i Universitas Kristen Maranatha
ABSTRAK
Sistem informasi tidak lepas dari ancaman yang mengganggu keamanan dan menimbulkan kerugian terhadap aset sistem informasi yang terdiri dari aset fisik (personel, perangkat keras, fasilitas, penunjang, dan dokumentasi) dan aset logical (data/informasi, software aplikasi, dan sistem software). Adapun ancaman yang mungkin terjadi adalah kebakaran, pembajakan, gempa bumi, virus, dan sebagainya. Apabila ancaman tersebut terjadi pada sistem informasi maka fungsionalitas layanan akan terganggu. Unit sistem informasi atau yang biasa disebut unit Sisfo pada Politeknik X membutuhkan kontrol terhadap manajemen kemanan pada aset sistem informasinya yang berfungsi untuk mengatasi ancaman yang sewaktu-waktu datang menyerang layanan dan jaringan Sisfo. Metode yang digunakan adalah kontrol dan audit manajemen keamanan dengan menggunakan kerangka kerja Ron Weber, yaitu membuat suatu program keamanan yang terdiri dari persiapan proyek, identifikasi aset, penilaian terhadap aset, identifikasi ancaman, identifikasi kecenderungan ancaman, identifikasi kontrol, penyesuaian kontrol, dan pembuatan laporan keamanan. Kontrol yang ada untuk melindungi aset Politeknik X dinilai masih belum kuat untuk melindungi aset dari bahaya ancaman. Hanya 35% kontrol yang dinilai mampu melindungi aset dari ancaman. Analisis yang dilakukan menghasilkan beberapa usulan kontrol untuk perlindungan dari bahaya ancaman dan beberapa contoh prosedur untuk keamanan aset.
ii Universitas Kristen Maranatha
ABSTRACT
iii Universitas Kristen Maranatha
DAFTAR ISI
PRAKATA...i
ABSTRAK... iii
ABSTRACT... iv
DAFTAR ISI...v
DAFTAR GAMBAR... vii
DAFTAR TABEL... viii
DAFTAR SINGKATAN...x
BAB I PENDAHULUAN ...1
1.1. Latar Belakang Masalah ...1
1.2. Rumusan Masalah...2
1.3. Tujuan Pembahasan ...2
1.4. Ruang Lingkup Kajian ...3
1.5. Sumber Data ...3
1.6. Sistematika Penyajian ...4
BAB II KAJIAN TEORI ...5
2.1 Manajemen...5
2.2 Sistem Informasi...5
2.2.1 Masalah Keamanan dalam Sistem Informasi ...5
2.2.2 Administrator Keamanan Sistem Informasi ...6
2.2.3 Tujuan Keamanan Sistem Informasi ...6
2.2.4 Aset Sistem Informasi ...7
2.3 Kontrol Manajemen Keamanan ...8
2.3.1 Program Keamanan ...9
2.3.2 Pengendalian Sistem Informasi...13
2.4 Ancaman ...15
2.4.1 Identifikasi Ancaman ...15
2.4.2 Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi ...16
BAB III ANALISIS ...18
3.1 Persiapan Perencanaan Analisis ...18
3.2 Aset Sistem Informasi Politeknik X ...19
3.2.1 Aset Fisik ...19
3.2.2 Aset Logical ...26
3.3 Penilaian terhadap Aset Sistem Informasi Politeknik X ...34
3.3.1 Penilaian Aset Fisik...34
3.3.2 Penilaian Aset Logical...39
3.4 Ancaman terhadap Aset Sistem Informasi Politeknik X ...44
3.5 Ancaman yang Cenderung Terjadi pada Aset Sistem Informasi Politeknik X ...46
3.5.1 Ancaman yang Cenderung Terjadi Pada Aset Fisik ...46
3.5.2 Ancaman yang Cenderung Terjadi Pada Aset Logical ...50
3.6 Kontrol yang ada pada Aset Sistem Informasi Politeknik X...53
3.7 Penyesuaian Kontrol terhadap Aset Sistem Informasi Politeknik X ...75
3.8 Laporan Analisis Sistem Informasi Politeknik X ...84
3.9 Prosedur Keamanan Aset Sistem Informasi Politeknik X ...90
3.9.1 Tujuan...90
3.9.2 Ruang Lingkup...90
3.9.3 Definisi...90
iv
Universitas Kristen Maranatha
3.9.5 Kriteria Kinerja ...90
3.9.6 Alur Kerja ...91
3.9.7 Pengecualian ...92
3.10 Prosedur Perekrutan Personel Sistem Informasi ...92
3.10.1 Tujuan...92
3.10.2 Ruang Lingkup...92
3.10.3 Definisi...92
3.10.4 Ketentuan Umum ...92
3.10.5 Kriteria Kinerja ...93
3.10.6 Alur Kerja ...93
3.10.7 Deskripsi Alur Kerja ...93
BAB IV SIMPULAN DAN SARAN ...96
4.1 Simpulan ...96
4.2 Saran...98
DAFTAR PUSTAKA...99
LAMPIRAN ...100
v Universitas Kristen Maranatha
DAFTAR GAMBAR
vi Universitas Kristen Maranatha
DAFTAR TABEL
Tabel I Berbagai Macam Kontrol Terhadap Sistem Informasi ...14
Tabel II Berbagai Macam Sumber Ancaman dan Contohnya...16
Tabel III Penjadwalan Pengerjaan Analisis Keamanan Sistem Informasi...19
Tabel IV Unit, Peran, dan Tanggung Jawab Personel Sistem Informasi Politeknik X ...20
Tabel V Perangkat Keras (Hardware) pada Unit Sistem Informasi Politeknik X ...24
Tabel VI Aplikasi-Aplikasi yang Ditangani Unit Sistem Informasi Politeknik X ...27
Tabel VII Perangkat Lunak (Software) pada Unit Sistem Informasi Politeknik X ...33
Tabel VIII Penilaian terhadap aset Personel ...35
Tabel IX Penilaian terhadap aset Perangkat Keras (Hardware) ...36
Tabel X Penilaian terhadap asetFacilities...37
Tabel XI Penilaian terhadap aset Dokumentasi ...38
Tabel XII Penilaian terhadap aset penunjang ...39
Tabel XIII Penilaian terhadap aset Data dan Informasi ...39
Tabel XIV Penilaian terhadap AsetSoftwareAplikasi ...40
Tabel XV Penilaian terhadap AsetSistem Software...43
Tabel XVI Identifikasi Ancaman yang Mungkin Terjadi pada Aset Sistem Informasi Politeknik X...45
Tabel XVII Ancaman terhadap Personel ...46
Tabel XVIII Ancaman terhadap Perangkat Keras...48
Tabel XIX Ancaman terhadap Fasilitas ...49
Tabel XX Ancaman terhadap Dokumentasi ...49
Tabel XXI Ancaman terhadap Penunjang ...50
Tabel XXII Ancaman terhadap Data/Informasi ...50
Tabel XXIII Ancaman terhadapSoftware Aplikasi...51
Tabel XXIV Ancaman terhadapSistem Software...52
Tabel XXV Identifikasi Kontrol pada Politeknik X ...53
Tabel XXVI Skenario ancaman gempa bumi ...56
Tabel XXVII Skenario Ancaman Kebakaran ...56
Tabel XXVIII Skenario Ancaman Bom ...57
Tabel XXIX Skenario Ancaman Runtuhnya Bangunan ...58
Tabel XXX Skenario Ancaman Keterbatasan Sumber Daya Keuangan ...59
Tabel XXXI Skenario Ancaman Keterbatasan Sumber Daya Manusia...60
Tabel XXXII Skenario Ancaman Kesalahan Pemasukan Data...61
Tabel XXXIII Skenario Ancaman Pemalsuan Data ...62
Tabel XXXIV Skenario Ancaman Ketiadaan Inisiatif dari Personel...62
Tabel XXXV Skenario Ancaman Personel yang Tidak Loyal...63
Tabel XXXVI Skenario AncamanTrainingyang Minim ...64
Tabel XXXVII Skenario Ancaman Pencurian Aset Fisik danLogic...65
Tabel XXXVIII Skenario Ancaman Listrik yang Padam ...66
Tabel XXXIX Skenario Ancaman Korsleting ...67
Tabel XL Skenario Ancaman Tegangan Listrik Tidak Stabil...68
vii
Universitas Kristen Maranatha Tabel XLII Skenario Ancaman KetiadaanTestingyang Serius Terhadap
Pembangunan Perangkat Lunak...70
Tabel XLIII Skenario Ancaman Kegagalan Fungsi Perangkat Keras...71
Tabel XLIV Skenario Ancaman Penyalahgunaan Hak Akses...72
Tabel XLV Skenario Ancaman Sabotase ...73
Tabel XLVI Skenario AncamanHacking...73
Tabel XLVII Skenario Ancaman Virus...74
Tabel XLVIII Penyesuaian Kontrol Terhadap Ancaman Gempa Bumi...75
Tabel XLIX Penyesuaian Kontrol Terhadap Ancaman Kebakaran ...76
Tabel L Penyesuaian Kontrol Terhadap Ancaman Bom...76
Tabel LI Penyesuaian Kontrol Terhadap Ancaman Runtuhnya Bangunan...77
Tabel LII Penyesuaian Kontrol Terhadap Ancaman Keterbatasan Sumber Daya Keuangan...77
Tabel LIII Penyesuaian Kontrol Terhadap Ancaman Keterbatasan Sumber Daya Manusia...77
Tabel LIV Penyesuaian Kontrol Terhadap Ancaman Kesalahan Pemasukan Data.78 Tabel LV Penyesuaian Kontrol Terhadap Ancaman Pemalsuan Data ...78
Tabel LVI Penyesuaian Kontrol Terhadap Ancaman Ketiadaan Inisiatif dari Personel...79
Tabel LVII Penyesuaian Kontrol Terhadap Ancaman Personel yang Tidak Loyal ...79
Tabel LVIII Penyesuaian Kontrol Terhadap AncamanTrainingyang Minim...79
Tabel LIX Penyesuaian Kontrol Terhadap Ancaman Pencurian Aset Fisik dan Logical...80
Tabel LX Penyesuaian Kontrol Terhadap Ancaman Listrik yang Padam...80
Tabel LXI Penyesuaian Kontrol Terhadap Ancaman Korsleting ...81
Tabel LXII Penyesuaian Kontrol Terhadap Ancaman Kerusakan Access Point/Wireless...81
Tabel LXIII Penyesuaian Kontrol Terhadap Ancaman Ketiadaan Testingyang Serius Terhadap Pembangunan Perangkat Lunak...81
Tabel LXIV Penyesuaian Kontrol Terhadap Ancaman Penyalahgunaan Hak Akses ...82
Tabel LXV Penyesuaian Kontrol Terhadap Ancaman Sabotase ...82
Tabel LXVI Penyesuaian Kontrol Terhadap AncamanHacking...83
Tabel LXVII Penyesuaian Kontrol Terhadap Ancaman Virus ...83
viii Universitas Kristen Maranatha
DAFTAR SINGKATAN
A
AC (Air Conditioning)
APAR (Alat Pemadam Api Ringan) ASDL (Asymetric Digital Subscriber Line) C
CCTV (Closed Circuit Television) CD (Compact Disc)
CDMA (Code Division Multiple Access) F
FET (Free Time Tabling Software) G
GPS (Global Positioning System) H
HRIS (Human Resource Information System) I
ICTM (Information Communication Technology and Management) IT (Information Technology)
K
KHS (Kartu Hasil Studi) KSM (Kartu Studi Mahasiswa) M
MS Excel (Microsoft Excel) MS Outlook (Microsoft Outlook) O
ix Universitas Kristen Maranatha P
PABX (Private Automatic Branch eXchange) PC (Personal Computer)
PHP (Hypertext Preprocessor)
POLTAC (Politeknik X Authentication Center) PRODI (Program Studi)
PRS (Perubahan Rencana Studi) PT (Perseroan Terbatas) R
RFID (Radio Frequency Identification) RIP (Rencana Induk Pengembangan) RKA (Rencana Kerja Anggaran) RKM (Rencana Kerja Manajemen) S
SDM (Sumber Daya Manusia) Sisfo (Sistem Informasi)
SOP (Standard Operational Procedure) T
TI (Teknologi Informasi) U
UAS (Ujian Akhir Semester)
UPS (Uninterruptabel Power Supply) UTP (Unshielded Twisted Pair) W
WiFi (Wireles Fidelity) Y
1 Universitas Kristen Maranatha
BAB I PENDAHULUAN
1.1. Latar Belakang Masalah
Politeknik X adalah salah satu institusi pendidikan yang dinaungi Yayasan
Pendidikan Y yang diresmikan pada tanggal 27 September 2007 oleh Direktur
Utama PT. Z, Tbk, Bapak Rinaldi Firmansyah. Politeknik X memiliki fokus pada
pendidikan vokasional di bidang Information Communication Technology and
Management. Politeknik X juga merupakan perguruan tinggi yang
menyelenggarakan pendidikan dengan konsep versatilis, yaitu penekanan
pada pengembangan kemampuan profesional ICTM, berwawasan bisnis yang
dilandasi oleh sikap mental kuat dan memiliki kemampuan untuk terjun di
dunia kerja internasional.
Pada struktur organisasi Politeknik X terdapat Unit Layanan Akademik dan
Sistem Informasi yang dipimpin oleh bapak Dedy Rahman Wijaya yang berada
di bawah Wakil Direktur II (Bidang Administrasi dan Umum). Unit sistem
informasi (Sisfo) memiliki satu orang asisten manager dan enam orang staff
yang menangani layanan Sisfo dan pengawasan server dan jaringan.
Layanan yang diberikan oleh unit sistem informasi terdiri dari portal dosen
(diakses oleh dosen), portal mahasiswa (diakses oleh mahasiswa), surat
elektronik, dan software licensing. Selain itu unit Sisfo juga bertanggung jawab
atas infrastruktur jaringan dan koneksi internet pada gedung Politeknik X.
Sistem informasi tidak lepas dari ancaman (threat) yang mengganggu
keamanan dan menimbulkan kerugian terhadap aset sistem informasi yang
terdiri dari aset fisik (personel, hardware, facilities, supplies, documentation)
dan aset
logical (data, informasi,
software). Adapun
threat
yang mungkin
2
Universitas Kristen Maranatha
ancaman (threat) tersebut terjadi pada sistem informasi maka fungsionalitas layanan
akan terganggu.
Dari masalah di atas, unit Sisfo Politeknik X membutuhkan kontrol terhadap manajemen
keamanan (security management controls) pada sistem informasinya yang berfungsi
untuk mengatasi
threat yang sewaktu-waktu datang menyerang layanan dan jaringan
Sisfo. Salah satu bentuknya adalah dengan melakukan kontrol dan audit manajemen
kemanan menggunakan teori yang dikemukakan oleh Ron Webber. Kontrol ini berfungsi
untuk membantu mengamankan aset sistem informasi yang dimiliki Politeknik X.
1.2. Rumusan Masalah
Rumusan masalah yang ditemui pada tugas akhir ini adalah
1.
Bagaimana mengidentifikasi aset-aset yang ada di Politeknik X?
2.
Bagaimana menilai aset-aset yang ada di Politeknik X?
3.
Bagaimana mengidentifikasi ancaman yang mungkin terjadi pada aset Politeknik
X?
4.
Bagaimana menentukan kecenderungan ancaman yang dapat terjadi?
5.
Bagaimana mengidentifikasi kontrol yang digunakan Politeknik X untuk
mengantisipasi ancaman?
6.
Bagaimana menentukan kesesuaian kontrol yang dimiliki dengan ancaman yang
akan dihadapi?
7.
Bagaimana membuat laporan atas analisis yang telah dilakukan?
8.
Bagaimana prosedur yang tepat untuk mengatasi ancaman dan bencana yang
terjadi pada aset Politeknik X?
1.3. Tujuan Pembahasan
Adapun tujuan dari tugas akhir ini adalah
1.
Mengetahui aset yang terdapat di Politeknik X.
2.
Mengetahui nilai aset-aset yang ada di Politeknik X.
3.
Mengetahai kemungkinan ancaman yang dapat menyerang aset sistem informasi
3
Universitas Kristen Maranatha
4.
Mengetahui kecenderungan ancaman yang dapat menyerang aset sistem informasi
Politeknik X.
5.
Mengetahui kontrol yang diterapkan Politeknik X untuk mengantisipasi ancaman.
6.
Mengetahui kontrol yang diterapkan dapat atau tidak dapat menghadapi ancaman.
7.
Membuat laporan tentang analisis keamanan sistem informasi yang telah dilakukan
di Politeknik X.
8.
Membuat prosedur keamanan untuk aset sistem informasi Politeknik X.
1.4. Ruang Lingkup Kajian
Ruang lingkup pada tugas akhir ini adalah
1.
Analisis kontrol manajemen keamanan (security management controls)
menggunakan tahapan-tahapan yang dikemukakan Ron Weber.
a.
Prepare project plan
b.
Identify assets
c.
Value asets
d.
Identify threats
e.
Assess likelihood of threats
f.
Analyze Exposure
g.
Adjust controls
h.
Prepare security report
2.
Membuat contoh prosedur untuk keamanan aset sistem informasi Politeknik X.
1.5. Sumber Data
Sumber data yang akan diperoleh penulis terdiri dari
1.
Sumber data primer: Diambil langsung dari Politeknik X berupa wawancara dengan
manager dan
staff sistem informasi (Sisfo) Politeknik X dan data-data yang
diperlukan dalam analisis security management controls.
2.
Sumber data sekunder: Diambil dari buku-buku yang berkaitan dengan manajemen
4
Universitas Kristen Maranatha
1.6. Sistematika Penyajian
Bab I
–
Pendahuluan
Berisi latar belakang, rumusan masalah,
tujuan pembahasan, ruang lingkup kejadian,
sumber data, dan sistematika penyajian.
Bab II
–
Kajian Teori
Berisi landasan teori yang digunakan dalam
menyusun
laporan
analisis
security
management controls.
Bab III
–
Analisis
Berisi tentang data-data yang diperoleh dari
Politeknik X, ancaman yang mengganggu
keamanan, kontrol keamanan yang dipakai,
serta usulan perbaikan terhadap kontrol
keamanan.
Bab IV
–
Simpulan dan
saran
Berisi kesimpulan yang diperoleh dari analisis
yang penulis lakukan dan saran untuk
perkembangan analisis dan penulisan di
96 Universitas Kristen Maranatha
BAB IV SIMPULAN DAN SARAN
4.1
Simpulan
1.
Terdapat aset fisik yaitu personel, perangkat keras, fasilitas,
dokumentasi, dan penunjang. Terdapat pula aset
logical
seperti
data/informasi,
software
aplikasi, dan sistem
software
pada
Politeknik X.
2.
Aset Politeknik X telah diberi penilaian dengan skala satu sampai
sepuluh berdasarkan prioritas untuk pengamanan dengan rata-rata
sebagai berikut:
a.
Personel
= 10
b.
Perangkat keras
= 6
c.
Fasilitas
= 7
d.
Dokumentasi
= 8
e.
Penunjang
= 5
f.
Data/informasi
= 9
g.
Software
aplikasi
= 8
h.
Sistem
software
= 7
3.
Berbagai
sumber
ancaman
yang
mengancam
aset
sistem
informasi Politeknik X adalah bencana alam dan politik, kesalahan
manusia, kegagalan perangkat lunak dan perangkat keras,
kecurangan dan kejahatan komputer, dan program yang jahat/usil.
Sumber
ancaman
yang
paling
potensial
adalah
kesalahan
manusia.
4.
Kecenderungan ancaman yang terdapat pada Politeknik X adalah
keterbatasan sumber daya manusia, personel yang tidak loyal,
pencurian aset, masalah pada listrik, keterbatasan sumber daya
97
Universitas Kristen Maranatha
akses, kesalahan pemasukan data, kegagalan fungsi perangkat
keras dan perangkat lunak, dan ketiadaan testing yang serius
terhadap perangkat lunak.
5.
Kontrol yang ada untuk melindungi aset sistem informasi Politeknik
X
adalah
kontrol
administratif,
kontrol
pengembangan
dan
pemeliharaan sistem, kontrol operasi, proteksi terhadap pusat data
secara fisik, kontrol perangkat keras, kontrol terhadap akses
komputer, kontrol terhadap akses informasi, kontrol terhadap
perlindungan terakhir, dan kontrol terhadap aplikasi. Dari dua
puluh dua ancaman, sebesar 91% (dua puluh ancaman) yaitu
kebakaran, runtuhnya bangunan, keterbatasan sumber daya
keuangan,
keterbatasan
sumber
daya
manusia,
kesalahan
pemasukan data, pemalsuan data, tidak ada inisatif dari personel,
tidak loyal,
training
yang minim, pencurian aset fisik dan logical,
listrik padam, korsleting, tegangan listrik yang tidak stabil,
kerusakan
access point
, kegagalan fungsi perangkat keras,
penyalahgunaan hak akes, sabotase,
hacking
, dan virus telah
memiliki kontrol dan 9% (dua ancaman) yaitu gempa bumi dan
ancaman belum memiliki kontrol.
6.
Kontrol yang diterapkan tidak seluruhnya dapat mengatasi bahaya
ancaman. Dari dua puluh ancaman yang mungkin terjadi dan telah
memiliki kontrol, hanya sebesar tujuh ancaman atau 35% kontrol
yang dapat mengatasi bahaya ancaman, sedangkan tiga belas
ancaman atau 65% kontrol lainnya belum mampu menghadapi
bahaya dari ancaman tersebut.
7.
Dari data dan hasil wawancara yang dianalisis, telah dibuat suatu
laporan yang dapat dipergunakan untuk memperbaiki kontrol yang
ada agar dapat mengatasi bahaya ancaman. Dalam penanganan
ancaman yang paling berisiko, kontrol yang harus diperbaiki
terlebih dahulu adalah berdasarkan ancaman dengan urutan
98
Universitas Kristen Maranatha
a. Keterbatasan sumber daya keuangan
b. Keterbatasan sumber daya manusia
c.
Training
yang minim
d. Virus
e. Kesalahan pemasukan data
f. Pemalsuan data
g. Pencurian aset fisik dan
logical
h. Kebakaran
i.
Gempa bumi
j.
Runtuhnya bangunan
k. Ancaman Bom
l.
Sabotase
m.
Hacking
8.
Dari data dan hasil wawancara yang dianalisis, telah dibuat dua
contoh prosedur untuk kontrol operasi yaitu penanganan terhadap
virus dan kontrol administratif yaitu perekrutan personel.
4.2
Saran
1.
Bagi ancaman yang belum memiliki kontrol, sebaiknya disediakan
kontrol untuk melindungi aset dari ancaman tersebut. Seperti pada
ancaman gempa bumi, Politeknik X membutuhkan kontrol untuk
melakukan
back up
terhadap data dan sistem di luar gedung
Politeknik X dan mengubah desain ruang server agar lebih tahan
gempa. Pada ancaman bom yang yang juga belum memiliki
kontrol diberi kontrol untuk melakukan
back up
data dan sistem di
luar gedung Politeknik X, mengubah desain ruang
server
agar
dipisah dengan ruangan layanan Sisfo, dan menggunakan sistem
identifikasi dan autorisasi bagi pihak yang akan masuk ruang Sisfo
(misalnya: alat pindai retina atau sidik jari).
2.
Sebaiknya semua kontrol memiliki prosedur sebagai tindakan
DAFTAR PUSTAKA
Bodnar, G., & Hopwood, W. (2006).
Sistem Informasi Keuangan.
Yogyakarta:
ANDI.
IBISA. (2011).
Keamanan Sistem Informasi.
Yogyakarta: ANDI.
Kadir, A. (2003).
Pengenalan Sistem Informasi.
Yogyakarta: ANDI.
Kristanto, A. (2008).
Perancangan Sistem Informasi dan Aplikasinya.
Yogyakarta: Gava Media.
Prasojo, L. D., & Riyanto. (2011).
Teknologi Informasi Pendidikan.
Yogyakarta: Gava Media.
Rahardjo, B. (2005).
Keamanan Sistem Informasi Berbasis Internet.
Bandung: PT. Insan Infonesia.
Sumarsan, T. (2013).
Sistem Pengendalian Manajemen Konsep, Aplikasi,
dan Pengukuran Kinerja.
Jakarta: Indeks.
Sutabri, T. (2012).
Analisis Sistem Informasi.
Yogyakarta: Andi.
Usman, H. (2013).
Manajemen Teori, Praktik, dan Riset Pendidikan.
Jakarta:
Bumi Aksara.
Weber, R. (1999).
Information System Control and Audit.
New York:
Prentice-Hall.
Wijaya, D. R. (2010).
Rencana Induk Pengembangan Sistem Informasi.
