplementasi sistem dalam kegiatan atau aktifitasnya. UMKM sebagai bagian integral dari network economy mulai ber-e-volusi. Salah satu faktor hambatan dan menjadi perhatian bagi UMKM untuk memulai tahapan ber-evolusi berkaitan dengan perhatian pada aspek keamanan sistem informasi. 3

8 1.2 Permasalahan Dengan dicirikan akan keterbatasan modal dan sumber daya manusia untuk pengelolaan keamanan sistem informasi membuat sebuah UMKM harus mampu mengatur pengelolaan keamanan sistem informasinya secara efektif dan efisien. PT X merupakan salah satu dari sekian banyak UMKM yang memanfaatkan sistem informasi guna mendukung proses bisnis utamanya. Dan seperti umumnya UMKM PT X juga dicirikan dengan keterbatasan dana dan sumber daya manusia dan harus mampu dalam mengimplementasi keamanan sistem informasi pada organisasinya. Artinya bahwa merupakan hal yng sangat penting untuk membuat perencanaan dan rancangan sistem keamanan terhadap sistem informasi yang sesuai dengan karakteristik UMKM tersebut dengan tetap mengacu pada kerangka keamanan standar atau suatu best practice. 1.3 Tujuan Penulisan Penulisan makalah ini ditujukan untuk : 1. Mendeskripsikan potensi ancaman keamanan sistem informasi organisasi. 2. Mendeskripsikan pola pengelolaan keamanan sistem informasi organisasi. 3. Menyusun kerangka keamanan sistem informasi bagi organisasi. 4

9 1.4 Kerangka Teori dan Konsep Small or Medium Enterprises didefinisikan sebagai : Kegiatan ekonomi rakyat beskala kecil dengan criteria sebagai berikut : 1) kekayaan bersih maksimal Rp (dua ratus juta rupiah) tidak temasuk tanah dan bangunan tempat usaha, atau 2) penjualan tahunan maksimal Rp (satu milyar rupiah). 3) milik warga negara Indonesia;- 4) berdiri sendiri dan bukan merupakan anak perusahaan atau cabang perusahaan yang dimiliki, dikuasai, atau berafiliasi baik langsung maupun tidak langsung dengan usaha menengah maupun usaha besar; 1 Berdasarkan jumlah karyawan UMKM didefinisikan sebagai : Usaha Kecil (UK) jumlah karyawan 5-19 orang. Usaha Menengah (UM): jumlah karyawan orang. 2 Information systems security didefinisikan sebagai : Policies, procedures, and technical measures used to prevent unauthorized access, alteration, theft, or physical damege to information systems. 3 Measures adopted to prevent unauthorized use, misuse, modification, or denial of use of knowledge, facts, data, or capabilities diakses tanggal 20 Mei 2005 pukul Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar, diakses tanggal 24 Mei 2005, pukul Ibid., page Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4. 5

10 Idealnya, sebuah organisasi dengan sistem informasi, menjalankan perlindungan terhadap sistem informasi organisasi yang dapat dilakukan dengan mengacu pada 10 Domain yang terdapat dalam CISSP. Ke-10 domain tersebut meliputi : 1. Access Control Systems and Methodology. Access Control Systems and Methodology merupakan kumpulan mekanisme yang bekerja sama dalam menciptakan arsitektur keamanan dalam melindungi aset sistem informasi. 2. Applications and Systems Development. Dalam CISSP domain ini menekankan pentingnya konsep keamanan ang diterapkan dalam pengembangan aplikasi perangkat lunak. Applications and Systems Development menekankan pada lingkungan tempat perangkat lunak dirancang dan dikembangkan dan menjelaskan peran penting perangkat lunak dalam menyediakan keamanan sistem informasi. 3. Business Continuity Planning. Business Continuity Plan (BCP) domain menekankan pada perlindungan dan pemulihan kegiatan-kegiatan organisasi dalam kondisi atau kejadian darurat. 4. Cryptography. Cryptography domain menekankan prinsip, tujuan dan metode-metode penyembunyian atau menyamarkan informasi dalam menjamin integritas, kerahasiaan, dan keotentikannya. 5. Law, Investigation and Ethics. Law, Investigation and Ethics domain menekankan pada : i. Perangkat peraturan perndangan yang mengatur tentang penggunaan ICT. ii. Langkah-langkah dan teknologi yang digunakan atau dilakukan dalam melakukan investigasi insiden kejahatan komputer. 6. Operations Security. 6

11 Operations Security digunakan untuk melakukan identifikasi kendali terhadap hardware, media, operators dan administrators dengan access privileges terhadap semua sumber daya sistem informasi. Audit dan monitoring merupakan mechanisms, alat, dan fasilitas yang memungkinkannya dilakukan identifikasi peristiwa keamanan dan urutan langkah atau tindakan dalam mengidentifikasi elemen kunci dan laporan akan informasi yang relevan kepada individu,kelompok atau proses yang membutuhkan. 7. Physical Security. Physical Security domain menyediakan teknik-teknik perlindungan untuk keseluruhan fasilitas sistem informasi, dari primeter luar hingga ke dalam ruang kerja termasuk seluruh information system resources. 8. Security Architecture and Models. Security Architecture and Models domain meliputi konsep, prinsip, struktur dan standar yang digunakan dalm merancang, memonitor, dan mengamanan operating systems, perlengkapan, jaringan, applications dan kendali tersebut digunakan untuk menegakkan suatu level tertentu dari konsep availability, integrity, dan confidentiality. 9. Security Management Practices. Manajemen keamanan meliputi pengidentifikasian aset sistem informasi organisasi, pengembangan, pendokumentasian serta penerapan policies, standards, procedures, dan guidelines organisasi. Perangkat manajemen seperti klasifikasi data dan analisa resiko digunakan untuk mengidentifikasi ancaman, mengklasifikasikan aset dan membuat peringkat kerentanan sistem informasi sehingga kendali yang efektif dapat diterapkan. 10. Telecommunications, Network and Internet Security. Telecommunications, Network and Internet Security domain meliputi pembahasan : Network Structures. Transmission methods. 7

12 Transport formats. Security measures used to provide availability, integrity, and confidentiality. Authentication for transmissions over private and public communications networks and media. 1.5 Kerangka Penulisan Secara umum tulisan ini akan dibagi menjadi 5 (lima) bagian, yaitu : 1. Bagian pertama yang berisikan pendahuluan, membahas issue-issue seputar keamanan sistem informasi, dan fokus permasalahan yang diangkat dalam tulisan. 2. Bagian kedua berisikan gambaran umum dari organisasi yang menjadi subjek dari penulisan. 3. Bagian ketiga berisikan paparan analisa keamanan sistem informasi dan rekomendasi keamanan sistem informasi dengan mengacu pada 10 Domain CISSP, yang meliputi : a. Access Control Systems and Methodology. b. Applications and Systems Development. c. Business Continuity Planning. d. Cryptography. e. Law, Investigation and Ethics. f. Operations Security. g. Physical Security. h. Security Architecture and Models. i. Security Management Practices. j. Telecommunications, Network and Internet Security. 8

13 4. Bagian keempat berisikan penutup berupa kesimpulan dan saran yang melandaskan diri pada hasil yang dicapai pada pembahasan sebelumnya. 9

14 Bab 2 Gambaran Umum Organisasi 2.1 Profile Organisasi Visi Menjadi agen pembaru dalam rangka ikut serta menciptakan masyarakat baru Indonesia. Masyarakat yang berwatak baik, profesional, menjunjung tinggi demokrasi, terbuka mengakui kemajemukan masyarakat, tanpa mengenal SARA, dan setia kepada lembaga. Misi Atas dasar azas solidaritas dan kemanusiaan mencerdaskan dan memajukan kehidupan bangsa melalui bidang informasi dan bidang lain. Tujuan Organisasi 1. Kelanggengan dan pertumbuhan dengan mengemban bisnis sehat 2. Meningkatkan kualitas Sumber Daya Manusia dan kesejahteraannya 3. Mengemban tugas tanggung jawab sosial dan memperluas kesempatan kerja Riwayat Singkat Tabloid X khusus mengupas sepakbola dunia, dengan pangsa pasar untuk kaum muda. Pada awalnya Tabloid X merupakan media temporer dalam bentuk fisik majalah dengan nama dagang 10

15 HX yang terbit mengikuti sebuah event besar sepak bola dunia seperti Piala Eropa/ EURO, Piala Dunia, atau membarengi pentupan akhir musim kompetisi sepak bola di negara-negara Eropa. Tabloid HX menyajikan informasi seputar dunia sepakbola dengan perspektif yang tidak umum untuk saat itu, yaitu gaya hidup dan hiburan sebagai menu utama. Sisi kompetisi yang di media lain ditampilkan sebagai menu utama justru ditempatkan sebagai porsi menu kedua. Berangkat dari kondisi laku kerasnya produk, yang penjualannya mencapai oplah eksemplar per edisi, kemudian majalah HX diputuskan untuk diterbitkan menjadi majalah reguler. Dalam waktu ± 6 bulan sejak terbit secara reguler, PT. IMT melakukan langkah baru dengan memutuskan untuk menerbitkan sebuah media yang mampu mengakomodir permintaan pembaca dan tentunya investor yang menginginkan terbit secara mingguan. Salah satu pemicunya selain oplah yang relatif positif stabil, adalah permintaan dari banyak pembaca majalah HX yang meminta PT. IMT untuk menerbitkan secara mingguan. Akhir kata, diputuskan Majalah HX tidak akan diterbitkan secara mingguan tapi PT. IMT menelurkan produk baru berformat tabloid mingguan dengan nama dagang yang sama dengan majalah, yaitu Tabloid HX. Tabloid HX dihadirkan ke tengah publik dengan mengambil momentum waktu sebulan persis sebelum EURO 2000 yang dibuka di kota Paris, Perancis. Tabloid HX menyajikan sepakbola dengan format isi yang sama dengan majalah HX, menjual sisi kompetisi, hiburan, dan gaya hidup. Salah satu nilai plus tabloid X adalah penjualannya per edisi selalu disisipi poster ukuran 2 halaman tabloid secara rutin. Selama EURO 2000 tabloid HX mampu mencapai nilai penjualan luar biasa, dengan rata-rata penjualan eksemplar. Sebagai gambaran, edisi perdananya laris di pasar dengan penjualan sebesar eksemplar. Cukup mengejutkan untuk sebuah pendatang baru. 11

16 Secara garis besar produk, PT. IMT menyajikan media dengan lingkup bahasan seputar sepakbola dunia (Eropa sebagai menu utama) dengan komposisi isi sebagai berikut: 1. News: Berita dan gosip gres, data, dan ulasan lengkap pertandingan, prediksi dan bursa taruhan, informasi dibalik permainan. 2. Style: Panduan buat bolamania untuk mengekspresikan diri sebagai bolamania sejati 3. Entertainment: Pemujaan nama besar baik klub maupun pemain dengan menampilkan sisi humanistiknya Secara umum spesifikasi produk bisa dilihat sebagai berikut: 1. Terbit sejak: Juni Periode terbit: Mingguan (setiap Kamis) 3. Ukuran tabloid: 420 mm x 295 mm 4. Tebal: 24 halaman 5. Tiras terjual rata-rata: eksemplar 6. Sasaran: bolamania yang berjiwa muda 7. Harga eceran: Rp Semester kedua setelah terbitnya tabloid HX, PT. IMT mengalami perpecahan. Era ini adalah masa buruk bagi PT. IMT, karena penjualan tabloid mengalami penurunan penjualan dengan angka rata-rata eksemplar. Pada ini, nama dagang tabloid HX berubah menjadi tabloid X dengan maksud tidak mengganggu penjualan Majalah HX yang relatif stabil (sekaligus juga mengalami perubahan logo). Tapi nama dagang baru malah berakibat buruk dengan turunnya tingkat penjualan yang cukup tajam, sempat mencapai angka eksemplar saja. 12

17 Selain itu, penurunan penjualan secara tajam juga mulai dialami oleh majalah HX. Setelah sempat menjalani masa kolaps selama 4 bulan dengan hanya mampu menjual majalah sebanyak 5000 eksemplar, PT. IMT akhirnya terpaksa mengamputasi majalah HX. Produk andalan hanya tabloid X. Namun terkadang, PT. IMT menerbitkan majalah edisi khusus (temporer) berdasar dengan event besar sepak bola yang sedang ada. Daerah persebaran utama penjualan tabloid X adalah Jabotabek 27% dari total penjualan/ oplah. Propinsi Jawa Tengah adalah penyumbang penjualan terbesar kedua dengan nilai penjualan 19% dari total oplah. Untuk lebih lengkapnya mengenai penjualan PT. IMT, grafik penjualan Juli-Sep 2004 dibawah ini bisa dilihat sebagai acuan terakhir karena fluktuasi penjualan PT. IMT relatif tidak pernah bergejolak secara signifikan. Gambar 2 Persentase Penjualan Tabloid X di Indonesia 2.2 Permodalan PT. IMT adalah penerbit Tabloid X di Indonesia yang didirikan dengan modal awal Rp. 1,5 milyar, dengan rentang usia pembaca yang berada pada cakupan rentang usia remaja pria dan wanita hingga dewasa. 13

18 2.3 Struktur dan Peran Dalam Organisasi Struktur, status dan peran yang ada dalam organisasi dapat dipaparkan sebagai berikut ini. Gambar 3 Diagram Organisasi Pemimpin Perusahaan Anggaran Sirkulasi Pemimpin Umum Keamanan SDM dan Umum Promosi Pengembangan Bisnis Pemimpin Redaksi Supporting Rumah Tangga Pra Cetak Iklan Redaktur PelaksanaSekretariat Staf TI Staf Artistik Staf Redaksi Staf Dokumentasi Tabel 3 Status dan Peran Dalam Organisasi Status Jumlah Kod Peran e Pemimpin Perusahaan 1 A 01 Mengatur kinerja perusahaan yang membawahi karyawan dengan jumlah mencapai 43 orang setiap harinya dan memastikan perusahaan berada dalam keadaan sehat. Pemimpin 1 A 02 Memimpin perusahaan dengan mengendalikan aktifitas sehari-hari dari Umum Pengembangan Bisnis Sirkulasi 2 A 04 A 05 Promosi 2 A 06 A 07 organisasi. 1 A 03 Memiliki tugas manajerial yang berhubungan langsung dengan area pengembangan produk dan membawahi bidang promosi, iklan, dan sirkulasi. Bertugas mendistribusikan produk PT. IMT dengan menggunakkan jalur distribusi yang sudah ada sekaligus mencari peluang baru melalui kios-kios dan agen-agen yang belum tersentuh. Bertugas melakukan upaya-upaya yang bisa membuat penjualan tabloid X semakin membaik grafiknya. Ada kalanya promosi memberi masukan pada dewan redaksi untuk memperbaiki kualitas isi tabloid berdasar atas fakta-fakta penjualan dan lapangan untuk mempermudah kerja sosialisasi produk. 14

19 Iklan 3 A 08 A 09 A 10 Pemimpin Redaksi Redaktur Pelaksana Sekretariat 2 A 13 A 14 Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A 21 Staf Artistik 5 A 22 A 23 A 24 A 25 A 26 Bertugas mencari pemasang iklan untuk bersedia membeli spot/ ruang iklan yang disediakan tabloid sebagai sumber utama pendapatan tabloid. 1 A 11 Memiliki kewajiban mengatur kinerja dewan redaksi yang mencakup redaktur pelaksana, redaktur, reporter, dan dokumentasi dalam menyajikan materi tulisan dan berita kepada pembaca. 1 A 12 Perpanjangan tangan dari Pemimpin Redaksi tapi dengan privilese khusus, karena menjadi filter utama dalam penentuan sebuah berita layak ditampilkan atau tidaknya melalui sidang redaksi yang digelar secara mingguan. Tugasnya seperti umumnya sekretaris, mencatat baik notulensi rapat redaksi maupun kebutuhan harian redaksi dan bertanggung jawab langsung ke Pemimpin Redaksi. Adalah pihak dalam perusahaan yang bertugas mencari berita dan menuliskannya dalam format RTF untuk kemudian disimpan di server redaksi. Staf yang bertugas merancang lay out tabloid dengan menggunakan pola desain yang sudah ada. Artistik tidak boleh menggunakkan template lay out. Selain itu dalam tim artistik biasanya ada satu orang bertugas sebagai ilustrator. Hampir semua anggota tim artistik memiliki kemampuan membuat ilustrasi karena background pendidikan umumnya dari jurusan desain grafis. Staf Dokumentasi 2 A 27 A 28 Staf kepustakaan data yang tugas utamanya menyediakan foto, gambar, data historis atau literatur untuk keperluan penulisan reporter. Supporting 1 A 29 Memiliki kewajiban mengatur kinerja perusahaan yang berurusan dengan koordinasi antara bidang manajemen sumber daya manusia, keamanan, TI, Anggaran, dan Pracetak yang ada di PT. IMT. Anggaran 1 A 30 Memiliki kewajiban mengatur anggaran kerja dan operasional PT. IMT selain melakukan dokumentasi keuangan perusahaan layaknya pekerjaan pada bagian keuangan pada umumnya. SDM dan Umum 5 A 31 A 32 A 33 A 34 A 35 Pra Cetak 2 A 36 A 37 Keamanan 4 A 38 A 39 A 40 A 41 Rumah Tangga 2 A 42 A 43 Staf TI 2 A 44 A 45 Jumlah 45 Bertanggung jawab untuk pengelolaan sumber daya manusia. Bertugas mencetak atau mentranformasikan hasil lay out tim artistik ke dalam bentuk film siap cetak. Bertugas jaga bergantian shift dengan pola 12/24. Bertugas untuk hal-hal yang menyangkut kenyamanan dan kebersihan organisasi. Bertugas khusus mengurusi jaringan dan sistem yang ada, serta menangani media online. 15

20 Waktu Kerja PT. IMT memiliki 3 waktu kerja berbeda: 1. Staff Redaksi kecuali pemimpin redaksi umumnya memiliki waktu kerja relatif fleksibel. Tidak ada kewajiban harus datang jam tertentu asalkan tidak menyebabkan tulisan melewati deadline yang jatuh pada pukul 3 sore setiap harinya. Konsep uang lembur baru dikenakan bila kerja melewati jam 12 malam. 2. Satuan Pengamanan bekerja secara 24 jam selama 7 hari kerja tanpa kenal libur menjaga keamanan kantor yang berada di daerah rawan maling karena posisinya di samping jalan raya, Jl. Panjang, Jakarta Barat. Ketentuan libur dirotasikan dengan pembagian shift 2 kali dalam sehari. Tidak ada libur hari besar dan minggu kecuali ada kebijakan khusus dari Pimpinan Keamanan. 3. Karyawan dari Divisi Pengembangan Bisnis dan Supporting memiliki waktu kerja yang umum berlaku, yakni pukul 9 hingga pukul 5 sore. Staf promosi dan iklan memiliki perkecualian jam kerja karena bila sedang ada event tertentu (seperti nonton bola bareng di cafe) yang berhubungan dengan sosialisasi citra produk bisa jadi jam kerjanya bertambah secara tidak menentu. 16

21 2.4 Proses Bisnis Utama Organisasi Proses bisnis utama organisasi dapat dilihat pada gambar di bawah ini. Gambar 4 Work Flow Proses Bisnis Utama Rapat Redaksi Merumuskan content dan layout terbitan Notulensi rapat Staf Redaksi Mencari dan menulis berita Staf Dokumentasi Mencari referensi pendukung berita Staf Artistik Merancang lay-out Templete awal Percetakan Edit berita Templete Membuat film Film Redaktur Pelaksana Pemimpin Redaksi Staf Pra-Cetak 2.5 Aplikasi Organisasi Organization Computer Interaction Patterns N Status o 1 Pemimpin Perusahaan 2 Pemimpin Umum Tabel 4 Pola Penggunaan Komputer Dalam Organisasi Jumla Kod Pola Penggunaan Komputer h e 1 A 01 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer. 1 A 02 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer. Alokasi PC

22 3 Pengembangan Bisnis 4 Sirkulasi 2 A 04 A 05 5 Promosi 2 A 06 A 07 6 Iklan 3 A 08 A 09 A 10 7 Pemimpin Redaksi 8 Redaktur Pelaksana 9 Sekretariat 2 A 13 A Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A Staf Artistik 5 A 22 A 23 A 24 A 25 A Staf Dokumentasi 1 A 03 Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit business plan dan proposal dengan aplikasi MSWord dan internet explorer. Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan sirkulasi majalah dengan aplikasi MSExel dan akses internet dengan aplikasi internet explorer. Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan yang berkaitan dengan promosi majalah ke media lain dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer. Menulis dan mengedit laporan atau penawaran pemasangan iklan kepada klien dengan aplikasi MSWord, MSExcell dan akses internet dengan aplikasi internet explorer. 1 A 11 Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer. 1 A 12 Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer. 2 A 27 A 28 Menulis dan mengedit surat dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer. Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer. Merancang tampilan dan susunan dalam majalah, dengan aplikasi : PageMaker. MacOS. Freehand. Photoshop. Internet explorer, untuk akses internet. Menulis dan mengedit tulisan, membuat index terbitan dan referensi dengan aplikasi MSWord, internet explorer dan Winisis (database perpustakaan). 13 Supporting 1 A 29 Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer

23 14 Anggaran 1 A 30 Menulis dan mengedit laporan keuangan dan rencna anggaran tahunan dengan aplikasi MSExell dan akses internet. 15 SDM dan Umum 5 A 31 A 32 A 33 A 34 A Pra Cetak 2 A 36 A Keamanan 4 A 38 A 39 A 40 A Rumah Tangga 2 A 42 A Staf TI 2 A 44 A 45 Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer. Merancang tampilan dan susunan dalam 2 majalah yang siap cetak, dengan aplikasi : PageMaker. MacOS. Internet explorer. Internet explorer. - Internet explorer. - MSWord. Internet explorer Komponen Perangkat Keras Komponen Jumlah File Server 1 Web 1 Server Firewall 1 Router 1 Modem 1 Hub 1 Printer 4 Scanner 1 Fax 1 PC 27 Plotter 1 Komponen Perangkat Lunak Komponen Keterangan File Server OS Windows Server 2000 Web Server IIS OS 19

24 ID C ID C Infrasturktur Jaringan Server 1 Pemimpin Redaksi Content editing News editing Layout editing Firewall Server 2 Firewall Router Internet Redaktur Pelaksana Layout News Source related to news Design and graphics Staf Artistik Staf Redaksi Sekretariat Staf TI Pra Cetak Staf Dokumentasi 20

25 Denah ruangan Denah Lantai I Satpam dan Rumah tangga (Resepsionis) Pra Cetak DENAH LANTAI I Pemimpin Redaksi Rapat Redaksi Dokumentasi Tangga Sekretariat Redaksi 21

26 Denah Lantai II 2.6 Security Check List Organisasi Check List Physical and Environmental Security PC location Printer location Scanner location Fax location Personnel Security Password Description Tidak ada penempatan atau pengaturan ruang secara khusus terhadap PC. Semua anggota organisasi menggunakan komputer, tanpa ada alokasi khusus, tiap pengguna dapt menggunakan komputer manapun selama tidak sedang digunakan. Pengguna sering merokok sementara menggunakan komputer. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Tidak ada penggunaan password. Kecuali pada proses pengambilan berita gambar (foto) dari situs berlangganan tertentu,akan tetapi password tersebut diketahui oleh semua user. Certificates - Sign aggreement - Number of authorized users Seluruh user, tidak ada pembatasan. Bahkan SATPAM dan Office Boy sering menggunakan komputer untuk browsing di sore hari atau malam hari. Training Tidak pernah ada pelatihan yang dilakukan untuk meningkatkan security awareness dikalangan pegawai. Application Program and Usage Security Printing Browser security - Screen savers - Semua user dapat mengakses. 22

27 Warning - PC Confoguration OS version Tidak di up date Browser configuration Tergantung iman dan kepercayaan. Browser version Tergantung iman dan kepercayaan. Patch / Update levels Tidak di up date current Virus protection and Tidak di up date update Firewall Diurus oleh IT maintenance. USB Port Available Network Configuration Internet access Leased line di ISP. method Firewall 23

28 Bab 3 Keamanan Sistem Informasi Organisasi 3.1 Security Management Practices We will systematize the process of determining the organization's computer assets, and the methods for establishing the required levels of protection. We will learn how to create security-budgets for each identified reduction. Domain Security Management Practices pada prinsipnya ditujukan guna membantu organisasi dalam merencanakan, mengorganisasikan dan mengendalikan pengguna dan penggunaan sistem informasi dalam organisasi dengan perhatian utama pada pengamanan sistem informasi. Dalam hal tersebut maka sebaiknya suatu organisasi menjalankan hal-hal sebagai berikut : 1. Melakukan identifikasi aset sistem informasi organisasi. 2. Melakukan analisa resiko terhadap sistem informasi. 3. Membuat kebijakan keamanan sistem informasi dalam organisasi. 4. Memunculkan kesadaran keamanan sistem informasi dalam organisasi Identifikasi aset sistem informasi organisasi Mengacu kepada situasi dan kondisi sistem informasi yang ada dalam organisasi dapat diidentifikasi hal-hal sebagai berikut : Aset sistem informasi Criteria Value Age Useful life Personal association Classification 24

29 Data dan informasi Buku referensi Data gambar Hasil rapat redaksi Data tulisan edisi Film untuk naik cetak Bernilai penting sebagai referensi pendukung kredibilitas berita. Bernilai penting sebagai referensi pendukung kredibilitas berita dan berlangganan pada vendor dengan nilai kontrak sangat mahal.. Bernilai penting sebagai kunci isi materi penerbitan setiap minggu. Bernilai penting sebagai isi materi berita baik hard news maupun feature setiap minggunya. Bernilai penting sebagai materi penerbitan yang siap dicetak setiap minggu. Timeless, karena referensi selalu terpakai karena pengungkapan fakta historikal dalam berita dan digunakkan sebagai pendukung artikel feature. Hanya hingga saat naik cetak. Hanya hingga saat naik cetak. Hanya hingga saat naik cetak. Hanya hingga saat naik cetak. Referensi tetap bernilai tinggi meskipun ada penambahan data baru. Data gambar tetap bernilai tinggi meskipun ada penambahan data baru. Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi. Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi. Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi. - Company confidential - Company confidential Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Company confidential Company confidential Company confidential Hardware Faximile Telepon Printer Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. - Internal use only - Internal use only - Internal use only 25

30 Scanner PC Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Bernilai sebagai sarana komunikasi dan boleh digunakkan diluar kepentingan bisnis. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan. - Internal use only - Internal use only Tabel berikut ini merupakan identifikasi aset sistem informasi dari organisasi berdasarkan role dari para stakeholder. Aset sistem informasi Owner Custodian User Data dan informasi Buku referensi Pemilik perusahaan Dokumentasi Pemred, Redpel, dan Reporter. Data gambar Pemilik perusahaan Dokumentasi Pemred, Redpel, Artistik dan Reporter. Hasil rapat redaksi Pemilik perusahaan Sekretariat Pemred, Redpel, dan Reporter. Data tulisan edisi Pemilik perusahaan Redaksi Pemred, Redpel, dan Reporter. Film untuk naik cetak Pemilik perusahaan Pra cetak Redpel, Artistik, Percetakan dan Reporter. Hardware Faximile Pemilik perusahaan Sekretariat Semua stakeholder Telepon Pemilik perusahaan Sekretariat Semua stakeholder Printer Pemilik perusahaan Sekretariat Semua stakeholder Scanner Pemilik perusahaan Sekretariat Semua stakeholder PC Pemilik perusahaan Masing-masing Masing-masing stakeholder stakeholder Server Pemilik perusahaan Masing-masing stakeholder Masing-masing stakeholder Manajemen resiko Ancaman yang terindentifikasi terjadi di lingkungan organisasi tercantum seperti di bawah ini : Ancaman Dampak Kerugian Data classification Virus menjadi masalah Dalam seminggu minimal Data rusak. bagi PT. IMT karena masih terjadi 3 (tiga) unit PC Data hilang. ada penggunaan disket terinfeksi. Pengulangan sebagai media pertukaran penulisan berita file. sehingga menyebabkan lembur. Information warefare

31 Personnel Anti Virus jarang diupdate Anti virus menjadi mandul Data rusak. oleh pengguna PC. setiap saat. Data hilang. Pengulangan penulisan berita sehingga menyebabkan lembur. Staf redaksi memformat Satu kali terjadi Data hilang. komputer rekan kerja yang Pengulangan dibencinya. pengumpulan data tulisan yang akan diterbitkan. Application / operational Criminal Personel melakukan Jarang terjadi. Kompetitor pembobolan aset (gambar). Pencurian hardware. Satu kali terjadi Proses kerja menjadi tidak berjalan sebagaimana adanya. Environmental Gangguan listrik. Setahun 2 kali. Proses kerja menjadi tidak berjalan sebagaimana adanya. Computer infrastructure Gangguan hardisk server. Rata-rata terjadi 2 minggu sekali Proses kerja menjadi tidak berjalan sebagaimana adanya. OS redaksi hang Hampir tiap hari terjadi Proses kerja menjadi tidak berjalan sebagaimana adanya. Delayed processing Kerusakan software yang terjadi sering disebabkan oleh virus, meskipun sudah disediakan antivirus yang terbaru, hal tersebut terkadang tidak dapat mencegah terjadinya serangan virus. Jika hanya menimpa beberapa aplikasi, penanggulangan diserahkan pada tanggung jawab masing-masing pengguna agar berhati-hati dalam berbagi informasi. Namun jika menyebabkan kerusakan total sistem operasi dan aplikasi, penanggulangan diserahkan untuk diisolasi dan diservis. Antisipasi lain yang dijalankan adalah dengan penyediaan aplikasi antivirus terkini. Setiap kali ada informasi tentang adanya aplikasi terkini untuk mendeteksi virus, administrator akan berusaha untuk menyediakan aplikasi tersebut Kebijakan keamanan sistem informasi Kebijakan keamanan sistem informasi pada organisasi tidak dirumuskan secara tertulis. Sehingga apabila terjadi suatu hal yang menggangu sistem sering kali terjadi saling menyalahkan. Untuk 27

32 itu perlu dibuat kebijakan yang paling tidak mengatur secara tegas perang dan kewajiban para stakeholder, seperti tercantum dibawah ini : N Status Jumlah Kode Roles and responsibilities o 1 Pemimpin Perusahaan 1 A 01 Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general. 2 Pemimpin Umum 1 A 02 Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general. 3 Pengembangan Bisnis 1 A 03 Bertanggung jawab terhadap masalah keamanan kantor di unit Pengembangan Bisnis saja. 4 Sirkulasi 2 A 04 A 05 Bertanggung jawab terhadap masalah keamanan kantor di unit Sirkulasi saja. 5 Promosi 2 A 06 A 07 Bertanggung jawab terhadap masalah keamanan kantor di unit Promosi saja. 6 Iklan 3 A 08 A 09 Bertanggung jawab terhadap masalah keamanan kantor di unit Iklan saja. A 10 7 Pemimpin Redaksi 1 A 11 Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja. 8 Redaktur Pelaksana 1 A 12 Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja. 9 Sekretariat 2 A 13 Melaksanakan kebijakan yang sudah ditetapkan. A Staf Redaksi 7 A 15 Melaksanakan kebijakan yang sudah ditetapkan. A 16 A 17 A 18 A 19 A 20 A Staf Artistik 5 A 22 Melaksanakan kebijakan yang sudah ditetapkan. A 23 A 24 A 25 A Staf Dokumentasi 2 A 27 Melaksanakan kebijakan yang sudah ditetapkan. A Supporting 1 A 29 Melaksanakan kebijakan yang sudah ditetapkan. 14 Anggaran 1 A 30 Melaksanakan kebijakan yang sudah ditetapkan. 15 SDM dan Umum 5 A 31 Melaksanakan kebijakan yang sudah ditetapkan. A 32 A 33 A 34 A Pra Cetak 2 A 36 Melaksanakan kebijakan yang sudah ditetapkan. A Keamanan 4 A 38 Melaksanakan kebijakan yang sudah ditetapkan. A 39 A 40 A Rumah Tangga 2 A 42 Melaksanakan kebijakan yang sudah ditetapkan. A Staf TI 2 A 44 A 45 Melaksanakan kebijakan yang sudah ditetapkan. 28

33 3.1.4 Kesadaran keamanan sistem informasi organisasi Selama ini organisasi hanya menekankan pada pentingnya keamanan lokasi dari pencurian (kejahatan konvensional). Sehingga kesadaran akan keamanan hanya ditekankan pada anggota satuan pengamanan dengan disertakannya meraka pada pelatihan keamanan untuk SATPAM. Hal ini berakibat masalah keamanan pada sistem informasi kurang tertangani mengingat bahwa ancaman yang teraktualisasi tidak dapat sepenuhnya diatasi dengan cara pelatihan tersebut. Kesadaran akan keamanan sistem informasi sebaiknya dilakukan dengan cara : 1. Mengikutsertakan pemilik perusahaan dan kepala-kepala bagian dalam pelatihan keamanan sistem informasi. 2. Mengikutsertakan staf IT dalam pelatihan keamanan sistem informasi tingkat lanjut. 3. Membuat remainder bagi para user agar peduli dengan masalah keamanan sistem informasi. 3.2 Access Control Systems Akses ke sistem informasi saat ini belum dilakukan dengan baik. Terbukti bahwa ada beberapa stakeholder yang sebenarnya tidak berkaitan langsung dengan PC, justru dapat menggunakan PC dengan leluasa. Satpam dan officeboy dapat mengakses internet tanpa ada teguran dan sudah dianggap biasa. Untuk itu yang perlu dilakukan adalah : 1. Bekerja sama dengan pengelola gedung untuk melakukan penjagaan dan pengamanan. 29

34 2. Mengaktifkan ID Card sebagai kendali akses ke dalam lokasi organisasi yang pengawasannya dilakukan oleh Satpam dan staf IT. 3. Membuat daftar akses kendali bagi setiap stakeholder dalam memanfaatkan sumber daya sistem informasi. Aplikasi yang digunakan untuk koneksi terhadap internet adalah internet explorer. Perusahaan tidak memiliki web server oleh karena itu hanya dapat diakses secara bebas menggunakan fasilitas free dari situs-situs yang menawarkan. Perusahaan belum melakukan ekspansi usahanya melalui internet. Koneksi terhadap internet pun dilakukan secara dial-up, sehingga hanya pengguna-pengguna tertentu yang diberikan hak ases untuk dapat menggunakan fasilitas internet. Penggunaan fasilitas ini pun dibatasi, sekedar untuk menerima dan mengirimkan laporan kepada direksi atau komisaris. Tanggung jawab pengawasan dan pengontrolan penggunaan internet dibebankan kepada staf TI dan Pemimpin Redaksi. Biasanya pengguna diberikan hak untuk mengakses internet secara bebas akrena menggunakkan leased line/ cable. Pengaksesan internet dilakukan hanya melalui server utama dengan otoritas dari Pemimpin Redaksi/ staf TI. Jika Pemimpin Redaksi berhalangan kerja (cuti, ijin, sakit dll.), tanggung jawab akan diserahkan pada salah satu staf redaksi. Staf TI berkewajiban memantau akses pengguna secara berkala. Jika terdapat situs-situs yang tidak bermanfaat diakses oleh pengguna, pengguna akan diberi peringatan dan sanksi. Sanksi dapat berupa penyetopan hak akses untuk jangka waktu tertentu. N o Status Jumlah Kode Akses ke sistem informasi 1 Pemimpin 1 A 01 Full access. Perusahaan 2 Pemimpin Umum 1 A 02 Full access. 3 Pengembangan Bisnis 1 A 03 Akses ke keuangan. 30

35 4 Sirkulasi 2 A 04 Akses ke keuangan. A 05 5 Promosi 2 A 06 Akses ke keuangan dan berbagi data ke bagian iklan. A 07 6 Iklan 3 A 08 Akses ke keuangan dan berbagi data ke bagian promosi. A 09 A 10 7 Pemimpin Redaksi 1 A 11 Full access. 8 Redaktur Pelaksana 1 A 12 Akses data distribusi, iklan dan redaksi 9 Sekretariat 2 A 13 Akses data redaksi A Staf Redaksi 7 A 15 Akses data redaksi A 16 A 17 A 18 A 19 A 20 A Staf Artistik 5 A 22 Akses data redaksi A 23 A 24 A 25 A Staf Dokumentasi 2 A 27 Akses data redaksi A Supporting 1 A 29 Akses data pendukung dan redaksi. 14 Anggaran 1 A 30 Akses data keuangan 15 SDM dan Umum 5 A 31 Akses data pegawai A 32 A 33 A 34 A Pra Cetak 2 A 36 Akses data redaksi A Keamanan 4 A 38 Tidak berhak mengakses sumber daya sistem informasi. A 39 A 40 A Rumah Tangga 2 A 42 Tidak berhak mengakses sumber daya sistem informasi. A Staf TI 2 A 44 A 45 Akses ke hardware. 3.3 Telecommunications and Network Security We will review telecommunications aspects of Network security, including protocols, network infrastructures and network topologies. We will also look at remote access, devices, security issues and administration 31

36 Data yang pindah tempatkan hanya film untuk cetak ukuran tabloid. Pemindahannya dilakukan secara fisik pada waktu malam hari sebelum terbit keesokan harinya. Pengamanannya dilakukan dengan pengawalan oleh tenaga satuan pengamanan. Topologi jaringan pada Local Area Network (LAN) di bagian redaksi menggunakan topologi Star. Server ditempatkan di ruangan khusus yang digunakan bersama dengan bagian artistik dan pracetak. Penanggung jawab server dan jaringan sekaligus menjadi administrator berada di tangan Staf TI. Dalam ruangan ini aturan keamanan diikuti secara ketat. Ruangan sangat dingin dengan adanya alat pendingin ruangan (AC) berkekuatan tinggi. Tapi perhatian terhadap keamanan kondisi fisik hardware dan jaringan kurang terjaga. Kedisiplinan dari para pengguna komputer perlu ditingkatkan agar keamanan ruangan server dari suhu dan kelembaban dapat terjaga dengan baik. Sedangkan untuk komputer client, komputer masing-masing ditempatkan di meja para pegawai dan manajer. Sumber daya printer dipakai bersama-sama untuk semua unit dan pegawai. Server digunakan untuk menyimpan data-data seluruh materi media cetak, kecuali data-data keuangan yang disimpan secara terpisah di komputer client bagian keuangan. Administrator tidak perlu membagi hak akses berdasarkan otoritas penggunaan karena server hanya berisi data-data metri media yang akan turun cetak dalam format pm (Pagemaker). Pada umumnya akses penghapusan data tidak diberikan, dan harus dilakukan atas persetujuan administrator. 32

37 Komputer yang digunakan untuk layout dan desainer diberikan hak akses tersendiri dan tidak dapat diakses dari komputer lainnya. Hal tersebut dilakukan agar hasil-hasil layout dan desainer tetap terjaga dengan baik. Begitu pula aplikasi yang digunakan disimpan di komputer tersebut. Aplikasi umumnya berupa aplikasi khusus bagi layout dan desainer seperti Adobe Pagemaker 7, Adobe Photoshop, aplikasi pendukung untuk scanner dan antivirus Symantec Client Antivirus. Masing-masing client diberikan hak untuk melakukan backup data di komputer masingmasing, sedangkan backup data di server dilakukan secara berkala dengan pengkopian pada CD dan partisi hard disk lain. Spesifikasi komputer umumnya digunakan Pentium III dan Pentium IV. Sistem operasi digunakan Windows 2000 Profesional pada client, sedangkan server menggunakan Windows 2000 NT. Instalasi jaringan menggunakan HUB atau concentrator, kabel penghubung UTP (unshielded twisted pair) Ethernet 10BaseT, Line Card Realtek RTL 8139 Base dan konektor RJ45. Masing-masing client dapat saling berkomunikasi melalui jaringan dan diberikan hak untuk mengakses internet. Selain itu komunikasi dilakukan pula melalui jaringan telepon internal untuk menjangkau staf lainnya yang tidak berhubungan langsung dengan komputer. Untuk gedung administratif hanya terdapat delapan komputer (Pentium IV) yang terhubung dengan LAN dengan instalasi jaringan standar. Masing-masing komputer digunakan oleh staf anggaran, staf distribusi, promosi, iklan serta dua komputer untuk keperluan desain dan lay out bagi tim promosi dan iklan. Satu buah printer dipakai bersama-sama antar para pengguna komputer. Kelima komputer tersebut masing-masing dapat saling mengakses data dan 33

38 berbagi data. Namun bagi informasi yang bersifat kritikal (data keuangan), data hanya dapat diakses dengan memakai ID pengguna dan password khusus. Begitu pula dengan data-data layout dan desainer dibatasi hanya bagi penggunanya. Untuk keamanan jaringan dan kerusakan (troubles) yang terjadi diserahkan sepenuhnya pada masing-masing pengguna. Pengguna yang memiliki pengetahuan lebih terhadap komputer umumnya menjadi volunteer bagi penyelesaian kerusakan. Namun jika kerusakan tidak dapat ditangani, peralatan akan dikirimkan untuk diservis. Komunikasi lainnya dapat digunakan melalui telepon. Namun penggunaannya menjadi tanggung jawab penuh bagian administrasi. Oleh karena ruangan perusahaan tidak begitu luas, para pegawai penerbitan melakukan komunikasi secara manual (lisan). Telepon hanya digunakan untuk menerima pemesanan dan keperluan tertentu. 3.4 Cryptography. We will look at crypto techniques, methodologies and approaches Mengacu kepada aset sistem informasi dan kemampuan komputesi yang ada, khususnya data yang dipertukarkan, cryptography masih belum perlu diimplementasikan. Hal ini dikarenakan data yang dipertukarkan berada dalam jaringan LAN internal organisasi. 3.5 Security Architecture and Models 34

39 We will examine concept models and techniques for designing and implementation secure applications, operate systems, networks and systems. Pada bagian ini menguraikan tentang konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Namun pada perusahaan PT. IMT, arsitektur dan model seperti yang dimaksudkan di atas hanya bisa diidentifikasi beberapa arsitektur dan model. Arsitektur dan model yang diperoleh berupa arsitektur sistem jaringan, sistem operasi, dan aplikasi. Arsitektur sistem jaringan baik bagian redaksi maupun administrasi keduanya memiliki arsitektur yang sama dengan topologi star. Masing-masing pengguna dapat mengakses file sistem dalam server melalui jaringan. Aktivitas yang harus dilakukan adalah pengguna wajib melakukan login untuk berinteraksi dengan jaringan. Pengguna akan diminta untuk memasukkan ID pengguna dan Password agar mendapatkan hak ases. Keberhasilan login akan memicu sistem operasi mengenali hak-hak akses apa yang diberikan terhadap pengguna tersebut. Selanjutnya sistem operasi akan menghubungkan ke server dan seluruh jaringan yang terkoneksi. Pada PT. IMT, tingkat jaminan keamanan dikategorikan low level (proteksi lapisan bawah). Hal ini dapat dilihat dari metode pengamanan yang lebih mengarah pada pengamanan yang berfokus hardware, lebih sederhana, namun melebar dan tidak fleksibel. Oleh karena itu meskipun fungsionalitas sistem menurun, kompleksitas keamanan juga menurun namun jaminan keamanan meningkat. Tidak ada aplikasi-aplikasi yang dibangun secara khusus untuk perusahaan layaknya vendor ERP seperti SAP ataupun Oracle, bahkan aplikasi spesifik misalnya Sistem Informasi PT. IMT. 35

40 Teknologi yang digunakan cukup mutakhir di pasaran saat ini (Pentium IV), begitu pula dengan aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, namun semuanya merupakan produk beli dan bukan merupakan produk yang dikembangkan secara khusus. Model keamanan relatif tergolong sederhana. 3.6 Operations Security We will cover aspects of control, audit and monitoring that apply to systems, personnel, information and resources. Dalam domain operasi keamanan difokuskan pada tindakan apa saja yang menjadikan sistem beroperasi secara aman, terkendali dan terlindung. Sistem di sini dapat berupa jaringan, komputer ataupun lingkungan. Sedangkan operasional diartikan sebagai berfungsinya sistem setelah dijalankan. Adapun waktu dari operasional dapat mencakup jam atau hari berfungsinya sistem tersebut. Pada PT. IMT, proses bisnis berlangsung hampir delapan jam sehari pada unit administratif, namun pada unit redaksi jam kerja bisa mencapai 14 jam. Kebijakan perusahaan tentang pegawainya juga diterapkan jika kerja tim redaksi telah melewati jam 12 malam. Pekerjaan akan dilanjutkan setelah jam kerja biasa dan dilakukan secara kontinyu. Biasanya pekerjaan lembur ini hanya terjadi sewaktu-waktu saja, misalnya saat penerbitan edisi khusus atau sempat terjadi masalah pada server yang mengakibatkan tim redaksi harus waspada pada kemungkinan terjadinya perubahan materi cetak akibat kerusahaan pada sistem di pra cetak. 36

41 Secara umum operasinal bisnis perusahaan umumnya dimulai sekitar pukul 8.00 dan berakhir pukul setiap hari. Selain itu karena format bisnis perusahaan merupakan usaha media informasi maka konsep lembur sebenarnya tidak terlalu dikenal. Bila ada event tertentu (seperti nonton bola bareng di café) yang mengharuskan karyawan kerja ekstra maka tidak ada kompensasi khusus. Kompensasi hanya diberikan bila pekerja keluar kantor sesudah jam 12 malam yang ditandai dari absensi pegawai melalui mesin absensi. Frekuensi lembur lebih umum terjadi pada staf redaksi saja. Pada bagian administratif hal tersebut jarang terjadi, sebab proses kerja relatif sama dengan kantor-kantor lainnya. Gangguan yang sering muncul dalam jaringan adalah berasal dari virus atau kerusakan secara fisik karena arus pendek listrik dan petir. Virus umumnya menyebar melalui jaringan yang terkoneksi ke internet. Sekalipun akses internet tidak ada pembatasan dan digunakan untuk mengakses atau informasi, gangguan yang disebabkan oleh hacker atau cracker belum pernah terjadi. Sesuai dengan aturan ketenagakerjaan, pegawai diberikan hak cuti setiap tahunnya kecuali bagi karyawan kontrak. Diharapkan cuti tersebut dapat mengurangi problem demoralisasi dan bisa mengembalikan kesegaran mental dan moral pegawai yang mengalami kejenuhan. Cuti paling lama dua minggu atau 12 hari kerja, tidak termasuk hari libur, sabtu dan minggu. Cuti tidak dapat diambil sekaligus karena tuntutan terbit seminggu sekali. Pelaksanaan cuti diatur sesuai kebijakan yang sudah diterbitkan perusahaan. Bagi pegawai yang melakukan cuti, pekerjaan dilimpahkan kepada rekannya dengan koordinasi terlebih dahulu dengan pemimpin redaksi atau redaktur pelaksana. 37

42 Bagi keamanan lingkungan, dikarenakan lokasi bagian percetakan cukup luas, ditugaskan petugas keamanan atau Satpam selama 24 jam dengan dua kali shif kerja. Satpam yang bertugas pagi mulai pukul 7.00 sampai pukul malam, berikutnya digantikan oleh satpam yang bertugas malam mulai pukul sampai pukul 7.00 pagi. Tugas pagi dan malam dilakukan secara bergiliran selama satu minggu. Meskipun hari libur, satpam tetap bertugas sesuai dengan jadwalnya. Setiap bulannya satpam diberikan pengarahan dari manajer administrasi untuk menanggulangi berbagai kemungkinan ancaman dan kerawanan. 3.7 Applications and Systems Development. We will look at system development lifecycles, change-control management and operating system security components. Included in this domain are elements of Quality assurance and the CMM. Aplikasi pada umumnya tidak dibangun secara spesifik karena kebutuhan penerbitan hanya pada aplikasi untuk keperluan desain lay out dan penulisan. Aplikasi-aplikasi tersebut sudah sangat spesifik dan tersedia secara luas di pasaran. Aplikasi didapatkan dengan metode membeli original product. Begitu pula dengan aplikasi lainnya seperti perkantoran (office automation system) dan sistem operasi. Organisasi ini tidak mengembangkan perangkat lunak yang dikhususkan untuk digunakkan mendukung proses bisnis. Aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, semuanya merupakan produk beli yang dijual bebas di pasaran. Yang dilakukan oleh organisasi saat ini adalah tinggal meng-update patch terbaru. 3.8 Business Continuity Planning. 38