Proteksi Sistem Informasi Multi Level Marketing PT. Mass Network

(1)

Proteksi Sistem Informasi

Multi Level Marketing

PT. Mass Network

Oleh :

Malikuswari - 7203012173

Yusron Avivi – 7203012335

Imelda – 7203010227

Sasongko Budhi - 7203012238

Magister Teknologi Informasi

Universitas Indonesia

(2)

BAB I . PENDAHULUAN ...1

1.1. Latar Belakang...1

1.2. Struktur Organisasi...2

1.3. Aktifitas Bisnis...4

1.4. Visi dan Misi Perusahaan...5

1.5 Aplikasi Yang Digunakan ...5

1.6 Investasi Teknologi Informasi...6

1.7 Konfigurasi Ruangan dan Komputer ...7

BAB II. Manajemen Keamanan...11

II.1. Pendahuluan...11

II.2. Klasifikasi Informasi ...11

II.2.1 Penyimpanan Dokumen...12

II.2.2. Prosedur Pengklasifikasian Dokumen...12

II.3. Manajemen Resiko...14

II.3.1. Analisa Kerawanan ...14

II.3.2. Analisa Ancaman...15

II.3.3 Analisa Resiko ...16

BAB III. Sistem Kontrol Akses...20

III.1 Pendahuluan...20

III.2 Kontrol Identifikasi dan Otentikasi...20

III.3. Kontrol Akses...21

III.4 Monitoring Kontrol Akses ...24

III.5 Kepedulian Pada Keamanan ...25

BAB IV. Keamanan Telekomunikasi dan Jaringan...27

IV.1 Konfigurasi Jaringan ...27

IV.2. Kebijakan Keamanan jaringan ...28

BAB V. Cryptography dan Security Architecture & Models...31

V.1. Proses Kriptografis...32

V.2. Symetric Cryptography ...33

V.3. Public Key Cryptography ...33

V.4. Fungsi Hash ...34

V.5. Tanda Tangan Digital...35

V.6. Sertifikat Digital...36

V.7. Transaksi Aman Yang Umum ...36

V.8. Prinsip-prinsip keamanan ...39

V.9. Security Models...41

(3)

V.10.1. Authentication. Database tentang user...44 V.10.2. Authorization ...45 V.10.3. Gateway ...46 V.10.4. Attack...47 V.10.5. Monitoring...47 V.10.6. Komunikasi Terenkripsi ...48

BAB VI. Operations Security ...49

VI.1. Administration Controls...49

VI.2. Record Retention ...49

VI.3. Privileged Entity Controls...49

VI.4. Audit Trails...49

BAB VII. Pengembangan Aplikasi dan Sistem...50

VII.1. Klasifikasi Aplikasi ...50

VII.2. Pengembangan Aplikasi...50

VII.3. Pemeliharaan Database ...51

BAB VIII. Business Continuity dan Plan Disaster Recovery ...52

VIII.1. Business Impact Analisys ...52

VIII.2. Business Continuity Planning ...53

VIII.3. Ancaman ...54

VIII.4. Disaster Recovery Planning ...54

VIII.5. Identifikasi dan Notifikasi...56

BAB IX. PHYSICAL SECURITY...57

IX.1. Ancaman-ancaman Keamanan Fisik...58

IX.2. Pengendalian Pengamanan Fisik ...61

IX.3. Perencaaan Kebutuhan Fasilitas ...61

IX.4. Manajemen Pengamanan Fasilitas...62

IX.5. Pengendalian Administrasi Personalia...62

IX.6. Kebutuhan Pengendalian Fasilitas...63

IX.7. Alarm dan deteksi intrusi...63

IX.8. Pengendalian persediaan komputer ...63

IX.9. Kebutuhan media penyimpanan ...64

BAB X. AUDIT SISTIM INFORMASI...66

X.1. Kebijakan Audit Sistim Informasi ...67

Daftar Pustaka ...69

Hak cipta berada pada kelompok 108. Tulisan ini dapat dicopy, ditampilkan dalam

website dan disebarluaskan.

(4)

BAB I . PENDAHULUAN

1.1. Latar Belakang

PT. Mass Network (MASS – NET) merupakan salah satu perusahaan yang bergerak di bidang bisnis consumer goods yang memasarkan produknya dengan metode pemasaran multi level. MASS-NET didirikan pada bulan Oktober 2003 merupakan perusahaan multilevel marketing. Perusahaan MLM itu beroperasi sesuai dengan prinsip-prinsip syariah.

Multi Level Marketing merupakan salah satu teknik pemasaran yang menggunakan konsep hierarki dalam memasarkan hasil produksi. Konsep hierarki dalam Multi Level Marketing diterapkan pada setiap anggota yang juga sebagai konsumen atau pemakai dari barang-barang hasil produksi. Keanggotaan MLM terbagi atas dua jenis, yaitu upline member dan downline member. Upline member dikenal dengan istilah parent, merupakan member yang mempunyai anggota lain di bawahnya. Sedangkan downline member merupakan member yang berada di bawah upline member, yang lebih popular disebut dengan Child. Kedalaman Hierarki disebut juga sebagai level. Dalam aturan perusahaan MASS Net, level terendah adalah 20.

Seiring dengan semakin berkembangnya skala bisnis PT MASS-Net, yang salah satunya ditandai dengan semakin banyaknya orang yang tertarik dengan sistem yang ditawarkan, maka perusahaan telah mengembangkan suatu sistem informasi yang dapat mendukung kegiatan bisnis seperti proses jual beli produk (transaksi), pemrosesan data member dan pengadaan barang (inventory). Sampai saat ini jumlah member sekitar 10.000 orang yang tersebar di beberapa daerah di Indonesia. Kantor PT. Mass Net berkedudukan di Jakarta.

(5)

1.2. Struktur Organisasi

D irektur Pem asaran & Pengem bangan N etw ork D irektur O perasional & TI M anager A kunting S taf Pem asaran M anager Kepegaw aian dan Um um M anajer Penanganan A nggota M anajer TI S taf A kunting Staf U m um & G udang S taff Penanganan A nggota Staf TI

Pram ubakti S opir S atpam D irektur Utam a Kom isaris Staf Kepegaw aian M anager Pem asaran

PT. Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM), yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Adapun komposisi pegawai adalah sebagai berikut:

(6)

No. Nama Jabatan

1. A01 Komisaris

2. A02 Komisaris

3. A03 Direktur Utama

4. A04 Direktur Pemasaran dan Pengembangan Network 5. A05 Direktur Operasional dan TI

6. A06 Manager Pemasaran

7. A07 Manager Penanganan Anggota 8. A08 Manager Kepegawaian dan Umum

9. A09 Manager TI

10. A10 Manager Akuntansi

11. A11 .. A20 Staf Pemasaran (10 orang )

12. A21 .. A24 Staf Penanganan Anggota ( 5 orang ) 13. A25 .. A32 Staf Umum dan Gudang ( 8 orang ) 14. A33 .. A37 Staf Kepegawaian ( 5 orang ) 15. A38 .. A40 Staf TI ( 3 orang )

16. A41 .. A43 Staf Akunting ( 3 orang )

17. A44.. A47 Satpam ( 4 orang )

18. A48 .. A 49 Pramubakti ( 2 orang ) 19 A50 .. A51 Sopir ( 2 orang )

Jumlah jam kerja pada perusahaan ini adalah 8 jam sehari, 5 hari dalam satu minggu. Namun ada kekhususan jam kerja sistem shift bagi pekerja tertentu seperti satpam. Dalam satu tahun, setiap pekerja berhak mendapatkan jumlah hari cuti sebesar 12 hari. Selain itu, setiap lima tahun sekali, setiap pekerja mendapatkan hak cuti besar selama 30 hari atau dapat diganti uang tunai.

(7)

Perusahaan ini berlokasi pada sebuah kompleks rumah kantor (ruko), dengan mengambil 3 buah petak ruko berlantai 3. Pada lokasi ruko terdapat satuan pengamanan kompleks ruko yang dikelola oleh pengembang kompleks. Satuan pengamanan bekerja 3 shift, yaitu :

1. Jam 6.00 pagi – 14.00 siang 2. Jam 14.00 siang – 22.00 malam 3. Jam 22.00 malam – 6.00 pagi

Khusus untuk satuan pengamanan, setiap kerja 3 hari libur 1 hari.

1.3. Aktifitas Bisnis

Mass Net dapat digolongkan sebagai usaha menengah kecil (UKM), yakni dengan jumlah modal awal disetor sekitar 400 juta rupiah. Jumlah pegawai pada saat ini adalah 51 orang. Jumlah ini cukup memadai untuk menangani transaksi per hari yang berjumlah rata-rata tidak kurang dari 700 invoice.

Setelah melakukan evaluasi atas empat bulan perjalanan operasi bisnis, pendekatan MLM terasa kurang cocok sebagai model bisnis MASS-NET. Hal tersebut karena adanya temuan itu antara lain, citra MLM di mata sebagian masyarakat Indonesia kurang baik. Seolah ada kesan setengah memaksa, kesan menjadikan setiap orang sebagai prospek, dan juga ada keharusan menjual. Tidak jarang harus membeli barang di luar kebutuhan untuk tutup poin.

Di lain pihak, ada juga yang mengatakan sistem MLM terlalu rumit. Selain itu, produk kebutuhan sehari-hari yang dijual oleh MASS-NET kurang cocok jika di-MLM-kan. Akhirnya diputuskan untuk mengubah pendekatan bisnis MASS-NET dari MLM menjadi klub belanja eksklusif. Klub Belanja Mass, adalah klub belanja eksklusif yang menawarkan produk-produk kebutuhan sehari-hari yang metode rekrutmen keanggotaannya dilakukan melalui referensi berjenjang (refereel marketing). Sepintas, seperti tidak ada bedanya dengan sistem MLM.

Namun, akan terlihat bedanya jika memperhatikan paradigma baru yang diterapkan oleh MASS-NET. mengubah beberapa istilah khas MLM menjadi istilah klub belanja. Istilah upline diganti dengan referen, downline menjadi anggota (sahabat), jaringan menjadi jalinan, stokis menjadi outlet, marketing plan menjadi sistem bonus dan hadiah, serta leader menjadi konsultan. Setelah MASS-NET diubah

(8)

dari MLM jadi klub belanja, terjadi peningkatan anggota yang sangat signifikan. Dalam satu bulan, jumlah anggota naik dari 4.000 menjadi 6.000 orang.

Saat ini Klub Belanja Mass menjual sekitar 40 item. Terdiri dari makanan (food) dan non makanan (nonfood). Barang-barang tersebut umumnya adalah barang kebutuhan sehari-hari.

1.4. Visi dan Misi Perusahaan

Visi dari perusahaan adalah menjadi perusahaan terbesar dalam bisnis produk consumer goods yang menerapkan metode pemasaran Multi Level, sedangkan misi dari perusahaan adalah meningkatkan efisiensi dan efektifitas perusahaan sehingga memiliki keunggulan kompetitif (competitive advantage).

1.5 Aplikasi Yang Digunakan

Aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota menggunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Aplikasi yang dipergunakan saat ini adalah sebagai berikut:

• Aplikasi Akuntansi o General Ledger o Account Payable o Account Receivable o Laporan Keuangan

• Aplikasi Administrasi Gudang o Monitoring Stok Gudang o Pembuatan Purchase Order o Pembuatan Delivery Order o Pembuatan Report Stok Opname

• Aplikasi Administrasi Pemasaran dan Penjualan o Pembuatan Sales Order

(9)

o Pembuatan Laporan Penjualan

• Aplikasi Administrasi Keanggotaan o Pendaftaran Anggota Baru o Pemeliharaan Data Anggota

o Perhitungan Bonus Bulanan Anggota

• Aplikasi Administrasi Kepegawaian o Database Pegawai

o Administrasi Penggajian (Payroll)

1.6 Investasi Teknologi Informasi

Perusahaan ini mempunyai investasi teknologi informasi sebagai berikut: Sistem Operasi : Linux redhat 9.1 untuk server database, Windows XP Home edition untuk computer pengguna.

1 buah Server:

Intel Pentium 4, 3GHz, Memory 1GB, Harddisk 2x80GB (Mirroring), FastEthernet

• Sistem Operasi RedHat Linux 9.1 (freeware)

• Database Server MySQL (freeware)

• Web Server Apache (freeware) 28 PC Klien:

• Pentium 4 Celeron, Memory 128MB, Harddisk 40GB, FastEthernet

• Sistem operasi Windows XP Home Edition (OEM)

• Jaringan : LAN 10/100 MBps

• Perangkat network : Firewall modem router ADSL 1 buah dan hub-switch 1 buah

• Jaringan internet : ADSL 128 Kbps

• Email :

• 5 alamat e-mail dariinternet provider untuk keperluan manajemen

(10)

1.7 Konfigurasi Ruangan dan Komputer

Konfigurasi ruangan dan penempatan komputer seperti tampak pada gambar 1.1 untuk lantai 1, gambar 1.2 untuk lantai 2 dan gambar 1.3 untuk lantai 3:

(11)

(12)

Gambar 1.3. Denah lantai 3

Konfigurasi jaringan saat ini terdiri dari 3 domain yaitu network pemasaran dan penanganan anggota, network gudang dan kepegawaian dan network akuntansi. Network tersebut tidak dapat saling berhubungan satu sama lain. Terdapat satu buah file server yang dapat dihubungi oleh semua network. Untuk terhubung ke internet dari Local Area Network melalui ADSL modem / firewall / router.

(13)

Sedangkan konfigurasi jaringan komputer yang ada saat ini adalah seperti tampak pada gambar 1.4:

(14)

BAB II. Manajemen Keamanan

II.1. Pendahuluan

Dalam konsep manajemen keamanan, terdapat 3 (tiga) konsep yang akan dibahas dalam makalah ini, yaitu :

- Konfidensialitas (Confidentiality), integritas (Integrity) dan availabilitas (availability)

- Identifikasi, autentikasi, akuntabilitas, autorisasi dan privasi

- Objek kontrol keamanan ( objective of security controls ).

Konsep konfidensialitas adalah menyangkut kerahasiaan dari suatu informasi. Atau menjaga agar informasi tidak diakses oleh orang-orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan.

Konsep integritas memastikan agar modifikasi hanya dilakukan oleh seseorang yang berhak dan tidak dilakukan oleh orang yang tidak berhak. Dalam perusahaan ini konsep konfidensialitas diterapkan dengan pengklasifikasian informasi, penyimpanan dokumen dalam lemari besi, pemberian hak akses pada direktori file server dan kebijakan kemanan informasi lain yang akan diterapkan.

Konsep availabilitas memastikan agar informasi tersedia bila dibutuhkan. Atau availabilitas menjamin bahwa sistem informasi berjalan dengan baik. Hal ini dilakukan dengan sistem penyimpanan yang baik. Ketiga hal diatas akan dibahas dan diterapkan dalam sistem keamanan yang akan diterapkan dalam Usaha Kecil Menengah Multi Level Marketing PT. Mass Network

II.2. Klasifikasi Informasi

Klasifikasi informasi dilaksanakan karena tidak semua data mempunyai value yang sama pada perusahaan. Dalam pengklasifikasian dokumen ini, PT. Mass Net melakukan pembagian sebagai berikut :

(15)

No. Definisi Keterangan

1. Umum Informasi yang dapat dipublikasikan

2. Internal umum Informasi yang hanya dipergunakan untuk keperluan internal perusahaan dan tidak untuk eksternal perusahaan 3. Internal divisi Informasi yang hanya dipergunakan untuk keperluan

internal perusahaan, dan hanya divisi yang memiliki data tersebut yang boleh mengetahui

4. Rahasia Informasi ini rahasia, hanya boleh diketahui oleh pemilik dan orang-orang yang diijinkan oleh pemilik

Tabel II-1 Klasifikasi Dokumen

II.2.1 Penyimpanan Dokumen

Dari segi fisik dokumen, terdapat 2 jenis dokumen, yaitu o Dokumen berupa kertas

Dokumen berupa kertas, disimpan di dalam lemari dokumen yang terbuat dari besi dan terkunci. Yang memiliki lemari besi dokumen yaitu :

Komisaris, Direktur utama, Direktur Pemasaran dan pengembangan network, Direktur operasinal dan Teknologi Informasi, Manager pemasaran, Manajer penanganan anggota, manajer kepegawaian dan umum, manajer Teknologi Informasi, manajer akunting, staf umum (1lemari), staf kepegawaian (1 lemari), staf teknologi informasi (1lemari), staf akunting ( 1 lemari), staf pemasaran (1 lemari) dan staf penanganan anggota ( 1 lemari).

o Dokumen berupa file

Dokumen berupa file dapat disimpan dalam komputer masing-masing. Dimana setiap pengguna menyimpan dalam folder “my document” masing-masing. File juga dapat disimpan dalam folder user yang berada pada server.

Selain itu terdapat folder yang dapat diakses oleh masing-masing bagian.

II.2.2. Prosedur Pengklasifikasian Dokumen

Elemen kunci dari pengklasifikasian dokumen adalah sebagai berikut : 1. Pemilik

(16)

Seorang pemilik dokumen berkewajiban menentukan pengklasifikasian informasi, merubah klasifikasi informasi secara periodik, memberikan hak akses kepada orang/divisi lain dan mendelegasikan kewenangan kemananan dokumen kepda kustodian.

2. Kustodian

Pemilik informasi mendelegasikan tanggungjawab keamanan dokumen pada kustodian dalam hal ini karyawan pada divisi Teknologi Informasi. Tugas dari kustodian yaitu: melakukan backup secara periodik, melakukan restorasi data backup bila diperlukan dan memelihara catatan-catatan informasi kebijakan pengklasifikasian

3. Pengguna

Pengguna adalah orang-orang yang boleh membaca dokumen tersebut. Kewajiban dari seorang pengguna adalah mengikuti operasional prosedur keamanan sistem informasi pada perusahaan.

Prosedur untuk pengklasifikasian dokumen berupa kertas, adalah sebagai berikut:

1. Setiap pemilik dokumen diwajibkan untuk menuliskan / mengecap pada awal dokumen mengenai klasifikasi dokumen ( umum, internal umum, internal divisi atau rahasia).

2. Menuliskan / mengecap pada awal dokumen tanggal penulisan atau tanggal penerimaan dokumen

Sedangkan prosedur untuk pengklasifikasian dokumen berupa file, adalah sebagai berikut:

1. Setiap dokumen / file yang dibuat, diwajibkan untuk menuliskan hak akses, tanggal dibuat dan dimodifikasi, dan klasifikasi informasi (umum, internal umum, internal divisi atau rahasia).

2. Setiap divisi memiliki direktori file. Dalam direktori file tersebut terdapat direktori yang sesuai dengan klasifikasi informasi tersebut. Jadi terdapat direktori umum, direktori internal umum, direktori internal divisi dan direktori rahasia. Setiap pemilik dokumen diwajibkan meletakkan file-file tersebut sesuai dengan klasifikasi informasinya.

(17)

II.3. Manajemen Resiko

Manajemen resiko dimaksudkan untuk mengurangi resiko hingga mencapai sebuah tingkatan yang dapat diterima oleh perusahaan. Dalam manajemen resiko ini akan dilakukan analisa resiko yang memadai sesuai prinsip-prinsip manajeman keamanan. Sebagaimana diketahui, resiko adalah potensial kerugian yang membutuhkan proteksi 1. Untuk menganalisa resiko ini, akan dianalisa kerawanan (vulnerability) dan ancaman (threat) yang akan mungkin terjadi. Tujuan utama dari analisa resiko adalah untuk mengkuantifikasi dampak dari ancaman potensial.

II.3.1. Analisa Kerawanan

Kerawanan adalah jalan yang potensial untuk menyerang. Kerawanan dapat terjadi karena sistem komputer dan jaringan (sistem terbuka sehingga dapat memungkinkan diserang) atau dapat pula karena prosedur administratif.

Dalam perusahaan ini dianalisa kemungkinan-kemungkinan kerawanan yang ada yaitu :

1. Lokasi bangunan

Bangunan berada pada kompleks perkantoran. Penjagaan dilakukan oleh satuan pengamanan kompleks

2. Keamanan bangunan

Keamanan bangunan disini yaitu siapa saja yang memegang kunci pintu. Personal yang boleh memegang pintu kunci ruangan adalah setiap manager yang bersangkutan. Satuan pengaman hanya memegang kunci pintu utama. Di sini juga terpasang CCTV yang dapat mengamati ruangan pada tiap lantai. Rekaman CCTV ini terdapat pada ruang server.

3. Pembagian ruangan setiap departemen

Dengan adanya pembagian ruangan, maka selain kunci yang dipegang oleh manager, juga hanya orang-orang tertentu boleh masuk ke ruang tertentu. Seperti gudang hanya dapat dimasuki oleh karyawan gudang, ruang keuangan hanya boleh dimasuki oleh karyawan keuangan, karyawan lain yang ingin berhubungan dengan staf keuangan harus melalui loket yang tersedia. Ruang server hanya boleh dimasuki oleh karyawan divisi Teknologi Informasi.

(18)

Meja karyawan diharuskan selalu bersih oleh dokumen-dokumen. 5. Lemari tempat penyimpanan dokumen

Lemari tempat penyimpanan dokumen harus selalu terkunci, dan tidak ditinggalkan dalam keadaan tidak terkunci

6. Pengklasifikasian dokumen

Setiap dokumen haruslah diklasifikasikan agar menjamin integritas dan confidensialitas.

7. Hak akses

Diadakan aturan terhadap hak akses bagi setiap karyawan. Hak akses akan dibahas pada bab II

8. Pemakaian server secara bersama

Dengan pemakaian server secara bersama, staff Teknologi Informasi haruslah selalu melakukan kontrol terhadap sistem secara keseluruhan dan prioritas hak yang diberikan pada masing-masing file.

II.3.2. Analisa Ancaman

Ancaman adalah sebuah tindakan atau kejadian yang memungkinkan tindakan yang melawan keamanan sistem informasi.

Ancaman-ancaman yang dapat terjadi : 1. Virus

Hal ini diatasi dengan memberikan anti virus AVG free pada setiap PC komputer. Setiap pengguna komputer haruslah meng-update anti virus ini. Apabila memasukan disket, CD atau USB haruslah men-scan-nya terlebih dahulu.

2. Pegawai

Pegawai mempunyai akses langsung ke sumber informasi karena pekerjaannya. Tetapi adanya pegawai yang tidak puas, dapat merusak sistem informasi yang ada. Sehingga setiap pegawai dapat dianggap sebagai ancaman

3. Mantan pegawai

Mantan pegawai mempunyai pengetahuan mengenai seluk beluk sistem informasi yang ada, sehingga hal ini patut diwaspadai

4. Hacker

Hacker dapat datang dari luar (internet) ataupun dari dalam. Dari luar dapat ditanggulangi dengan penempatan firewall.

(19)

5. Pesaing

Pesaing dapat saja mencoba untuk masuk dalam sistem informasi perusahaan. 6. Pelanggan

Pelanggan yang datang juga dapat dicurigai sebagai ancaman, karena bila terdapat informasi yang tercecer dimeja, atau pada saat staff penjualan tidak berada ditempat, pelanggan dapat mencoba untuk masuk ke dalam sistem informasi.

7. Tamu

Tamu terkadang ditempatkan di dalam ruangan. Apabila tamu tersebut tidak diawasi, dan terdapat informasi yang tercecer, maka informasi tersebut dapat diketahui oleh tamu yang datang

8. Bencana alam

Bencana alam dapat merusak bangunan dan penyimpanan informasi yang ada. 9. Kecerobohan

Yang termasuk kecerobohan seperti tertumpah air, berserakan, jatuh tercecer dan lain-lain

II.3.3 Analisa Resiko

Resiko adalah kombinasi dari ancaman (threat) dan kerawanan (vulnerability). Resiko dapat diukur secara kuantitatif dan kualitatif. Dengan pendekatan kuantitatif, resiko diukur dengan pendekatan secara finansial. Dengan pendekatan kualitatif, pendekatan dilakukan dengan menggunakan “scoring system”.

Dalam tulisan ini, kami melakukan pendekatan kualitatif sebagai berikut 1: 1. Rendah

Posisi kerawanan pada perusahaan cukup rendah atau hal ini sangat jarang terjadi. Tindakan untuk menghilangkan kerawanan ini akan diambil bila memungkinkan, tetapi faktor biaya juga mendapat perhatian untuk menghilangkan kerawanan ini.

2. Medium

Posisi kerawanan pada perusahaan cukup tinggi terhadap konfidensialitas, integrity, availabilitas dan akuntanbiliatas dari sistem informasi perusahaan. Hal ini sangat mungkin terjadi. Tindakan untuk menghilangkan kerawanan ini sangatlah dianjurkan.

(20)

3. Tinggi

Posisi kerawanan pada perusahaan sangat tinggi dan sangat membahayakan terhadap konfidensialitas, integritas, availabilitas dan atau akuntabilitas dari sistem informasi perusahaan. Tindakan untuk menghilangkan kerawanan ini harus segera dilakukan.

(21)

No Aset Kerawanan Ancaman Resiko Klasifikasi resiko Penanggulangan Aset Fisik 1 Server Data hilang, aset fisik hilang Tinggi 2 Modem Router firewall ADSL Sistem tidak berfungsi, aset fisik hilang Medium 3 Peripheral Komputer server Sistem tidak berfungsi, aset fisik hilang Rendah 4 CD perangkat lunak Sistem tidak berfungsi, aset fisik hilang Tinggi 5 Rekaman CCTV Data hilang, aset fisik hilang Medium Ditempatkan di ruang server. Pada ruang ini, pegawai tidak boleh makan, minum dan merokok. Yang boleh masuk ruang server hanya pegawai pada divisi Teknologi Informasi. 6 Eksternal Hard Disk, CD dan kaset untuk Backup Data hilang, aset fisik hilang

Tinggi Data disimpan dalam save deposit box. 7 Komputer user Dicuri, terbakar, rusak terkena air Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan Data hilang, aset fisik hilang

Medium Keluar masuk barang harus ada izin tertulis dari atasan dan petugas keamanan 8 Peripheral komputer user Dicuri, terbakar, rusak terkena air Pegawai, mantan pegawai, tamu, pelanggan, pesaing, bencana alam, kecerobohan Sistem tidak berfungsi, aset fisik hilang

Rendah Setiap user bertanggung jawab pada komputernya, dan petugas keamanan mengawasi keluar masuk barang

(22)

9 Kabel Jaringan Sistem tidak berfungsi, aset fisik hilang Rendah Terdapat cadangan kabel 10 HUB Sistem tidak berfungsi, aset fisik hilang Rendah Terdapat cadangan HUB 11 Lemari Besi Data hilang, aset fisik hilang Tinggi Petugas keamanan mengawasi keluar masuk barang. 12 Disket, CD, USB Data hilang, aset fisik hilang Rendah Terdapat kebijakan keamanan perusahaan yang mengenakan sanksi pada pencurian

(23)

BAB III. Sistem Kontrol Akses

III.1 Pendahuluan

Akses kontrol merupakan jantung dari keamanan. Hal-hal yang menyangkut Akses kontrol adalah :

- Kemampuan untuk mengijinkan hanya kepada pengguna yang berhak

- Memberikan atau tidak memberikan hak akses, sesuai dengan model keamanan tertentu, dengan izin tertentu untuk mengakses suatu sumber informasi

- Seperangkat prosedur yang diterapkan pada perangkat keras, perangkat lunak dan adminstrator untuk memonitor akses, mengidentifikasi pengguna, mencatat akses yang telah dilakukan dan memberikan atau menolak akses berdasarkan peraturan yang telah dibuat.

Kontrol diimplementasikan untuk mengurangi resiko dan potensial kerugian. Kontrol dapat berupa :

- Preventif : mencegah terjadinya insiden

- Detektif : mendeteksi terjadinya insiden

- Korektif : memperbaik terjadinya insiden

Dalam bab ini akan membahas akses kontrol seperti yang telah dijelaskan di atas yang dapat diterapkan pada Usaha Kecil dan Menengah PT Mass Network.

III.2 Kontrol Identifikasi dan Otentikasi

Identifikasi adalah proses atau aksi yang dilakukan oleh pengguna untuk membuktikan siapa (identitas) dirinya kepada sistem. Otentikasi adalah verifikasi pengguna tersebut sesuai dengan identitas yang diberikan. Untuk identifikasi dan otentikasi yang diterapkan pada PT Mass Network, digunakan nama login dan password.

Setiap pengguna pada komputer , wajib memasukkan namalogin dan password. Kebijakan keamanan pada login yaitu :

- Minimal terdapat dua nama login pada setiap komputer klien. Satu nama login administrator dan satu nama login pengguna

- Nama login pengguna masuk dalam kelompok pengguna (bukan administrator)

(24)

- Apabila karyawan sudah tidak menjadi pegawai PT Mass Network, maka nama login-nya akan dihapus

Kebijakan pada password yaitu :

- Password paling sedikit terdiri dari delapan karakter tanpa spasi.

- Password merupakan kombinasi angka dan huruf

- Password pengguna diberikan oleh petugas pada divisi teknologi informasi, dan haruslah diganti pada saat pertama kali login.

- Password harus dirubah sebulan sekali untuk pengguna dan dua minggu sekali untuk server

- Password haruslah diingat dan tidak boleh dicatat

- Password tidak boleh sesuatu yang mudah ditebak, seperti nama keluarga, tanggal lahir dan lain sebagainya.

- Password tidak boleh diberikan kepada orang lain

- Password yang pernah dipergunakan tidak boleh dipergunakan kembali.

III.3. Kontrol Akses

Kontrol akses secara phisik yang dilakukan pada PT. Mass Network, yaitu : 1. Setiap kunci lemari arsip dipegang oleh manager atau petugas yang diberikan

tanggung jawab tersebut.

2. Setiap kunci ruangan dipegang oleh manager divisi yang bersangkutan atau petugas/karyawan yang ditunjuk. Petugas keamanan hanya memegang kunci utama.

3. Kunci untuk kotak save deposit sebagai tempat penyimpanan backup hard disk dipegang oleh manager TI

4. Aset informasi/dokumen yang tersimpan pada lemari arsip harus diklasifikasikan sesuai dengan klasifikasi informasi

5. Setiap lemari arsip diberi label yang menunjukkan siapa saja yang boleh membuka lemari tersebut.

6. Media penyimpanan seperti disket, CD, USB dan lain-lain haruslah diletakkan sesuai dengan klasifikasi informasi.

7. Apabila ada tamu atau pihak ketiga yang berhubungan dengan perusahaan haruslah ditemani oleh minimal seorang pegawai.

(25)

8. Apabila ada pekerjaan yang berhubungan dengan perusahaan dikerjakan oleh pihak lain, maka harus ada penanggung jawab terhadap pekerjaan tersebut. 9. Setiap pegawai wajib mengenakan papan nama, yang menunjukan nama dan

divisinya. Apabila pegawai tidak membawa papan nama, maka petugas keamanan akan memberikan papan nama sementara. Untuk tamu diberikan papan nama tamu.

10. Apabila informasi itu dibuang, maka harus dipastikan bahwa informasi tersebut sudah tidak dapat dibuka kembali. Hal yang dapat dilakukan seperti sebelum membuang kertas dokumen, maka dokumen tersebut wajib untuk dihancurkan melalui mesin penghancur kertas. Apabila dalam bentuk disket, CD atau tempat penyimpanan lain, pastika media tersebut benar-benar hancur.

Kontrol akses pada file yang tersimpan pada komputer :

1. Setiap pengguna komputer mempunyai nama login yang unik. Setiap pengguna hanya boleh menyimpan pada “my documents” dari pengguna, dan tidak diperkenankan untuk mencoba membuka file selain dari folder tersebut.

2. Login pengunna dibatasi hanya dapat membuka file pada folder “my documents”. Pengguna dibatasi untuk tidak dapat meng-install program pada komputer.

3. Apabila pengguna memerlukan tambahan aplikasi perangkat lunak selain yang telah di-install, maka pengguna harus menghubungi petugas Teknologi Informasi.

4. Setiap pegawai diperkenankan untuk berhubungan dengan internet, tetapi hanya untuk keperluan bisnis.

5. Setiap pengguna dapat memiliki nama login pada server data.

6. Terdapat direktori untuk semua divisi pada server. Hak akses pada file-file tersebut diberikan oleh pemilik informasi.

Hak akses untuk group dan untuk umum. Baik untuk group dan untuk umum, hak akses tersebut terbagi tiga yaitu melihat, mengedit dan mengeksekusi.

7. Dalam server Linux, petugas Teknologi informasi membuat nama login dan memasukkan nama login tersebut dalam sebuah grup yang berhubungan dengan divisi orang tersebut.

(26)

Nama Aplikasi Akuntansi Aplikasi Administrasi Gudang Aplikasi Administrasi Pemasaran dan Penjualan Aplikasi Administrasi Keanggotaan Aplikasi Administrasi Kepegawaian Server Data

A01 baca baca Baca baca baca baca,

tulis

A04 - - Baca,tulis Baca,tulis - Baca,

tulis A05 Baca,

tulis

Baca , tulis - - Baca, tulis Baca, tulis

A06 - - Baca, tulis baca - Baca,

tulis

A07 - - baca Baca, tulis - Baca,

tulis

A08 - - - - Baca, tulis Baca,

tulis A09 - - - Baca, tulis A10 Baca, tulis - - - - Baca, tulis A11.. A20

- - Baca, tulis baca - Baca

A21.. A24

- - baca Baca, tulis - Baca

A25.. A28

- Baca, tulis - - - Baca

A33.. A35

(27)

A38.. A40 - - - - - Baca, tulis A41.. A43 Baca, tulis - - - - Baca

Tabel 3.1. Tabel Akses kontrol untuk aplikasi dan server data

Kontrol akses pada aplikasi :

1. Pada Aplikasi Administrasi pemasaran dan penjualan staf pemasaran memasukkan data, persetujuan hanya dapat diberikan dari manajer pemasaran atau direktur pemasaran dan pengembangan network.

2. Pada aplikasi administrasi keanggotaan, staff penanganan anggota memasukkan data, persetujuan hanya dapat diberikan dari manajer penanganan anggota atau direktur pemasaran dan pengembagan network.

3. Pada aplikasi administrasi gudang, staff umum dan gudang memasukkan data, persetujan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional & Teknologi Informasi.

4. Pada aplikasi kepegawaian, staff kepegawaian memasukkan data, persetujuan hanya dapat diberikan dari manajer kepegawaian dan umum atau direktur operasional dan Teknologi Informasi.

5. Pada aplikasi kepegawaian staf kepegawaian hanya dapat melihat data kepegawaian hingga level manajer. Level direktur dan komisaris hanya dapat dilihat oleh manajer kepegawaian dan umum, dan disetujui oleh direktur operasional dan Teknologi Informasi.

6. Pada aplikasi akuntansi, staf akunting hanya dapat memasukkan data, persetujuan dari manajer akunting atau direktur operasional dan teknologi informasi. Untuk persetujuan keuangan diatas Rp 20.000.000, persetujuan harus disetujui oleh direktur operasional dan teknologi.

III.4 Monitoring Kontrol Akses

Untuk memonitor kontrol akses ini, hal-hal yang dapat dilakukan yaitu :

1. Penggunaan Intrusion Detection System (IDS). Pembahasan lebih lanjut mengenai IDS akan dibahas pada BAB keamanan telekomunikasi dan jaringan .

(28)

2. Petugas divisi teknologi informasi akan mengecek setiap komputer 2 minggu sekali. Dalam pengecekan ini akan dilakukan pengecekan anti virus dan nama login serta hak ases terhadap setiap nama login. Apabila ditemukan nama login yang lain atau terdapat perubahan hak akses, maka kejadian ini dapat dilaporkan ke Direktur operasional dan Teknologi Informasi.

3. Pemilik informasi berkewajiban untuk selalu mengecek hak akses pada setiap informasi yang dimiliki.

4. Minimal setiap seminggu sekali terdapat full backup data. Backup data tersimpan pada sebuah Harddisk eksternal, yang tersimpan pada safe deposit bank. Backup data ini di rotasi setiap 6 minggu.

5. Setiap bulan sekali terdapat full backup data. Backup data ini tersimpan dalam kaset, yang tersimpan pada manajer Teknologi Informasi. Backup data ini bertahan sampai 3 tahun.

6. Apabila terjadi kecurigaan terhadap integritas data, maka dengan seijin pemilik data, petugas teknologi informasi dapat merestorasi informasi yang diinginkan.

III.5 Kepedulian Pada Keamanan

Kepedulian pada keamanan (security awareness) harus ditumbuhkembangkan. Untuk itu perlu diadakan pelatihan internal maupun eksternal. Pelatihan ini ditujukan pada pegawai, administrator (divisi teknologi informasi), direktur dan petugas keamanan.

Hal-hal yang ditekankan pada kepedulian keamanan yaitu :

1. Informasi tidak dapat dijaga tanpa dukungan dari seluruh karyawan. 2. Pelatihan dapat dilaksanakan pada kelas ataupun penyebaran artikel.

3. Karyawan harus diajarkan pentingnya keamanan pada perusahaan dan bagaimana untuk mengidentifikasikan dan melindungi informasi yang sensitif. Karyawan harus diberikan informasi mengenai kebijakan perusahaan dan ancaman dari lingkungan.

4. Administrator haruslah dilatih teknik keamanan yang terbaru, ancaman dan penanggulangannya.

5. Tanpa adanya dukungan dari pihak manajemen, program keamanan tidak dapat dijalankan.

6. Mempresentasikan secara berkala kepada pihak manajemen agar mereka selalu terinformasi status keamanan dari perusahaan.

(29)

7. Petugas sekuriti haruslah selalu tetap memberikan yang terbaik kepada perusahaan.

8. Kepada pihak manajer ditekankan bahwa keamanan bukan hanya masalah teknologi,tetapi juga masalah manusia2.

9. Manajemen haruslah berusaha untuk menghindari konflik-konlik yang dapat mengakibatkan karyawan yang loyal menjadi seseorang yang dapat menyabotase sistem informasi.

(30)

BAB IV. Keamanan Telekomunikasi dan Jaringan

Dalam bab ini akan dibahas keamanan jaringan dan telekomunikasi pada PT Mass Network.

IV.1 Konfigurasi Jaringan

Konfigurasi jaringan pada PT Mass Network seperti tampak pada gambar 3.1.

Internet

ADSL modem / router /firewall

Network Pemasaran & Penanganan anggota

Network Gudang &

Kepegawaian Network Akuntansi

File server ` ` ` ` ` `

Gambar 4-1 Konfigurasi jaringan PT Mass Network

Seperti tampak pada gambar 4.1, konfigurasi jaringan PT Mass Network terdiri dari 3 buah Network yang terdiri dari 29 komputer yaitu :

(31)

1. Network Pemasaran & Penanganan anggota

Pada network ini terhubung komputer yang digunakan oleh: A01,A04, A06, A07, A11, A12, A13, A14, A15, A21, A22, A23 dan A38

2. Network Gudang & Kepegawaian

Pada network ini terhubung komputer yang digunakan oleh: A02, A05, A08, A25, A26, A27, A33, A34 dan A39

3. Network Akuntansi

Pada network ini terhubung komputer yang digunakan oleh: A03, A09, A10, A40, A41, A42.

4. Network sentral data

Adapun keempat buah network tersebut semuanya terhubung ke Router / Modem / Firewall ADSL.

IV.2. Kebijakan Keamanan jaringan

Kebijakan keamanan jaringan yang diterapkan pada PT Mass Network adalah sebagai berikut:

1. Instalasi software hanya boleh dilakukan oleh karyawan divisi Teknologi Informasi.

2. Sistem operasi yang digunakan oleh windows XP professional sp 2.

3. Setiap komputer harus di-install antivirus. Antivirus yang digunakan AVG Anti-virus free edition.

4. Setiap Network tidak saling berhubungan, kecuali ke Network sentral data dimana diletakkan sebuah Linux server sebagai sentral data.

5. Setiap user tidak dibenarkan memberikan login account kepada orang lain. Dan bertanggung jawab terhadap login account tersebut.

6. Setiap komputer dapat terhubung ke internet melalui firewall ADSL

7. Internet hanya digunakan untuk keperluan kantor, dan tidak boleh mengakses situs porno dan yang berhubungan dengan crack atau hack. Hal ini disebabkan situs-situs tersebut tidak berhubungan dengan keperluan perusahaan dan banya virus bersumber pada situs-situs tersebut

8. Petugas pada divisi Teknologi Informasi harus membatasi akses-akses ke internet dengan memblok situs yang berhubungan dengan pornografi, crack dan hack. Pada saat ini dibatasi pada modem/firewall ADSL.

(32)

9. Pengguna tidak diperbolehkan mengubah setting keamanan pada sistem operasi, membuat user account, menggunakan perangkat untuk crack / hack, dan tindakan-tindakan yang dapat mengandung unsur kejahatan (misal, pencurian data, scan IP, sniffing).

10. Konfigurasi berbentuk Star, untuk itu perusahaan mempunyai ADSL modem / router / firewall cadangan yang akan dipergunakan bila alat tersebut rusak.

11. Perusahaan mempunyai cadangan HUB bila hub yang dipergunakan rusak. 12. Firewall dan Intrusion Detection System mempunyai log file, history, dan

memberitahukan melalui email bila terdapat kecurigaan terhadap adanya serangan.

13. Terdapat sebuah Intrusion Detection System pada Network akutansi, hal ini untuk menambah pengamanan terhadap serangan internal maupun eksternal. 14. Apabila memungkinkan Dapat pula dipasang Intrusion Detection System pada

setiap Network.

15. Data pada komputer yang terpasang aplikasi akuntansi, administrasi gudang, administrasi pemasaran, administrasi keanggotaan, administrasi kepegawaian dan server data dibuat mirroring.

16. Setiap minggu data-data tersebut dibuat full backup, ke eksternal Hard Disk. Eksternal Hard Disk yang terbaru ini akan disimpan di save deposit box pada sebuah bank. External Hard disk yang lama di simpan di ruang server hingga 5 minggu / minggu ke 6 di rotasi.

17. Setiap bulan data-data tersebut dibuat full backup ke kaset. Kaset ini bertahan hingga 3 tahun.

18. Pada komputer data pada tiap aplikasi dan pada server data dipasang Uninterruptible Power Supply (UPS).

19. UPS yang terpasang harus mampu hidup selama minimal 20 menit bila listrik dari PLN padam.

20. Agar lebih efisien, web site PT Mass Network diletakkan pada web hosting sehingga pemeliharaan diserahkan pada perusahaan web hosting.

21. Sistem jaringan dibuat sentralisasi ,PABX, ADSL modem, IDS, Linux server data dan semua HUB diletakkan pada ruang server

22. Setiap karyawan yang meninggalkan komputer haruslah me-lock komputer agar tidak dipergunakan oleh oleh lain,

(33)

23. Setiap penanganan kerusakan, instalasi perangkat lunak, instalasi perangkat keras diharuskan mengisi log book.

24. Seluruh penyalahgunaan wewenang menjadi tanggung jawab pemegang otoritas.

(34)

BAB V. Cryptography dan Security Architecture & Models

Seperti telah diketahui bahwa aplikasi untuk keperluan akuntansi, distribusi, dan pendataan anggota dipergunakan aplikasi buatan sebuah konsultan TI lokal yang bersifat tailor-made, yaitu dibuat khusus untuk MASS-NET. Dimana aplikasi tersebut dibangun diatas platform Windows untuk client, dan RedHat Linux untuk platform Server, dengan menggunakan bahasa pemrograman Delphi/Kylix. Untuk memastikan bahwa data aman maka pengamanan yang dilakukan terhadap data adalah:

Melakukan enkripsi (penyandian) untuk menjamin informasi rahasia (confidentiality) yaitu monitoring stok gudang pada aplikas administrasi gudang, administrasi penggajian (payroll).

Dengan menggunakan algoritma fungsi hash satu arah untuk menjamin keutuhan (integrity) atas data-data pembayaran yaitu data yang terdapat pada aplikasi akuntansi seperti general ledger, account payable, account receivable, dan laporan keuangan. Penggunaan password atau sertifikat digital untuk menjamin identitas dan keabsahan (authenticity) dari pihak-pihak yang melakukan transaksi yaitu dalam pembuatan purchase order, pembuatan delivery order, pembuatan report stok opname yang ada dalam aplikasi administrasi gudang serta pembuatan sales order, pembuatan laporan penjualan yang ada dalam aplikasi administrasi pemasaran dan penjualan. Menggunakan tanda tangan digital untuk menjamin keotentikan data transaksi agar transaksi dapat dijadikan sebagai barang bukti yang tidak bias disangkal (non-repudiation) yaitu yang terdapat pada aplikasi administrasi gudang, aplikasi pemasaran dan penjualan, aplikasi administrasi keanggotaan.

Semua yang bersifat mengamankan data menggunakan metode tertentu merupakan inti dari cryptography yaitu menjamin kerahasiaan (confidentiality) informasi dengan melakukan enkripsi (penyandian). Keutuhan (integrity) atas data-data pembayaran dilakukan dengan fungsi hash satu arah. Jaminan atas identitas dan keabsahan (authenticity) pihak-pihak yang melakukan transaksi dilakukan dengan menggunakan password atau sertifikat digital. Sedangkan keotentikan data transaksi dapat dilakukan dengan tanda tangan digital. Transaksi dapat dijadikan barang bukti yang tidak bisa disangkal (non-repudiation) dengan memanfaatkan tanda tangan digital dan sertifikat digital.

Tujuan dari cryptography adalah mempelajari berbagai metode dan teknik penyembunyian data menggunakan kriptografi. Adapun makna kriptografi adalah:

(35)

+ = secret + writing. Jadi cryptography: ilmu untuk membuat sebuah pesan menjadi aman Untuk membuat pesan menjadi aman maka diperlukan kunci (key) supaya mempermudah pemakaian dalam mengirim pesan. Karena bila menggunakan algoritma rahasia terdapat kesulitan yaitu harus selalu membuat yang baru setiap kali akan mengirim pesan. Analoginya adalah dalam penggunaan gembok yang menggunakan kode-kode angka untuk membuka atau mengunci gemboknya putar saja kode-kode angkanya ke posisi yang tepat. Jadi kuncinya hanya bisa diputar oleh orang yang tahu urutan kode yang benar.

V.1. Proses Kriptografis

Gambar 5.1. Proses Kriptografis

Cipher adalah fungsi matematika yang dipergunakan untuk enkripsi & dekripsi. Enkripsi adalah suatu cara untuk mengkodekan data asli yang akan dikirim ke komputer lain dengan menggunakan kunci (key). Tujuannya adalah agar orang yang tidak berwenang tidak dapat membaca data tersebut. Deskripsi adalah suatu cara untuk mengembalikan data yang telah di enkripsi. Plaintext adalah data asli. Sedangkan Ciphertext adalah hasil dari enkripsi.

Proses kriptografisnya adalah dari data asli (plain text) diubah bentuknya menjadi data acak (cipher text) menggunakan key. Cara ini disebut enkripsi. Data yang sudah di enkripsi dikirim ke orang yang sudah ditentukan bersama dengan kuncinya. Data yang diterima dikembalikan ke bentuknya yang semula dengan menggunakan key yang sudah dikirim bersama. Cara ini disebut dengan dekripsi.

Plaintext Ciphertext Plaintext

_Encryption

Key

Decryption

Key

(36)

V.2. Symetric Cryptography

Metode cryptography yang biasa digunakan adalah symmetric cryptography dimana sebuah kunci yang dipakai bersama-sama oleh pengirim pesan dan penerima pesan. Contoh: DES, TripleDES, AES, Blowfish. Dalam pendistribusian kunci rahasia diberikan dalam pesan yang dimasukkan ke dalam amplop yang tidak bisa dibuka.

Gambar 5.2. Symetric Criptography

V.3. Public Key Cryptography

Metode cryptography yang dipergunakan adalah public key cryptography. Kegunaan yang mendasar pada public key crytogragraphy adalah :

Menandatangani pesan

Mengirim surat rahasia dalam amplop yang tidak bisa dibuka orang lain Dalam hal ini Ada sepasang kunci untuk setiap orang (entitas):

kunci publik (didistribusikan kepada khalayak ramai / umum) kunci privat (disimpan secara rahasia, hanya diketahui diri sendiri)

Analoginya adalah Semua orang bisa (Anto, Chandra, Deni) mengirim surat ke “Penerima” (Badu) dan hanya “penerima” yang bisa membuka surat. Pengirim mengenkripsi pesan menggunakan kunci publik penerima yang didalamnya terdapat kunci privat pengirim yang sebelumnya juga telah dienkripsi.

(37)

Penerima (Badu)

Pengirim (Anto)

Gambar 5.3. Membungkus Pesan

Hanya pemilik kunci privat (penandatangan, Anto) saja yang bisa membuat tanda tangan digital. Semua orang (Badu, Chandra, Deni) bisa memeriksa tanda tangan itu jika memiliki kunci publik Anto

Gambar 5.4. Menandatangani pesan dengan public key cryptography

V.4. Fungsi Hash

Fungsi Hash disebut juga sidik jari (fingerprint), message integrity check, atau

manipulation detection code untuk integrity-check bila dokumen/pesan yang diubah 1

titik saja, sidik jarinya akan sangat berbeda. Contoh Algoritma Hash adalah Message

Digest (MD) series: MD-2, MD-4, MD-5. 128-bit, dan Secure Hash Algorithm (SHA),

termasuk SHA-1. 160-bit

Pesan

Enkripsi

Kunci

publik

Sandi

Kunci

privat

Dekripsi

Pesan

Pemeriksa t.t. (Badu)

Verifi-kasi t.t.

t.

Kunci

publik

Dekripsi

Penandatangan (Anto)

Kunci

privat

Enkripsi

t.t.

Pesan

& t.t.

Pesan

(38)

Gambar 5.5. Fungsi Hash

Mekanisme fungsi hash adalah pesan dibubuhi sidik jari dimana sidik jarinya sudah dimanipulasi menggunakan kode pendeteksi tertentu sehingga keabsahannya dapat dipercaya. Fungsi hash ini digunakan untuk pembuatan kontrak perjanjian kerja pegawai maupun perjanjian keanggotaan baru pada PT. MASS-NET. Juga dipergunakan sebagai data pembayaran pada aplikasi akuntansi PT. MASS-NET.

V.5. Tanda Tangan Digital

Tanda tangan digital atau digital signature adalah tanda tangan yang telah dienkripsi menggunakan kunci publik seseorang yang sudah memiliki sertifikat digital. Didalam tanda tangan ini sebenarnya terdapat pesan penting dan rahasia yang hanya dapat diketahui bila memiliki kunci kode pendeteksi fungsi hash.

Gambar 5.6. Tanda tangan digital Sifat tanda tangan digital dapat digambarkan sebagai berikut:

Otentik, dapat dijadikan alat bukti di peradilan (kuat)

Hanya sah untuk dokumen (pesan) itu saja, atau kopinya. Dokumen berubah satu titik, tanda tangan jadi invalid!

Papat diperiksa dengan mudah oleh siapapun, bahkan oleh orang yang belum pernah bertemu (dgn sertifikat digital tentunya)

(39)

V.6. Sertifikat Digital

Sertifikat digital atau yang sering disebut dengan digital certificate berisi kunci public seseorang yang telah mendaftarkan dirinya pada perusahaan sertifikasi. Sertifikat digital ini menyakinkan kepada khalayak umum / ramai bahwa tanda tangan digital yang ada adalah benar merupakan data yang dapat dipercaya. Bahkan dapat dipergunakan sebagai pengganti orang tersebut seperti halnya surat kuasa.

Keuntungan sertifikat digital:

bisa membuat “pipa komunikasi” tertutup antara 2 pihak

bisa dipergunakan untuk mengotentikasi pihak lain di jaringan (mengenali jati dirinya)

bisa dipakai untuk membuat dan memeriksa tanda tangan

bisa dipakai untuk membuat surat izin “digital” untuk melakukan aktifitas tertentu, atau identitas digital

bisa untuk off-line verification

V.7. Transaksi Aman Yang Umum

Transaksi aman yang dipergunakan adalah seperti gambar dibawah ini. Gambar ini mengilustrasikan pengiriman informasi rahasia dari komputer Alice ke komputer Bob yang telah dienkripsi dan bagaimana bob melakukan dekripsi data.

Untuk proses pengiriman dari komputer Alice yaitu:

(Property) pesan asli telah dibubuhi sidik jari yang dimanipulasi dengan kode tertentu menggunakan fungsi hash sehingga menjadi message digest.

Message digest kemudian dienkripsi menggunakan kunci privat kepunyaan Alice sehingga menjadi tanda tangan digital (digital signature).

(Property) pesan asli, tanda tangan digital (digital signature) dan sertifikat digital kepunyaan Alice (Alice’s certificate) yang berisi kunci public kepunyaan Alice kemudian semuanya dienkripsi menggunakan kunci simetrik (symmetric key) sehingga menjadi pesan yang terenkripsi (encrypted message).

Kunci simetrik (symmetric key) dienkripsi menggunakan kunci publik kepunyaan Bob yang diketahui berdasarkan sertifikat digital kepunyaan Bob (Bob’s

(40)

certificate) sehingga menjadi digital envelope (amplop digital yang tidak dapat dibuka).

Pesan yang terenkripsi (encrypted message) dan digital envelope (amplop digital yang tidak dapat dibuka) merupakan pesan (message) yang dikirimkan kepada Bob.

Bob yang menerima pesan kemudian melakukan dekripsi. Adapun prosesnya adalah sebagai berikut:

Digital envelope (amplop digital yang tidak dapat dibuka) pertama kali didekripsi menggunakan kunci privat kepunyaan Bob sehigga didapat sebuah kunci. Kunci ini adalah kunci simetrik (symetric key) yang fungsinya untuk membuka pesan yang terenkripsi.

Pesan yang terenkripsi (encrypted message) kemudian didekripsi menggunakan kunci simetrik (symetric key) sehingga menghasilkan (property) pesan asli, tanda tangan digital (digital signature) dan sertifikat digital kepunyaan Alice (Alice’s certificate).

Tanda tangan digital (digital signature) kemudian didekripsi menggunakan kunci public kepunyaan Alice yang berada didalam sertifikat digital kepunyaan Alice (Alice’s certificate). Hasilnya adalah message digest.

(property) pesan asli didekripsi menggunakan fungsi hash yang telah diketahui oleh Alice dan Bob. Hasilnya adalah message digest.

Kedua message digest kemudian dibandingkan kebenarannya. Keabsahan data ini meyakinkan bahwa (property) pesan asli yang dikirim adalah benar dan tidak mengalami perubahan sama sekali.

(41)

Komputer Alice

Komputer Bob

Gambar 5.7. Transaksi aman yang umum Transaksi ini dipergunakan untuk mengamankan:

Browser, terutama secure website dengan SSL yang dipergunakan khususnya bagi manajer yang menggunakan fasilitas internet dan bagi anggota yang ingin melihat bonus bulanan yang diterimanya.

Payment system, SET yang dipergunakan untuk data pembayaran yang ada di PT. MASS-NET yang dilakukan oleh staf keuangan.

Secure E-mail (S/MIME, PGP) yang dipergunakan untuk keamanan pada data stok gudang yang biasa dikirim dalam bentuk text kepada supplier bila melakukan pembuatan purchase order.

Document signing dan kontrak digital ini sangat penting baik bagi downline (anggota baru) maupun bagi supplier untuk memperpanjang kontrak perjanjian kerjasama. VPN, Intranet yang ada dalam lingkungan PT MASS-NET juga memerlukan pengamanan data khususnya untuk data transaksi.

Secure wireless network (termasuk WAP) dipergunakan bagi para manajer, direktur dan komisaris bahkan orang lain yang menggunakan laptop agar tidak sembarangan mengambil data.

(42)

Timestamping service dan digital notary dipergunakan pada saat pembuatan purchase order, pembuatan delivery order, pembuatan sales order, kontrak perjanjian kerjasama.

Transaksi yang aman tetap dipertanyakan karena tidak yakin apakah e-mail purchase order yang diterima benar-benar otentik, apakah transfer bonus anggota tidak diubah-ubah. Untuk meyakinkan hal ini maka dipelajari Security Architecture & Models. Adapun tujuan dari Security Architecture & Models adalah mempelajari berbagai konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.

Untuk lebih jelas maka akan dijabarkan dimana pengamanannya yaitu:

Operation & physical control Application logon Network acc. control DB table access control File system level OS logon screen

Gambar 5. 7. Tempat pengamanan pada Security Architecture & Models

V.8. Prinsip-prinsip keamanan

Prinsip-prinsip keamanan yang digunakan pada PT. MASS-NET adalah:

Least previlage: artinya setiap orang hanya diberi hak akses tidak lebih dari yang dibutuhkan untuk menjalankan tugasnya. Seorang staf umum dan gudang hanya mendapat hak akses untuk menjalankan aplikasi administrasi gudang. Seorang staf penanganan anggota hanya mendapat hak akses untuk menjalankan aplikasi administrasi Seorang staf pemasaran hanya mendapat hak akses untuk menjalankan aplikasi administrasi pemasaran dan penjualan. Seorang staf kepegawaian hanya mendapat hak akses untuk menjalankan

(43)

aplikasi administrasi kepegawaian. Seorang manajer mendapat hak akses untuk membaca dan menjalankan aplikasi departemen yang dibawahinya dan dapat membaca file yang dimiliki oleh stafnya. Seorang direktur dapat memonitor seluruh pekerjaan yang dilakukan oleh manajer yang ada dibawahnya.

Defense in Depth: digunakan berbagai perangkat keamanan untuk saling

membackup yaitu dengan mempergunakan multiple screening router, mirroring harddisk pada server, dua CDRW untuk satu kali backup data yaitu dua kali sehari (setiap pagi dan sore) pada masing-masing departemen sehingga bila satu rusak, maka yang satu lagi masih berfungsi.

Choke point: semua keluar masuk lewat satu (atau sedikit) gerbang. Syaratnya tidak ada cara lain keluar masuk selain lewat gerbang, untuk itu dipergunakan firewall modem router ADSL.

Weakest link: kelemahan jaringan di dalam sistem sekuriti organisasi yang perlu diawasi adalah bila ada virus baru yang tidak terdeteksi. Oleh karena itu update anti virus pada server dan client harus selalu dilakukan dan tidak boleh diabaikan.

Fail-Safe Stance: bila suatu perangkat keamanan rusak, maka secara default

perangkat tersebut settingnya akan ke setting yang paling aman. Bila packet filtering pada firewall modem router ADSL rusak maka semua paket keluar-masuk akan dicegah.

Universal participation: semua orang dalam organisasi harus terlibat dalam

proses sekuriti. Setiap tiga bulan sekali dilakukan pelatihan untuk menyegarkan kembali ingatan akan pentingnya mengamankan perangkat keamanan komputer. Di dalamnya dilakukan evaluasi untuk peningkatan efisiensi kinerja proses keamanan komputer.

Diversity of Defense: mempergunakan beberapa jenis sistem yang berbeda

untuk pertahanan. Untuk pertahanan maka sistem operasi yang digunakan adalah Linux redhat 9.1 untuk server database dan Windows XP Home edition untuk computer pengguna

Simplicity: Untuk mempermudah mengetahui bila terjadi kesalahan maka setiap

data yang disimpan dalam server akan teridentifikasi siapa yang menyimpan berdasarkan user name dan passwordnya, kapan tanggal dan waktunya, dari workstation yang mana, dan apa aksi yang dilakukan. Bila user tidak mempunyai hak untuk menambah dan mengubah data pada sistem aplikasi

(44)

tertentu tersebut maka akan ada trigger yang memberitahu bahwa sistem menolak adanya perubahan data.

V.9. Security Models

Security model adalah representasi simbolik dari kebijakan, yang harus dilaksanakan oleh sistem komputer, apa yang boleh dan tidak secara teknis. Tujuannya yaitu untuk memformalkan kebijakan keamanan organisasi. Security model yang digunakan pada PT. MASS-NET adalah kombinasi Bell-LaPadula Model dan Biba Model. Untuk itu akan dijelaskan secara rinci modelnya satu per satu terlebih dahulu.

1. Bell-LaPadua Model

Berfokus pada confidentiality dibuat tahun 1970-an, untuk militer Amerika Serikat, untuk pengamanan kerahasiaan informasi.

Yang dimaksud dengan model adalah sistem yaitu kumpulan subject, object dan access control matrix. Adapun tingkat atau level security, setiap subject, object berada pada tingkat tersebut. Access right untuk subject adalah read-only, append, execute, read-write.

Formal modelnya adalah state transitions yaitu: State awal dari system adalah secure (aman)

Selama perubahan state, transition dapat menjaga system tetap aman sehingga state berikutnya tetap secure.

System state secure merupakan operasi dan izin mengikuti aturan (access control) sesuai dengan spesifik policy keamanan untuk system tersebut.

Mode akses dari subject terhadap object yaitu:

Izin terhadap subject tertentu dibandingkan dengan tingkat klasifikasi keamanan dari suatu object.

Berdasarkan penjelasan diatas, ditentukan tingkat otorisasi bagi subject tersebut untuk mode akses yang akan dilakukan.

Untuk menjaga kerahasiaan informasi maka secure state kerahasiaannya adalah multilevel properties yaitu:

Simple Security Property ( SS Property) – no read up. Artinya membaca informasi oleh subject yang lebih rendah tidak diperbolehkan.

(45)

• Star Security Property – no write down. Artinya menulis informasi oleh subject pada level lebih rendah tidak diperbolehkan.

Discretionary SS – access matrix untuk flexibilitas control.

Sebagai tambahan maka Trusted subject dapat secara sah diberikan untuk dispensasi aturan diatas.

Model rulenya yaitu:

Higher-level subject selalu dapat membaca (read down) object yang berada pada level yang sama atau dibawahnya.

Lower-level subject tidak berhak membaca (read up) object yang berada pada level diatasnya.

Subject mempunyai: read-write akses untuk object yang setingkat.

Subject pada lower-level dapat melakukan update (append) object yang berada pada tingkat atas.

Subject pada higher-level tidak dapat menulis (write down) pada object lower level karena kemungkinan terjadi kebocoran informasi (lower level tidak cukup aman utuk menangani informasi dari upper level).

Implikasi model pada security informasi yaitu “No read-up, no write down” pada setiap tingkat (level) security.

Bell-LaPadua

Unclassified

Gambar 5.8. Bell-LaPadua Model

Top

Secret

Confidential

Biar bisa baca info umum

Biar tidak bisa membaca rahasia

Biar tidak ada yang membocorkan rahasia NO Read NO Write Read OK

(46)

2. Biba Model

Biba yang menjamin integritas data dibuat tahun 1977. Untuk integritas informasi ditambahkan aturan ”lower level” tidak dapat mengupdate higher-level object. Fungsinya yaitu untuk mencegah kontaminasi informasi dari object yang kurang aman. Implikasi model pada security informasinya yaitu ”No write up, no append up”. Bahkan untuk akuntan yang lebih ingin agar data keuangan akurat, dan tidak ingin data menjadi corrupt gara-gara aplikasi/operator tidak bekerja seperti semestinya (misalnya: pembulatan, salah ketik, penambahan digit, dsb.) maka dilakukan enkripsi sebagai perlindungan datanya.

Biba Model

Public

Confident

Sensitive

Private

Bisa dapat data yang sahih

Read OK

NO Write

Biar tidak bisa mengacaukan data yg lebih akurat Biar mencampur adukkan dengan data yang ‘tdk jelas’ asalnya NO Read

Gambar 5.9. Biba Model

V.10. Keamanan Jaringan

Keamanan jaringan pada PT. MASS-NET dilakukan untuk menjaga agar resource digunakan sebagaimana mestinya oleh pemakai yang berhak. Pemakaian alat (termasuk program) dapat menyebabkan kerusakan baik disengaja atau tidak. Pembatasan pemakaian bukan untuk mempersulit tetapi supaya efisien dan tidak

(47)

merusak. Oleh karena itu untuk meyakinkan keamanan jaringannya maka dilakukan perlindungan yaitu:

1. authentication: pemakai harus dapat membuktikan dirinya yang ditandai

dengan usernamenya dan passwordnya. Dalam jaringan ditambahkan sumber akses (komputer yang digunakan) dengan asumsi bahwa pada satu saat satu orang hanya dapat/boleh bekerja dengan satu komputer yang sama.

2. gateway: gerbang masuk menuju sistem dengan firewall modem router ADSL

3. attack: serangan terhadap system dilindungi dengan firewall modem router

ADSL dan intrusion detection systems (IDS).

4. authorization: pemakai diperbolehkan menggunakan pelayanan dan resource

sesuai dengan haknya.

5. Monitoring: pengawasan terhadap jaringan dilakukan dengan software khusus

untuk monitoring jaringan dan menulis catatan pada sistem.

6. Komunikasi terenkripsi: menggunakan enkripsi agar data tak dapat diintip

V.10.1. Authentication. Database tentang user.

Dibawah ini merupakan informasi umum tentang pemakai yang disimpan di file /etc/passwd sebagai penjelasan yang lebih rinci dari keamanan jaringan.

Enter command # more /etc/passwd root:*:0:0:Bozz:/root:/bin/sh

toor:*:0:0:Bourne-again Superuser:/root:

daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin --- dipotong --- www:*:10000:65533:WebMaster:/nonexistent:/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/sbin/nologin gatut:*:21001:21001:Gatut:/home2/gatut:/usr/local/bin/tcsh wardojo:*:1004:20:Wardojo:/home2/wardojo:/usr/local/bin/tcsh ari:*:1005:20:Ari Nurcahyo:/home1/ari:/usr/local/bin/tcsh

tres:*:1006:20:Theresia Maria Sri Prihatiningsih:/home2/tres:/usr/local/bin/tcsh --- dipotong ---

Pada contoh diatas yang digunakan adalah utilitas LINUX: finger. Dimana defaultnya, menampilkan daftar nama pemakai yang sedang aktif atau informasi lain tentang pemakai tertentu. Dibawah ini berikut contoh untuk penggunaan finger.

(48)

[gatut@bsd02 gatut]$ finger [gatut@bsd02 gatut]$ finger gatut

Login Name TTY Idle Login Time Office Phone gatut V Gatut Harijoso p0 Wed 00:13 PUSKOM

Untuk utilitas LINUX: w dan who, fungsinya adalah mengetahui pemakai yang sedang aktif. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: w dan who.

[gatut@bsd02 gatut]$ w [gatut@bsd02 gatut]$ who

Untuk utilitas LINUX: last, fungsinya adalah menampilkan daftar pemakai terakhir. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: last.

[gatut@bsd02 gatut]$ last

pemake ttyp0 10.210.2.51 Tue Jun 29 23:50 - 00:02 (00:11) yuser ttyp9 167.205.136.3 Tue Jun 29 23:37 - 23:39 (00:02) 7397023 ttyp1 10.210.2.48 Tue Jun 29 23:07 - 23:24 (00:16) --- dst -- dipotong --

Pemakai harus selalu memperhatikan pesan "last login from:" pada saat login agar dapat segera diketahui apabila terdapat pemakai lain yang menggunakan user-id tersebut. Authentikasi melalui sistem (yaitu, password) yang sesungguhnya disimpan dalam bentuk ter-enkripsi dalam file yang tak dapat dilihat oleh pemakai biasa, biasanya /etc/master.passwd atau /etc/shadow.

V.10.2. Authorization

Untuk authorization sebagai bagian dari keamanan jaringan maka pemakai yang sudah terbukti mendapatkan haknya dapat dilayani dan dapat menggunakan resource yang sesuai dengan levelnya. Pemakai memiliki hak penuh atas file yang dimilikinya, maka pemakai harus mengatur sendiri datanya.

Untuk utilitas LINUX: chmod, fungsinya adalah menentukan hak akses file dan directory. Berikut ini bentuk contoh untuk penggunaan utilitas LINUX: chmod.

(49)

.[gatut@bsd02 gatut]$ chmod [gatut@bsd02 /home]$ ls -l total 4

drwxr-xr-x 26 gatut staff 2048 Jun 30 00:03 gatut drwxr-xr-x 9 pemake user 1024 May 8 09:41 pemake drwxr-xr-x 2 noone nobody 1024 Apr 16 11:53 noone [gatut@bsd02 /home]$ chmod 0711 gatut

[gatut@bsd02 /home]$ ls -l total 4

drwx--x--x 26 gatut staff 2048 Jun 30 00:03 gatut drwxr-xr-x 9 pemake user 1024 May 8 09:41 pemake drwxr-xr-x 2 noone nobody 1024 Apr 16 11:53 noone [gatut@bsd02 /home]$

Ada banyak aplikasi yang bekerja di server bekerja atas nama super-user, misalnya agar dapat membaca file password atau menulis data ke dalam sistem (lihat kembali perintah "ps aux"). Semakin kompleks aplikasi, semakin besar kemungkinan terdapat kesalahan (bug). Program yang berjalan atas nama super-user dan salah bisa berakibat fatal. Oleh sebab itu, biasanya aplikasi client-server sebisa mungkin memisahkan akses yang menuntut hak super-user.

V.10.3. Gateway

Gateway yang menghubungkan sistem ke luar dapat menjadi gerbang ke dalam, sehingga ada resiko perusakan atau pencurian data oleh publik yang jauh lebih luas. Firewall (dinding api) gateway yang menjaga keamanan sistem.

1. Penyaringan packet: hanya paket dari dan ke host, tcp, udp tertentu yang boleh berkomunikasi. Program melakukan pemeriksaan dan penyaringan sehingga hanya pelayanan yang diketahui dan benar yang boleh lewat.

2. Gateway aplikasi: pengiriman dan penerimaan mail gateway untuk mempermudah pemeriksaan dan mengurangi beban jaringan.

(50)

V.10.4. Attack

Kejadian yang sering menyebabkan data disadap atau tercuri bahkan terkena virus adalah akibat password terbuka karena adanya pencurian, catatan yang tercecer, pengamatan (cara mengetik, mengintip paket). Oleh karena itu cara yang dapat dilakukan adalah dengan membelokkan akses yaitu dengan mengganti ip, dns, atau route membelokkan akses ke server palsu untuk menjebak password.

Serangan yang terjadi kadangkala juga disebabkan karena kesalahan program. Seperti pepatah yang mengatakan tak ada gading yang tak retak. Oleh karena itu diberikan kebijakan keamanan jaringan yaitu dilarang menjalankan program yang tak diketahui karena penyebaran virus dapat dengan mudah melalui email, java script, vb script akibatnya membebani server dengan akses yang besar.

Cara penyerangan yang juga perlu diwaspadai adalah batu loncatan. Biasanya akses dari komputer yang terletak di intranet kurang dibatasi. Apabila akses ke komputer di intranet terbuka, maka pemakai internet dapat masuk ke dalam komputer di intranet, kemudian menggunakan komputer tersebut sebagai batu loncatan. Oleh karena itu pembatasan pemakaian komputer terhadap orang yang tidak berwenang dilakukan dengan mengunci pintu ruangan setiap keluar dan masuk ruangan.

V.10.5. Monitoring

Untuk mengamankan jaringan maka penting sekali dilakukan monitoring. Karena monitoring merupakan cara untuk mengetahui apa yang terjadi sebagai tindakan preventif dengan membaca catatan system. Karena server menggunakan LINUX maka dapat dilihat catatan systemnya yang biasanya disimpan dalam directory /var/log.

/var/log/messages Pesan-pesan dari sistem /var/log/maillog Transaksi email (SMTP)

(51)

V.10.6. Komunikasi Terenkripsi

Komunikasi melalui jaringan publik memungkinkan adanya penyadap ikut mendengarkan percakapan oleh karena itu jalur komunikasi harus dienkripsi. Namun ada konsekuensi akibat enkripsi yaitu data yang dipertukarkan lebih besar. Dibawah ini merupakan beberapa software yang menjadi pilihan agar komunikasi dapat terenkripsi sehingga dapat diyakinkan keamanan jaringannya yaitu:

1. Secure Shell: pengganti telnet dengan enkripsi 2. HTTPS: secure HTTP

(52)

BAB VI. Operations Security

VI.1. Administration Controls

Apabila terjadi pelanggaran yang dilakukan oleh pegawai yaitu :

1. dengan sengaja menghilangkan data, mengubah data dan merusak data 2. dengan sengaja merusak label cd, disket

3. mengambil cd, disket tanpa seijin departement IT

maka akan dikenakan Surat Peringatan yang bertingkat tergantung jenjang pelanggaran yang dilakukan.

VI.2. Record Retention

Medium yang dipergunakan untuk menyimpan data dan backup file pada PT. mass Net adalah CD, Kaset, dan external disk. Hal ini karena kepraktisan media ini dan memiliki Masa penyimpanan data adalah rata-rata bisa mencapai waktu kurang lebih 5 tahun.

VI.3. Privileged Entity Controls

Manajemen Password pada PT. Mass Net dilakukan oleh bagian Teknologi informasi. Password diletakkan dalam amplop file tertutup yang akan dipergunakan apabila terjadi masalah. Apabila telah selesai digunakan, maka password diubah kembali, kemudian diletakkan pada amplop file tertutup dan disimpan dalam barkas TI.

VI.4. Audit Trails

Kebijakan audit trail PT. Mass Net dalam hal Log file adalah menyimpan Log file audit dalam jangka waktu 1 tahun, sedangfkan data history disimpan dalam masa satu bulan. Audit logs berisi: tanggal, jam, orang yang login, terminal yang digunakan, security event, dan seluruh informasi data transaksi event-event tertentu.