Analisis Perencanaan Program Keamanan Teknologi Informasi pada PT Pos Indonesia.
vii
Universitas Kristen Maranatha
ABSTRAK
Dalam laporan tugas akhir ini akan membahas mengenai "Analisis Perencanaan Program Keamanan Teknologi Informasi Pada PT POS Indonesia", PT POS Indonesia ini adalah perusahaan yang bergerak dibidang penjualan jasa. Tujuan pembahasan ini adalah untuk mengetahui program keamanan apa saja yang telah direncanakan dan apakah program keamanan yang direncanakan sudah berjalan sesuai rencana pada PT POS Indonesia. Sumber data penelitian berupa dari sumber data primer dan sumber data sekunder. Sumber data primer diperoleh melalui hasil wawancara langsung dengan PT POS Indonesia, dokumen baik hard
maupun soft copy dari PT POS Indonesia, data sekunder diperoleh dari studi literatur melalui buku dan teori utama yang menjadi dasar penelitian adalah
Security Management Ron Weber. Berdasarkan hasil analisis, dari hasil penelitian dapat diuraikan bahwa masih ada beberapa kontrol yang belum berjalan sesuai rencana dan juga tidak ada pemantauan terhadap rencana yang direncanakan. Kata kunci: Analisis, Perencanaan Program Keamanan Teknologi Informasi,
(2)
ABSTRACT
In this final report will discuss the "Analysis of Information Technology Security Program Planning at PT POS Indonesia," PT POS Indonesia is a company engaged in the sale of services. The purpose of this discussion is to know what the security program has been planned and whether the planned safety program is going according to plan at PT POS Indonesia. Sources of research data in the form of the primary data source and secondary data source. Sources of primary data obtained through direct interviews with PT POS Indonesia, the document is either hard or soft copy of PT POS Indonesia, the secondary data obtained from the study of literature through books and theories for the basis of the study is the Security Management Ron Weber. Based on the analysis, the results of the study can be explained that there are some controls that do not go as planned and there was no monitoring of the plan are planned.
Keywords: Analysis, Planning Information Technology Security Program, Security Management Ron Weber.
(3)
viii
Universitas Kristen Maranatha
DAFTAR ISI
PRAKATA ... iv
ABSTRAK ... vii
ABSTRACT ... viii
DAFTAR ISI ... viii
DAFTAR GAMBAR ... x
DAFTAR TABEL ... xi
DAFTAR LAMPIRAN ... xii
BAB I PENDAHULUAN ... 1
1.1 Latar Belakang ... 1
1.2 Rumusan Masalah ... 2
1.3 Tujuan Pembahasan ... 2
1.4 Ruang lingkup Kajian... 3
1.5 Sumber Data ... 3
1.6 Sistematika Penyajian ... 4
BAB II KAJIAN TEORI ... 5
2.1 Sistem Informasi ... 5
2.1.2 Sistem ... 5
2.1.3 Informasi ... 6
2.2 Security Management Controls ... 6
2.2.1 Delapan PointSecurity Management Controls ... 7
2.2.2 Menyelenggarakan Program Keamanan ... 10
2.2.3 Ancaman Utama Keamanan dan Solusinya ... 16
2.3 Flowchart ... 20
2.3.1 Bagan Alir Sistem ... 21
2.4 Audit Sistem Informasi ... 30
2.4.1 Tugas Auditor Informasi ... 30
2.5 Network Security First Step ... 32
BAB III HASIL ANALISIS ... 34
3.1 Profil Perusahaan ... 34
3.1.1 Visi & Misi ... 35
3.1.2 Struktur Organisasi ... 36
3.2 Perencanaan Program Keamanan ... 38
3.2.1 Menyiapkan Rencana Proyek ... 38
3.2.2 Identifikasi Aset ... 42
3.2.3 Penilaian Aset ... 44
3.2.4 Identifikasi Ancaman ... 46
3.2.5 Kemungkinan Terjadinya Ancaman ... 47
3.2.6 Menganalisis Eksposur ... 49
3.2.7 Penyesuaian Kontrol ... 71
3.2.8 Persiapan Laporan Keamanan ... 72
BAB IV SIMPULAN DAN SARAN ... 73
4.1 Simpulan ... 73
4.2 Saran ... 73
(4)
DAFTAR GAMBAR
Gambar 1. Langkah-langkah keamanan ... 7
Gambar 2. Langkah-langkah utama dalam pelaksanaan program keamanan ... 11
Gambar 3. Tipe Ancaman ... 15
Gambar 4. Bagan logika program menghitung rata-rata ... 27
Gambar 5. Bagan program komputer terinci menghitung rata-rata ... 28
Gambar 6. Struktur Organisasi PT POS Indonesia ... 36
Gambar 7. Struktur Organisasi Direktorat Teknologi Dan Jasa Keuangan ... 37
Gambar 8. Pendaftaran/penghapusan hak akses ... 55
Gambar 9. Prosedur review hak akses pengguna ... 56
Gambar 10. Bukti struktur organisasi PT POS Indonesia ... 1
Gambar 11. Bukti struktur organisasi direktoran teknologi dan jasa keuangan ... 1
Gambar 12. Bukti visi&misi perusahaan PT POS Indonesia ... 2
Gambar 13. Bukti PenTest ... 2
Gambar 14.Bukti slide perencanaan keamanan ... 3
Gambar 15. Bukti surat edaran perencanaan program keamanan ... 3
Gambar 16. Bukti keputusan direksi ... 4
Gambar 17. Bukti persetujuan surat KD ... 4
Gambar 18. Bukti surat edaran pengendalian hak akses ... 5
Gambar 19. Bukti bahwa input kontrol masih belum berjalan ... 5
Gambar 20. Bukti flowchart pendaftaran/penghapusan hak akses ... 6
Gambar 21. Bukti flowchart prosedur review hak akses pengguna ... 7
Gambar 22. Bukti surat edaran penggunaan sumber daya informasi ... 8
Gambar 23. Surat edaran 102 ... 8
Gambar 24. Bukti surat pembelian aplikasi e-office ... 9
Gambar 25. Bukti nilai aset aplikasi e-office ... 10
Gambar 26. Bukti nilai aset aplikasi CCPI ... 11
Gambar 27. Bukti nilai aset SIM PPN ... 12
Gambar 28. Bukti fire extinguisher ... 13
Gambar 29. Bukti tanda ruangan anti rokok ... 13
Gambar 30. Door lokcer dan satpam ... 14
Gambar 31. Fire alarm di ruang server ... 14
Gambar 32. Bukti gas discharged ... 15
Gambar 33. Tangga darurat jika terjadi insiden ... 15
Gambar 34. Heat detector ... 16
Gambar 35. Door locer ruang server ... 16
Gambar 36. FENWALNET 6000 ... 17
Gambar 37. Tombol darurat FENWALNET ... 17
Gambar 38. Penunjuk tangga darurat ... 18
Gambar 39. Wi-fi yang dilock ... 18
Gambar 40. Camera ... 19
Gambar 41.Fire springkler ... 19
Gambar 42. Hydrant ... 20
(5)
xi
Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I.Komponen rencana proyek... 12
Tabel II. Kategori aset ... 14
Tabel III. Simbol-simbol Flowchart ... 21
Tabel IV. Simbol-simbol yang digunakan di bagan alir program ... 25
Tabel V. Simbol-simbol yang digunakan di bagan alir proses. ... 29
Tabel VI. Kategori aset ... 43
Tabel VII. Hasil Penilaian Aset ... 44
Tabel VIII. Umur aset ... 46
Tabel IX. Sumber Ancaman ... 47
Tabel X. Pengukuran kerahasian data ... 65
(6)
DAFTAR LAMPIRAN
LAMPIRAN A ... A.1 LAMPIRAN B ... .B.2
(7)
1 Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1 Latar Belakang
Perkembangan komputer yang sangat pesat membuat para pemimpin
perusahaan untuk memperhatikan keamanan teknologi informasi. Hal ini
sangat berbeda dengan yang dialami oleh perusahaan-perusahaan tersebut
dua puluh tahun yang lalu. Di masa itu, komputer-komputer yang tersedia
adalah komputer
mainframe dan
dumb
terminal. Sebagian besar proses
dan penyimpanan data dilakukan pada
Mainframe komputer. Pada
dumb
terminal, pengguna hanya dapat melakukan fungsi-fungsi yang sangat
terbatas dan sangat tergantung kepada
mainframe untuk melakukan
proses-proses yang rumit. Situasi seperti ini sering disebut sebagai closed
environtment. Hanya orang-orang yang ahli dalam penggunaan mainframe
dan dumb terminal yang dapat mengoperasikan komputer-komputer
tersebut. Ancaman keamanan yang menggunakan teknologi informasi
sangatlah minimal pada masa tersebut.
Internet yang telah menjadi bagian yang tidak terpisahkan dari kehidupan
sehari-hari telah banyak merubah bisnis proses bagi perusahaan. Para
pebisnis baik telah menjadikan internet sebagai senjata andalan mereka
untuk mengumpulkan data tentang pesaing, untuk melakukan riset tentang
market share untuk produk atau jasa yang mereka jual, atau untuk
memanfaatkan kesempatan yang ada di Internet untuk meningkatkan
penghasilan, mengurangi pengeluaran, atau menjalin hubungan yang lebih
baik dengan pelanggan mereka. Internet telah merubah konsep bisnis bagi
banyak perusahaan yang ingin bertahan di dalam persaingan yang semakin
ketat. Jaringan Internet juga telah menjadi bagian yang tidak terpisahkan
dari arus globalisasi yang melanda seluruh penjuru dunia. Selain dari sisi
perusahaan, Internet juga menjanjikan banyak keuntungan bagi konsumen.
Internet menawarkan kemudahan bertransaksi dan semakin banyaknya
(8)
pilihan baik produk maupun jasa yang tersedia di Internet. Internet juga
menawarkan kemampuan bertransaksi 24 jam sehari tanpa mengenal
batasan waktu dan tempat.
Mengingat salah satu perusahaan yang bergerak di bidang penjualan jasa
pada pelanggan adalah PT POS Indonesia. Perusahaan PT POS Indonesia
merupakan perusahaan pelayanan jasa pengiriman barang. Mengingat
fenomena yang ada, analis tertarik untuk menganalisi perencanaan
program keamanan tekonologi informasi pada PT POS Indonesia.
1.2 Rumusan Masalah
Berdasarkan latar belakang yang ada pada point 1.1, rumusan
pemasalahan yang didapat adalah :
1. Bagaimana langkah-langkah perencanaan keamanan yang telah
diterapkan di PT POS?
2. Bagaimana ancaman akan terjadi pada PT POS dan apa solusinya?
1.3 Tujuan Pembahasan
Adapun tujuan pembahasan dalam tugas akhir ini adalah :
1. Mengetahui program keamanan yang telah direncanakan oleh
perusahaan PT POS Indonesia
2. Mengetahui program keamanan yang direncanakan sudah berjalan
sesuai perencanaan atau tidak
(9)
Universitas Kristen Maranatha
1.4 Ruang lingkup Kajian
Adapun ruang lingkup kajian dari tugas akhir ini adalah :
1. Uraian langkah-langkah pelaksanaan keamanan yang telah
diterapkan di PT POS
2. Uraian ancaman yang mengancam PT POS dan solusinya.
3. Pembahasan mengenai
a. Preparation of a project plan
b. Identification of assets
c. Valuation of asset
d. Threats identification
e. Threats likelihood assessment
f. Exposures analysis
g. Control adjustment
h. Report preparation
1.5 Sumber Data
Sumber
–
sumber data penelitian terdiri dari sumber data primer dan
sumber data sekunder. Sumber data primer diperoleh melalui hasil
wawancara langsung dengan PT POS Indonesia, dokumen baik
hard
maupun soft copy dari PT POS Indonesia. Sumber data sekunder diperoleh
dari studi literatur melalui buku, website
(http://www.posindonesia.co.id)
dan
(10)
1.6 Sistematika Penyajian
Pembahasan dari setiap bab yang terdapat pada hasil laporan ini
adalah :
BAB I PENDAHULUAN
Membahas mengenai latar belakang permasalahan, rumusan
masalah, tujuan pembahasan, ruang lingkup kajian, sumber data dan
yang terakhir adalah sistematika penyajian.
BAB II KAJIAN TEORI
Membahas teori
–
teori dasar yang akan digunakan dalam laporan
Tugas akhir mengenai
Security Management Controls Ron Weber,
dan menganalisis hasil observasi dan wawancara.
BAB III HASIL ANALISIS
Membahas rumusan masalah yang ditulis sebelumnya.
BAB IV SIMPULAN DAN SARAN
Pada bab terakhir ini akan membahas mengenai kesimpulan dari hasil
perencanaan yang dilakukan dan solusi yang di perlukan.
(11)
73
Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Dari hasil analisis yang dilakukan, dihasilkan beberapa kesimpulan yaitu
sebagai berikut ini:
1. Langkah-langkah perencanaan program keamanan pada PT POS
Indonesia sudah direncanakan dengan baik, tetapi masih belum
berjalan sesuai rencana yang direncanakan .
2. Ancaman utama yang akan mengancam perusahaan PT POS
Indonesia lebih ke ancaman internal dan solusinya adalah
menerapkan semua kontrol program keamanan yang direncanakan.
4.2 Saran
Dari hasil analisis yang dilakukan ada beberapa saran untuk perencanaan
program keamanan yang telah direncanakan, yaitu:
1. Seharusnya memperhitungkan biaya yang diperlukan dalam
perencanaan program keamanan ini.
2. Mencantumkan aset apa saja yang terlibat/dilindungi dalam
perencanaan program keamanan ini.
3. Perusahaan seharusnya menilai aset aplikasi yang ada pada
perusahaan.
4. Disarankan untuk melakukan tahap analisis terhadap
major security
threats and remedial measures atau controls of last resort.
(12)
DAFTAR PUSTAKA
HM, Jogianto. (2001). Analisis & Desain Sistem Informasi Pendekatan Terstruktur Teori
Dan Praktek Aplikasi Bisnis (2
ndEd.). Yogyakarta:Andi.
Sutabri, Tata. (2004). Analisa Sistem Informasi (1st Ed.). Yogyakarta:Andi.
Thomas, Tom. (2004). Network Security First Step (1st Ed.), Kebijakan dan Respons
Keamanan (pp.55-98). Yogyakarta:Andi.
Tugiman, Hiro. (1996). Pengantar Audit Sistem Informasi (1st Ed.). Yogyakarta:Anggota
Kanisus.
Weber, Ron. (1999). Information Systems Control And Audit (Ed.), Security
(1)
BAB I PENDAHULUAN
1.1 Latar Belakang
Perkembangan komputer yang sangat pesat membuat para pemimpin perusahaan untuk memperhatikan keamanan teknologi informasi. Hal ini sangat berbeda dengan yang dialami oleh perusahaan-perusahaan tersebut dua puluh tahun yang lalu. Di masa itu, komputer-komputer yang tersedia adalah komputer mainframe dan dumb terminal. Sebagian besar proses dan penyimpanan data dilakukan pada Mainframe komputer. Pada dumb terminal, pengguna hanya dapat melakukan fungsi-fungsi yang sangat terbatas dan sangat tergantung kepada mainframe untuk melakukan proses-proses yang rumit. Situasi seperti ini sering disebut sebagai closed environtment. Hanya orang-orang yang ahli dalam penggunaan mainframe
dan dumb terminal yang dapat mengoperasikan komputer-komputer tersebut. Ancaman keamanan yang menggunakan teknologi informasi sangatlah minimal pada masa tersebut.
Internet yang telah menjadi bagian yang tidak terpisahkan dari kehidupan sehari-hari telah banyak merubah bisnis proses bagi perusahaan. Para pebisnis baik telah menjadikan internet sebagai senjata andalan mereka untuk mengumpulkan data tentang pesaing, untuk melakukan riset tentang market share untuk produk atau jasa yang mereka jual, atau untuk memanfaatkan kesempatan yang ada di Internet untuk meningkatkan penghasilan, mengurangi pengeluaran, atau menjalin hubungan yang lebih baik dengan pelanggan mereka. Internet telah merubah konsep bisnis bagi banyak perusahaan yang ingin bertahan di dalam persaingan yang semakin
(2)
pilihan baik produk maupun jasa yang tersedia di Internet. Internet juga menawarkan kemampuan bertransaksi 24 jam sehari tanpa mengenal batasan waktu dan tempat.
Mengingat salah satu perusahaan yang bergerak di bidang penjualan jasa pada pelanggan adalah PT POS Indonesia. Perusahaan PT POS Indonesia merupakan perusahaan pelayanan jasa pengiriman barang. Mengingat fenomena yang ada, analis tertarik untuk menganalisi perencanaan program keamanan tekonologi informasi pada PT POS Indonesia.
1.2 Rumusan Masalah
Berdasarkan latar belakang yang ada pada point 1.1, rumusan pemasalahan yang didapat adalah :
1. Bagaimana langkah-langkah perencanaan keamanan yang telah diterapkan di PT POS?
2. Bagaimana ancaman akan terjadi pada PT POS dan apa solusinya?
1.3 Tujuan Pembahasan
Adapun tujuan pembahasan dalam tugas akhir ini adalah :
1. Mengetahui program keamanan yang telah direncanakan oleh perusahaan PT POS Indonesia
(3)
1.4 Ruang lingkup Kajian
Adapun ruang lingkup kajian dari tugas akhir ini adalah :
1. Uraian langkah-langkah pelaksanaan keamanan yang telah diterapkan di PT POS
2. Uraian ancaman yang mengancam PT POS dan solusinya. 3. Pembahasan mengenai
a. Preparation of a project plan b. Identification of assets c. Valuation of asset d. Threats identification
e. Threats likelihood assessment f. Exposures analysis
g. Control adjustment h. Report preparation
1.5 Sumber Data
Sumber – sumber data penelitian terdiri dari sumber data primer dan sumber data sekunder. Sumber data primer diperoleh melalui hasil wawancara langsung dengan PT POS Indonesia, dokumen baik hard
maupun soft copy dari PT POS Indonesia. Sumber data sekunder diperoleh dari studi literatur melalui buku, website (http://www.posindonesia.co.id) dan studi lapangan di perusahaan PT POS Indonesia.
(4)
1.6 Sistematika Penyajian
Pembahasan dari setiap bab yang terdapat pada hasil laporan ini adalah :
BAB I PENDAHULUAN
Membahas mengenai latar belakang permasalahan, rumusan masalah, tujuan pembahasan, ruang lingkup kajian, sumber data dan yang terakhir adalah sistematika penyajian.
BAB II KAJIAN TEORI
Membahas teori – teori dasar yang akan digunakan dalam laporan Tugas akhir mengenai Security Management Controls Ron Weber, dan menganalisis hasil observasi dan wawancara.
BAB III HASIL ANALISIS
Membahas rumusan masalah yang ditulis sebelumnya.
BAB IV SIMPULAN DAN SARAN
Pada bab terakhir ini akan membahas mengenai kesimpulan dari hasil perencanaan yang dilakukan dan solusi yang di perlukan.
(5)
BAB IV SIMPULAN DAN SARAN
4.1 Simpulan
Dari hasil analisis yang dilakukan, dihasilkan beberapa kesimpulan yaitu sebagai berikut ini:
1. Langkah-langkah perencanaan program keamanan pada PT POS Indonesia sudah direncanakan dengan baik, tetapi masih belum berjalan sesuai rencana yang direncanakan .
2. Ancaman utama yang akan mengancam perusahaan PT POS Indonesia lebih ke ancaman internal dan solusinya adalah menerapkan semua kontrol program keamanan yang direncanakan.
4.2 Saran
Dari hasil analisis yang dilakukan ada beberapa saran untuk perencanaan program keamanan yang telah direncanakan, yaitu:
1. Seharusnya memperhitungkan biaya yang diperlukan dalam perencanaan program keamanan ini.
2. Mencantumkan aset apa saja yang terlibat/dilindungi dalam perencanaan program keamanan ini.
3. Perusahaan seharusnya menilai aset aplikasi yang ada pada perusahaan.
4. Disarankan untuk melakukan tahap analisis terhadap major security threats and remedial measures atau controls of last resort.
(6)
DAFTAR PUSTAKA
HM, Jogianto. (2001). Analisis & Desain Sistem Informasi Pendekatan Terstruktur Teori Dan Praktek Aplikasi Bisnis (2nd Ed.). Yogyakarta:Andi.
Sutabri, Tata. (2004). Analisa Sistem Informasi (1st Ed.). Yogyakarta:Andi.
Thomas, Tom. (2004). Network Security First Step (1st Ed.), Kebijakan dan Respons Keamanan (pp.55-98). Yogyakarta:Andi.
Tugiman, Hiro. (1996). Pengantar Audit Sistem Informasi (1st Ed.). Yogyakarta:Anggota Kanisus.
Weber, Ron. (1999). Information Systems Control And Audit (Ed.), Security