Keamanan Sistem Informasi untuk Perusahaan. Kecil dan Menengah. Studi Terhadap PT IMT

(1)

Keamanan Sistem Informasi untuk Perusahaan

Kecil dan Menengah

Studi Terhadap PT IMT

GROUP 106

Kahardityo

7203012149

Kisnu Widagso

7203012165

Wisnuaji

7203012297

MAGISTER TEKNOLOGI INFORMASI

FAKULTAS ILMU KOMPUTER

UNIVERSITAS INDONESIA

(2)

(3)

DAFTAR ISI

Halaman

Daftar Isi ……… i

Bab 1. Pendahuluan………..

1 1.1 Latar Belakang ……… 1

1.2 Permasalahan ……….. 4

1.3 Tujuan Penulisan ……… 4

1.4 Kerangka Teori dan Konsep ……….

4 1.5 Kerangka Penulisan ……… 8

Bab 2. Gambaran Umum Organisasi ……….

10 2.1 Profile Organisasi ...………

10 2.2 Permodalan ...……….

13 2.3 Struktur dan Peran Dalam Organisasi ...……….

14 2.4 Proses Bisnis Utama Organisasi ...………

17 2.5 Aplikasi Organisasi ...……….

17 Bab 3. Keamanan Sistem Informasi Bisnis ………..

24 3.1 Security Management Practices ………...…

24 3.1.1 Identifikasi aset sistem informasi organisasi ………...

24 3.1.2 Manajemen resiko ………...

26 3.1.3 Kebijakan keamanan sistem informasi ………...

27 3.1.4 Kesadaran keamanan sistem informasi organisasi …………...

29 3.2 Access Control Systems ………...

30 3.3 Telecomunication and Network Security ………...

31

(4)

3.6 Operation Security ………...

36 3.7 Application and Systems Development ………...

38 3.8Business Continuity Planning ………...

38 3.9Law, Investigation and Ethics ………...

39 3.10 Physical Security ………...

41 Bab 4. Penutup ………....

43

(5)

Bab 1 Pendahuluan

1.1 Latar Belakang

Sistem informasi saat ini merupakan sumber daya penting, mempunyai nilai strategis dan mempunyai peranan yang sangat penting sebagai daya saing, kompetensi utama dan dalam keberlangsungan hidup dari suatu organisasi. Kenyamanan, kemudahan dan keuntungan yang dijanjikan dalam setiap pengembangan dan implementasi suatu sistem informasi, disadari juga sebagai upaya yang menjadikan atau menempatkan sistem informasi semakin rentan akan potensi ancaman (threats). Sehingga menjadi suatu prinsip dasar bahwa dalam pengelolaan sistem informasi juga harus diimbangi dengan perhatian yang serius terhadap keamanan sistem informasi (information system security). Keamanan sistem informasi disadari merupakan salah satu bagian yang penting dalam melakukan pengelolaan sistem informasi.

Prinsip-prinsip kerahasiaan, integritas dan ketersediaan data dan informasi (confidentiality, integrity and availability - CIA) menjadi taruhan utama dalam setiap upaya-upaya pengamanan terhadap sistem informasi. Kebijakan, prosedur, teknik dan mekanisme keamanan harus mampu menjamin sistem informasi dapat terlindungi dari berbagai potensi ancaman yang mungkin timbul. Atau setidaknya mampu mengurangi kerugian yang diderita apabila ancaman terhadap sistem informasi teraktualisasi.

(6)

Tabel 1

Potensi Ancaman dan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center

Dalam konteks keamanan sistem informasi, upaya-upaya yang bersifat pencegahan (prevention) terhadap potensi ancaman yang mungkin timbul menjadi penekanan yang sangat penting, selain upaya pendeteksian kejahatan terhadap sistem informasi dan upaya pemulihan sistem informasi. Pencegahan menjadi penting karena pencegahan dapat menghindarkan pengelola atau pemilik sistem informasi dari timbulnya kejahatan (computer related crime), kerugian yang lebih besar dan upaya atau biaya yang besar dalam upaya melakukan deteksi, atau pun upaya menempuh proses hukum dan recovery terhadap sistem informasi yang rusak.

Dalam satu hasil global survey diketahui bentuk pencegahan yang umum dilakukan atau dijalankan oleh organisasi, seperti terlihat pada Tabel 2 dan Gambar 1. Firewall dan software anti virus merupakan trend keamanan sistem informasi saat ini, masih mendominasi dan dipercaya oleh banyak organisasi dan para ahli keamanan sebagai pencegahan kejahatan terhadap sistem informasi yang efektif dan efisien. Lebih dari 95% responden mengimplementasi firewall dan software anti virus dalm strategi keamanan sistem organisasi mereka.

(7)

Tabel 2

Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 e-Crime Watch Survey, CSO Magazine, U.S Secret Service, and CERT® Coordination Center.

Gambar 1

Diagram Upaya Pencegahan Kejahatan Terhadap Sistem Informasi

Sumber : 2004 CSI / FBI Computer Crime and Security Survey, Computer Security Institute.

Penggunaan sistem informasi bukan saja merupakan monopoli kalangan organiasi besar dan kompleks. Saat ini organisasi yang dikenal dengan sebutan Usaha Mikro, Kecil dan Menengah (UMKM) juga sudah menyadari pentingnya nilai sistem informasi dan mulai memanfaatkan sistem informasi guna memperoleh keuntungan dan meningkatkan daya saing dengan mengimplementasi sistem dalam kegiatan atau aktifitasnya. UMKM sebagai bagian integral dari network economy mulai ber-e-volusi.

Salah satu faktor hambatan dan menjadi perhatian bagi UMKM untuk memulai tahapan ber-e-volusi berkaitan dengan perhatian pada aspek keamanan sistem informasi.

(8)

1.2 Permasalahan

Dengan dicirikan akan keterbatasan modal dan sumber daya manusia untuk pengelolaan keamanan sistem informasi membuat sebuah UMKM harus mampu mengatur pengelolaan keamanan sistem informasinya secara efektif dan efisien. PT X merupakan salah satu dari sekian banyak UMKM yang memanfaatkan sistem informasi guna mendukung proses bisnis utamanya. Dan seperti umumnya UMKM PT X juga dicirikan dengan keterbatasan dana dan sumber daya manusia dan harus mampu dalam mengimplementasi keamanan sistem informasi pada organisasinya. Artinya bahwa merupakan hal yng sangat penting untuk membuat perencanaan dan rancangan sistem keamanan terhadap sistem informasi yang sesuai dengan karakteristik UMKM tersebut dengan tetap mengacu pada kerangka keamanan standar atau suatu best practice.

1.3 Tujuan Penulisan

Penulisan makalah ini ditujukan untuk :

1. Mendeskripsikan potensi ancaman keamanan sistem informasi organisasi. 2. Mendeskripsikan pola pengelolaan keamanan sistem informasi organisasi. 3. Menyusun kerangka keamanan sistem informasi bagi organisasi.

(9)

1.4 Kerangka Teori dan Konsep

Small or Medium Enterprises didefinisikan sebagai :

Kegiatan ekonomi rakyat beskala kecil dengan criteria sebagai berikut : 1) kekayaan bersih maksimal Rp. 200.000.000 (dua ratus juta rupiah) tidak temasuk tanah dan bangunan tempat usaha, atau 2) penjualan tahunan maksimal Rp. 1.000.000.000 (satu milyar rupiah). 3) milik warga negara Indonesia;- 4) berdiri sendiri dan bukan merupakan anak perusahaan atau cabang perusahaan yang dimiliki, dikuasai, atau berafiliasi baik langsung maupun tidak langsung dengan usaha menengah maupun usaha besar;1

Berdasarkan jumlah karyawan UMKM didefinisikan sebagai :

Usaha Kecil (UK) jumlah karyawan 5-19 orang.

Usaha Menengah (UM): jumlah karyawan 20-99 orang.2

Information systems security didefinisikan sebagai :

“Policies, procedures, and technical measures used to prevent unauthorized access,

alteration, theft, or physical damege to information systems.”3

“Measures adopted to prevent unauthorized use, misuse, modification, or denial of

use of knowledge, facts, data, or capabilities.”4

1_{http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0&catid=197&page=1}_,

diakses tanggal 20 Mei 2005 pukul 18.50.

2_{Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar,} www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50.

(10)

Idealnya, sebuah organisasi dengan sistem informasi, menjalankan perlindungan terhadap sistem informasi organisasi yang dapat dilakukan dengan mengacu pada 10 Domain yang terdapat dalam CISSP. Ke-10 domain tersebut meliputi :

1.

Access Control Systems and Methodology.

Access Control Systems and Methodology merupakan kumpulan mekanisme yang bekerja sama dalam menciptakan arsitektur keamanan dalam melindungi aset sistem informasi.

2.

Applications and Systems Development.

Dalam CISSP domain ini menekankan pentingnya konsep keamanan ang diterapkan dalam pengembangan aplikasi perangkat lunak. Applications and Systems Development menekankan pada lingkungan tempat perangkat lunak dirancang dan dikembangkan dan menjelaskan peran penting perangkat lunak dalam menyediakan keamanan sistem informasi.

3.

Business Continuity Planning.

Business Continuity Plan (BCP) domain menekankan pada perlindungan dan pemulihan kegiatan-kegiatan organisasi dalam kondisi atau kejadian darurat.

4.

Cryptography.

Cryptography domain menekankan prinsip, tujuan dan metode-metode penyembunyian atau menyamarkan informasi dalam menjamin integritas, kerahasiaan, dan keotentikannya.

5.

Law, Investigation and Ethics.

Law, Investigation and Ethics domain menekankan pada :

i. Perangkat peraturan perndangan yang mengatur tentang penggunaan ICT.

ii.

Langkah-langkah dan teknologi yang digunakan atau dilakukan dalam melakukan investigasi insiden kejahatan komputer.

(11)

Operations Security digunakan untuk melakukan identifikasi kendali terhadap hardware, media, operators dan administrators dengan access privileges terhadap semua sumber daya sistem informasi. Audit dan monitoring merupakan mechanisms, alat, dan fasilitas yang memungkinkannya dilakukan identifikasi peristiwa keamanan dan urutan langkah atau tindakan dalam mengidentifikasi elemen kunci dan laporan akan informasi yang relevan kepada individu,kelompok atau proses yang membutuhkan.

7.

Physical Security.

Physical Security domain menyediakan teknik-teknik perlindungan untuk keseluruhan fasilitas sistem informasi, dari primeter luar hingga ke dalam ruang kerja termasuk seluruh information system resources.

8.

Security Architecture and Models.

Security Architecture and Models domain meliputi konsep, prinsip, struktur dan standar yang digunakan dalm merancang, memonitor, dan mengamanan operating systems, perlengkapan, jaringan, applications dan kendali tersebut digunakan untuk menegakkan suatu level tertentu dari konsep availability, integrity, dan confidentiality.

9.

Security Management Practices.

Manajemen keamanan meliputi pengidentifikasian aset sistem informasi organisasi, pengembangan, pendokumentasian serta penerapan policies, standards, procedures, dan guidelines organisasi. Perangkat manajemen seperti klasifikasi data dan analisa resiko digunakan untuk mengidentifikasi ancaman, mengklasifikasikan aset dan membuat peringkat kerentanan sistem informasi sehingga kendali yang efektif dapat diterapkan.

10.

Telecommunications, Network and Internet Security.

Telecommunications, Network and Internet Security domain meliputi pembahasan :  Network Structures.

(12)

 Transport formats.

 Security measures used to provide availability, integrity, and confidentiality.

 Authentication for transmissions over private and public communications networks and media.

1.5 Kerangka Penulisan

Secara umum tulisan ini akan dibagi menjadi 5 (lima) bagian, yaitu :

1. Bagian pertama yang berisikan pendahuluan, membahas issue-issue seputar keamanan sistem informasi, dan fokus permasalahan yang diangkat dalam tulisan.

2. Bagian kedua berisikan gambaran umum dari organisasi yang menjadi subjek dari penulisan.

3. Bagian ketiga berisikan paparan analisa keamanan sistem informasi dan rekomendasi keamanan sistem informasi dengan mengacu pada 10 Domain CISSP, yang meliputi : a. Access Control Systems and Methodology.

b. Applications and Systems Development. c. Business Continuity Planning.

d. Cryptography.

e. Law, Investigation and Ethics. f. Operations Security.

g. Physical Security.

h. Security Architecture and Models. i. Security Management Practices.

(13)

4. Bagian keempat berisikan penutup berupa kesimpulan dan saran yang melandaskan diri pada hasil yang dicapai pada pembahasan sebelumnya.

(14)

Bab 2

Gambaran Umum Organisasi

2.1 Profile Organisasi

Visi

Menjadi agen pembaru dalam rangka ikut serta menciptakan masyarakat baru Indonesia. Masyarakat yang berwatak baik, profesional, menjunjung tinggi demokrasi, terbuka mengakui kemajemukan masyarakat, tanpa mengenal SARA, dan setia kepada lembaga.

Misi

Atas dasar azas solidaritas dan kemanusiaan mencerdaskan dan memajukan kehidupan bangsa melalui bidang informasi dan bidang lain.

Tujuan Organisasi

1. Kelanggengan dan pertumbuhan dengan mengemban bisnis sehat 2. Meningkatkan kualitas Sumber Daya Manusia dan kesejahteraannya

3. Mengemban tugas tanggung jawab sosial dan memperluas kesempatan kerja

Riwayat Singkat

Tabloid X khusus mengupas sepakbola dunia, dengan pangsa pasar untuk kaum muda. Pada awalnya Tabloid X merupakan media temporer dalam bentuk fisik majalah dengan nama dagang

(15)

HX yang terbit mengikuti sebuah event besar sepak bola dunia seperti Piala Eropa/ EURO, Piala Dunia, atau membarengi pentupan akhir musim kompetisi sepak bola di negara-negara Eropa. Tabloid HX menyajikan informasi seputar dunia sepakbola dengan perspektif yang tidak umum untuk saat itu, yaitu gaya hidup dan hiburan sebagai menu utama. Sisi kompetisi yang di media lain ditampilkan sebagai menu utama justru ditempatkan sebagai porsi menu kedua.

Berangkat dari kondisi laku kerasnya produk, yang penjualannya mencapai oplah 18.000 eksemplar per edisi, kemudian majalah HX diputuskan untuk diterbitkan menjadi majalah reguler. Dalam waktu ± 6 bulan sejak terbit secara reguler, PT. IMT melakukan langkah baru dengan memutuskan untuk menerbitkan sebuah media yang mampu mengakomodir permintaan pembaca dan tentunya investor yang menginginkan terbit secara mingguan. Salah satu pemicunya selain oplah yang relatif positif stabil, adalah permintaan dari banyak pembaca majalah HX yang meminta PT. IMT untuk menerbitkan secara mingguan. Akhir kata, diputuskan Majalah HX tidak akan diterbitkan secara mingguan tapi PT. IMT menelurkan produk baru berformat tabloid mingguan dengan nama dagang yang sama dengan majalah, yaitu Tabloid HX.

Tabloid HX dihadirkan ke tengah publik dengan mengambil momentum waktu sebulan persis sebelum EURO 2000 yang dibuka di kota Paris, Perancis. Tabloid HX menyajikan sepakbola dengan format isi yang sama dengan majalah HX, menjual sisi kompetisi, hiburan, dan gaya hidup. Salah satu nilai plus tabloid X adalah penjualannya per edisi selalu disisipi poster ukuran 2 halaman tabloid secara rutin. Selama EURO 2000 tabloid HX mampu mencapai nilai penjualan luar biasa, dengan rata-rata penjualan 175.000 eksemplar. Sebagai gambaran, edisi perdananya laris di pasar dengan penjualan sebesar 150.000 eksemplar. Cukup mengejutkan untuk sebuah pendatang baru.

(16)

Secara garis besar produk, PT. IMT menyajikan media dengan lingkup bahasan seputar sepakbola dunia (Eropa sebagai menu utama) dengan komposisi isi sebagai berikut:

1.

News: Berita dan gosip gres, data, dan ulasan lengkap pertandingan, prediksi dan bursa taruhan, informasi dibalik permainan.

2.

Style: Panduan buat bolamania untuk mengekspresikan diri sebagai bolamania sejati

3.

Entertainment: Pemujaan nama besar baik klub maupun pemain dengan menampilkan

sisi humanistiknya

Secara umum spesifikasi produk bisa dilihat sebagai berikut: 1. Terbit sejak: Juni 2000

2. Periode terbit: Mingguan (setiap Kamis) 3. Ukuran tabloid: 420 mm x 295 mm 4. Tebal: 24 halaman

5. Tiras terjual rata-rata: 120.000 eksemplar 6. Sasaran: bolamania yang berjiwa muda 7. Harga eceran: Rp 3.500

Semester kedua setelah terbitnya tabloid HX, PT. IMT mengalami perpecahan. Era ini adalah masa buruk bagi PT. IMT, karena penjualan tabloid mengalami penurunan penjualan dengan angka rata-rata 60.000 eksemplar. Pada ini, nama dagang tabloid HX berubah menjadi tabloid X dengan maksud tidak mengganggu penjualan Majalah HX yang relatif stabil (sekaligus juga mengalami perubahan logo). Tapi nama dagang baru malah berakibat buruk dengan turunnya tingkat penjualan yang cukup tajam, sempat mencapai angka 35.000 eksemplar saja.

(17)

Selain itu, penurunan penjualan secara tajam juga mulai dialami oleh majalah HX. Setelah sempat menjalani masa kolaps selama 4 bulan dengan hanya mampu menjual majalah sebanyak 5000 eksemplar, PT. IMT akhirnya terpaksa mengamputasi majalah HX. Produk andalan hanya tabloid X. Namun terkadang, PT. IMT menerbitkan majalah edisi khusus (temporer) berdasar dengan event besar sepak bola yang sedang ada.

Daerah persebaran utama penjualan tabloid X adalah Jabotabek 27% dari total penjualan/ oplah. Propinsi Jawa Tengah adalah penyumbang penjualan terbesar kedua dengan nilai penjualan 19% dari total oplah. Untuk lebih lengkapnya mengenai penjualan PT. IMT, grafik penjualan Juli-Sep 2004 dibawah ini bisa dilihat sebagai acuan terakhir karena fluktuasi penjualan PT. IMT relatif tidak pernah bergejolak secara signifikan.

Gambar 2

Persentase Penjualan Tabloid X di Indonesia

2.2 Permodalan

PT. IMT adalah penerbit Tabloid X di Indonesia yang didirikan dengan modal awal Rp. 1,5 milyar, dengan rentang usia pembaca yang berada pada cakupan rentang usia remaja pria dan wanita hingga dewasa.

(18)

2.3 Struktur dan Peran Dalam Organisasi

Struktur, status dan peran yang ada dalam organisasi dapat dipaparkan sebagai berikut ini.

Gambar 3 Diagram Organisasi Pemimpin Perusahaan Pengembangan Bisnis Redaktur Pelaksana Pemimpin Redaksi Pemimpin Umum

Staf Redaksi Staf Dokumentasi Staf Artistik Staf TI Iklan Sirkulasi Promosi SDM dan Umum Pra Cetak Keamanan Supporting Anggaran Sekretariat Rumah Tangga Tabel 3

Status dan Peran Dalam Organisasi

Status Jumlah Kod

e Peran

Pemimpin

Perusahaan 1 A 01 Mengatur kinerja perusahaan yang membawahi karyawan denganjumlah mencapai 43 orang setiap harinya dan memastikan perusahaan

berada dalam keadaan sehat. Pemimpin

Umum 1 A 02 Memimpin perusahaan dengan mengendalikan aktifitas sehari-hari dariorganisasi.

Pengembangan

Bisnis 1 A 03 Memiliki tugas manajerial yang berhubungan langsung dengan areapengembangan produk dan membawahi bidang promosi, iklan, dan

sirkulasi.

Sirkulasi 2 A 04

A 05 Bertugas mendistribusikan produk PT. IMT dengan menggunakkanjalur distribusi yang sudah ada sekaligus mencari peluang baru melalui kios-kios dan agen-agen yang belum tersentuh.

Promosi 2 A 06

A 07 Bertugas melakukan upaya-upaya yang bisa membuat penjualantabloid X semakin membaik grafiknya. Ada kalanya promosi memberi masukan pada dewan redaksi untuk memperbaiki kualitas isi tabloid berdasar atas fakta-fakta penjualan dan lapangan untuk mempermudah kerja sosialisasi produk.

(19)

Iklan 3 A 08 A 09 A 10

Bertugas mencari pemasang iklan untuk bersedia membeli spot/ ruang iklan yang disediakan tabloid sebagai sumber utama pendapatan tabloid.

Pemimpin

Redaksi 1 A 11 Memiliki kewajiban mengatur kinerja dewan redaksi yang mencakupredaktur pelaksana, redaktur, reporter, dan dokumentasi dalam

menyajikan materi tulisan dan berita kepada pembaca. Redaktur

Pelaksana 1 A 12 Perpanjangan tangan dari Pemimpin Redaksi tapi dengan privilesekhusus, karena menjadi filter utama dalam penentuan sebuah berita layak ditampilkan atau tidaknya melalui sidang redaksi yang digelar secara mingguan.

Sekretariat 2 A 13

A 14 Tugasnya seperti umumnya sekretaris, mencatat baik notulensi rapatredaksi maupun kebutuhan harian redaksi dan bertanggung jawab langsung ke Pemimpin Redaksi.

Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A 21

Adalah pihak dalam perusahaan yang bertugas mencari berita dan menuliskannya dalam format RTF untuk kemudian disimpan di server redaksi. Staf Artistik 5 A 22 A 23 A 24 A 25 A 26

Staf yang bertugas merancang lay out tabloid dengan menggunakan pola desain yang sudah ada. Artistik tidak boleh menggunakkan template lay out. Selain itu dalam tim artistik biasanya ada satu orang bertugas sebagai ilustrator. Hampir semua anggota tim artistik memiliki kemampuan membuat ilustrasi karena background pendidikan umumnya dari jurusan desain grafis.

Staf

Dokumentasi 2 A 27A 28 Staf kepustakaan data yang tugas utamanya menyediakan foto,gambar, data historis atau literatur untuk keperluan penulisan reporter.

Supporting 1 A 29 Memiliki kewajiban mengatur kinerja perusahaan yang berurusan

dengan koordinasi antara bidang manajemen sumber daya manusia, keamanan, TI, Anggaran, dan Pracetak yang ada di PT. IMT.

Anggaran 1 A 30 Memiliki kewajiban mengatur anggaran kerja dan operasional PT.

IMT selain melakukan dokumentasi keuangan perusahaan layaknya pekerjaan pada bagian keuangan pada umumnya.

SDM dan

Umum 5 A 31A 32

A 33 A 34 A 35

Bertanggung jawab untuk pengelolaan sumber daya manusia.

Pra Cetak 2 A 36

A 37 Bertugas mencetak atau mentranformasikan hasil lay out tim artistik kedalam bentuk film siap cetak.

Keamanan 4 A 38

A 39 A 40 A 41

Bertugas jaga bergantian shift dengan pola 12/24.

Rumah Tangga 2 A 42

A 43 Bertugas untuk hal-hal yang menyangkut kenyamanan dan kebersihanorganisasi.

Staf TI 2 A 44

A 45 Bertugas khusus mengurusi jaringan dan sistem yang ada, sertamenangani media online.

(20)

Waktu Kerja

PT. IMT memiliki 3 waktu kerja berbeda:

1.

Staff Redaksi kecuali pemimpin redaksi umumnya memiliki waktu kerja relatif fleksibel. Tidak ada kewajiban harus datang jam tertentu asalkan tidak menyebabkan tulisan melewati deadline yang jatuh pada pukul 3 sore setiap harinya. Konsep uang lembur baru dikenakan bila kerja melewati jam 12 malam.

2.

Satuan Pengamanan bekerja secara 24 jam selama 7 hari kerja tanpa kenal libur menjaga keamanan kantor yang berada di daerah rawan maling karena posisinya di samping jalan raya, Jl. Panjang, Jakarta Barat. Ketentuan libur dirotasikan dengan pembagian shift 2 kali dalam sehari. Tidak ada libur hari besar dan minggu kecuali ada kebijakan khusus dari Pimpinan Keamanan.

3.

Karyawan dari Divisi Pengembangan Bisnis dan Supporting memiliki waktu kerja yang umum berlaku, yakni pukul 9 hingga pukul 5 sore. Staf promosi dan iklan memiliki perkecualian jam kerja karena bila sedang ada event tertentu (seperti nonton bola bareng di cafe) yang berhubungan dengan sosialisasi citra produk bisa jadi jam kerjanya bertambah secara tidak menentu.

(21)

2.4 Proses Bisnis Utama Organisasi

Proses bisnis utama organisasi dapat dilihat pada gambar di bawah ini. Gambar 4

Work Flow Proses Bisnis Utama

Staf Redaksi

Redaktur Pelak sana Mencari dan menulis berita Templete awal Edit berita Staf D okumentasi Mencari referensi pendukung berit a Staf Artistik Merancang lay-out

Pemimpin Redaksi Staf Pra-Cetak

Templete _{Mem buat film} Film Perc etakan Rapat Redak si

Merum uskan cont ent dan layout terbitan

Notulensi rapat

2.5 Aplikasi Organisasi

Organization – Computer Interaction Patterns

Tabel 4

Pola Penggunaan Komputer Dalam Organisasi N o Status Jumla h Kod e

Pola Penggunaan Komputer Alokasi PC 1 Pemimpin

Perusahaan

1 A 01 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer.

-2 Pemimpin Umum

1 A 02 Dengan menggunakan notebook pribadi, menulis dan mengedit tulisan dengan aplikasi MSWord dan mengakses internet dengan aplikasi internet explorer.

(22)

-3 Pengembangan Bisnis

1 A 03 Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit business plan dan proposal dengan aplikasi MSWord dan internet explorer.

1

4 Sirkulasi 2 A 04

A 05

Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan sirkulasi majalah dengan aplikasi MSExel dan akses internet dengan aplikasi internet explorer.

1

5 Promosi 2 A 06

A 07

Dengan menggunakan PC milik perusahaan difasilitasi untuk menulis dan mengedit laporan yang berkaitan dengan promosi majalah ke media lain dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer.

1

6 Iklan 3 A 08

A 09 A 10

Menulis dan mengedit laporan atau penawaran pemasangan iklan kepada klien dengan aplikasi MSWord, MSExcell dan akses internet dengan aplikasi internet explorer.

1

7 Pemimpin Redaksi

1 A 11 Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer.

1

8 Redaktur

Pelaksana 1 A 12 Menulis dan mengedit tulisan yang telahdibuat oleh redaksi dengan aplikasi MSWord dan internet explorer.

1

9 Sekretariat 2 A 13

A 14

Menulis dan mengedit surat dengan aplikasi MSWord dan akses internet dengan aplikasi internet explorer.

1 10 Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A 21

Menulis dan mengedit tulisan yang telah dibuat oleh redaksi dengan aplikasi MSWord dan internet explorer.

7 11 Staf Artistik 5 A 22 A 23 A 24 A 25 A 26

Merancang tampilan dan susunan dalam majalah, dengan aplikasi :

PageMaker. MacOS. Freehand. Photoshop.

Internet explorer, untuk akses internet.

3

12 Staf

Dokumentasi

2 A 27

A 28

Menulis dan mengedit tulisan, membuat index terbitan dan referensi dengan aplikasi MSWord, internet explorer dan Winisis (database perpustakaan).

1

13 Supporting 1 A 29 Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer.

(23)

14 Anggaran 1 A 30 Menulis dan mengedit laporan keuangan dan rencna anggaran tahunan dengan aplikasi MSExell dan akses internet.

1 15 SDM dan Umum 5 A 31 A 32 A 33 A 34 A 35

Menulis dan mengedit tulisan dengan aplikasi MSWord dan internet explorer.

3

16 Pra Cetak 2 A 36

A 37

Merancang tampilan dan susunan dalam majalah yang siap cetak, dengan aplikasi : PageMaker. MacOS. Internet explorer. 2 17 Keamanan 4 A 38 A 39 A 40 A 41 Internet explorer. -18 Rumah Tangga 2 A 42 A 43 Internet explorer. -19 Staf TI 2 A 44

A 45 MSWord.Internet explorer. 2

Komponen Perangkat Keras Komponen Jumlah File Server 1 Web Server 1 Firewall 1 Router 1 Modem 1 Hub 1 Printer 4 Scanner 1 Fax 1 PC 27 Plotter 1

Komponen Perangkat Lunak

Komponen Keterangan

File Server OS Windows Server 2000 Web Server

OS

(24)

Infrasturktur Jaringan Staf Redaksi Redaktur Pelaksana ID C Server 2 Pemimpin Redaksi Staf Dokumentasi

Staf Artistik Sekretariat Staf TI

ID C Server 1 Internet Firewall Firewall Content editing News editing Layout editing Router Layout News

Source related to news

Pra Cetak Design and graphics

(25)

Denah ruangan Denah Lantai I Pra Cetak Pemimpin Redaksi Dokumentasi Redaksi Sekretariat Satpam dan Rumah tangga (Resepsionis) Rapat Redaksi DENAH LANTAI I Tangga

(26)

Denah Lantai II

2.6 Security Check List Organisasi

Check List Description

Physical and Environmental Security

PC location Tidak ada penempatan atau pengaturan ruang secara khusus terhadap PC. Semua anggota organisasi menggunakan komputer, tanpa ada alokasi khusus, tiap pengguna dapt

menggunakan komputer manapun selama tidak sedang digunakan. Pengguna sering merokok sementara menggunakan komputer.

Printer location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Scanner location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Fax location Diletakkan ditengah ruangan agar mudah dijangkau oleh seluruh user. Personnel Security

Password Tidak ada penggunaan password. Kecuali pada proses pengambilan berita gambar (foto) dari situs berlangganan tertentu,akan tetapi password tersebut diketahui oleh semua user.

Certificates

-Sign aggreement -Number of authorized users

Seluruh user, tidak ada pembatasan. Bahkan SATPAM dan Office Boy sering menggunakan komputer untuk browsing di sore hari atau malam hari.

Training Tidak pernah ada pelatihan yang dilakukan untuk meningkatkan security awareness dikalangan pegawai.

Application Program and Usage Security

Printing Semua user dapat mengakses. Browser security

(27)

-Warning -PC Confoguration

OS version Tidak di up date

Browser configuration Tergantung iman dan kepercayaan. Browser version Tergantung iman dan kepercayaan. Patch / Update levels

current Tidak di up date

Virus protection and

update Tidak di up date

Firewall Diurus oleh IT maintenance. USB Port Available

Network Configuration Internet access

method Leased line di ISP.

(28)

Bab 3

Keamanan Sistem Informasi Organisasi

3.1 Security Management Practices

We will systematize the process of determining the organization's computer assets,

and the methods for establishing the required levels of protection. We will learn

how to create security-budgets for each identified reduction.

Domain Security Management Practices pada prinsipnya ditujukan guna membantu organisasi dalam merencanakan, mengorganisasikan dan mengendalikan pengguna dan penggunaan sistem informasi dalam organisasi dengan perhatian utama pada pengamanan sistem informasi. Dalam hal tersebut maka sebaiknya suatu organisasi menjalankan hal-hal sebagai berikut :

1. Melakukan identifikasi aset sistem informasi organisasi. 2. Melakukan analisa resiko terhadap sistem informasi.

3. Membuat kebijakan keamanan sistem informasi dalam organisasi. 4. Memunculkan kesadaran keamanan sistem informasi dalam organisasi.

3.1.1 Identifikasi aset sistem informasi organisasi

Mengacu kepada situasi dan kondisi sistem informasi yang ada dalam organisasi dapat diidentifikasi hal-hal sebagai berikut :

Criteria Classification

Aset sistem

(29)

Data dan informasi Buku

referensi Bernilai pentingsebagai referensi pendukung kredibilitas berita. Timeless, karena referensi selalu terpakai karena pengungkapan fakta historikal dalam berita dan digunakkan sebagai pendukung artikel feature. Referensi tetap bernilai tinggi meskipun ada penambahan data baru. - Company confidential Data

gambar Bernilai pentingsebagai referensi pendukung kredibilitas berita dan berlangganan pada vendor dengan nilai kontrak sangat mahal..

Hanya hingga saat

naik cetak. Data gambartetap bernilai tinggi meskipun ada penambahan data baru. - Company confidential Hasil rapat redaksi Bernilai penting sebagai kunci isi materi penerbitan setiap minggu.

Hanya hingga saat naik cetak. Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Company confidential Data tulisan edisi Bernilai penting sebagai isi materi berita baik hard news maupun feature setiap minggunya.

Hanya hingga saat naik cetak. Hanya hingga naik cetak. Berikutnya menjadi bagian dari referensi. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Company confidential Film untuk

naik cetak Bernilai pentingsebagai materi penerbitan yang siap dicetak setiap minggu.

Hanya hingga saat

naik cetak. Hanya hingganaik cetak. Berikutnya menjadi bagian dari referensi. Akumulasi ide redaksi dalam rapat yang sangat penting untuk penerbitan. Company confidential Hardware

Faximile Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Sepanjang bisa

digunakkan. Sepanjang bisadigunakkan.

-

Internal use only

Telepon Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Sepanjang bisa

-

Internal use only

Printer Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Sepanjang bisa digunakkan. Sepanjang bisa digunakkan.

(30)

Scanner Bernilai sebagai sarana komunikasi dan hanya digunakkan untuk kepentingan bisnis saja. Sepanjang bisa

-

Internal use only

PC Bernilai sebagai sarana komunikasi dan boleh digunakkan diluar kepentingan bisnis. Sepanjang bisa

-

Internal use only

Tabel berikut ini merupakan identifikasi aset sistem informasi dari organisasi berdasarkan role dari para stakeholder.

Aset sistem informasi Owner Custodian User

Data dan informasi

Buku referensi Pemilik perusahaan Dokumentasi Pemred, Redpel, dan Reporter. Data gambar Pemilik perusahaan Dokumentasi Pemred, Redpel, Artistik dan Reporter. Hasil rapat redaksi Pemilik perusahaan Sekretariat Pemred, Redpel, dan Reporter. Data tulisan edisi Pemilik perusahaan Redaksi Pemred, Redpel, dan Reporter.

Film untuk naik cetak Pemilik perusahaan Pra cetak Redpel, Artistik, Percetakan dan Reporter. Hardware

Faximile Pemilik perusahaan Sekretariat Semua stakeholder

Telepon Pemilik perusahaan Sekretariat Semua stakeholder

Printer Pemilik perusahaan Sekretariat Semua stakeholder

Scanner Pemilik perusahaan Sekretariat Semua stakeholder

PC Pemilik perusahaan Masing-masing

stakeholder Masing-masing stakeholder

Server Pemilik perusahaan Masing-masing

stakeholder Masing-masing stakeholder

3.1.2 Manajemen resiko

Ancaman yang terindentifikasi terjadi di lingkungan organisasi tercantum seperti di bawah ini :

Ancaman Dampak Kerugian

Data classification Virus menjadi masalah bagi PT. IMT karena masih ada penggunaan disket sebagai media pertukaran file.

Dalam seminggu minimal terjadi 3 (tiga) unit PC terinfeksi.  Data rusak.  Data hilang.  Pengulangan penulisan berita sehingga menyebabkan lembur. Information warefare - -

(31)

-Personnel Anti Virus jarang diupdate

oleh pengguna PC. Anti virus menjadi mandulsetiap saat. _ Data rusak._{Data hilang.}  Pengulangan

penulisan berita sehingga

menyebabkan lembur. Staf redaksi memformat

komputer rekan kerja yang dibencinya.

Satu kali terjadi  Data hilang.  Pengulangan

pengumpulan data tulisan yang akan diterbitkan.

Application / operational - -

-Criminal Personel melakukan

pembobolan aset (gambar). Jarang terjadi. Kompetitor

Pencurian hardware. Satu kali terjadi Proses kerja menjadi tidak berjalan sebagaimana adanya.

Environmental Gangguan listrik. Setahun 2 kali. Proses kerja menjadi tidak

berjalan sebagaimana adanya.

Computer infrastructure Gangguan hardisk server. Rata-rata terjadi 2 minggu

sekali Proses kerja menjadi tidakberjalan sebagaimana adanya.

OS redaksi hang Hampir tiap hari terjadi Proses kerja menjadi tidak berjalan sebagaimana adanya.

Delayed processing - -

-Kerusakan software yang terjadi sering disebabkan oleh virus, meskipun sudah disediakan antivirus yang terbaru, hal tersebut terkadang tidak dapat mencegah terjadinya serangan virus. Jika hanya menimpa beberapa aplikasi, penanggulangan diserahkan pada tanggung jawab masing-masing pengguna agar berhati-hati dalam berbagi informasi. Namun jika menyebabkan kerusakan total sistem operasi dan aplikasi, penanggulangan diserahkan untuk diisolasi dan diservis. Antisipasi lain yang dijalankan adalah dengan penyediaan aplikasi antivirus terkini. Setiap kali ada informasi tentang adanya aplikasi terkini untuk mendeteksi virus, administrator akan berusaha untuk menyediakan aplikasi tersebut.

3.1.3 Kebijakan keamanan sistem informasi

Kebijakan keamanan sistem informasi pada organisasi tidak dirumuskan secara tertulis. Sehingga apabila terjadi suatu hal yang menggangu sistem sering kali terjadi saling menyalahkan. Untuk

(32)

itu perlu dibuat kebijakan yang paling tidak mengatur secara tegas perang dan kewajiban para stakeholder, seperti tercantum dibawah ini :

N

o Status Jumlah Kode Roles and responsibilities

1 Pemimpin

Perusahaan

1 A 01 Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general.

2 Pemimpin Umum 1 A 02 Bertanggung jawab terhadap masalah dan perumusan kebijakan keamanan kantor secara general.

3 Pengembangan

Bisnis 1 A 03 Bertanggung jawab terhadap masalah keamanan kantor di unitPengembangan Bisnis saja.

4 Sirkulasi 2 A 04

A 05

Bertanggung jawab terhadap masalah keamanan kantor di unit Sirkulasi saja.

5 Promosi 2 A 06

A 07 Bertanggung jawab terhadap masalah keamanan kantor di unitPromosi saja.

6 Iklan 3 A 08

A 09 A 10

Bertanggung jawab terhadap masalah keamanan kantor di unit Iklan saja.

7 Pemimpin Redaksi 1 A 11 Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja.

8 Redaktur Pelaksana 1 A 12 Bertanggung jawab terhadap masalah keamanan kantor di unit Redaksi saja.

A 14 Melaksanakan kebijakan yang sudah ditetapkan.

10 Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A 21

Melaksanakan kebijakan yang sudah ditetapkan.

11 Staf Artistik 5 A 22

A 23 A 24 A 25 A 26

12 Staf Dokumentasi 2 A 27

A 28

Melaksanakan kebijakan yang sudah ditetapkan. 13 Supporting 1 A 29 Melaksanakan kebijakan yang sudah ditetapkan.

14 Anggaran 1 A 30 Melaksanakan kebijakan yang sudah ditetapkan.

15 SDM dan Umum 5 A 31

A 32 A 33 A 34 A 35

16 Pra Cetak 2 A 36

A 37

17 Keamanan 4 A 38

A 39 A 40 A 41

18 Rumah Tangga 2 A 42

A 43

19 Staf TI 2 A 44

(33)

3.1.4 Kesadaran keamanan sistem informasi organisasi

Selama ini organisasi hanya menekankan pada pentingnya keamanan lokasi dari pencurian (kejahatan konvensional). Sehingga kesadaran akan keamanan hanya ditekankan pada anggota satuan pengamanan dengan disertakannya meraka pada pelatihan keamanan untuk SATPAM. Hal ini berakibat masalah keamanan pada sistem informasi kurang tertangani mengingat bahwa ancaman yang teraktualisasi tidak dapat sepenuhnya diatasi dengan cara pelatihan tersebut.

Kesadaran akan keamanan sistem informasi sebaiknya dilakukan dengan cara :

1. Mengikutsertakan pemilik perusahaan dan kepala-kepala bagian dalam pelatihan keamanan sistem informasi.

2. Mengikutsertakan staf IT dalam pelatihan keamanan sistem informasi tingkat lanjut. 3. Membuat remainder bagi para user agar peduli dengan masalah keamanan sistem informasi.

3.2 Access Control Systems

Akses ke sistem informasi saat ini belum dilakukan dengan baik. Terbukti bahwa ada beberapa stakeholder yang sebenarnya tidak berkaitan langsung dengan PC, justru dapat menggunakan PC dengan leluasa. Satpam dan officeboy dapat mengakses internet tanpa ada teguran dan sudah dianggap biasa. Untuk itu yang perlu dilakukan adalah :

(34)

2. Mengaktifkan ID Card sebagai kendali akses ke dalam lokasi organisasi yang pengawasannya dilakukan oleh Satpam dan staf IT.

3. Membuat daftar akses kendali bagi setiap stakeholder dalam memanfaatkan sumber daya sistem informasi.

Aplikasi yang digunakan untuk koneksi terhadap internet adalah internet explorer. Perusahaan tidak memiliki web server oleh karena itu email hanya dapat diakses secara bebas menggunakan fasilitas email free dari situs-situs yang menawarkan. Perusahaan belum melakukan ekspansi usahanya melalui internet. Koneksi terhadap internet pun dilakukan secara dial-up, sehingga hanya pengguna-pengguna tertentu yang diberikan hak ases untuk dapat menggunakan fasilitas internet. Penggunaan fasilitas ini pun dibatasi, sekedar untuk menerima dan mengirimkan laporan kepada direksi atau komisaris. Tanggung jawab pengawasan dan pengontrolan penggunaan internet dibebankan kepada staf TI dan Pemimpin Redaksi. Biasanya pengguna diberikan hak untuk mengakses internet secara bebas akrena menggunakkan leased line/ cable.

Pengaksesan internet dilakukan hanya melalui server utama dengan otoritas dari Pemimpin Redaksi/ staf TI. Jika Pemimpin Redaksi berhalangan kerja (cuti, ijin, sakit dll.), tanggung jawab akan diserahkan pada salah satu staf redaksi. Staf TI berkewajiban memantau akses pengguna secara berkala. Jika terdapat situs-situs yang tidak bermanfaat diakses oleh pengguna, pengguna akan diberi peringatan dan sanksi. Sanksi dapat berupa penyetopan hak akses untuk jangka waktu tertentu.

N o

Status Jumlah Kode Akses ke sistem informasi

1 Pemimpin

Perusahaan 1 A 01 Full access.

2 Pemimpin Umum 1 A 02 Full access.

3 Pengembangan

(35)

4 Sirkulasi 2 A 04

A 05 Akses ke keuangan.

5 Promosi 2 A 06

A 07 Akses ke keuangan dan berbagi data ke bagian iklan.

6 Iklan 3 A 08

A 09 A 10

Akses ke keuangan dan berbagi data ke bagian promosi.

7 Pemimpin Redaksi 1 A 11 Full access.

8 Redaktur Pelaksana 1 A 12 Akses data distribusi, iklan dan redaksi

A 14 Akses data redaksi

10 Staf Redaksi 7 A 15 A 16 A 17 A 18 A 19 A 20 A 21

Akses data redaksi

11 Staf Artistik 5 A 22

A 23 A 24 A 25 A 26

Akses data redaksi

12 Staf Dokumentasi 2 A 27

13 Supporting 1 A 29 Akses data pendukung dan redaksi.

14 Anggaran 1 A 30 Akses data keuangan

15 SDM dan Umum 5 A 31

A 32 A 33 A 34 A 35

Akses data pegawai

16 Pra Cetak 2 A 36

17 Keamanan 4 A 38

A 39 A 40 A 41

Tidak berhak mengakses sumber daya sistem informasi.

18 Rumah Tangga 2 A 42

A 43 Tidak berhak mengakses sumber daya sistem informasi.

19 Staf TI 2 A 44

A 45 Akses ke hardware.

3.3 Telecommunications and Network Security

We will review telecommunications aspects of Network security, including

protocols, network infrastructures and network topologies. We will also look at

remote access, devices, security issues and administration

(36)

Data yang pindah tempatkan hanya film untuk cetak ukuran tabloid. Pemindahannya dilakukan secara fisik pada waktu malam hari sebelum terbit keesokan harinya. Pengamanannya dilakukan dengan pengawalan oleh tenaga satuan pengamanan.

Topologi jaringan pada Local Area Network (LAN) di bagian redaksi menggunakan topologi Star. Server ditempatkan di ruangan khusus yang digunakan bersama dengan bagian artistik dan pracetak. Penanggung jawab server dan jaringan sekaligus menjadi administrator berada di tangan Staf TI.

Dalam ruangan ini aturan keamanan diikuti secara ketat. Ruangan sangat dingin dengan adanya alat pendingin ruangan (AC) berkekuatan tinggi. Tapi perhatian terhadap keamanan kondisi fisik hardware dan jaringan kurang terjaga. Kedisiplinan dari para pengguna komputer perlu ditingkatkan agar keamanan ruangan server dari suhu dan kelembaban dapat terjaga dengan baik.

Sedangkan untuk komputer client, komputer masing-masing ditempatkan di meja para pegawai dan manajer. Sumber daya printer dipakai bersama-sama untuk semua unit dan pegawai. Server digunakan untuk menyimpan data-data seluruh materi media cetak, kecuali data-data keuangan yang disimpan secara terpisah di komputer client bagian keuangan.

Administrator tidak perlu membagi hak akses berdasarkan otoritas penggunaan karena server hanya berisi data-data metri media yang akan turun cetak dalam format pm (Pagemaker). Pada umumnya akses penghapusan data tidak diberikan, dan harus dilakukan atas persetujuan administrator.

(37)

Komputer yang digunakan untuk layout dan desainer diberikan hak akses tersendiri dan tidak dapat diakses dari komputer lainnya. Hal tersebut dilakukan agar hasil-hasil layout dan desainer tetap terjaga dengan baik. Begitu pula aplikasi yang digunakan disimpan di komputer tersebut. Aplikasi umumnya berupa aplikasi khusus bagi layout dan desainer seperti Adobe Pagemaker 7, Adobe Photoshop, aplikasi pendukung untuk scanner dan antivirus Symantec Client Antivirus.

Masing-masing client diberikan hak untuk melakukan backup data di komputer masing-masing, sedangkan backup data di server dilakukan secara berkala dengan pengkopian pada CD dan partisi hard disk lain. Spesifikasi komputer umumnya digunakan Pentium III dan Pentium IV. Sistem operasi digunakan Windows 2000 Profesional pada client, sedangkan server menggunakan Windows 2000 NT.

Instalasi jaringan menggunakan HUB atau concentrator, kabel penghubung UTP (unshielded

twisted pair) Ethernet 10BaseT, Line Card Realtek RTL 8139 Base 10100 dan konektor RJ45. Masing-masing client dapat saling berkomunikasi melalui jaringan dan diberikan hak

untuk mengakses internet. Selain itu komunikasi dilakukan pula melalui jaringan telepon internal untuk menjangkau staf lainnya yang tidak berhubungan langsung dengan komputer.

Untuk gedung administratif hanya terdapat delapan komputer (Pentium IV) yang terhubung dengan LAN dengan instalasi jaringan standar. Masing-masing komputer digunakan oleh staf anggaran, staf distribusi, promosi, iklan serta dua komputer untuk keperluan desain dan lay out bagi tim promosi dan iklan. Satu buah printer dipakai bersama-sama antar para pengguna komputer. Kelima komputer tersebut masing-masing dapat saling mengakses data dan

(38)

berbagi data. Namun bagi informasi yang bersifat kritikal (data keuangan), data hanya dapat diakses dengan memakai ID pengguna dan password khusus. Begitu pula dengan data-data

layout dan desainer dibatasi hanya bagi penggunanya.

Untuk keamanan jaringan dan kerusakan (troubles) yang terjadi diserahkan sepenuhnya pada masing-masing pengguna. Pengguna yang memiliki pengetahuan lebih terhadap komputer umumnya menjadi volunteer bagi penyelesaian kerusakan. Namun jika kerusakan tidak dapat ditangani, peralatan akan dikirimkan untuk diservis.

Komunikasi lainnya dapat digunakan melalui telepon. Namun penggunaannya menjadi tanggung jawab penuh bagian administrasi. Oleh karena ruangan perusahaan tidak begitu luas, para pegawai penerbitan melakukan komunikasi secara manual (lisan). Telepon hanya digunakan untuk menerima pemesanan dan keperluan tertentu.

3.4 Cryptography.

We will look at crypto techniques, methodologies and approaches

Mengacu kepada aset sistem informasi dan kemampuan komputesi yang ada, khususnya data yang dipertukarkan, cryptography masih belum perlu diimplementasikan. Hal ini dikarenakan data yang dipertukarkan berada dalam jaringan LAN internal organisasi.

(39)

We will examine concept models and techniques for designing and implementation

secure applications, operate systems, networks and systems.

Pada bagian ini menguraikan tentang konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan sistem yang aman. Namun pada perusahaan PT. IMT, arsitektur dan model seperti yang dimaksudkan di atas hanya bisa diidentifikasi beberapa arsitektur dan model. Arsitektur dan model yang diperoleh berupa arsitektur sistem jaringan, sistem operasi, dan aplikasi.

Arsitektur sistem jaringan baik bagian redaksi maupun administrasi keduanya memiliki arsitektur yang sama dengan topologi star. Masing-masing pengguna dapat mengakses file sistem dalam server melalui jaringan. Aktivitas yang harus dilakukan adalah pengguna wajib melakukan login untuk berinteraksi dengan jaringan. Pengguna akan diminta untuk memasukkan ID pengguna dan Password agar mendapatkan hak ases.

Keberhasilan login akan memicu sistem operasi mengenali hak-hak akses apa yang diberikan terhadap pengguna tersebut. Selanjutnya sistem operasi akan menghubungkan ke server dan seluruh jaringan yang terkoneksi. Pada PT. IMT, tingkat jaminan keamanan dikategorikan low level (proteksi lapisan bawah). Hal ini dapat dilihat dari metode pengamanan yang lebih mengarah pada pengamanan yang berfokus hardware, lebih sederhana, namun melebar dan tidak fleksibel. Oleh karena itu meskipun fungsionalitas sistem menurun, kompleksitas keamanan juga menurun namun jaminan keamanan meningkat.

Tidak ada aplikasi-aplikasi yang dibangun secara khusus untuk perusahaan layaknya vendor ERP seperti SAP ataupun Oracle, bahkan aplikasi spesifik misalnya Sistem Informasi PT. IMT.

(40)

Teknologi yang digunakan cukup mutakhir di pasaran saat ini (Pentium IV), begitu pula dengan aplikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, namun semuanya merupakan produk beli dan bukan merupakan produk yang dikembangkan secara khusus. Model keamanan relatif tergolong sederhana.

3.6 Operations Security

We will cover aspects of control, audit and monitoring that apply to systems,

personnel, information and resources.

Dalam domain operasi keamanan difokuskan pada tindakan apa saja yang menjadikan sistem beroperasi secara aman, terkendali dan terlindung. Sistem di sini dapat berupa jaringan, komputer ataupun lingkungan. Sedangkan operasional diartikan sebagai berfungsinya sistem setelah dijalankan. Adapun waktu dari operasional dapat mencakup jam atau hari berfungsinya sistem tersebut.

Pada PT. IMT, proses bisnis berlangsung hampir delapan jam sehari pada unit administratif, namun pada unit redaksi jam kerja bisa mencapai 14 jam. Kebijakan perusahaan tentang pegawainya juga diterapkan jika kerja tim redaksi telah melewati jam 12 malam. Pekerjaan akan dilanjutkan setelah jam kerja biasa dan dilakukan secara kontinyu. Biasanya pekerjaan lembur ini hanya terjadi sewaktu-waktu saja, misalnya saat penerbitan edisi khusus atau sempat terjadi masalah pada server yang mengakibatkan tim redaksi harus waspada pada kemungkinan terjadinya perubahan materi cetak akibat kerusahaan pada sistem di pra cetak.

(41)

Secara umum operasinal bisnis perusahaan umumnya dimulai sekitar pukul 8.00 dan berakhir pukul 17.00 setiap hari. Selain itu karena format bisnis perusahaan merupakan usaha media informasi maka konsep lembur sebenarnya tidak terlalu dikenal. Bila ada event tertentu (seperti nonton bola bareng di café) yang mengharuskan karyawan kerja ekstra maka tidak ada kompensasi khusus. Kompensasi hanya diberikan bila pekerja keluar kantor sesudah jam 12 malam yang ditandai dari absensi pegawai melalui mesin absensi. Frekuensi lembur lebih umum terjadi pada staf redaksi saja. Pada bagian administratif hal tersebut jarang terjadi, sebab proses kerja relatif sama dengan kantor-kantor lainnya.

Gangguan yang sering muncul dalam jaringan adalah berasal dari virus atau kerusakan secara fisik karena arus pendek listrik dan petir. Virus umumnya menyebar melalui jaringan yang terkoneksi ke internet. Sekalipun akses internet tidak ada pembatasan dan digunakan untuk mengakses email atau informasi, gangguan yang disebabkan oleh hacker atau cracker belum pernah terjadi.

Sesuai dengan aturan ketenagakerjaan, pegawai diberikan hak cuti setiap tahunnya kecuali bagi karyawan kontrak. Diharapkan cuti tersebut dapat mengurangi problem demoralisasi dan bisa mengembalikan kesegaran mental dan moral pegawai yang mengalami kejenuhan. Cuti paling lama dua minggu atau 12 hari kerja, tidak termasuk hari libur, sabtu dan minggu. Cuti tidak dapat diambil sekaligus karena tuntutan terbit seminggu sekali. Pelaksanaan cuti diatur sesuai kebijakan yang sudah diterbitkan perusahaan. Bagi pegawai yang melakukan cuti, pekerjaan dilimpahkan kepada rekannya dengan koordinasi terlebih dahulu dengan pemimpin redaksi atau redaktur pelaksana.

(42)

Bagi keamanan lingkungan, dikarenakan lokasi bagian percetakan cukup luas, ditugaskan petugas keamanan atau Satpam selama 24 jam dengan dua kali shif kerja. Satpam yang bertugas pagi mulai pukul 7.00 sampai pukul 19.00 malam, berikutnya digantikan oleh satpam yang bertugas malam mulai pukul 19.00 sampai pukul 7.00 pagi. Tugas pagi dan malam dilakukan secara bergiliran selama satu minggu. Meskipun hari libur, satpam tetap bertugas sesuai dengan jadwalnya. Setiap bulannya satpam diberikan pengarahan dari manajer administrasi untuk menanggulangi berbagai kemungkinan ancaman dan kerawanan.

3.7 Applications and Systems Development.

We will look at system development lifecycles, change-control management and

operating system security components. Included in this domain are elements of

Quality assurance and the CMM.

Aplikasi pada umumnya tidak dibangun secara spesifik karena kebutuhan penerbitan hanya pada aplikasi untuk keperluan desain lay out dan penulisan. Aplikasi-aplikasi tersebut sudah sangat spesifik dan tersedia secara luas di pasaran. Aplikasi didapatkan dengan metode membeli original product. Begitu pula dengan aplikasi lainnya seperti perkantoran (office automation system) dan sistem operasi.

Organisasi ini tidak mengembangkan perangkat lunak yang

dikhususkan untuk digunakkan mendukung proses bisnis. A

plikasi-aplikasi word processor, spreadsheet, desainer dan ilustrator, semuanya merupakan produk beli yang dijual bebas di pasaran. Yang dilakukan oleh organisasi saat ini adalah tinggal meng-update patch terbaru.

(43)

Here we look at the capability of an organization to maintain its activities despite

interruptions. This domain also looks at Risk Assessment for the requirements of

BCP and implementation of adequate countermeasures and controls.

Pada umumnya hardware dan software akan mengalami gangguan. Gangguan muncul biasanya berupa virus atau kerusakan komputer. Umumnya yang sering terkena adalah hub dan switch penghubung jaringan. Tidak sedikit pula menyerang hardware. Jika terjadi demikian, secara total hardware akan diservis bahkan diganti, namun untuk hardisk akan dicoba untuk diselamatkan. Antisipasi untuk menangkal serang petir adalah dengan pemasangan penangkal petir. Namun meskipun penangkal petir sudah terpasang, hal tersebut tidak dapat mencegah secara total ancaman petir. Sehingga BCP menjadi penting untuk dibuat agar proses bisnis organisasi dapat berjalan meskipun terjadi gangguan.

Organisasi belum mempunyai BCP, sehingga yang perlu dilakukan, dengan mengacu pada kemungkinan terjadinya gangguan, adalah :

1. Bekerja sama dengan pengelola gedung dalam membuat blue print BCP, khususnya terhadap aspek gangguan yang umum terjadi terhadap gedung, seperti kebakaran dan gangguan listrik. 2. Mempersiapkan UPS untuk setiap sumber daya sistem informasi yang menggunakan tenaga

listrik.

3. Staf IT harus selalu melakukan up date anti virus, menjalankan back up secara rutin pada partisi hard disk server.

4. User harus dilibatkan dalam kegiatan BCP, termasuk agar berinisiatif untuk menggunakan komputer dengan “sehat”, dan rajin membuat back up di PC masing-masing.

(44)

We will investigate computer crimes, and the laws and regulations which apply to

these particular crimes. We will also look at evolving technologies in forensics,

which dictate the appropriate techniques for investigation, preservation of collected

information, protection of affected systems, and prosecution requirements.

Beberapa ancaman sistem informasi organisasi muncul dari lingkungan dalam organisasi sendiri. Untuk itu perlu disosialisasikan beberapa prinsip etik penggunaan komputer di lingkungan kerja, seperti misalnya :

1. Tidak boleh menggunakan komputer untuk membahayakan orang/ pihak lain.

2. Tidak boleh melakukan gangguan terhadap kerja komputer orang/ pihak lain.

3. Tidak boleh menyadap file milik orang/ pihak lain.

4. Tidak boleh menggunakkan komputer untuk pencurian.

5. Tidak boleh menggunakkan komputer untuk memberikan kesaksian palsu.

6. Tidak boleh menyalin/ membajak atau menggunakkan software propietary tanpa

membayar.

7. Tidak boleh menggunakkan komputer orang/ pihak lain tanpa otorisasi atau

kompensasi.

8. Tidak boleh mengganggu hak intelektual orang/ pihak lain.

9. Harus berpikir tentang konsekwensi sosial dari program atau sistem yang dirancang.

10. Harus menggunakkan komputer sebagaimana adanya sesuai konsiderasi yang ada dan

menghormati sesama manusia.

5

Selain itu juga organisasi harus tetap mengacu kepada peraturan yang ada, seperti :

(45)

1. Kode Etik Jurnalistik. 2. Kitab UU Hukum Pidana. 3. UU Telekomunikasi. 3.10 Physical Security.

Here we consider physical property and assets, and which threats and

vulnerabilities are involved. We will also look at physical access controls.

Secara fisik keamanan dijaga 24 jam penuh oleh satuan pengaman. SATPAM bertanggung jawab menjaga aset fisik berupa peralatan produksi (mesin-mesin pracetak), peralatan kantor (meja, kursi, komputer, lemari dan sebagainya), sarana dan prasarana (bangunan, instalasi PDAM, listrik, telepon, kendaraan dll.). Selain itu SATPAM juga menjaga keamanan lingkungan dari gangguan fisik seperti kebakaran, pencurian dan lain-lain. SATPAM bertanggung jawab memegang kunci cadangan dari seluruh ruangan. Kunci-kunci tersebut disimpan pada tempat khusus, untuk memudahkan akses pengamanan jika terjadi sesuatu yang mencurigakan.

Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam. Dalam melakukan tugasnya SATPAM harus mencatat kejadian-kejadian yang dialami. SATPAM memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai seluruh staf. SATPAM harus segera melaporkan jika terjadi hal-hal yang mencurigakan seperti kabel yang tidak rapi sehingga menimbulkan percikan api, lampu-lampu yang tidak berfungsi lagi (padam), pagar yang mulai rusak dll.

(46)

Penanggulangan bencana seperti kebakaran SATPAM bergabung dengan organisasi pemadam kebakaran. Organisasi ini akan memberikan pelatihan teknik-teknik pemadaman api secara efektif dan cepat. Jika kebakaran tidak dapat ditolerir dan dikhawatirkan mengganggu lingkungan sekitarnya, SATPAM diwajibkan melaporkan kejadian kebakaran tersebut.

(47)

Bab 4 Penutup

Beberapa domain dari proteksi dan teknik keamanan sistem informasi memerlukan perhatian khusus agar data dan informasi dapat diakses sesuai dengan kebutuhan, terhindar dari berbagai bencana, ancaman dan kerawanan keamanan. Penekanan utama seharusnya terletak pada akses kontrol yang melibatkan administrator ataupun manajer yang menuntut kemampuan mengelola hak-hak dan peran pengguna dalam memanfaatkan data serta informasi penting perusahaan. Keamanan baik dalam masalah telekomunikasi maupun jaringan sangat mendukung ketersediaan data dan informasi. Apalagi PT. IMT memiliki kebijakan dan prosedur yang mengatur tentang hak-hak dan peranan para pegawai.

Selain itu beban tugas staf TI ataupun redaksi pelaksana pada perusahaan ini sangatlah berat. Keduanya dituntut kemampuannya dalam mengelola praktik keamanan seperti pengklasifikasian data dan file-file, kebijakan, prosedur, standar dan panduan, resiko manajemen dan keamanan personel di samping tugas pokoknya mengelola produksi berita dan informasi. Aplikasi yang dimiliki umumnya berupa aplikasi khusus untuk penulisan, dan perancangan tata letak tampilan (Microsoft Word, Adobe Photosop,Coreldraw, Page Maker dll.). Sedangkan pengembangan aplikasi secara spesifik bagi keperluan organisasi belum pernah dilakukan.

Bagi keamanan fisik, PT. IMT menempatkan dua SATPAM yang berjaga silih berganti pagi

dan malam. Mereka bertugas mengawasi dan mencegah gangguan keamanan ataupun bencana dan kerawanan. Pengawasan dan kontol yang ketat difokuskan pada lokasi dokumentasi dan redkasi sebab di tempat tersebut disimpan materi-materi yang bersifat

(48)

confidential. Untuk selalu menjaga kewaspadaan, SATPAM diikutsertakan dalam kegiatan pelatihan keamanan.

Berdasarkan hasil analisis masih terdapat adanya kelemahan dalam hal proteksi dan teknik

keamanan sistem informasi pada PT. IMT. Kelemahan tersebut di antaranya masih kurangnya

pengawasan staf TI terhadap kelayakan ruangan penyimpanan server dan perilaku staf artistik yang bekerja pada ruangan tersebut. Selain itu perlunya peningkatan keamanan dalam pengelolaan data dan informasi (hardware dan software) dikarenakan lokasi di Jakarta Barat yang sering mengalami cuaca buruk seperti hujan besar yang umumnya disertai dengan banjir.

(49)

Daftar Bacaan

http://www.depkop.go.id/index.php?option=com_glossary&func=display&letter=U&Itemid=0& catid=197&page=1, diakses tanggal 20 Mei 2005 pukul 18.50.

Pasar untuk Penyediaan BDS Komersil bagi Usaha Kecil dan Menengah - Laporan Ikhtisar,

www.red.or.id/misc/i_BDSMarket_RED.pdf, diakses tanggal 24 Mei 2005, pukul 13.50. Eric Maiwald, Fundamentals of Network Security, McGraw-Hill Inc., 2004, page 4. Whitten et al, “System Analysis and Design Methods”, p.22, McGraw-Hill, 2004.