MANAJEMEN KEAMANAN SISTEM INFORMASI PERU
MANAJEMEN KEAMANAN SISTEM INFORMASI
PERUSAHAAN MANUFAKTUR BERSEKALA
ENTERPRISE
(STUDI KASUS CV. GRAHA MESIN GLOBALINDO)
Ujian Akhir Semester Keamanan Sistem Informasi
Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS MA CHUNG
MALANG
2015
UCAPAN TERIMA KASIH
Selama pengerjaan UAS ini kami menyadari sepenuhnya bahwa begitu
banyak pihak yang telah turut membantu dalam penyelesaian program ini, melalui
kesempatan ini dengan segala kerendahan hati, sebagai rasa penghargaan atas
bimbingan dan dorongan yang telah diberikan, maka perkenankanlah kami
mengucapkan terima kasih kepada :
1. Allah SWT yang telah memberikan kemudahan dan kelancaran dalam
menyelesaikan laporan ini.
2. Kedua orang tua yang telah memberikan dukungan secara moral dan
material.
3. Bapak Yudhi Kurniawan, S.Kom. M.MT. selaku dosen pengampu yang
telah meluangkan ilmu dan waktunya demi kesempurnaan dan kelancaran
laporan ini.
4. Semua pihak yang tidak dapat disebutkan satu-persatu yang membantu
pengerjaan laporan ini.
i
KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan
rahmat dan kuasa-Nya, laporan dengan judul “Manajemen Keamanan Sistem
Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN
GLOBALINDO).”
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan rule
dalam bidang keamanan IT/IS untuk seluruh layanan yang ada diorganisasi CV.
GRAHA MESIN GLOBALINDO dan menggunakan Information Security
Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan
dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan kritik
dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi pengulasan
lanjutan sehingga kajian yang diberikan akan lebih informatif dan tepat sasaran
kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat
dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi
pembaca.
Malang, 18 Desember 2015
Penulis
ii
DAFTAR ISI
LEMBAR PENGESAHAN....................................................................................i
UCAPAN TERIMA KASIH..................................................................................ii
MOTTO.................................................................................................................iii
KATA PENGANTAR............................................................................................iv
BAB I PENDAHULUAN.......................................................................................1
1.1
LATAR BELAKANG.................................................................................1
1.2
IDENTIFIKASI MASALAH.....................................................................2
1.3
RUMUSAN MASALAH.............................................................................2
1.4
TUJUAN......................................................................................................3
1.5
RUANG LINGKUP....................................................................................3
1.6
MANFAAT...................................................................................................3
1.7
WAKTU DAN PELAKSANAAN..............................................................4
BAB II PROFIL PERUSAHAAN.........................................................................5
2.1
SEJARAH SINGKAT.................................................................................5
2.2
VISI DAN MISI...........................................................................................5
VISI :.......................................................................................................................5
MISI :......................................................................................................................5
2.3
ALAMAT DAN PETA LOKASI................................................................6
2.4
AKTIFITAS.................................................................................................7
2.5
STRUKTUR ORGANISASI......................................................................7
2.6
PERSONALIA............................................................................................7
BAB III TINJAUAN PUSTAKA..........................................................................8
3.1
KONSEP DASAR SISTEM INFORMASI...............................................8
3.2
RADIO.......................................................................................................13
3.3
CODE IGNITER.......................................................................................18
3.4
PHP.............................................................................................................18
3.5
MYSQL......................................................................................................20
BAB IV ANALISIS DAN PERANCANGAN....................................................22
iii
A.
B.
C.
D.
E.
F.
G.
SYSTEM FLOW YANG DIUSULKAN...............................................................24
DIAGRAM KONTEKS.....................................................................................25
DFD LEVEL 1..............................................................................................26
ERD.............................................................................................................27
KAMUS DATA...............................................................................................28
SITEMAP......................................................................................................30
DESAIN INPUT OUTPUT...............................................................................32
BAB VI SIMPULAN DAN SARAN..................................................................45
6.1
SIMPULAN...............................................................................................45
6.2
Saran............................................................................................................45
iv
DAFTAR GAMBAR
GAMBAR 2.1 PT. UREYANA CORDIS..............................................................6
GAMBAR 2.2 DENAH LOKASI PT UREYANA CORDIS..............................6
GAMBAR 2.3 GAMBAR STRUKTUR ORGANISASI.....................................7
GAMBAR 4.1 SYSTEM FLOW REQUEST LAGU LAMA...........................23
GAMBAR 4.2 SYSTEM FLOW YANG DIUSULKAN...................................24
GAMBAR 4.3 DIAGRAM KONTEKS LEVEL 0...........................................25
GAMBAR 4.4 DFD LEVEL 1............................................................................26
GAMBAR 4.5 ERD.............................................................................................27
GAMBAR 4.6 SITEMAP HOME......................................................................30
GAMBAR 4.7 SITEMAP ADMIN....................................................................31
GAMBAR 4.8 FORM HOME............................................................................32
GAMBAR 4.9 FORM BERITA.........................................................................32
GAMBAR 4.10 FORM JADWAL.....................................................................33
GAMBAR 4.11 REQUEST BOX........................................................................34
GAMBAR 4.12 FORM MANAGE USER........................................................34
GAMBAR 4.13 FORM MANAGE REQUEST.................................................35
GAMBAR 4.14 FORM JADWAL SIARAN.....................................................35
GAMBAR 4.15 FORM MANAGE NEWS.......................................................36
GAMBAR 5.1 ERROR USERNAME ATAU PASSWORD SALAH..............38
GAMBAR 5.2 ADD USER.................................................................................38
GAMBAR 5.3 ADD USER BERHASIL.............................................................39
GAMBAR 5.4 DELETE USER...........................................................................39
GAMBAR 5.5 EDIT USER.................................................................................40
GAMBAR 5.6 EDIT USER BERHASIL...........................................................40
GAMBAR 5.7 HOME..........................................................................................41
GAMBAR 5.8 BERITA.......................................................................................41
GAMBAR 5.9 JADWAL......................................................................................41
GAMBAR 5.10 REQUEST BOX........................................................................42
v
GAMBAR 5.11 MANAGE USER.......................................................................42
GAMBAR 5.12 MANAGE REQUEST..............................................................43
GAMBAR 5.13 MANAGE JADWAL SIARAN................................................43
Gambar 5.14 Manage News...................................................................................44
vi
DAFTAR TABEL
TABEL 1.1 WAKTU DAN PELAKSANAAN.....................................................4
TABEL 4.1 TABEL USER(ADMIN)..................................................................28
TABEL 4.2 TABEL REQUEST...........................................................................28
TABEL 4.3 TABEL JADWAL SIARAN.............................................................28
Tabel 4.4 Tabel Berita............................................................................................29
vii
Bab I
Pendahuluan
1.1
Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung
jawabkan oleh setiap departemen yang ada didalam suatu perusahaan.
Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis,
mengurangi resiko dan mencari kesempatan bisnis. Semakin banyak informasi
yang tersimpan dalam perusahaan, dikelola dan dibagi, maka semakin besar
pula resiko terjadinya kerusakan, kehilangan atau bahkan tereksposnya data ke
pihak external yang mungkin tidak bersangkutan atau tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas
strategi dan pembagian tanggung jawab, yang bertujuan utama untuk
menurunkan risiko yang berpotensi menjadi ancaman terhadap operasional
perusahaan. Jika penyusunan rencana keamanan tidak berdasarkan hasil
analisis risiko, maka dapat menyebabkan lemahnya strategi dalam
mengantisipasi ancaman gangguan dan serangan terhadap aset perusahaan.
Lemahnya strategi tersebut, disebabkan oleh proses identifikasi kelemahan
dan kerawanan teknologi informasi yang tidak dilakukan dengan baik.
Sebaliknya dalam penyusunan rencana keamanan seharusnya didasari oleh
hasil analisis dan mitigasi risiko teknologi informasi, agar strategi keamanan
yang diusulkan dapat secara efektif menurunkan risiko yang telah
diidentifikasi melalui analisis dan mitigasi risiko.
1
1.2
Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti
perubahan proses bisnis dan fungsi bisnis, maka sistem informasi yang
dulunya masih terpisah berdasarkan modulnya seperti dibagian keuangan,
pergudangan, penjualan, dan produksi. Masing-masing modul aplikasi tersebut
berbeda, sehingga sulit untuk berkomunikasi atau mengintegrasikan data dan
tidak real time. Dampak dari modul yang terpisah dan data yang dibutuhkan
harus bersifat real time maka terjadi keterlambatan dalam integrasi dan
penyesuain data.
Sehingga diperlukan
suatu
sistem
yang
dapat
dipercaya
untuk
memfasilitasi proses perputaran data antara departemen dalam perusahaan
yang dilakukan secara online tanpa memandang jarak yang berjauhan sebagai
suatu permasalahan tertutama apabila perusahaan yang memiliki kantor
cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut
dengan sistem Enterprise, dimana didalamnya terdapat bermacam-macam
departement yang terlibat secara langsung bahkan bersamaan dalam
pengolahan datanya. Dengan sistem bersekala enterprise pada perusahaan
manufaktur maka pertukaran data lintas department dapat dilakukan tanpa
harus saling menunggu data secara fisik. Dikarenakan tingginya mobilitas
pihak-pihak dalam setiap department khususnya maka sistem tersebut harus
dapat diakses dimana saja dan kapan saja dengan menggunakan berbagai
perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal
dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah
keamanan transaksi data yang dilakukan baik lintas department maupun lintas
cabang perusahaan. Pada laporan ini akan dibuat suatu rancangan sistem
manajemen keamanan informasi yang berguna untuk menangani perputaran
data atau transaksi data dalam perusahaan.
2
1.3
Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar
belakang diatas, adalah :
Information Security Management System (ISMS) merupakan sebuah
kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis untuk
pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan
serta peningkatan keamaan informasi perusahaan.
Sebagai sebuah sistem, keamanan informasi harus didukung oleh
keberadaan dari hal-hal berikut yang menjadi objek yang diteliti, antara lain:
Perancangan Keamanan (Security Planning)
Manajemen Keamanan (Security Management)
Kebijakan Keamanan (Security Policy)
Prosedur dan proses (Standard Procedures)
Analisa Resiko Keamanan (Security Risk)
Masalah yang ingin diteliti pada objek penelitian ini, adalah
Tindakan
preventif
dan
kepedulian
pengguna
jaringan
yang
memanfaatkan informasi. Apakah semua permasalahan jaringan dan
kejadian pelanggaran keamanan atas setiap kelemahan sistem
informasi telah”segera” dilaporkan sehingga administrator (jaringan
maupun database perusahaan) dapat segera mengambil langkahlangkah keamanan yang dianggap perlu.
Apakah akses terhadap sumber daya pada sistem sudah dikendalikan
secara ketat untuk mencegah akses dari yang tidak berhak.
Apakah semua prosedur serta proses-proses yang terkait dengan
usaha-usaha
pengimplementasian
dijalankan dengan benar
3
keamanan
informasi
sudah
1.4
Tujuan dan Manfaat Implementasi ISO20071
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan
gambaran implementasi sistem manajemen keamanan informasi berstandar
internasional kepada perusahaan, organisasi nirlaba, instansi atau publik agar
dapat mempelajari dan mencoba mengimplementasikannya dilingkungan
sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba
melakukan kegiatan audit terhadap semua aspek terkait, seperti: kondisi
jaringan komputer lokal, policy, manajemen SDM, organisasi keamanan
informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005:
Audit ISMS memberi pemahaman yang lebih baik mengenai aset
informasi
dan
proses
manajemen
keamanan
informasi
yang
diperlukan.
Membantu memberikan pemahaman pentingnya keamanan informasi
pada karyawan, stakeholder dan masyarakat umum.
Membantu mengarahkan implementasi sistem manajemen keamanan
informasi berdasarkan kepada pertimbangan manajemen risiko.
1.5
Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang
dijalankan, antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat
dikelas, dan dengan mencari sumber lain seperti website, buku
sebagai tambahan informasi yang dibutuhkan dalam penyusunanan
laporan.
4
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai
3. Desain sistem informasi keamanan yaitu merancang usulan mulai
dari securtity plan, security management & security risk, dan
security assement.
1.6
Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen
ISMS, ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi
dan metodologi kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari dokumen
ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi kasus
CV. GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan
gambaran lengkap mengenai proses bisnis perusahaan dan department yang
terlibat didalamnya.
Bab 4 Berisi penjelasan detail dari Manajemen Keamanan Sistem Informasi
yang meliputi Implementasi DPCA, Security Planning sistem, Security
Management, dan Security Risk & Assessment.
5
Bab II
Profil Perusahaan
2.1
Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam bidang
produksi alat dan mesin teknologi yang tepat guna, serta penjualan mesin impor yang
bersertifikasi dan bergaransi. Spesialisasi yang dimiliki dalam produksi mesin teknologi
tepat guna pertanian, alat dan mesin pengolahan makanan, serta supplier mesin
pengemasan (Agriculture equipment, food processor & packing machinery). CV. Graha
Mesin Globalindo bekerjasama dengan banyak vendor hal ini dapat dibuktikan dengan
melihat dari banyaknya kategori dan produk mesin yang disediakan. Jumlah varian dari
produk yang dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin
banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari luar kota
Malang saja, melainkan sudah meluas hingga luar kota, antar pulau seluruh Indonesia
hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi tepat
guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin pengemasan
(Agriculture equipment, food processor & packaging machinery). Letak lokasi CV Graha
Mesin Globalindo berpusat di Malang, Jawa Timur, Indonesia.
CV Graha Mesin Globalindo menyediakan alat dan mesin kebutuhan usaha yang
terbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi.
Alat dan mesin tersebut di kelompokan menjadi beberapa kategori, di antaranya:
1.
2.
3.
4.
5.
6.
7.
8.
2.2
Mesin produksi
Mesin industri
Mesin pengolah makanan (Food Processing)
Mesin pengemas (Packaging)
Mesin pertanian
Mesin perikanan
Mesin peternakan
Mesin perkebunan
Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat
didalam kemajuan perusahaan, antara lain:
1.
2.
3.
4.
2.3
Departement Keuangan
Departement Produksi
Departement Delivery
Departement Marketing dan Sales.
Alamat dan Peta Lokasi
PT. X merupakan suatu perusahaan manufaktur yang terletak di Kawasan X,
Malang Jawa Timur.
Gambar 2.1 PT. X
Berikut ini merupakan peta lokasi PT. X berada yang dapat diakses dengan
menggunakan Google Map.
Gambar 2.2 Denah Lokasi PT X
1
2.4
Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan dan
produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha. Dan tererbagi
menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi. Alat dan mesin tersebut di kelompokan berdasarkan kategori seperti
pada penjelasan sebalumnya. Bagian marketing and sales yang bertugas dalam
mencari calon pembeli kemudian data konsumen yang berminat pada produk yang
ditawarkan tersebut akan diserahkan pada bagian keuangan, yang nantinya bagian
keuangan akan memproses pembayaran produk yang dibeli oleh konsumen dan setelah
proses pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan
laporan pengiriman barang pada department pengiriman hingga produk sampai ke
tempat konsumen.
2
Bab III
Tinjauan Pustaka
3.1
Security Management
Berikut adalah masing- masing bagian dari security management yang termasuk
dalam contingency planning. Contingency planning adalah sebuah rencana untuk
membuat suatu panduan dan dokumentasi atas suatu kejadian yang tidak terduga, dan
sebagai dokumentasi dasar terhadap tanggap darurat dalam upaya pemulihan
perencanaa. Tujuan utama dari contingency planning adalah untuk mengembalikan
proses bisnis secara normal dengan biaya operasional tidak membengkak secara
signifikan, dan yang bertanggungjawan atas proses ini adalah manajer proses bisnis dan
eksekutif. Contingency planning itu berlangsung terus menerus untuk menyediakan
sumbe daya yang dibutuhkan untuk:
Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan
departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi pemulihan dan
kembalinya
Melakukan kegiatan pemeliharaan
Gambar 3.1 Security Management
3.2.1
IRP (Incident Response Plan)
Incident Response Plan adalah suatu pendekatan yang terorganisis, untuk
mengatasi dan mengelola setelah proses yang tidak diduga terjadi. Tujuannya untuk
3
menangani situasi dengan cara membatasai kerusakan dan mengurangi waktu dan
biaya pemullihan. Dalam proses ini, dibuat satu set proses secara rinci dan suatu
prosedur untuk mengantisipasi, mendeteksi dan mengurangi dampak dari suatu
peristiwa yang tidak terduga uang mungkin membahayakan sumber daya informasi.
Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan cermat.
3.1.4
DRP (Disaster Recovery Plan)
Disaater Recovery Plan merupakan sutau proses yang didokumentasikan, atau
serangkaian prosedur yang digunakan untuk memulihkan atau mengembalikan dan
melindungi infrastruktur IT bisnis dalam kejaian yang tidak terduga. Rencana atau
proses ini biasa didokumentasikan dalam bentuk tertulis dan menjadi suatu pedman
jika terjadi keadaan yang tidak terduga di dalam bisnis. Keuntungan dari DRP
antara lain:
3.1.5
Memberikan rasa aman
Meminimalkan resiko keterlambatan
Meminimalkan pengambilan keputusan saat bencana
BCP (Business Continuity Plan)
Business Continuity Plan mengidentifikasi pemaparan organisasi terhadap ancaman
internal dan eksternal dan mensintesis hard dan soft asset untuk memberikan
penceghan yang efektif dan memberikan pemulihan bagi organisasi dengan tetap
menjaga eunggulan kompetitif dan integritas sistem nilai.
3.2
Keamanan Sistem Informasi
3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi satu
untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi dari sistem oleh
beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen yang
berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini menggambarkan suatu
kejadian-kejadian dan kesatuan yang nyata, seperti tempat, benda dan orang-orang yang
betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan – kumpulan dari komponen –
komponen yang memiliki unsur keterkaitan antara satu dengan lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang
membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan yang
4
mencari suatu bagian atau tujuan bersama dengan mengoperasikan data dan/atau barang
pada waktu rujukan tertentu untuk menghasilkan informasi dan/atau energy dan/atau
barang.
3.2.2
Definisi Sistem Informasi
Definisi sistem informasi menurut beberapa ahli antara lain:
Menurut Jogiyanto (2005:11) dalam buku yang berjudul Analisis dan Desain Sistem
Informasi, menyebutkan bahwa sistem informasi adalah suatu sistem di dalam suatu
organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung
operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan
pihak luar tertentu dengan laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul
Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem informasi adalah
sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan
informasi bagi pengambilan keputusan dan atau untuk mengendalikan organisasi.
3.2.3
Definisi Keamanan Sistem Informasi
Pengertian keamanan sistem informasi menurut G.J Simons adalah bagaimana kita
dapat mencegah penipuan (cheating) atau paling tidak mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat
keras dan kunak komputer, jaringan komputer, dan data. Selain itu keamanan sistem
informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukurannteknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi.
3.3
Security Planning
Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap
kehilangan, pengungkapan penyalahgunaan atau kerusakan. Dalam konteks ini, “aset
berharga” adalah informasi yang direka, diproses, disimpan, dikirim atau diambil baik
dari media elektronik ataupun non elektronik. Upaya perindungan tersebut
dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang
5
mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan
kesempatan bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa
menreapkannya, aspek tersebut biasa disebut dengan CIA Triad Mode, yang antara lain
adalah:
Confidentiality (kerahasiaan) yaitu aspek yang memastikan bahwa informasi
hanya dapat diakses oleh orang yang berwenang.
Integrity (integritas) yaitu aspek yang menjamin tidak adanya pengubaan data
tanpa seijin pihak yang berwenang, menjaga keakuratan dan keutuhan
informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan atas
ketersediaan data saat dibutuhkan, kapapun dan dimanapun.
Selain aspek diatas, keamanan informasi dapat juga diklasifikasian sesuai berikut:
Physical security yaitu strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi dan bencana alam.
Personal security adalah bagian dari keamanan fisik yang melindungi sumber
daya manusia dalam organisasi atau pengguna yang memiliki akses terhadap
informasi.
Operation security adalah yang memfokuskan strategi untuk mengamankan
kemapuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communication security yaitu bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemapuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.
Network security yaitu memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemapuan untuk menggunakan
jaringan tersebut dalam memebuhi fungsi komunikasi data organisasi.
3.4
Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan suatu
kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah awal pada risk
assessment adalah identifikasi dari bahaya dari hazard dan efek dari hazard tersebut dan
siapa/apa yang akan terkena dampaknya. Langkah selanjutnya adalah menentukan
besarnya frekuensi atau probability dari kejadianm karena risk adalah kombinasi dari
consequency dan probability.
3.5
Framework
6
Framework adalah kumpulan dari fungsi-fungsi / prosedur-prosedur dan class-class
untuk tujuan tertentu yang sudah siap digunakan. Sehingga bisa mempermudah dan
mempercepat pekerjaan seorang programmer maupun analis, tanpa harus membuat
fungsi atau class dari awal. Jadi dengan adanya framework, pekerjaan akan lebih tertata
dan teroraginir. Sehingga dalam pencarian kesalahan dalam pembuatan sistem akan
lebih mudah terdeksi.
Intinya framework merupakan modal awal kita sebelum melakukan pembuatan
sistem.
7
Bab IV
Manajemen Keamanan Sistem Informasi
4.1 Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan
akan menggunakan standar model PDCA yaitu Plan, Do, Check, Act
4.1.1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
4.1.1.1.
Ruang Lingkup Keamanan pada perusahaan
Pemetaan ruang lingkup keamaan SI agar sesuai dengan
kebutuhan keamanan informasi perusahaan seperti pemetaan
terhadap proses-proses bisnis yang ada, fungsi-fungsi yang
berjalan dalam sistem informasi dan aspek-aspek teknologi yang
diterapakan.
4.1.1.2.
Pendekatan Metodologi Bebasis Resiko
Pendekatan metodologi berbasis risiko ini disesuaiakan
dengan kriteria perusahaan atau dapat menggunakan standard
atau framework yang paling sesuai diterapkan.
4.1.1.3.
Analisa Resiko
Dalam tahap ini terdapat beberapa aktivitas seperti asesmen
risiko seperti indentifikasi threat, vurnerablity, karakterisktik
sistem, likelyhood, analisa dampak/menghitung BIA dan lainlain. Tujuan dari tahap ini untuk memeperoleh gambaran detail
dari
4.1.1.4.
Risk Mitigation
8
Pemilihan terhadap mitigasi risiko yang akan digunakan,
strategi mitigasi risiko, cost benefit analysis dan lain-lain.
Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan
untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi
ISMS dan target pencapaian dari penerapan
4.1.1.5.
Risk Evaluation and Monitoring
Monitoring dan evaluasi terhadap risiko yang ada
4.1.1.6.
Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait keamanan SI
yang dapat berupa Policy, procedure, standard, guideline dan
work instruction pada setiap department yang terlibat dalam
perusahaan
khususnya
pertukaran
informasi
atau
data
perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha
Mesin Globalindo di dalam menjaga dan memelihara privasi
dan keamanan data perusahaan. Kebijakan tersebut adalah
kebijakan privasi, setiap pegawai dalam setiap departement
memiliki hak akses sendiri-sendiri untuk dapat login ke dalam
system perusahaan sesuai dengan jabatan dan jobs desc masingmasing.
Perusahaan dapat melacak situs atau IP pengguna sistem
dimana koneksi user berasal untuk kebutuhan investigasi. Akses
ke situs perusahaan hanya dapat dilakukan melalui login user
yang telah ditetapkan. Selama pengguna login ke situs
perusahaan, perusahaan akan menggunakan cookie yang akan
terakhir pada saat anda logout. Semua informasi atas transaksi
data di situs perusahaan yang pengguna lakukan akan dicatat.
4.1.1.7.
SOA (Statement of Applicability)
9
Dokumentasi analisis terkait apa dan mengapa kontrol atau
kebijakan keamanan SI tersebut dipilih dan akan diterapkan.
SOA dapat dilakukan setelah melakukan metodologi berbasis
risiko.
4.1.2. Do
Pada tahap ini terdapat kumpulan aktivitas-aktivitas hasil
implementasi dari Plan yang sudah dirancang.
Mengelola semua pengoperasian resources yang mungkin
terlibat dalam keamanan Perusahaan mencakup: Registrasi,
Aktivasi, keuangan, data konsumen, data proses produksi dan
data perusahaan rekananan
Pengawasan implementasi dari keamanan perusahaan
Pengembangan kebijakan yang disesuaian dengan kerangka
yang dihasilkan dalam tahap plan
4.1.3. Check
Keamanan sistem informasi perusahaan memerlukan adanya
pengukuran dalam tahap perencanaan dan implementasi untuk
memberikan gambaran antara perencanaan dengan implementasi dan
dalam rangka menuju langkah improvement keamanan perusahaan
terebut. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:
Pengukuran hasil kinerja dari keseluruhan keamanan
perusahaan mecakup pencatatan dan pengumpulan bukti-
bukti baik fisik maupun logik sebagai sarana audit.
Pengukuran efektifitas dari transaksi data pada setiap
depatement dan antar department hingga ke kantor cabang.
Melakukan audit internal pada keamanan perusahaan pada
setiap departementnya
Mengeksekusi prosedur - prosedur pengawasan
10
4.1.4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam
perusahaan tidak akan memberikan hasil yang efektif tanpa adanya
improvement atau semua itu hanya akan menjadi tumpukan
dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup
point penting antara lain:
Menerapkan perbaikan yang diidentifikasikan.
Memastikan kegagalan tidak terulang kembali.
Tahap penanggulangan dan perbaikan saat ancaman dan
serangan terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang
terkait
4.2. Security Planning
4.2.1. Objectives
Pemanfaatan keamanan sistem informasi perusahaan atau lebih
mengglobal dengan istilah teamwork dapat mengurangi resiko.
4.2.2. Scope
Perencanaan keamanan informasi yang akan dibuat adalah
keamanan sistem informasi perusahaan manufaktur.
4.2.3. Stakeholder
The mobile payment ecosystem involves the following types of
stakeholders:
Owner/ Pemilik perusahaan
Financial service providers (FSPs)
Payment service providers (PSPs)
Content providers
Network service providers (NSPs)
Device manufacturers
Regulators
Trusted service managers (TSMs)
Application developers
11
4.2.4. CIA Triangle
Sistem pengamanan pada Perusahaan ada 2 lapis akses, yaitu :
a. Password
b. Pengamanan htacsess yang dihasilkan oleh sistem perusahaan.
Htacsess adalah sebuah file konfigurasi yang ditaruh pada
directori root sistem aplikasi web. Htaccess dapat dipakai
untuk konfigurasi khuses apalikasi web, contoh redirect ke
halaman tertentu, untuk membati akses halaman atau untuk
merestrict (membatasi) pengaksesan folder-foldertertentu di
dalam sistem.
Pada 3 aspek keamanan dan didukung oleh beberapa aspek
keamanan informasi untuk sistem perusahaan dapat disimpulkan
sebagai berikut:
1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi
kepada individu atau sistem yang tidak sah. Confidentiality
ditujukan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Confidentiality hanya bisa
diakses
oleh
mengaksesnya.
orang-orang
yang
mendapatkan
ijin
Dalam kasus ini ada beberapa security
planning pada aspek confidentiality antara lain:
Merahasiakan informasi penting yang merupakan aset
untuk perusahaan (di dalam database, file,backup,
penerima dicetak, dsb) dan dengan membatasai akses
ke tempat-tempat di mana disimpan.
Strategy Plan (perencanaan strategis perusahaan)
Merahasiakan rencana strategis yang meliputi target
pelanggan,area penjualan dan hal-hal yang berkaitan
dengan marketing.
Data User (informasi personal)
12
Kerahaisaan semua data pribadi pelanggan oleh
pihak-pihak yang dilarang mengakses.
2. Integrity
Yaitu aspek yang mengutamakan data atau informasi
tidak boleh diakses tanpa seijin perusahaan. Dalam studi
kasus ini ada beberapa aspek integrity, yaitu :
Menjaga kevalidan data saat proses transmisi, bisa
pada proses penggunaaan dan pengolahan bahan baku
dalam pembuatan produk, data keuangan perusahaan,
dsb.
Modifikasi sumber daya sistem komputer hanya bisa
oleh pihak-pihak yang sudah terotorisasi.
3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sebuah sistem informasi yang
diserang dapat menghambat ketersediaan informasi yang
diberikan. Ada beberapa aspek availability pada studi kasus
ini, antara lain :
Adanya sistem komputerisasi yang digunakan untk
menyimpan dan memproses informasi.
Adanya control security, yang digunakan untuk
melindungi informasi.
Adanya jaringan informasi yang digunakan untuk
mengakses informasi dengan benar.
Backup data secara berkala yang dapat meminimalisir
dampak yang timbul.
Adanya server cadangan atau schema proteksi lainnya
untuk data-data dan informasi yang dirasa sangat
penting, agar tetap bisa diakses ketika ada ganggguan,
13
Adapun tujuan dari aspek availability ini adalah untuk
tetap tersedia setiap saat, mencegah ganggguan layanan
akibat listrik padam, kegagalan hardware, dan upgrade
sistem.
4. Privacy
Usaha untuk menjaga data dan informasi dari pihak yang
tidak diperbolehkan mengaksesnya, data dan informasi
tersebut bersifat privat, yaitu :
1. Email dan Password karyawan dan user yang tidak
boleh tidak boleh di sebar luaskan kepada pihak
manapun baik di dalam perusahaan maupun di luar
perusahaan.
2. Data Penting User yaitu no. rekening bank, data
transaksi user,data no. telp/handpone yang tidak boleh
disebarluaskan baik oleh admin,karyawan maupun
user sendiri.
3. Data Hasil Penjualan,Hasil produksi dan Data
Penggunaan bahan yang hanya boleh diketahui oleh
pihak tertentu dalam perusahaan.
5. Identification
Pada aspek ini adalah mengenali individu pengguna,
yaitu langkah pertama dalam memperoleh hak akses
ke
informasi yang diamankan. aspek identifikasi atara lain
adalah sebagai berikut yaitu :
1. Mengenali email/username
dan
password
user
(pembeli) saat ingin melakukan login pada tempat
tertentu.
2. Mengenali email/username dan password karyawan
saat login menggunakan komputer kantor/laptop
karyawan
yang
perusahaan.
6. Authentication
14
sudah
diregistrasi
oleh
pihak
Aspek
ini
menekankan
mengenai
keaslian
suatu
data/informasi , termasuk pihak yang memberi atau
mengkasesnya termasuk pihak yang dimaksud atau bukan.
Contohnya yaitu :
1. Penggunaan pin atau password
2. Nomor mobile jika melakukan login menggunakan
mobile.
3. Akses untuk pihak admin,karyawan dan pembeli.
7. Authorization
Aspek dimana memberikan jaminan bahwa pengguna
(manusia ataupun komputer) telah mendapatkan autorisasi
secara spesifik dan jelas untuk mengakses, mengubah, atau
menghapus isi dari aset informasi.
Salah satu cara memberi otorisasi adalah dengan
memberi hak akses yang berbeda untuk tiap golongan
pengguna(admin,karyawan sesuai dengan departmentnya dan
pembeli.
8. Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat
menyajikan data semua aktifitas terhadap aset informasi yang
telah dilakukan dan siapa saja yang terlibat dan yang melakukan
aktifitas itu.
4.3. Security Management
Pada dasarnya sistem yang dingunakan oleh perusahaan ini
masih belum optimal dilihat segi keamanan data di dalam
perusahan,keamanan website dan lainnya. Kondisi pengamanan
masih lebih berfokuskan pada keamanan hardware dan alatalat/mesin yang digunakan untuk proses produksi yang selalu
dipantau dan ditingkatkan sejalan dengan perkembangan teknologi
dan ancaman yang ada.
15
Ancaman juga sering dialami oleh pengguna internet
termasuk pembeli dimana data pribadi dan no. rekening banknya
teregistrasi saat melakukan pembayaran via website perusahaan.
Oleh karena itu pihak perusahaan meminta perhatian kita semua
baik yang terlibat dalam perusahaan sendiri maupun pembeli
produk untuk lebih meningkatkan self-awarness terhadap ancaman
yang ada. Dengan itu kasus beserta cara pengamanan yang dapat
dilakukan selama proses bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh
pihak-pihak
informasi
tertentu
rahasia
untuk
mendapatkan
pengguna
seperti
informasi-
alamat
email,
Password dan Kode Transaksi. Ada beberapa cara yang
digunakan antara lain:
a. Membuat situs palsu yang memiliki alamat dan
tampilan mirip dengan situs resmi perusahaan atau
atau
page
khusus
di
social
media
yang
mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link
dan meminta Anda melakukan login dengan
memasukkan alamat email, Password dan Kode
Transaksi kedalam alamat link yang diberikan.
c. Mengaku sebagai salah satu karyawan perusahaan
dan meminta data Anda dengan alasan-alasan
tertentu.
Kiat-kiat pengamanan:
a. Pastikan Anda mengakses website perusahaan
melalui
alamat
resmi
situs
yang
diberikan
perusahaan di www.bla2.com Untuk menghindari
kesalahan penulisan alamat situs. Atau dengan
melakukan bookmark pada situs perusahaan.
16
b. Melakukan cross-check jika ada karyawan yang
mengatasnamakan perusahaan untuk mengisi form
tertentu dengan melalui layanan customer care
perusahaan dengan no. telp 085234502888/034121787.
c. Pastikan
bahwa
Anda
telah
logout
saat
meninggalkan komputer Anda meskipun hanya
sesaat.
d. Sebaiknya Anda tidak mengakses website dan
melakukan pembayaran pada koneksi internet yang
tersambung di jaringan umum seperti wifi dan
warnet.
17
2. Virus / Worm
Virus komputer adalah program-program komputer yang
dibuat dengan tujuan-tujuan tertentu. Pada umumnya virus
merusak sistem operasi, aplikasi dan data di komputer
yang terinfeksi. Virus dapat menyebar melalui banyak
media, antara lain : e-mail, disket, CD, USB drive, flash
memory,
program
dari
internet,
maupun
jaringan.
Beberapa contoh dampak dari infeksi virus:
a. Komputer menjadi tidak stabil dan sering 'hang'
(macet).
b. Komputer manjadi lambat.
c. Data di harddisk terhapus.
d. Program software tidak dapat dijalankan/tidak
berfungsi dengan semestinya.
Yang mirip dengan virus adalah worm yang dibuat untuk
dapat menyebar dengan cepat ke banyak komputer.
Walaupun umumnya worm tidak menimbulkan kerusakan
seperti virus, namun worm dapat digunakan untuk
membawa berbagai macam muatan/attachment berbahaya.
Kiat-kiat pengamanan:
a. Gunakan anti virus ter-update di komputer Anda,
dan pastikan bahwa komputer Anda di-scan secara
real time.
b. Banyak virus yang masuk melalui email yang
diterima, sehingga Anda harus lebih hati-hati pada
waktu menggunakan email. Hapus e-mail yang
mencurigakan atau yang datang dari pengirim yang
tidak dikenal, dan scan attachment e-mail sebelum
dibuka.
18
c. Gunakan firewall pada sistem operasi di komputer
Anda atau install personal firewall dan pastikan
bahwa pengaturan firewall yang terpasang dapat
mengamankan Personal Computer (PC) Anda.
d. Sebaiknya Anda tidak mengakses atau bahkan mendownload file/program-program di internet dari situs
yang
tidak
dikenal/tidak
dapat
dipastikan
keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun
USB drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di
komputer Anda sudah dilindungi dengan sistem
proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang
diprogram
untuk
penting/pribadi
'mencuri'
informasi-informasi
dari komputer yang terinfeksi dan
mengirimnya ke lokasi tertentu di internet untuk kemudian
diambil oleh pembuatnya. Informasi yang menjadi target
utama contohnya User ID dan password, nomor rekening,
e-mail.
Malware/spyware dapat ter-install melalui attachment
email atau program yang di-install dari sumber-sumber
yang tidak jelas, ataupun oleh situs yang 'jahat'.
Virus
dapat
diprogram
untuk
menyebarkan
malware/spyware. Namun, berbeda dengan virus yang
sifatnya lebih merusak, spyware bekerja secara diam-diam
agar tidak terlacak sehingga lebih mudah mengumpulkan
informasi
yang
diinginkan
malware/spyware.
19
sang
pembuat/penyebar
Kiat-kiat pengamanan:
Pengamanan terhadap malware/spyware sama dengan
pengamanan terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara
mendapatkan data pribadi
tanpa harus tersambung dengan internet.
Hal ini dapat dilakukan oleh siapa saja disekitar kita
(Teman,Keluarga atau kesalahan dari pihak pengguna
sendiri.)
Kiat-kiat pengamanan:
a. Jangan
pernah
menggunakan
komputer/hp
teman/keluarga saat melakukan sebuah kegiatan
seperti pembelian dan pembayaran atau hal-hal lain
yang memiliki data privasi pengguna.
b. Jangan
Menyimpan
Data
Pribadi
pada
HP/Komputer/Buku seperti ID dan password.jika
terjadi kehilangan maka data-data tersebut akan
tersebar dan dapat disalahgunakan.
c. Pastikan anda tidak memberitahukan data pribadi
ada kepada pihak perusahaan maupun pihak yang
mengatasnamakan
perusahaan
karena
pihak
perusahaan tidak akan menanyakan hal tersebut dan
hanya membuthkan no. transaksi/bukti pembayaran
untuk konfirmasi pembayaran.
4.3.1. IRP (Incident Response Plan)
NO Risk Factors
1.
Kelemahan
Hardware
Recommended
Controls
● Pengajuan
Pemebelian
Unit Baru
20
Cost
Justification
Type
Control
Method
Action
Method
● Spek Tidak
Mumpuni
● Jaringan
●
Terputus
(Kabel
Rusak)
● Slow (Berat)
Lemot
● Mesin
●
Produksi
Rusak
2.
yang sesuai
> 5.000.000
Standart
> 1.000.000
Adanya
Maintenece
> 3.000.000
Terhadap
Jaringan
Secara
Berkala
Menggunakan
SAAS atau
Tools
Software yang
Sesuai dan
Developt
Sendiri Sesuai
Kebutuhan
Kejadian tak Terduga Memiliki
(Alam)
Bakcup Server
di Beberapa
Banjir
Tempat /
Daerah
Gempa Bumi
10.000.000
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Administr
atif
Automa
tic
Administr
atif
Automa
tic
Tanah Longsor
Mesin Malfunction
Termakan oleh
Pengerat
Terbakar (Mesin
Overheat)
3.
Adanya
Maintenance
Adanya
Secondary
Device untuk
Pengganti
Secara Berkala
2.000.000
5.000.000
Kelemahan Sistem
Gagal Login
Lupa Password
Salah Input
Fasilitas
Forgot
Password
Case Input
Sesuai
Kebutuhan
21
22
4.3.2. DRP (Disaster Recovery Plan)
DRP atau Disaster Recovery Plan adalah rencana pemulihan
dari kemungkinan kerusakan-kerusakan yang terjadi. —Aspek yang
terkandung di dalam suatu rencana bisnis yang berkesinambungan
yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan
yang terjadi.
RPO (recovery point objective): target titik waktu dimana
transaksi-transaksi terbaru dapat diselamatkan.
RTO (recovery time objective): target waktu pemulihan
layanan dari gangguan.
NO Critical
System
RTO/RPO
Threat
Prevention
Strategy
Respon
Strategy
Recovery
Strategy
1
Transaksi
Pembayaran
2 Hours / 2
Hours
Server
Failure
Backup
Server,
Secure
Room
Equipment
Switch Over
to The
BAckup
Server or
Secondary
Server. and
Running
UPS
Fix/Replac
e Primary
Server
2
Login System
2 Hours/2
Hours
Security
Fail,
Hacking,
Virus
Instal
Protection
and
Antivirus,
Use
Security or
Equipt
Security
tools
Deploy
Guard
System at
Strategic
Point, Use
Firewall and
Close Public
Port
Obtain.Inst
all
replacemen
t Unit,
Sensor and
Login Page
3.
Operational
System(Datadata
operational
perusashaan)
3 Hours/ 3
Hours
Fail in
Software
and
Hardware
Instal
Antivirus
and Check
Update and
Maintence
for
Software.
repair the
Software or
Re-install
Software.
Use
Secondaru
device or
rest for
primary
hardware
or device.
fix and
resolve the
bug of
Cause
Virus and
23
‘Konslet’
Warm
Device and
Tools
There is
Backup
Hardware
and Time
for Rest
Hardware.
software.
4.3.3. BCP (Business Continnuity Plan)
BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan antara Pengguna, pihak Perusahaan dan Supplier.
Critical
Business
Activity
Description
Priority
Impact of loss
RTO
1 Day~3 Days
Akses Layanan
sharing data
Gangguan
tidak
disengaja :
Serangan virus,
Trojan, Worm
3
● Customer
Complain
Cannot
Access
● Update and
Add Data
not Realtime
● Loss Data
Transaction
● Cannot Save
Transaction
to Database
Akses Layanan
Informasi
dengan Internet
Gangguan
disengaja :
Cyber crime
(kejahatan
internet, seperti
SQL Injection,
Spoofing,hackin
g,DDOS dll)
4
● Data
1 Day-3 Days
Manipulatio
n
● Stollen Data
and Bank
Accounts
● Server Down
● Cannot
Access
mBanking
24
Aktivitas Di
Gedung
Perusahaan
Gangguan
Bencana Alam
(Banjir, Tanah
Longsor,
Gempa Bumi,
Tsunami, dll)
5
● Aktivitas
2
Keseluruhan Weeks~4Wee
Sistem
ks
● Database
Fisik(Server)
● Kerusakan
Hardware,So
ftware
● Berhentinya
Proses
Bisnis
● Lumpuhnya
Aktivitas
secara
Global
Jalur Koneksi
Jaringan
Gangguan
Alam
Perusakan
Kabel akibat
Hewan
Penggerat
3
● Berhentinya 12 Hours~24
Sharing Data Hours
● Koneksi
Terputus
● Tidak
Realtime
● Aktivitas
Transaksi
Terganggu
● Akses
Berhenti
Notes : Priority Level (1 Low | 2 Low-Medium | 3 Medium | 4
Medium-High | 5 High)
25
4.4. Security Risk and Assessment
4.4.1. Risk Identification
Identifikasi Resiko
Business Process Risk And Website
Target Type
Vulnerability
User
User
Karyawan
Karyawan
Karyawan
Manager
26
Threat
Risk
Countermeasures
Manager
Admin
-
No
1
Resiko
Risk
Level
Risiko kehilangan
Critical
keamanan informasi
(confidentiality, integrity,
availability), jika
informasi yang berada
didalam perusahaan, tidak
terklasifikasi dengan baik
berdasar
27
Recommended Control
Preventive
Detective
Policy & Procedure
Pembagian dan
pengklasifikasian
informasi sensitis
kan aspek
kerahasiaannya, maka
dapat
berpotensi informasi
rahasia dapat terbuka
2
Risiko terhentinya bisnis
perusahaan, karena tidak
memiliki rencana
penanggulangan bencana,
sehingga ketika terjadi
bencana tidak mampu
mempertahankan
dukungan IT terhadap
jalannya bisnis, secara
sistematis
Critical
Policy & Procedure
Policy & Procedure
3
Kerusakan/bencana alam
di lokasi server yang
tergolong intensitasnya
cukup besar sehingga
dapat berpotensi merusak
server dan perangkat
jaringan.
High
Policy & Procedure,
anti petir dan grounded
Policy & Procedure
4
Risiko hilangnya data
master dan backup
berpotensi terjadi, jika
ruang DRC berada pada
ruang yang sama dengan
ruang data center atau
server yang saat
mengalami bencana
Critical
Policy & Procedure,
Penyimpanan data
backup di tempat aman,
mirroring
Policy & Procedure
5
Risiko penggunaan sistem High
operasi yang rentan
dengan gangguan virus,
tanpa didukung oleh
Pelatihan security
awarness, pemasangan
antivirus, scanning
Violation reports
28
perangkat anti virus yang
cukup handal, berpotensi
menimbulkan kerusakan
file, dan kehilangan data
virus rutin
6
Firewall diletakkan di sisi High
luar DMZ terhadap
jaringan luas internet, dan
tidak memiliki firewall
lainnya disisi dalam DMZ
terhadap jaringan lokal
internal, sehingga
berpotensi server menjadi
terbuka dari serangan
yang berasal dari jaringan
internal.
Policy & Procedure,
Firewall
Intrussion detection
system, alert
software /
protection
7
File system backup gagal
saat direstore, maka
berpotensi jika terjadi
kehilangan data pada
sistem utama, maka hasil
backup tidak dapat
direstore, sehingga harus
meng-entry ulang
berdasarkan form manual
Policy & Procedure,
Penyimpanan data
backup di tempat aman,
mirroring
Sharing
Responsibilities
8
Resiko kebocor
PERUSAHAAN MANUFAKTUR BERSEKALA
ENTERPRISE
(STUDI KASUS CV. GRAHA MESIN GLOBALINDO)
Ujian Akhir Semester Keamanan Sistem Informasi
Oleh:
Santoso Yohanes Chirstanto / 320910023
Jackobus Albertus Lerebulan / 320910010
PROGRAM STUDI SISTEM INFORMASI
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS MA CHUNG
MALANG
2015
UCAPAN TERIMA KASIH
Selama pengerjaan UAS ini kami menyadari sepenuhnya bahwa begitu
banyak pihak yang telah turut membantu dalam penyelesaian program ini, melalui
kesempatan ini dengan segala kerendahan hati, sebagai rasa penghargaan atas
bimbingan dan dorongan yang telah diberikan, maka perkenankanlah kami
mengucapkan terima kasih kepada :
1. Allah SWT yang telah memberikan kemudahan dan kelancaran dalam
menyelesaikan laporan ini.
2. Kedua orang tua yang telah memberikan dukungan secara moral dan
material.
3. Bapak Yudhi Kurniawan, S.Kom. M.MT. selaku dosen pengampu yang
telah meluangkan ilmu dan waktunya demi kesempurnaan dan kelancaran
laporan ini.
4. Semua pihak yang tidak dapat disebutkan satu-persatu yang membantu
pengerjaan laporan ini.
i
KATA PENGANTAR
Puji syukur kami panjatkan kepada Tuhan Yang Maha Esa atas limpahan
rahmat dan kuasa-Nya, laporan dengan judul “Manajemen Keamanan Sistem
Informasi Perusahaan Manufaktur (Studi Kasus CV. GRAHA MESIN
GLOBALINDO).”
Laporan ini berisi tentang standar yang mengatur tentang aktivitas dan rule
dalam bidang keamanan IT/IS untuk seluruh layanan yang ada diorganisasi CV.
GRAHA MESIN GLOBALINDO dan menggunakan Information Security
Management System (ISO/EIC 27001:2005) sebagai referensi .
Kami menyadari bahwa laporan ini masih memiliki banyak kekurangan
dalam isi informasi yang disediakan, oleh karena itu kami membutuhkan kritik
dan saran untuk evaluasi dan perbaikan kami agar bermanfaat bagi pengulasan
lanjutan sehingga kajian yang diberikan akan lebih informatif dan tepat sasaran
kepada setiap pembaca.
Akhir kata, kami ucapkan terima kasih kepada semua pihak yang terlibat
dalam pembuatan makalah ini. Dan semoga laporan ini dapat bermanfaat bagi
pembaca.
Malang, 18 Desember 2015
Penulis
ii
DAFTAR ISI
LEMBAR PENGESAHAN....................................................................................i
UCAPAN TERIMA KASIH..................................................................................ii
MOTTO.................................................................................................................iii
KATA PENGANTAR............................................................................................iv
BAB I PENDAHULUAN.......................................................................................1
1.1
LATAR BELAKANG.................................................................................1
1.2
IDENTIFIKASI MASALAH.....................................................................2
1.3
RUMUSAN MASALAH.............................................................................2
1.4
TUJUAN......................................................................................................3
1.5
RUANG LINGKUP....................................................................................3
1.6
MANFAAT...................................................................................................3
1.7
WAKTU DAN PELAKSANAAN..............................................................4
BAB II PROFIL PERUSAHAAN.........................................................................5
2.1
SEJARAH SINGKAT.................................................................................5
2.2
VISI DAN MISI...........................................................................................5
VISI :.......................................................................................................................5
MISI :......................................................................................................................5
2.3
ALAMAT DAN PETA LOKASI................................................................6
2.4
AKTIFITAS.................................................................................................7
2.5
STRUKTUR ORGANISASI......................................................................7
2.6
PERSONALIA............................................................................................7
BAB III TINJAUAN PUSTAKA..........................................................................8
3.1
KONSEP DASAR SISTEM INFORMASI...............................................8
3.2
RADIO.......................................................................................................13
3.3
CODE IGNITER.......................................................................................18
3.4
PHP.............................................................................................................18
3.5
MYSQL......................................................................................................20
BAB IV ANALISIS DAN PERANCANGAN....................................................22
iii
A.
B.
C.
D.
E.
F.
G.
SYSTEM FLOW YANG DIUSULKAN...............................................................24
DIAGRAM KONTEKS.....................................................................................25
DFD LEVEL 1..............................................................................................26
ERD.............................................................................................................27
KAMUS DATA...............................................................................................28
SITEMAP......................................................................................................30
DESAIN INPUT OUTPUT...............................................................................32
BAB VI SIMPULAN DAN SARAN..................................................................45
6.1
SIMPULAN...............................................................................................45
6.2
Saran............................................................................................................45
iv
DAFTAR GAMBAR
GAMBAR 2.1 PT. UREYANA CORDIS..............................................................6
GAMBAR 2.2 DENAH LOKASI PT UREYANA CORDIS..............................6
GAMBAR 2.3 GAMBAR STRUKTUR ORGANISASI.....................................7
GAMBAR 4.1 SYSTEM FLOW REQUEST LAGU LAMA...........................23
GAMBAR 4.2 SYSTEM FLOW YANG DIUSULKAN...................................24
GAMBAR 4.3 DIAGRAM KONTEKS LEVEL 0...........................................25
GAMBAR 4.4 DFD LEVEL 1............................................................................26
GAMBAR 4.5 ERD.............................................................................................27
GAMBAR 4.6 SITEMAP HOME......................................................................30
GAMBAR 4.7 SITEMAP ADMIN....................................................................31
GAMBAR 4.8 FORM HOME............................................................................32
GAMBAR 4.9 FORM BERITA.........................................................................32
GAMBAR 4.10 FORM JADWAL.....................................................................33
GAMBAR 4.11 REQUEST BOX........................................................................34
GAMBAR 4.12 FORM MANAGE USER........................................................34
GAMBAR 4.13 FORM MANAGE REQUEST.................................................35
GAMBAR 4.14 FORM JADWAL SIARAN.....................................................35
GAMBAR 4.15 FORM MANAGE NEWS.......................................................36
GAMBAR 5.1 ERROR USERNAME ATAU PASSWORD SALAH..............38
GAMBAR 5.2 ADD USER.................................................................................38
GAMBAR 5.3 ADD USER BERHASIL.............................................................39
GAMBAR 5.4 DELETE USER...........................................................................39
GAMBAR 5.5 EDIT USER.................................................................................40
GAMBAR 5.6 EDIT USER BERHASIL...........................................................40
GAMBAR 5.7 HOME..........................................................................................41
GAMBAR 5.8 BERITA.......................................................................................41
GAMBAR 5.9 JADWAL......................................................................................41
GAMBAR 5.10 REQUEST BOX........................................................................42
v
GAMBAR 5.11 MANAGE USER.......................................................................42
GAMBAR 5.12 MANAGE REQUEST..............................................................43
GAMBAR 5.13 MANAGE JADWAL SIARAN................................................43
Gambar 5.14 Manage News...................................................................................44
vi
DAFTAR TABEL
TABEL 1.1 WAKTU DAN PELAKSANAAN.....................................................4
TABEL 4.1 TABEL USER(ADMIN)..................................................................28
TABEL 4.2 TABEL REQUEST...........................................................................28
TABEL 4.3 TABEL JADWAL SIARAN.............................................................28
Tabel 4.4 Tabel Berita............................................................................................29
vii
Bab I
Pendahuluan
1.1
Pendahuluan
Keamanan pada suatu data perusahaan harus dapat dipertanggung
jawabkan oleh setiap departemen yang ada didalam suatu perusahaan.
Keamanan data secara tidak langsung dapat memastikan kontinuitas bisnis,
mengurangi resiko dan mencari kesempatan bisnis. Semakin banyak informasi
yang tersimpan dalam perusahaan, dikelola dan dibagi, maka semakin besar
pula resiko terjadinya kerusakan, kehilangan atau bahkan tereksposnya data ke
pihak external yang mungkin tidak bersangkutan atau tidak berkepentingan.
Maka dari itu sebuah perencana keamanan system informasi terdiri atas
strategi dan pembagian tanggung jawab, yang bertujuan utama untuk
menurunkan risiko yang berpotensi menjadi ancaman terhadap operasional
perusahaan. Jika penyusunan rencana keamanan tidak berdasarkan hasil
analisis risiko, maka dapat menyebabkan lemahnya strategi dalam
mengantisipasi ancaman gangguan dan serangan terhadap aset perusahaan.
Lemahnya strategi tersebut, disebabkan oleh proses identifikasi kelemahan
dan kerawanan teknologi informasi yang tidak dilakukan dengan baik.
Sebaliknya dalam penyusunan rencana keamanan seharusnya didasari oleh
hasil analisis dan mitigasi risiko teknologi informasi, agar strategi keamanan
yang diusulkan dapat secara efektif menurunkan risiko yang telah
diidentifikasi melalui analisis dan mitigasi risiko.
1
1.2
Latar belakang
Sejalan dengan perkembangan sistem informasi yang selalu mengikuti
perubahan proses bisnis dan fungsi bisnis, maka sistem informasi yang
dulunya masih terpisah berdasarkan modulnya seperti dibagian keuangan,
pergudangan, penjualan, dan produksi. Masing-masing modul aplikasi tersebut
berbeda, sehingga sulit untuk berkomunikasi atau mengintegrasikan data dan
tidak real time. Dampak dari modul yang terpisah dan data yang dibutuhkan
harus bersifat real time maka terjadi keterlambatan dalam integrasi dan
penyesuain data.
Sehingga diperlukan
suatu
sistem
yang
dapat
dipercaya
untuk
memfasilitasi proses perputaran data antara departemen dalam perusahaan
yang dilakukan secara online tanpa memandang jarak yang berjauhan sebagai
suatu permasalahan tertutama apabila perusahaan yang memiliki kantor
cabang diluar kota.
Proses pertukaran data antara department yang dimaksud sering disebut
dengan sistem Enterprise, dimana didalamnya terdapat bermacam-macam
departement yang terlibat secara langsung bahkan bersamaan dalam
pengolahan datanya. Dengan sistem bersekala enterprise pada perusahaan
manufaktur maka pertukaran data lintas department dapat dilakukan tanpa
harus saling menunggu data secara fisik. Dikarenakan tingginya mobilitas
pihak-pihak dalam setiap department khususnya maka sistem tersebut harus
dapat diakses dimana saja dan kapan saja dengan menggunakan berbagai
perangkat seperti mobile, laptop dan PC. Sistem tersebut kemudian dikenal
dengan nama Enterprise Sistem.
Permasalahan utama dalam perusahaan bersekalaa enterprise adalah
keamanan transaksi data yang dilakukan baik lintas department maupun lintas
cabang perusahaan. Pada laporan ini akan dibuat suatu rancangan sistem
manajemen keamanan informasi yang berguna untuk menangani perputaran
data atau transaksi data dalam perusahaan.
2
1.3
Rumusan Masalah
Rumusan permasalahan yang dapat diambil berdasarkan latar
belakang diatas, adalah :
Information Security Management System (ISMS) merupakan sebuah
kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis untuk
pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan
serta peningkatan keamaan informasi perusahaan.
Sebagai sebuah sistem, keamanan informasi harus didukung oleh
keberadaan dari hal-hal berikut yang menjadi objek yang diteliti, antara lain:
Perancangan Keamanan (Security Planning)
Manajemen Keamanan (Security Management)
Kebijakan Keamanan (Security Policy)
Prosedur dan proses (Standard Procedures)
Analisa Resiko Keamanan (Security Risk)
Masalah yang ingin diteliti pada objek penelitian ini, adalah
Tindakan
preventif
dan
kepedulian
pengguna
jaringan
yang
memanfaatkan informasi. Apakah semua permasalahan jaringan dan
kejadian pelanggaran keamanan atas setiap kelemahan sistem
informasi telah”segera” dilaporkan sehingga administrator (jaringan
maupun database perusahaan) dapat segera mengambil langkahlangkah keamanan yang dianggap perlu.
Apakah akses terhadap sumber daya pada sistem sudah dikendalikan
secara ketat untuk mencegah akses dari yang tidak berhak.
Apakah semua prosedur serta proses-proses yang terkait dengan
usaha-usaha
pengimplementasian
dijalankan dengan benar
3
keamanan
informasi
sudah
1.4
Tujuan dan Manfaat Implementasi ISO20071
Implementasi ISO/IEC 27001:2005 ini bertujuan untuk memberikan
gambaran implementasi sistem manajemen keamanan informasi berstandar
internasional kepada perusahaan, organisasi nirlaba, instansi atau publik agar
dapat mempelajari dan mencoba mengimplementasikannya dilingkungan
sendiri.
Implementasi ISO/IEC 27001:2005 pada kegiatannya juga mencoba
melakukan kegiatan audit terhadap semua aspek terkait, seperti: kondisi
jaringan komputer lokal, policy, manajemen SDM, organisasi keamanan
informasi, dan lain-lain.
Tujuan Audit dan Manfaat Penetapan ISO/IEC 27001:2005:
Audit ISMS memberi pemahaman yang lebih baik mengenai aset
informasi
dan
proses
manajemen
keamanan
informasi
yang
diperlukan.
Membantu memberikan pemahaman pentingnya keamanan informasi
pada karyawan, stakeholder dan masyarakat umum.
Membantu mengarahkan implementasi sistem manajemen keamanan
informasi berdasarkan kepada pertimbangan manajemen risiko.
1.5
Metodologi Pengerjaan
Dalam penyelesaian makalah ini ada beberapa metodologi kerja yang
dijalankan, antara lain tersusun sebagai berikut:
1. Mempelajari materi Sistem Informasi Keamanan yang telah didapat
dikelas, dan dengan mencari sumber lain seperti website, buku
sebagai tambahan informasi yang dibutuhkan dalam penyusunanan
laporan.
4
2. Analisis Sistem
a. Mempelajari keamanan sistem perusahaan.
b. Menganalisa management plan untuk kemanan sistem mulai
3. Desain sistem informasi keamanan yaitu merancang usulan mulai
dari securtity plan, security management & security risk, dan
security assement.
1.6
Deskripsi Umum
Penulisan dokumen ISMS ini dibagi menjadi beberapa bab, sebagai berikut:
Bab 1 Berisi pendahuluan, menjelaskan mengenai tujuan pembuatan dokumen
ISMS, ruang lingkup, latar belakang, rumusan masalah, tujuan implementasi
dan metodologi kerja serta deskripsi /gambaran umum dokumen.
Bab 2 Berisi tentang landasan-landasan teori yang mencakup isi dari dokumen
ini.
Bab 3 Deskripsi umum menjelaskan keseluruhan deskripsi tentang studi kasus
CV. GRAHA MESIN GLOBALINDO. Deskripsi umum tersebut memberikan
gambaran lengkap mengenai proses bisnis perusahaan dan department yang
terlibat didalamnya.
Bab 4 Berisi penjelasan detail dari Manajemen Keamanan Sistem Informasi
yang meliputi Implementasi DPCA, Security Planning sistem, Security
Management, dan Security Risk & Assessment.
5
Bab II
Profil Perusahaan
2.1
Sejarah Singkat
CV. Graha Mesin Globalindo merupakan perusahaan yang bergerak dalam bidang
produksi alat dan mesin teknologi yang tepat guna, serta penjualan mesin impor yang
bersertifikasi dan bergaransi. Spesialisasi yang dimiliki dalam produksi mesin teknologi
tepat guna pertanian, alat dan mesin pengolahan makanan, serta supplier mesin
pengemasan (Agriculture equipment, food processor & packing machinery). CV. Graha
Mesin Globalindo bekerjasama dengan banyak vendor hal ini dapat dibuktikan dengan
melihat dari banyaknya kategori dan produk mesin yang disediakan. Jumlah varian dari
produk yang dihasilkan tidak lepas dari kebutuhan konsumen yang meningkat dan semakin
banyak, jumlah konsumen yang tidak sedikit dan bukan hanya berasal dari luar kota
Malang saja, melainkan sudah meluas hingga luar kota, antar pulau seluruh Indonesia
hingga mencapai manca negara.
CV Graha Mesin Globalindo spesialis untuk memproduksi mesin teknologi tepat
guna pertanian, alat dan mesin pengolah makanan, serta supplier mesin pengemasan
(Agriculture equipment, food processor & packaging machinery). Letak lokasi CV Graha
Mesin Globalindo berpusat di Malang, Jawa Timur, Indonesia.
CV Graha Mesin Globalindo menyediakan alat dan mesin kebutuhan usaha yang
terbagi menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi.
Alat dan mesin tersebut di kelompokan menjadi beberapa kategori, di antaranya:
1.
2.
3.
4.
5.
6.
7.
8.
2.2
Mesin produksi
Mesin industri
Mesin pengolah makanan (Food Processing)
Mesin pengemas (Packaging)
Mesin pertanian
Mesin perikanan
Mesin peternakan
Mesin perkebunan
Departemen Perusahaan
CV Graha Mesin Globalindo memiliki beberapa departement yang terlibat
didalam kemajuan perusahaan, antara lain:
1.
2.
3.
4.
2.3
Departement Keuangan
Departement Produksi
Departement Delivery
Departement Marketing dan Sales.
Alamat dan Peta Lokasi
PT. X merupakan suatu perusahaan manufaktur yang terletak di Kawasan X,
Malang Jawa Timur.
Gambar 2.1 PT. X
Berikut ini merupakan peta lokasi PT. X berada yang dapat diakses dengan
menggunakan Google Map.
Gambar 2.2 Denah Lokasi PT X
1
2.4
Proses Bisnis
Proses bisnis pada CV Graha Mesin Globalindo meliputi penjualan dan
produksi alat pertanian, penyedia alat dan mesin kebutuhan usaha. Dan tererbagi
menjadi dua, yaitu buatan lokal yang bergaransi dan buatan impor yang sudah
bersertifikasi. Alat dan mesin tersebut di kelompokan berdasarkan kategori seperti
pada penjelasan sebalumnya. Bagian marketing and sales yang bertugas dalam
mencari calon pembeli kemudian data konsumen yang berminat pada produk yang
ditawarkan tersebut akan diserahkan pada bagian keuangan, yang nantinya bagian
keuangan akan memproses pembayaran produk yang dibeli oleh konsumen dan setelah
proses pembayaran telah selesai dilakukan maka bagian keuangan akan menyerahkan
laporan pengiriman barang pada department pengiriman hingga produk sampai ke
tempat konsumen.
2
Bab III
Tinjauan Pustaka
3.1
Security Management
Berikut adalah masing- masing bagian dari security management yang termasuk
dalam contingency planning. Contingency planning adalah sebuah rencana untuk
membuat suatu panduan dan dokumentasi atas suatu kejadian yang tidak terduga, dan
sebagai dokumentasi dasar terhadap tanggap darurat dalam upaya pemulihan
perencanaa. Tujuan utama dari contingency planning adalah untuk mengembalikan
proses bisnis secara normal dengan biaya operasional tidak membengkak secara
signifikan, dan yang bertanggungjawan atas proses ini adalah manajer proses bisnis dan
eksekutif. Contingency planning itu berlangsung terus menerus untuk menyediakan
sumbe daya yang dibutuhkan untuk:
Melatih karyawan
Mengembangkan dan merevisi kebijakan dan standar dalam perubakan
departemen
Latihan stratgei , prosedur, tim dan sumber daya persyaratan
Laporan perencanaan secara kontinu kepada manajemen senior
Proses penelitian dan teknologi untuk meningkatkan efisiensi pemulihan dan
kembalinya
Melakukan kegiatan pemeliharaan
Gambar 3.1 Security Management
3.2.1
IRP (Incident Response Plan)
Incident Response Plan adalah suatu pendekatan yang terorganisis, untuk
mengatasi dan mengelola setelah proses yang tidak diduga terjadi. Tujuannya untuk
3
menangani situasi dengan cara membatasai kerusakan dan mengurangi waktu dan
biaya pemullihan. Dalam proses ini, dibuat satu set proses secara rinci dan suatu
prosedur untuk mengantisipasi, mendeteksi dan mengurangi dampak dari suatu
peristiwa yang tidak terduga uang mungkin membahayakan sumber daya informasi.
Proses ini dilakukan oleh tim yang dibuat khusus dan dipilih dengan cermat.
3.1.4
DRP (Disaster Recovery Plan)
Disaater Recovery Plan merupakan sutau proses yang didokumentasikan, atau
serangkaian prosedur yang digunakan untuk memulihkan atau mengembalikan dan
melindungi infrastruktur IT bisnis dalam kejaian yang tidak terduga. Rencana atau
proses ini biasa didokumentasikan dalam bentuk tertulis dan menjadi suatu pedman
jika terjadi keadaan yang tidak terduga di dalam bisnis. Keuntungan dari DRP
antara lain:
3.1.5
Memberikan rasa aman
Meminimalkan resiko keterlambatan
Meminimalkan pengambilan keputusan saat bencana
BCP (Business Continuity Plan)
Business Continuity Plan mengidentifikasi pemaparan organisasi terhadap ancaman
internal dan eksternal dan mensintesis hard dan soft asset untuk memberikan
penceghan yang efektif dan memberikan pemulihan bagi organisasi dengan tetap
menjaga eunggulan kompetitif dan integritas sistem nilai.
3.2
Keamanan Sistem Informasi
3.2.1 Definisi Sistem
Sistem adalah sekelompok komponen dan elemen yang digabungkan menjadi satu
untuk mencapai tujuan tertentu. Berikut adalah beberapa definisi dari sistem oleh
beberapa ahli.
Menurut Jogianto (2005:2), Sistem adalah kumpulan dari elemen-elemen yang
berinteraksi untuk mencapai suatu tujuan tertentu. Sistem ini menggambarkan suatu
kejadian-kejadian dan kesatuan yang nyata, seperti tempat, benda dan orang-orang yang
betul-betul ada dan terjadi.
Menurut Indrajit (2001:2), Sistem adalah kumpulan – kumpulan dari komponen –
komponen yang memiliki unsur keterkaitan antara satu dengan lainnya.
Menurut Murdick, R. G (1991:27), Sistem adalah seperangkat elemen yang
membentuk kumpulan atau prosedur-prosedur atau bagan-bagan pengelolahan yang
4
mencari suatu bagian atau tujuan bersama dengan mengoperasikan data dan/atau barang
pada waktu rujukan tertentu untuk menghasilkan informasi dan/atau energy dan/atau
barang.
3.2.2
Definisi Sistem Informasi
Definisi sistem informasi menurut beberapa ahli antara lain:
Menurut Jogiyanto (2005:11) dalam buku yang berjudul Analisis dan Desain Sistem
Informasi, menyebutkan bahwa sistem informasi adalah suatu sistem di dalam suatu
organisasi yang mempertemukan kebutuhan pengolahan transaksi harian, mendukung
operasi, bersifat manajerial dan kegiatan strategi dari suatu organisasi dan menyediakan
pihak luar tertentu dengan laporan-laporan yang diperlukan.
Menurut Al-Bahra bin Ladjamudin (2005:13) dalam bukunya yang berjudul
Analisis dan Desain Sistem Informasi mendefinisikan bahwa sistem informasi adalah
sekumpulan prosedur organisasi yang pada saat dilaksanakan akan memberikan
informasi bagi pengambilan keputusan dan atau untuk mengendalikan organisasi.
3.2.3
Definisi Keamanan Sistem Informasi
Pengertian keamanan sistem informasi menurut G.J Simons adalah bagaimana kita
dapat mencegah penipuan (cheating) atau paling tidak mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat
keras dan kunak komputer, jaringan komputer, dan data. Selain itu keamanan sistem
informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukurannteknis yang
digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau
kerusakan fisik terhadap sistem informasi.
3.3
Security Planning
Keamanan informasi berkaitan dengan perlindungan aset berharga terhadap
kehilangan, pengungkapan penyalahgunaan atau kerusakan. Dalam konteks ini, “aset
berharga” adalah informasi yang direka, diproses, disimpan, dikirim atau diambil baik
dari media elektronik ataupun non elektronik. Upaya perindungan tersebut
dimaksudkan untuk memastikan keberlanjutan bisnis, meminimalkan risiko yang
5
mungkin terjadi dan memaksimalkan keuntungan yang didapat dari investasi dan
kesempatan bisnis.
Organisasi keamanan informasi memiliki tiga aspek yang harus dipahami untuk bisa
menreapkannya, aspek tersebut biasa disebut dengan CIA Triad Mode, yang antara lain
adalah:
Confidentiality (kerahasiaan) yaitu aspek yang memastikan bahwa informasi
hanya dapat diakses oleh orang yang berwenang.
Integrity (integritas) yaitu aspek yang menjamin tidak adanya pengubaan data
tanpa seijin pihak yang berwenang, menjaga keakuratan dan keutuhan
informasi.
Availability (ketersediaan) yaitu aspek yang memberikan jaminan atas
ketersediaan data saat dibutuhkan, kapapun dan dimanapun.
Selain aspek diatas, keamanan informasi dapat juga diklasifikasian sesuai berikut:
Physical security yaitu strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi dan bencana alam.
Personal security adalah bagian dari keamanan fisik yang melindungi sumber
daya manusia dalam organisasi atau pengguna yang memiliki akses terhadap
informasi.
Operation security adalah yang memfokuskan strategi untuk mengamankan
kemapuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
Communication security yaitu bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemapuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.
Network security yaitu memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemapuan untuk menggunakan
jaringan tersebut dalam memebuhi fungsi komunikasi data organisasi.
3.4
Risk Asssessment
Risk Assessment adalah metode yang sistematis untuk menentukan apakan suatu
kegiatan mempunyai resiko yang dapat diterima atau tidak. Langkah awal pada risk
assessment adalah identifikasi dari bahaya dari hazard dan efek dari hazard tersebut dan
siapa/apa yang akan terkena dampaknya. Langkah selanjutnya adalah menentukan
besarnya frekuensi atau probability dari kejadianm karena risk adalah kombinasi dari
consequency dan probability.
3.5
Framework
6
Framework adalah kumpulan dari fungsi-fungsi / prosedur-prosedur dan class-class
untuk tujuan tertentu yang sudah siap digunakan. Sehingga bisa mempermudah dan
mempercepat pekerjaan seorang programmer maupun analis, tanpa harus membuat
fungsi atau class dari awal. Jadi dengan adanya framework, pekerjaan akan lebih tertata
dan teroraginir. Sehingga dalam pencarian kesalahan dalam pembuatan sistem akan
lebih mudah terdeksi.
Intinya framework merupakan modal awal kita sebelum melakukan pembuatan
sistem.
7
Bab IV
Manajemen Keamanan Sistem Informasi
4.1 Implementasi PDCA
Dalam implementasinya, keamanan sistem informasi perusahaan
akan menggunakan standar model PDCA yaitu Plan, Do, Check, Act
4.1.1. Plan
Tahap perencanaan terdapat beberapa aktivitas yang perlu dilakukan
antara lain:
4.1.1.1.
Ruang Lingkup Keamanan pada perusahaan
Pemetaan ruang lingkup keamaan SI agar sesuai dengan
kebutuhan keamanan informasi perusahaan seperti pemetaan
terhadap proses-proses bisnis yang ada, fungsi-fungsi yang
berjalan dalam sistem informasi dan aspek-aspek teknologi yang
diterapakan.
4.1.1.2.
Pendekatan Metodologi Bebasis Resiko
Pendekatan metodologi berbasis risiko ini disesuaiakan
dengan kriteria perusahaan atau dapat menggunakan standard
atau framework yang paling sesuai diterapkan.
4.1.1.3.
Analisa Resiko
Dalam tahap ini terdapat beberapa aktivitas seperti asesmen
risiko seperti indentifikasi threat, vurnerablity, karakterisktik
sistem, likelyhood, analisa dampak/menghitung BIA dan lainlain. Tujuan dari tahap ini untuk memeperoleh gambaran detail
dari
4.1.1.4.
Risk Mitigation
8
Pemilihan terhadap mitigasi risiko yang akan digunakan,
strategi mitigasi risiko, cost benefit analysis dan lain-lain.
Pemilihan kontrol dan metrik terhadap ISMS yang bertujuan
untuk memperoleh suatu “nilai” berdasarkan gambaran kondisi
ISMS dan target pencapaian dari penerapan
4.1.1.5.
Risk Evaluation and Monitoring
Monitoring dan evaluasi terhadap risiko yang ada
4.1.1.6.
Penentuan Kebijakan ISMS
Merupakan pernyataan resmi perusahaan terkait keamanan SI
yang dapat berupa Policy, procedure, standard, guideline dan
work instruction pada setiap department yang terlibat dalam
perusahaan
khususnya
pertukaran
informasi
atau
data
perusahaan.
Berikut ini adalah kebijakan yang dilakukan CV Graha
Mesin Globalindo di dalam menjaga dan memelihara privasi
dan keamanan data perusahaan. Kebijakan tersebut adalah
kebijakan privasi, setiap pegawai dalam setiap departement
memiliki hak akses sendiri-sendiri untuk dapat login ke dalam
system perusahaan sesuai dengan jabatan dan jobs desc masingmasing.
Perusahaan dapat melacak situs atau IP pengguna sistem
dimana koneksi user berasal untuk kebutuhan investigasi. Akses
ke situs perusahaan hanya dapat dilakukan melalui login user
yang telah ditetapkan. Selama pengguna login ke situs
perusahaan, perusahaan akan menggunakan cookie yang akan
terakhir pada saat anda logout. Semua informasi atas transaksi
data di situs perusahaan yang pengguna lakukan akan dicatat.
4.1.1.7.
SOA (Statement of Applicability)
9
Dokumentasi analisis terkait apa dan mengapa kontrol atau
kebijakan keamanan SI tersebut dipilih dan akan diterapkan.
SOA dapat dilakukan setelah melakukan metodologi berbasis
risiko.
4.1.2. Do
Pada tahap ini terdapat kumpulan aktivitas-aktivitas hasil
implementasi dari Plan yang sudah dirancang.
Mengelola semua pengoperasian resources yang mungkin
terlibat dalam keamanan Perusahaan mencakup: Registrasi,
Aktivasi, keuangan, data konsumen, data proses produksi dan
data perusahaan rekananan
Pengawasan implementasi dari keamanan perusahaan
Pengembangan kebijakan yang disesuaian dengan kerangka
yang dihasilkan dalam tahap plan
4.1.3. Check
Keamanan sistem informasi perusahaan memerlukan adanya
pengukuran dalam tahap perencanaan dan implementasi untuk
memberikan gambaran antara perencanaan dengan implementasi dan
dalam rangka menuju langkah improvement keamanan perusahaan
terebut. Dalam tahap ini aktivitas yang dapat dilakukan antara lain:
Pengukuran hasil kinerja dari keseluruhan keamanan
perusahaan mecakup pencatatan dan pengumpulan bukti-
bukti baik fisik maupun logik sebagai sarana audit.
Pengukuran efektifitas dari transaksi data pada setiap
depatement dan antar department hingga ke kantor cabang.
Melakukan audit internal pada keamanan perusahaan pada
setiap departementnya
Mengeksekusi prosedur - prosedur pengawasan
10
4.1.4. Act
Seluruh control yang ditetapkan dan telah diterapkan dalam
perusahaan tidak akan memberikan hasil yang efektif tanpa adanya
improvement atau semua itu hanya akan menjadi tumpukan
dokumen atau kumpulan file-file tanpa arti. Tahap “Act” mencakup
point penting antara lain:
Menerapkan perbaikan yang diidentifikasikan.
Memastikan kegagalan tidak terulang kembali.
Tahap penanggulangan dan perbaikan saat ancaman dan
serangan terdeteksi.
Mengkomunikasikan hasilnya kepada seluruh pihak yang
terkait
4.2. Security Planning
4.2.1. Objectives
Pemanfaatan keamanan sistem informasi perusahaan atau lebih
mengglobal dengan istilah teamwork dapat mengurangi resiko.
4.2.2. Scope
Perencanaan keamanan informasi yang akan dibuat adalah
keamanan sistem informasi perusahaan manufaktur.
4.2.3. Stakeholder
The mobile payment ecosystem involves the following types of
stakeholders:
Owner/ Pemilik perusahaan
Financial service providers (FSPs)
Payment service providers (PSPs)
Content providers
Network service providers (NSPs)
Device manufacturers
Regulators
Trusted service managers (TSMs)
Application developers
11
4.2.4. CIA Triangle
Sistem pengamanan pada Perusahaan ada 2 lapis akses, yaitu :
a. Password
b. Pengamanan htacsess yang dihasilkan oleh sistem perusahaan.
Htacsess adalah sebuah file konfigurasi yang ditaruh pada
directori root sistem aplikasi web. Htaccess dapat dipakai
untuk konfigurasi khuses apalikasi web, contoh redirect ke
halaman tertentu, untuk membati akses halaman atau untuk
merestrict (membatasi) pengaksesan folder-foldertertentu di
dalam sistem.
Pada 3 aspek keamanan dan didukung oleh beberapa aspek
keamanan informasi untuk sistem perusahaan dapat disimpulkan
sebagai berikut:
1. Confidentiality
Yaitu pencegahan terhadap pengungkapan informasi
kepada individu atau sistem yang tidak sah. Confidentiality
ditujukan kepada suatu pihak untuk hal tertentu dan hanya
diperbolehkan untuk hal itu saja. Confidentiality hanya bisa
diakses
oleh
mengaksesnya.
orang-orang
yang
mendapatkan
ijin
Dalam kasus ini ada beberapa security
planning pada aspek confidentiality antara lain:
Merahasiakan informasi penting yang merupakan aset
untuk perusahaan (di dalam database, file,backup,
penerima dicetak, dsb) dan dengan membatasai akses
ke tempat-tempat di mana disimpan.
Strategy Plan (perencanaan strategis perusahaan)
Merahasiakan rencana strategis yang meliputi target
pelanggan,area penjualan dan hal-hal yang berkaitan
dengan marketing.
Data User (informasi personal)
12
Kerahaisaan semua data pribadi pelanggan oleh
pihak-pihak yang dilarang mengakses.
2. Integrity
Yaitu aspek yang mengutamakan data atau informasi
tidak boleh diakses tanpa seijin perusahaan. Dalam studi
kasus ini ada beberapa aspek integrity, yaitu :
Menjaga kevalidan data saat proses transmisi, bisa
pada proses penggunaaan dan pengolahan bahan baku
dalam pembuatan produk, data keuangan perusahaan,
dsb.
Modifikasi sumber daya sistem komputer hanya bisa
oleh pihak-pihak yang sudah terotorisasi.
3. Availability
Yaitu aspek yang berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sebuah sistem informasi yang
diserang dapat menghambat ketersediaan informasi yang
diberikan. Ada beberapa aspek availability pada studi kasus
ini, antara lain :
Adanya sistem komputerisasi yang digunakan untk
menyimpan dan memproses informasi.
Adanya control security, yang digunakan untuk
melindungi informasi.
Adanya jaringan informasi yang digunakan untuk
mengakses informasi dengan benar.
Backup data secara berkala yang dapat meminimalisir
dampak yang timbul.
Adanya server cadangan atau schema proteksi lainnya
untuk data-data dan informasi yang dirasa sangat
penting, agar tetap bisa diakses ketika ada ganggguan,
13
Adapun tujuan dari aspek availability ini adalah untuk
tetap tersedia setiap saat, mencegah ganggguan layanan
akibat listrik padam, kegagalan hardware, dan upgrade
sistem.
4. Privacy
Usaha untuk menjaga data dan informasi dari pihak yang
tidak diperbolehkan mengaksesnya, data dan informasi
tersebut bersifat privat, yaitu :
1. Email dan Password karyawan dan user yang tidak
boleh tidak boleh di sebar luaskan kepada pihak
manapun baik di dalam perusahaan maupun di luar
perusahaan.
2. Data Penting User yaitu no. rekening bank, data
transaksi user,data no. telp/handpone yang tidak boleh
disebarluaskan baik oleh admin,karyawan maupun
user sendiri.
3. Data Hasil Penjualan,Hasil produksi dan Data
Penggunaan bahan yang hanya boleh diketahui oleh
pihak tertentu dalam perusahaan.
5. Identification
Pada aspek ini adalah mengenali individu pengguna,
yaitu langkah pertama dalam memperoleh hak akses
ke
informasi yang diamankan. aspek identifikasi atara lain
adalah sebagai berikut yaitu :
1. Mengenali email/username
dan
password
user
(pembeli) saat ingin melakukan login pada tempat
tertentu.
2. Mengenali email/username dan password karyawan
saat login menggunakan komputer kantor/laptop
karyawan
yang
perusahaan.
6. Authentication
14
sudah
diregistrasi
oleh
pihak
Aspek
ini
menekankan
mengenai
keaslian
suatu
data/informasi , termasuk pihak yang memberi atau
mengkasesnya termasuk pihak yang dimaksud atau bukan.
Contohnya yaitu :
1. Penggunaan pin atau password
2. Nomor mobile jika melakukan login menggunakan
mobile.
3. Akses untuk pihak admin,karyawan dan pembeli.
7. Authorization
Aspek dimana memberikan jaminan bahwa pengguna
(manusia ataupun komputer) telah mendapatkan autorisasi
secara spesifik dan jelas untuk mengakses, mengubah, atau
menghapus isi dari aset informasi.
Salah satu cara memberi otorisasi adalah dengan
memberi hak akses yang berbeda untuk tiap golongan
pengguna(admin,karyawan sesuai dengan departmentnya dan
pembeli.
8. Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat
menyajikan data semua aktifitas terhadap aset informasi yang
telah dilakukan dan siapa saja yang terlibat dan yang melakukan
aktifitas itu.
4.3. Security Management
Pada dasarnya sistem yang dingunakan oleh perusahaan ini
masih belum optimal dilihat segi keamanan data di dalam
perusahan,keamanan website dan lainnya. Kondisi pengamanan
masih lebih berfokuskan pada keamanan hardware dan alatalat/mesin yang digunakan untuk proses produksi yang selalu
dipantau dan ditingkatkan sejalan dengan perkembangan teknologi
dan ancaman yang ada.
15
Ancaman juga sering dialami oleh pengguna internet
termasuk pembeli dimana data pribadi dan no. rekening banknya
teregistrasi saat melakukan pembayaran via website perusahaan.
Oleh karena itu pihak perusahaan meminta perhatian kita semua
baik yang terlibat dalam perusahaan sendiri maupun pembeli
produk untuk lebih meningkatkan self-awarness terhadap ancaman
yang ada. Dengan itu kasus beserta cara pengamanan yang dapat
dilakukan selama proses bisnis adalah sebagai berikut :
1. Phishing
Phishing adalah cara-cara penipuan yang dilakukan oleh
pihak-pihak
informasi
tertentu
rahasia
untuk
mendapatkan
pengguna
seperti
informasi-
alamat
email,
Password dan Kode Transaksi. Ada beberapa cara yang
digunakan antara lain:
a. Membuat situs palsu yang memiliki alamat dan
tampilan mirip dengan situs resmi perusahaan atau
atau
page
khusus
di
social
media
yang
mengatasnamakan perusahaan.
b. Mengirim email atau pesan yang berisi URL link
dan meminta Anda melakukan login dengan
memasukkan alamat email, Password dan Kode
Transaksi kedalam alamat link yang diberikan.
c. Mengaku sebagai salah satu karyawan perusahaan
dan meminta data Anda dengan alasan-alasan
tertentu.
Kiat-kiat pengamanan:
a. Pastikan Anda mengakses website perusahaan
melalui
alamat
resmi
situs
yang
diberikan
perusahaan di www.bla2.com Untuk menghindari
kesalahan penulisan alamat situs. Atau dengan
melakukan bookmark pada situs perusahaan.
16
b. Melakukan cross-check jika ada karyawan yang
mengatasnamakan perusahaan untuk mengisi form
tertentu dengan melalui layanan customer care
perusahaan dengan no. telp 085234502888/034121787.
c. Pastikan
bahwa
Anda
telah
logout
saat
meninggalkan komputer Anda meskipun hanya
sesaat.
d. Sebaiknya Anda tidak mengakses website dan
melakukan pembayaran pada koneksi internet yang
tersambung di jaringan umum seperti wifi dan
warnet.
17
2. Virus / Worm
Virus komputer adalah program-program komputer yang
dibuat dengan tujuan-tujuan tertentu. Pada umumnya virus
merusak sistem operasi, aplikasi dan data di komputer
yang terinfeksi. Virus dapat menyebar melalui banyak
media, antara lain : e-mail, disket, CD, USB drive, flash
memory,
program
dari
internet,
maupun
jaringan.
Beberapa contoh dampak dari infeksi virus:
a. Komputer menjadi tidak stabil dan sering 'hang'
(macet).
b. Komputer manjadi lambat.
c. Data di harddisk terhapus.
d. Program software tidak dapat dijalankan/tidak
berfungsi dengan semestinya.
Yang mirip dengan virus adalah worm yang dibuat untuk
dapat menyebar dengan cepat ke banyak komputer.
Walaupun umumnya worm tidak menimbulkan kerusakan
seperti virus, namun worm dapat digunakan untuk
membawa berbagai macam muatan/attachment berbahaya.
Kiat-kiat pengamanan:
a. Gunakan anti virus ter-update di komputer Anda,
dan pastikan bahwa komputer Anda di-scan secara
real time.
b. Banyak virus yang masuk melalui email yang
diterima, sehingga Anda harus lebih hati-hati pada
waktu menggunakan email. Hapus e-mail yang
mencurigakan atau yang datang dari pengirim yang
tidak dikenal, dan scan attachment e-mail sebelum
dibuka.
18
c. Gunakan firewall pada sistem operasi di komputer
Anda atau install personal firewall dan pastikan
bahwa pengaturan firewall yang terpasang dapat
mengamankan Personal Computer (PC) Anda.
d. Sebaiknya Anda tidak mengakses atau bahkan mendownload file/program-program di internet dari situs
yang
tidak
dikenal/tidak
dapat
dipastikan
keamananannya.
e. Scan file-file yang berasal dari disket, CD maupun
USB drive yang Anda terima.
f. Pastikan bahwa sistem operasi maupun aplikasi di
komputer Anda sudah dilindungi dengan sistem
proteksi terkini.
4. Malware / Spyware
Malware/spyware adalah sejenis program komputer yang
diprogram
untuk
penting/pribadi
'mencuri'
informasi-informasi
dari komputer yang terinfeksi dan
mengirimnya ke lokasi tertentu di internet untuk kemudian
diambil oleh pembuatnya. Informasi yang menjadi target
utama contohnya User ID dan password, nomor rekening,
e-mail.
Malware/spyware dapat ter-install melalui attachment
email atau program yang di-install dari sumber-sumber
yang tidak jelas, ataupun oleh situs yang 'jahat'.
Virus
dapat
diprogram
untuk
menyebarkan
malware/spyware. Namun, berbeda dengan virus yang
sifatnya lebih merusak, spyware bekerja secara diam-diam
agar tidak terlacak sehingga lebih mudah mengumpulkan
informasi
yang
diinginkan
malware/spyware.
19
sang
pembuat/penyebar
Kiat-kiat pengamanan:
Pengamanan terhadap malware/spyware sama dengan
pengamanan terhadap virus/worm.
5. Social Engineering
Merupakan salah satu cara
mendapatkan data pribadi
tanpa harus tersambung dengan internet.
Hal ini dapat dilakukan oleh siapa saja disekitar kita
(Teman,Keluarga atau kesalahan dari pihak pengguna
sendiri.)
Kiat-kiat pengamanan:
a. Jangan
pernah
menggunakan
komputer/hp
teman/keluarga saat melakukan sebuah kegiatan
seperti pembelian dan pembayaran atau hal-hal lain
yang memiliki data privasi pengguna.
b. Jangan
Menyimpan
Data
Pribadi
pada
HP/Komputer/Buku seperti ID dan password.jika
terjadi kehilangan maka data-data tersebut akan
tersebar dan dapat disalahgunakan.
c. Pastikan anda tidak memberitahukan data pribadi
ada kepada pihak perusahaan maupun pihak yang
mengatasnamakan
perusahaan
karena
pihak
perusahaan tidak akan menanyakan hal tersebut dan
hanya membuthkan no. transaksi/bukti pembayaran
untuk konfirmasi pembayaran.
4.3.1. IRP (Incident Response Plan)
NO Risk Factors
1.
Kelemahan
Hardware
Recommended
Controls
● Pengajuan
Pemebelian
Unit Baru
20
Cost
Justification
Type
Control
Method
Action
Method
● Spek Tidak
Mumpuni
● Jaringan
●
Terputus
(Kabel
Rusak)
● Slow (Berat)
Lemot
● Mesin
●
Produksi
Rusak
2.
yang sesuai
> 5.000.000
Standart
> 1.000.000
Adanya
Maintenece
> 3.000.000
Terhadap
Jaringan
Secara
Berkala
Menggunakan
SAAS atau
Tools
Software yang
Sesuai dan
Developt
Sendiri Sesuai
Kebutuhan
Kejadian tak Terduga Memiliki
(Alam)
Bakcup Server
di Beberapa
Banjir
Tempat /
Daerah
Gempa Bumi
10.000.000
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Tactical
Manual
Administr
atif
Automa
tic
Administr
atif
Automa
tic
Tanah Longsor
Mesin Malfunction
Termakan oleh
Pengerat
Terbakar (Mesin
Overheat)
3.
Adanya
Maintenance
Adanya
Secondary
Device untuk
Pengganti
Secara Berkala
2.000.000
5.000.000
Kelemahan Sistem
Gagal Login
Lupa Password
Salah Input
Fasilitas
Forgot
Password
Case Input
Sesuai
Kebutuhan
21
22
4.3.2. DRP (Disaster Recovery Plan)
DRP atau Disaster Recovery Plan adalah rencana pemulihan
dari kemungkinan kerusakan-kerusakan yang terjadi. —Aspek yang
terkandung di dalam suatu rencana bisnis yang berkesinambungan
yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan
yang terjadi.
RPO (recovery point objective): target titik waktu dimana
transaksi-transaksi terbaru dapat diselamatkan.
RTO (recovery time objective): target waktu pemulihan
layanan dari gangguan.
NO Critical
System
RTO/RPO
Threat
Prevention
Strategy
Respon
Strategy
Recovery
Strategy
1
Transaksi
Pembayaran
2 Hours / 2
Hours
Server
Failure
Backup
Server,
Secure
Room
Equipment
Switch Over
to The
BAckup
Server or
Secondary
Server. and
Running
UPS
Fix/Replac
e Primary
Server
2
Login System
2 Hours/2
Hours
Security
Fail,
Hacking,
Virus
Instal
Protection
and
Antivirus,
Use
Security or
Equipt
Security
tools
Deploy
Guard
System at
Strategic
Point, Use
Firewall and
Close Public
Port
Obtain.Inst
all
replacemen
t Unit,
Sensor and
Login Page
3.
Operational
System(Datadata
operational
perusashaan)
3 Hours/ 3
Hours
Fail in
Software
and
Hardware
Instal
Antivirus
and Check
Update and
Maintence
for
Software.
repair the
Software or
Re-install
Software.
Use
Secondaru
device or
rest for
primary
hardware
or device.
fix and
resolve the
bug of
Cause
Virus and
23
‘Konslet’
Warm
Device and
Tools
There is
Backup
Hardware
and Time
for Rest
Hardware.
software.
4.3.3. BCP (Business Continnuity Plan)
BCP atau Business Continuity Plan adalah rencana bisnis yang
berkesinambungan antara Pengguna, pihak Perusahaan dan Supplier.
Critical
Business
Activity
Description
Priority
Impact of loss
RTO
1 Day~3 Days
Akses Layanan
sharing data
Gangguan
tidak
disengaja :
Serangan virus,
Trojan, Worm
3
● Customer
Complain
Cannot
Access
● Update and
Add Data
not Realtime
● Loss Data
Transaction
● Cannot Save
Transaction
to Database
Akses Layanan
Informasi
dengan Internet
Gangguan
disengaja :
Cyber crime
(kejahatan
internet, seperti
SQL Injection,
Spoofing,hackin
g,DDOS dll)
4
● Data
1 Day-3 Days
Manipulatio
n
● Stollen Data
and Bank
Accounts
● Server Down
● Cannot
Access
mBanking
24
Aktivitas Di
Gedung
Perusahaan
Gangguan
Bencana Alam
(Banjir, Tanah
Longsor,
Gempa Bumi,
Tsunami, dll)
5
● Aktivitas
2
Keseluruhan Weeks~4Wee
Sistem
ks
● Database
Fisik(Server)
● Kerusakan
Hardware,So
ftware
● Berhentinya
Proses
Bisnis
● Lumpuhnya
Aktivitas
secara
Global
Jalur Koneksi
Jaringan
Gangguan
Alam
Perusakan
Kabel akibat
Hewan
Penggerat
3
● Berhentinya 12 Hours~24
Sharing Data Hours
● Koneksi
Terputus
● Tidak
Realtime
● Aktivitas
Transaksi
Terganggu
● Akses
Berhenti
Notes : Priority Level (1 Low | 2 Low-Medium | 3 Medium | 4
Medium-High | 5 High)
25
4.4. Security Risk and Assessment
4.4.1. Risk Identification
Identifikasi Resiko
Business Process Risk And Website
Target Type
Vulnerability
User
User
Karyawan
Karyawan
Karyawan
Manager
26
Threat
Risk
Countermeasures
Manager
Admin
-
No
1
Resiko
Risk
Level
Risiko kehilangan
Critical
keamanan informasi
(confidentiality, integrity,
availability), jika
informasi yang berada
didalam perusahaan, tidak
terklasifikasi dengan baik
berdasar
27
Recommended Control
Preventive
Detective
Policy & Procedure
Pembagian dan
pengklasifikasian
informasi sensitis
kan aspek
kerahasiaannya, maka
dapat
berpotensi informasi
rahasia dapat terbuka
2
Risiko terhentinya bisnis
perusahaan, karena tidak
memiliki rencana
penanggulangan bencana,
sehingga ketika terjadi
bencana tidak mampu
mempertahankan
dukungan IT terhadap
jalannya bisnis, secara
sistematis
Critical
Policy & Procedure
Policy & Procedure
3
Kerusakan/bencana alam
di lokasi server yang
tergolong intensitasnya
cukup besar sehingga
dapat berpotensi merusak
server dan perangkat
jaringan.
High
Policy & Procedure,
anti petir dan grounded
Policy & Procedure
4
Risiko hilangnya data
master dan backup
berpotensi terjadi, jika
ruang DRC berada pada
ruang yang sama dengan
ruang data center atau
server yang saat
mengalami bencana
Critical
Policy & Procedure,
Penyimpanan data
backup di tempat aman,
mirroring
Policy & Procedure
5
Risiko penggunaan sistem High
operasi yang rentan
dengan gangguan virus,
tanpa didukung oleh
Pelatihan security
awarness, pemasangan
antivirus, scanning
Violation reports
28
perangkat anti virus yang
cukup handal, berpotensi
menimbulkan kerusakan
file, dan kehilangan data
virus rutin
6
Firewall diletakkan di sisi High
luar DMZ terhadap
jaringan luas internet, dan
tidak memiliki firewall
lainnya disisi dalam DMZ
terhadap jaringan lokal
internal, sehingga
berpotensi server menjadi
terbuka dari serangan
yang berasal dari jaringan
internal.
Policy & Procedure,
Firewall
Intrussion detection
system, alert
software /
protection
7
File system backup gagal
saat direstore, maka
berpotensi jika terjadi
kehilangan data pada
sistem utama, maka hasil
backup tidak dapat
direstore, sehingga harus
meng-entry ulang
berdasarkan form manual
Policy & Procedure,
Penyimpanan data
backup di tempat aman,
mirroring
Sharing
Responsibilities
8
Resiko kebocor