TUGAS MATA KULIAH

PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

PERUSAHAAN AGEN PROPERTI

PT. GRIYA MEDIA

Disusun oleh :

Andreas

Fobi

7203012025

Ign. Rudy Harjono

7203012076

Irman Triharyanto

7203012114

MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER

UNIVERSITAS INDONESIA 2005

DAFTAR ISI

DAFTAR ISI……… 2 DAFTAR GAMBAR... 3 DAFTAR TABEL... 4 BAB I. PENDAHULUAN……….. 5 1.1. Latar Belakang………. 5 1.2. Tujuan……… 6 1.3. Profil Perusahaan………... 6

BAB II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI………17

2.1. Security Management Practices………. 17

2.2. Access Control Systems and Methodology……… 31

2.3. Telecommunication and Network Security……… 33

2.4. Cryptography………..34

2.5. Security Architecture and Models……….. 36

2.6. Operations Security………. 38

2.7. Application and Systems Development Security………. 39

2.8. Disaster Recovery and Bussiness Continuity Plan………. 40

2.9. Laws, Investigations and Ethics………. 41

2.10. Physical Security………. 43

2.11. Auditing………. 45

BAB III. KESIMPULAN………. 48

DAFTAR GAMBAR

Gambar 1.1. Struktur Organisasi PT. Griya Media...8

Gambar 1.2. Topologi Jaringan Kantor Pusat...12

Gambar 1.3. Topologi Jaringan Kantor Cabang...12

Gambar 1.4. Lay-out Ruangan Kantor Pusat...13

DAFTAR TABEL

Tabel 1.1. Personil PT. Griya Media...10 Tabel 2.1. Daftar Aset Non Fisik...24 Tabel 2.2. Daftar Ancaman terhadap Aset Fisik Perusahaan...25 Tabel 2.3. Daftar Ancaman terhadap Aset Teknologi Informasi Perusahaan.27 Tabel 2.4. Daftar Hasil Analisa Resiko Kuantitatif...29 Tabel 2.5. Daftar Akses yang Diperbolehkan...32 Tabel 2.6. Daftar Wewenang Staf...37

BAB I

PENDAHULUAN

1.1. LATAR BELAKANG

Rumah adalah merupakan salah satu kebutuhan primer yang perlu kita penuhi. Untuk memenuhi kebutuhan tersebut diatas, setiap tahunnya, khususnya di Jakarta banyak dibangun rumah-rumah baru yang mempunyai bentuk dan harga bervariasi. Umumnya lokasi rumah-rumah tersebut teletak dikawasan pinggiran kota atau sekitar Bogor Tangerang, Bekasi karena disana masih terdapat lahan yang memungkinkan untuk kawasan perumahan. Namun seiring dengan era globalisasi, kebiasaan tinggal di apartemen mulai diperkenalkan di kota-kota besar di Indonesia. Saat ini banyak dibangun apartemen-apartemen baru di Jakarta guna memenuhi kebutuhan tempat tinggal bagi keluarga keluarga yang membutuhkan.

Ada 2 macam tipe properti yang dipasarkan di masyarakat yaitu properti untuk pasar primer dan pasar sekunder. Properti untuk pasar primer adalah properti yang benar-benar baru dibangun dari awal seperti terdapat di kawasan perumahan dan apartemen baru. Sedangkan pasar sekunder adalah properti yang sudah dimiliki seseorang kemudian dijual kepada orang lain atau lebih sering dikenal dengan istilah second hand. Kedua tipe properti tersebut masing-masing mempunyai kelompok konsumen tersendiri .

Dalam rangka memiliki tempat tinggal yang diinginkan, konsumen perlu mengetahui lebih dulu kebutuhan dan anggaran yang diperlukan dalam membeli properti tersebut. Setelah itu baru mengalokasikan waktunya untuk melakukan pencarian, pembelian, serta pengurusan jual beli properti yang diminatinya. Namun sayang, kadang-kadang mereka tidak mempunyai banyak waktu untuk melakukan hal tersebut seperti karena kesibukannya. Oleh sebab itu berdirilah agen-agen properti yang

bertugas memasarkan properti kepada konsumen baik itu untuk pasar primer maupun pasar sekunder. Secara garis besar agen properti adalah mediator antara penjual dan pembeli properti serta memberikan bantuan kepada penjual/pembeli baik dalam bentuk konsultasi maupun dalam pengurusan akta jual beli properti.

1.2. TUJUAN

Tujuan penulisan makalah ini adalah untuk membahas sebelas domain sistem keamanan informasi pada sebuah perusahaan agen properti yang ada di Jakarta yaitu PT. Griya Media. Kesebelas domain itu adalah sbb:

1. Security Management Practices

2. Access Control System & Methodology 3. Telecommunications & Network Security 4. Cryptography

5. Security & Architecture Models 6. Operations Security

7. Application & System Development Security 8. Disaster Recovery & Business Continuity Plan 9. Laws, Investigations & Ethics

10. Physical Security 11. Auditing

1.3. PROFIL PERUSAHAAN 1.3.1 Tujuan Pendirian Perusahaan

PT. Griya Media adalah sebuah perusahaan agen properti lokal yang berdiri pada tahun 2000 dan berlokasi di Jakarta. Didirikan oleh perseorangan / individu yang mempunyai perhatian terhadap perkembangan properti di Jakarta yang semakin meningkat, serta bertujuan untuk membantu masyarakat /organisasi dalam memasarkan propertinya, memberikan kemudahan kepada pembeli untuk menentukan

properti yang cocok baginya, serta membantu dalam pengurusan jual beli antar kedua belah pihak.

1.3.2 Informasi Perusahaan

Perusahaan ini didirikan dengan modal awal Rp 500,000,000 ,- dan dipimpin oleh seorang direktur utama serta mempunyai 2 bagian yang masing-masing dipimpin oleh seorang manager. Kedua bagian tersebut adalah Departemen Umum, dan Departemen Marketing. Pada saat perusahaan ini didirikan, jumlah pegawai/stafnya sebanyak 15 orang. Seiring dengan perkembangan properti yang ada saat ini serta meningkatnya pendapatan perusahaan maka jumlah pegawainya bertambah menjadi 60 orang. Perusahaan ini mempunyai kantor pusat di Jakarta Pusat dan kantor cabang di Jakarta Barat, Jakarta Selatan, Jakarta Timur, dan Jakarta Utara.

1.3.3 Sistem Kerja dan Penggajian

Staf administrasi, keuangan, teknik, dan marketing bekerja 8 jam sehari dari pukul 08.00 sampai 17.00 selama 6 hari seminggu, sedangkan khusus hari Minggu terdapat staf marketing yang bergiliran masuk kantor karena pada saat tersebut banyak customer yang mencari atau menawarkan propertinya. Satpam bekerja 2 shift perhari yakni dari pukul 07.00 sampai 18.00 dan 18.00 sampai 07.00. Untuk sistem penggajian, karyawan diluar staf marketing mendapat gaji pokok yang besarnya tertentu tergantung pada jabatan yang bersangkutan. Untuk staf marketing, hanya mendapat gaji dari hasil komisi penjualan properti yang dilakukannya. Besarnya komisi mengacu kepada standar yang ada atau sesuai permintaan penjual sebelumnya /sudah ditetapkan penjual dan itu biasanya terdapat dalam surat perjanjian pemasaran properti.

1.3.4 Cara Pemasaran Properti

Untuk mendapatkan properti yang akan dijual, bagian marketing melakukan kerjasama dengan berbagai developer perumahan atau apartemen untuk pasar primer, dan melakukan pencarian iklan properti disuratkabar atau langsung dilokasi seputaran kantor mereka untuk pasar sekunder. Sedangkan dalam memasarkan properti, perusahaan tersebut memasang iklan baris disuratkabar, menyebarkan selebaran, mencetak tiap 2 bulan sekali semacam buletin yang khusus berisi properti-properti yang dijual, serta melalui media internet yaitu dengan membuat website sendiri.

1.3.5 Struktur Organisasi

Adapun struktur organisasi dari perusahaan agen properti PT. Griya Media ini adalah sebagai berikut :

Gambar 1.1. Struktur Organisasi PT. Griya Media Direktur Utama

Departemen Umum Departemen Marketing

Administrasi Keuangan Satpam Staf Marketing Kantor Pusat Kantor Cabang Teknologi Informasi (TI) Koordinator Kantor Staf Marketing Staf Administrasi Staf Keuangan Staf TI Koordinator Kantor

Rincian lengkap mengenai personil perusahaan adalah sebagai berikut :

No Nama Jabatan

1. A01 Direktur Utama

2. A02 Manager Umum

3. A03 Manager Marketing 4. A04 Kepala Bagian Administrasi 5. A05 Kepala Bagian Keuangan 6. A06 Kepala Bagian TI

7. A07 Kepala Kantor Pusat

8. A08 Kepala Kantor Cabang Jaktim 9. A09 Kepala Kantor Cabang Jaksel 10. A10 Kepala Kantor Cabang Jakbar 11. A11 Kepala Kantor Cabang Jakut 12. A12 Staf Administrasi 13. A13 Staf Keuangan 14. A14 Staf TI

15. A15 Koordinator K. Pusat

16. A16 Koordinator K. Cabang Jaktim 17. A17 Koordinator K. Cabang Jaksel 18. A18 Koordinator K. Cabang Jakbar 19. A19 Koordinator K. Cabang Jakut 20. A20 Resepsionis

21. A21 Office Boy

22. A22 Staf Marketing K. Pusat 23. A23 Staf Marketing K. Pusat 24. A24 Staf Marketing K. Pusat 25. A25 Staf Marketing K. Pusat 26. A26 Staf Marketing K. Pusat 27. A27 Staf Marketing K. Pusat 28. A28 Staf Marketing K. Pusat

29. A29 Staf Marketing K. Cabang Jaktim 30. A30 Staf Marketing K. Cabang Jaktim 31. A31 Staf Marketing K. Cabang Jaktim 32. A32 Staf Marketing K. Cabang Jaktim 33. A33 Staf Marketing K. Cabang Jaktim 34. A34 Staf Marketing K. Cabang Jaksel 35. A35 Staf Marketing K. Cabang Jaksel 36. A36 Staf Marketing K. Cabang Jaksel 37. A37 Staf Marketing K. Cabang Jaksel 38. A38 Staf Marketing K. Cabang Jaksel 39. A39 Staf Marketing K. Cabang Jakbar 40. A40 Staf Marketing K. Cabang Jakbar 41. A41 Staf Marketing K. Cabang Jakbar 42. A42 Staf Marketing K. Cabang Jakbar 43. A43 Staf Marketing K. Cabang Jakbar 44. A44 Staf Marketing K. Cabang Jakut 45. A45 Staf Marketing K. Cabang Jakut 46. A46 Staf Marketing K. Cabang Jakut 47. A47 Staf Marketing K. Cabang Jakut 48. A48 Staf Marketing K. Cabang Jakut 49. A49 Satpam K. Pusat

50. A50 Satpam K. Pusat 51. A51 Satpam K. Pusat 52. A52 Satpam K. Pusat

53. A53 Satpam K. Cabang Jaktim 54. A54 Satpam K. Cabang Jaktim 55. A55 Satpam K. Cabang Jaksel 56. A56 Satpam K. Cabang Jaksel 57. A57 Satpam K. Cabang Jakbar 58. A58 Satpam K. Cabang Jakbar 59. A59 Satpam K. Cabang Jakut 60. A60 Satpam K. Cabang Jakut

Tabel 1.1. Personil PT.Griya Media

1.3.6 Sistem Informasi dan Komunikasi Perusahaan

Sistem informasi yang dimiliki perusahaan ini adalah sebagai berikut : • Komputer di kantor pusat dan kantor cabang menggunakan LAN

10/100 Mbps – TCP/IP

• Setiap kantor cabang mengirimkan data-data properti (update) ke kantor pusat melalui internet dengan koneksi dial-up

• Di kantor pusat terdapat Server untuk web dan database properti dari seluruh kantor cabang

• Perusahaan mempunyai alamat website : www.griyamedia .com yang selalu diupdate apabila terdapat properti baru yang akan dijual atau yang baru laku terjual

• Jumlah perangkat keras dan sambungan telekomunikasi: Kantor Pusat

Komputer : 8 unit

Server : 2 unit

Printer Laser : 1 unit

Printer Inkjet : 1 unit (Scanner, Copier, Fax)

Router : 1 unit

Switch : 1 unit

UPS : 10 unit

Telepon : 5 Line

Fax : 1 Line

Masing-masing Kantor Cabang

Komputer : 3 unit

Modem 56Kbps : 1 unit (External) Printer Inkjet : 1 unit

Hub : 1 unit

UPS : 3 unit

PABX : 8 Line

Telepon : 3 Line

Fax : 1 Line

• Aplikasi yang dipakai :

Sistem Operasi Server : Windows 2000 Server Sistem Operasi Client : Windows XP Profesional Aplikasi perkantoran : Microsoft Office 2000

Aplikasi keuangan : Zahir Accounting Standar Edition

• Skema Jaringan dikantor

Gambar 1.2 Topologi Jaringan Kantor Pusat

• Bagan ruang kantor

Gambar 1.4 Denah Ruangan Kantor Pusat

Keterangan:

Printer All-in-One : Printer, Scanner, Copier, Fax R. Manager Marketing A04 A03 R. Marketing A07 R. Administrasi A12 R. Keuangan A05 A13 R. Server A06 A14 Web Server Database Server Router Switch R. Dir.Utama R. Manager Umum Pantry WC/Toilet R. Meeting PABX Printer All-in-One Printer Laser A22 A23 A24 A25 A26 A27 A28

A15 _{A02 A01}

A21

A20 R. Tamu

up

Lantai 1 Lantai 2

Gambar 1.5 Denah Ruangan Kantor Cabang Jakarta Timur (contoh)

1.3.7 Proses Bisnis Perusahaan

PT. Griya Media adalah sebuah perusahaan agen properti yaitu menjadi mediator antara penjual dan pembeli properti atau dapat juga disebut broker properti. Berbeda dengan broker tradisional yang memasarkan propertinya dari mulut ke mulut, PT. Griya Media menggunakan berbagai media seperti iklan baris, selebaran, buletin, papan, spanduk, jaringan marketing yang ada, bahkan bekerjasama dengan agen properti dari perusahaan lain yang sejenis. Terakhir, sesuai dengan kemajuan teknologi adalah dengan menggunakan internet sebagai medianya yaitu dengan menampilkannya di website.

Modem External Hub

Server PABX A08 A16 A29 A30 A31 A32 A33 A53 R. Marketing R. Kepala Kantor Cabang R. Tamu R. Meeting WC/Toilet _WC/Toilet R.Gudang Printer Inkjet Fax

Secara garis besar proses bisnis utama dari perusahaan ini adalah mencari klien atau customer yang akan menjual properti miliknya kepada pihak lain, dan kemudian memasarkannya melalui berbagai cara seperti yang disebutkan diatas, serta perusahaan mendapatkan imbalan berupa komisi yang besarnya telah ditentukan apabila properti tersebut laku terjual. Selain itu ada proses bisnis lainnya yang tidak kalah penting yaitu adanya klien yang meminta bantuan kepada agen untuk mencarikan properti yang sesuai dengan keinginannya. Agen dapat mencarikan properti tersebut dalam database yang dipunyainya dan apabila tidak ada dapat bekerjasama dengan agen properti lainnya yang masih satu perusahaan ataupun yang berbeda perusahaan. Jika cara tersebut belum membuahkan hasil sedangkan klien sangat serius untuk mendapatkannya, maka dapat ditempuh dengan cara seperti dalam memasarkan properti yaitu melalui iklan baris, selebaran, papan, spanduk, internet, dan sebagainya.

Komisi yang didapat oleh agen properti atau staf marketing sebagai hasil dari penjualan properti besarnya telah ditetapkan oleh perusahaan dan mendapatkan persetujuan dari penjual. Selain itu penjual dapat menetapkan besarnya komisi yang akan diberikan kepada agen yang akan memasarkan propertinya dan apabila kisarannya tidak terlalu jauh dari standar perusahaan biasanya agen menyetujuinya. Staf marketing atau biasa disebut dengan agen akan mendapatkan penghasilan yang besarnya setengah dari komisi yang diberikan penjual kepada agen sedangkan setengah lainnya diberikan kepada perusahaan (setelah sebelumnya dipotong pajak).

Ada 2 macam tipe pasar yang digarap oleh PT. Griya Media yaitu pasar primer dan pasar sekunder. Pasar primer mengandalkan properti yang dimiliki oleh developer perumahan atau apartemen sedangkan pasar sekunder berasal dari perseorangan/organisasi yang akan menjualkan properti yang telah dipakainya. Didalam pasar primer, perusahaan

melakukan beberapa cara seperti menyediakan agen-agennya kepada developer untuk memasarkan propertinya ketika ada pameran properti, serta dalam acara grand launching sebuah properti baru. Untuk pasar sekunder, perusahaan mengadakan berbagai cara dalam mencari properti yang akan dijual seperti (selain yang telah disebutkan diatas) melakukan pengenalan lokasi disekitar kantornya (canvassing), melakukan penyebaran kartu nama atau selebaran (farming), mencari dan melakukan kontak kepada penjual yang mengiklankan propertinya di koran (terutama yang membubuhkan kata-kata tanpa perantara), melakukan open house di tempat properti yang akan dijual, dan sebagainya.

BAB II

PROTEKSI DAN KEAMANAN SISTEM INFORMASI

2.1. Security

Management

Practices

Tujuan:

• Mengidentifikasi aset perusahaan terutama information asset beserta cara terbaik untuk menentukan tingkat pengamanannya. • Menentukan anggaran yang patut untuk implementasi

keamanannya.

Pembahasan:

2.1.1. Identifikasi Aset

Aset yang dimiliki perusahaan terdiri atas aset fisik dan aset non fisik. Aset fisik yang dimiliki perusahaan adalah:

a. Bangunan

Bangunan yang berada dikantor pusat adalah merupakan sebuah rumah tempat tinggal milik Direktur Utama yang terletak di kawasan Pejompongan dan terletak dipinggir jalan Bendungan Hilir Raya yang merupakan daerah bisnis. Untuk kantor-kantor cabang, bangunan yang dipakai adalah sebuah ruko 2 ½ lantai yang disewa dari pemiliknya dengan jangka waktu 5 tahun. Ke empat kantor cabang tersebut terletak di kawasan bisnis yang potensial dan mempunyai tempat parkir yang mencukupi.

Luas bangunan Kantor Pusat adalah 181 m2 dan luas tanah 360 m2 serta mempunyai tempat parkir yang dapat menampung 7 mobil dan 15 sepeda motor. Untuk mengantisipasi apabila tempat parkir tidak mencukupi maka dapat digunakan trotoar didepan rumah sebanyak 3 mobil dan disebelah rumah yang merupakan Ruko sebanyak 3 mobil. Untuk parkir mobil tamu, Satpamlah yang melakukan tugas pengaturannya.

Luas bangunan Kantor Cabang adalah 200 m2 dan terletak didalam sebuah komplek Ruko dengan 2 pintu gerbang yang dijaga Satpam komplek secara bergiliran selama 24 jam. Daya tampung mobil di komplek Ruko adalah mencukupi (rata-rata 40 mobil) sedangkan didepan kantor dapat menampung 4 mobil (2 mobil saling berhadapan).

b. Peralatan Kantor

Peralatan kantor yang dimiliki perusahaan adalah: 1. Perangkat komputer beserta peripheralnya 2. Furniture (meja, kursi, sofa, filing cabinet, dsb) 3. Brankas

4. Perangkat PABX beserta teleponnya

5. Perangkat elektronik (TV, Camera Digital, AC) 6. Perangkat pemadam kebakaran

7. Perangkat Genset (Kantor Pusat)

Aset non fisik yang mempunyai nilai bagi perusahaan adalah aset data yaitu:

1. Data properti

Data properti disini adalah berupa data-data tentang rumah yang dipasarkan dalam wujud kertas yang disimpan dalam filing cabinet serta tercantum foto properti dan pemilik properti. Untuk mengakses data ini harus sepengetahuan dan seijin Koordinator Kantor. Selain disimpan dalam bentuk kertas, data tersebut disimpan dalam bentuk Compact Disk (CD) dan disimpan secara kategorial misalnya data kavling, rumah, ruko, apartemen, gudang/pabrik, dsb. CD-CD yang berisi data tersebut disimpan dalam sebuah rak yang dikunci oleh Koordinator Kantor. Selain itu diruang resepsionis dipasang beberapa board atau papan yang berisi gambar-gambar

properti yang dijual atau disewakan beserta data-datanya kecuali data pemilik properti. Karena keterbatasan tempat maka properti yang dipasang adalah properti-properti yang potensial atau saleable.

Apabila ada customer yang berkunjung ke kantor dan ingin melihat-lihat properti yang dijual, maka resepsionis memanggil agen marketing yang bertugas saat itu untuk menemani dan memberi penjelasan atas properti yang dicari atau diminati oleh customer. Apabila customer masih belum menemukan apa yang diminatinya, agen dapat mempersilahkan masuk ke ruang meeting untuk berbincang-bincang lebih serius apa yang diinginkan oleh customer sambil diperlihatkan file-file properti yang sudah dipersiapkan dalam sebuah album sehingga menarik untuk dilihat.

2. Data Keuangan

Data keuangan adalah data-data finansial yang berasal dari penerimaan dan pengeluaran perusahaan dan dilakukan pencatatan atau record kedalam komputer oleh staf keuangan melalui program aplikasi Zahir Accounting Standar Edition version 4.0 yang dijual secara paket. Untuk menjaga kerahasiaan data-data keuangan maka komputer dibagian finansial tidak dapat diakses dari dalam maupun luar jaringan serta terdapat password untuk mengoperasikan komputer tersebut. Hasil pencetakan data finansial yang salah wajib dihancurkan dengan mesin shredder yang ada sedangkan bagi kantor yang tidak mempunyai alat tersebut harus disobek-sobek menjadi serpihan-serpihan kecil sehingga tidak dapat dibaca lagi.

Data-data finansial dimasukkan kedalam box file dan disimpan kedalam filing cabinet yang dikunci oleh Kepala Bagian

Keuangan. Untuk melihat data keuangan harus sepengetahuan dan seijin Kepala Bagian Keuangan. Untuk di kantor cabang urusan finansial ditangani oleh Koordinator Kantor masing-masing, dan datanya dikirim melalui internet ke Kantor Pusat tiap bulannya. Di kantor pusat data didownload dan diproses untuk masuk sebagai bahan laporan keuangan perusahaan. Apabila terdapat gangguan dalam pengiriman melalui internet, sedangkan data sangat dibutuhkan untuk laporan keuangan bulanan, maka data disimpan di disket dan dikirimkan ke Kantor Pusat secara manual (memakai mobil/motor).

3. Data Personalia

Data-data karyawan perusahaan dibuat oleh staf administrasi dan disimpan dalam bentuk berkas dan file komputer. Keduanya disimpan atas petunjuk Kepala Bagian Administrasi yaitu untuk yang berupa berkas disimpan dalam filing cabinet sedangkan yang berupa file direkam di CD dan disimpan oleh Kepala Bagian Administrasi disebuah filing cabinet dan dikunci. Untuk data-data pelamar yang pernah mengajukan permohonan kerja juga disimpan dalam box file tersendiri dan disimpan dalam lemari terkunci. Apabila perusahaan membutuhkan karyawan baru maka Kepala Administrasi dapat mengambil berkas file tersebut untuk dibuka kembali.

2.1.2. Identifikasi ancaman/resiko

Tidak selamanya kegiatan operasional perusahaan dapat berjalan dengan mulus. Adakalanya mengalami gangguan atau ancaman yang dapat menimbulkan kerugian bagi perusahaan. Kegiatan yang melakukan identifikasi ancaman atau resiko adalah merupakan bagian dari manajemen resiko yang dilakukan oleh perusahaan.

Ancaman-ancaman terhadap aset-aset perusahaan dapat dijabarkan sebagai berikut:

No Deskripsi Ancaman

Pencegahan Penanggulangan

1 Data properti a. dicuri

b. dihapus

c. terbakar

d. diubah

e. salah ketik

a. Disimpan dalam filing cabinet dan dikunci.

b. Data hanya bisa diedit di komputer Manajer Marketing (MM) dan Koordinator Kantor (KK) c. Penyediaan alat pemadam kebakaran didekat tempat penyimpanan data properti. d. Seperti jawaban (b) e. Pemeriksaan penulisan oleh agen properti dan Koordinator Kantor a. Penggantian tempat penyimpanan b. Pengubahan data harus diotorisasi oleh MM & KK c. Memakai

brankas tahan api.

d. Seperti jawaban (b)

e. Pemeriksaan penulisan data oleh MM, KK, & agen properti.

f. data rusak g. terkena virus/worm f. Melakukan back-up data secara berkala

g. update anti virus secara berkala f. Back-up data secara otomatis setelah mengupdate data baru. g. Back-up data secara otomatis. 2. Data Keuangan a. terbakar b. dicuri c. dihapus / diganti d. salah ketik e. data rusak a. Penyediaan alat pemadam kebakaran didekat tempat penyimpanan data properti. b. Disimpan dalam filing cabinet dan dikunci.

c. Data hanya bisa diedit di komputer Kepala Bagian Keuangan dan Koordinator Kantor (KK)

d. Data hanya bisa diedit di komputer Kepala Bagian Keuangan dan Koordinator Kantor (KK) e. Melakukan back-up data secara a. Memakai

brankas tahan api.

b. Penggantian tempat penyimpanan: dibrankas c. Pengubahan data harus diotorisasi oleh Kabag. Keuangan & KK d. Pemeriksaan penulisan data oleh Kabag. Keuangan, & KK

e. Back-up data secara otomatis

f. kena

virus/worm

berkala

f. Update anti virus secara berkala setelah mengupdate data baru. f. Back-up data secara otomatis 3. Data Personalia a. terbakar b. dicuri c. dihapus / diganti d. salah ketik e. data rusak a. Penyediaan alat pemadam kebakaran didekat tempat penyimpanan data properti. b. Disimpan dalam filing cabinet dan dikunci.

c. Data hanya bisa diedit di komputer Kepala Bagian Administrasi dan Koordinator Kantor (KK)

d. Data hanya bisa diedit di komputer Kepala Bagian Administrasi dan Koordinator Kantor (KK) e. Melakukan back-up data secara berkala. a. Memakai

brankas tahan api.

b. Penggantian tempat penyimpanan: dibrankas c. Pengubahan data harus diotorisasi oleh Kabag Administrasi & KK d. Pemeriksaan penulisan data oleh Kabag Administrasi, & KK e. Back-up data secara otomatis setelah mengupdate data

f. kena virus/worm

f. Update anti virus secara berkala.

baru.

f. Back-up data secara otomatis

Tabel 2.1. Daftar aset non fisik

Ancaman-ancaman terhadap aset-aset fisik perusahaan adalah:

No Deskripsi Ancaman

Pencegahan Penanggulangan

1. Gedung

beserta isinya

a. Kebakaran a. Tersedia 3 tabung pemadam kebakaran dan box hydrant (KP), 2 tabung pemadam kebakaran (KC), pintu keluar 2 bh, cukup sinar masuk dari jendela ketika kondisi gelap, mencari lokasi di hoek (Ruko),tersedia lampu darurat ditempat yang telah ditentukan, terdapat saklar

pemutus arus (NCB) yang masih berfungsi, kabel instalasi listrik terlindung didalam pipa

a. Hotline Kantor Pemadam

Kebakaran

terdekat, Asuransi Kebakaran

b. Pencurian

c. Perampokan

d. Banjir

PVC, sambungan kabel listrik terlindung oleh isolasi.

b. Satpam jaga 24 jam, kunci tambahan dipintu masuk, jendela diberi teralis besi, pagar kawat berduri, lampu penerangan disudut-sudut rumah,

c. Satpam jaga 24 jam, Satpam mahir bela diri dan dari lingkungan setempat, tidak

menerima tamu diluar jam kerja atau tanpa keperluan yang jelas, pemeriksaan fisik terhadap tamu yang mencurigakan d. Pemeriksaan dan pembersihan saluran air didepan kantor sebulan sekali, teras lebih tinggi dari halaman kantor, barang-barang elektronik tidak diletakkan dilantai b. Hotline Kantor Polisi terdekat, Asuransi Kerugian c. Hotline Kantor Polisi terdekat, Asuransi Kerugian d. Tersedia karung-karung pasir,

pompa air portable, Asuransi Kerugian

Ancaman terhadap aset teknologi informasi perusahaan adalah:

No Deskripsi Ancaman

Pencegahan Penanggulangan

1. Aplikasi komputer (Software) a. Virus/worm b. Spyware / Trojan / Hijacker a. Antivirus freeware (AntiVir Personal Edition) diinstall di server dan client dan diupdate secara teratur olef staf TI (HO) dan Koordinator Kantor di kantor cabang melalui internet, tidak

membuka email yang tidak dikenal, tidak membuka attachment yang bukan

berekstensi doc, xls, dan pdf

b. Anti Spyware (Spybot Search & Destroy) yang bersifat freeware diinstall di server dan client dan diupdate secara teratur olef staf TI (HO) dan Koordinator Kantor di kantor cabang melalui internet

a. Scan ulang hard disk dalam safe mode

b. Scan ulang hard disk dalam safe mode

3. Komputer dan peripheral (Hardware) a. Rusak karena sudah terlalu tua (lifetime nya sudah berakhir) b. Rusak karena malfunction a. Penggunaan hanya dijam kantor dan untuk keperluan kantor saja, kondisi off jika tidak dipakai untuk waktu yang lama (> 3 jam)

b. Pemeriksaan teratur oleh staf TI tiap

bulannya

a. Hubungi teknisi, diganti dengan spesifikasi minimal sama dengan yang lama

b. Hubungi teknisi, ganti komponen yang rusak

Tabel 2.3. Daftar ancaman terhadap aset teknologi informasi perusahaan

2.1.3. Analisa Resiko

Dalam manajemen resiko, setelah dilakukan identifikasi aset perusahaan adalah melakukan analisa resiko. Pada analisa resiko ini akan dilakukan dengan pendekatan Kuantitatif yaitu pendekatan secara finansial sehingga dapat mendukung perencanaan anggaran dan mampu memberikan informasi kepada manajemen. Hasil analisa resiko dapat dilihat tabel dibawah ini:

No Aset Resiko Nilai Aset (Rp) Potensi Kerugian (SLE) (Rp) Frekuensi Kejadian (ARO) (Rp) Kerugian per tahun (ALE) (Rp) 1 Data Virus/worm 20,000,000 2,000,000 2 4,000,000 2 Dokumen perusahaan Dicuri 10,000,000 1,000,000 1 1,000,000 3 Sistem Operasi Server (2 server) Virus/worm 10,000,000 4,000,000 2 8,000,000 4 Sistem Operasi Client (20 client) Virus/worm 18,000,000 1,800,000 2 3,600,000 5 Aplikasi perkantoran Virus/worm 2,100,000 420,000 2 840,000 6 Aplikasi finansial Virus/worm 25,000,000 2,500,000 2 5,000,000 7 Gedung (Kantor Pusat) kebakaran 500,000,000 250,000,000 0.1 25,000,000 8 PC Desktop Server (2) dicuri 20,000,000 10,000,000 1 10,000,000 9 PC Desktop (20) dicuri 100,000,000 10,000,000 1 10,000,000 10 Router dicuri 2,000,000 2,000,000 1 2,000,000 11 Switch dicuri 700,000 700,000 1 700,000 12 Hub (4) dicuri 2,000,000 500,000 1 500,000 13 Modem external (4) dicuri 1,200,000 400,000 1 400,000 13 Printer (all in one) dicuri 3,000,000 3,000,000 1 3,000,000

14 Printer Laser dicuri 1,500,000 1,500,000 1 1,500,000 15 Printer Inkjet (4) dicuri 2,000,000 500,000 1 500,000 16 PABX (16 line) with 18 handset dicuri 20,000,000 2,000,000 1 2,000,000 17 PABX (8 line) with 8 handset dicuri 11,000,000 1,100,000 1 1,100,000 18 Faksimile (4) dicuri 3,200,000 800,000 1 800,000 19 UPS 1200 VA (2) dicuri 3,000,000 1,500,000 1 1,500,000 20 UPS 600 VA (20) dicuri 8,000,000 800,000 1 800,000 21 LAN (5) putus 5,000,000 500,000 0.5 250,000 T O T A L 82,490,000

Tabel 2.4. Daftar hasil analisa resiko kuantitatif

Keterangan:

1. SLE : Single Loss Expectancy

• Kerugian finansial yang muncul jika terjadi satu (1) kali bencana • SLE = Asset Value x Exposure Factor

• Asset Value: nilai aset (Rp)

• Exposure Factor (EF): besarnya prosentasi kerugian yang diderita dalam satu bencana (0% - 100%)

2. ARO : Annual ized Rate of Occurrence

• Perkiraan frekuensi dari sebuah ancaman yang akan terjadi dalam 1 (satu) tahunnya.

• Ancaman yang terjadi sekali dalam 10 tahun, ARO = 1/10 = 0.1 • Ancaman yang terjadi 50 kali dalam setahun, ARO = 50

• Nilai ARO ditentukan berdasarkan hasil investigasi tentang ancaman-ancaman yang pernah terjadi di daerah sekitar lokasi kantor.

• Berdasarkan hasil investigasi, didaerah sekitar lokasi kantor agen properti didapatkan data sebagai berikut:

- Kebakaran : 10 tahun sekali, ARO = 1/10 = 0.1 (karena terletak jauh dari pemukiman padat penduduk)

- Pencurian : 1 tahun sekali, ARO = 1/1 = 1 (terutama menjelang lebaran/arus mudik)

- Virus/worm : 2 kali setahun, ARO = 2/1 = 2 (tiap semester ada virus ganas muncul di internet dan menyebar cepat di Indonesia)

- LAN putus : 2 tahun sekali, ARO = 1/2 = 0.5 (data internal perusahaan)

3. ALE : Annualized Loss Expectancy

• Perkiraan kerugian yang diderita setiap tahunnya (Rp) • ALE = SLE x ARO

Beberapa tindakan perusahaan untuk menjaga aset informasi:

• Memberikan akses komputer kepada orang yang benar-benar berhak menggunakan komputer dengan cara memberikan ID dan password kepada masing-masing anggota departemen kecuali satpam.

• Apabila terdapat data-data tentang properti, keuangan, dsb dikertas yang tidak terpakai akan dihancurkan dengan mesin shredder atau disobek/dipotong-potong hingga tidak bisa terbaca.

• Data tentang penjual properti tidak ditampilkan di web melainkan hanya diketahui oleh agen yang bersangkutan dan koordinator kantor.

2.2. Access Control Systems and Methodology

Tujuan:

• Mengetahui mekanisme dan metode yang dipergunakan para administrator/manager untuk mengontrol apa yang boleh diakses pengguna termasuk yang boleh dilakukan setelah otentifikasi dan otorisasi serta pemantauannya

Pembahasan:

Access Control didefinisikan sebagai:

• Kemampuan untuk membolehkan pemakai/user yang berhak untuk menjalankan program atau memproses sistem atau mengakses sumber daya/resource.

Di PT. Griya Media terdapat beberapa mekanisme untuk pengontrolan yang harus dijalankan oleh para stafnya dalam mengakses / menjalankan / memproses sesuatu yang berkaitan dengan pekerjaan yang ditanganinya. Mekanisme tersebut terdiri atas 3 hal yang penting yaitu:

1. Identifikasi

Merupakan suatu proses atau aksi yang dilakukan oleh user untuk membuktikan siapa (identitas) dirinya kepada sistem.

2. Otentikasi

Sistem melakukan verifikasi terhadap identitas yang diberikan oleh user.

3. Otorisasi

Sistem memberikan hak/kemampuan kepada user setelah mendapat otentikasi

Untuk menggunakan komputer yang ada di perusahaan, tiap staf mendapatkan user id dan password dari Kepala Bagian TI yang bersifat

rahasia. Hal ini dimaksudkan agar tiap staf hanya bisa mengakses komputer sesuai dengan bagian/haknya masing-masing. Misalnya bahwa staf marketing tidak bisa mengakses data keuangan yang dibuat oleh bagian keuangan, bagian umum tidak bisa melihat data properti yang ada didalam komputer kecuali yang sudah dicetak, dan sebagainya. Untuk lebih jelasnya dapat melihat tabel di bawah ini yang menunjukkan kewenangan masing-masing staf dalam menjalankan komputer.

Jenis Data Level

Manajer & Ka-Bag. Bagian Umum Bagian Keuangan Bagian Marketing Bagian TI Data properti

akses

_{- -}

akses akses

Data keuangan

akses

_-

akses

_-

akses

Data personalia

akses akses

_{- -}

akses

Tabel 2.5. Daftar akses yang diperbolehkan

Untuk penggunaan internet, terdapat kebijakan dari perusahaan bahwa tidak semua staf mempunyai hak mengaksesnya. Hal ini disebabkan untuk menghindari resiko masuknya virus, worm dan sebagainya yang dapat merusak sistem komputer perusahaan. Akses internet hanya dapat dilakukan di level manager, kepala bagian, dan koordinator kantor.

2.3. Telecommunications

and Network Security

Tujuan:

• Mengetahui berbagai aspek keamanan yang terkait dengan berbagai jenis jaringan komputer/telekomunikasi.

Pembahasan:

PT. Griya Media mempunyai jaringan telekomunikasi dan jaringan komputer disetipa kantornya. Untuk telekomunikasi, digunakan sistem PABX yaitu di kantor pusat mempunyai 4 line telpon yang masuk kedalam sistem PABX berkapasitas 16 saluran dan di kantor cabang 3 line dengan PABX kapasitas 8 saluran. Semua nomor telpon yang dipakai bersifat hunting artinya hanya menggunakan satu nomor telpon untuk semua line dan nomor telepon tersebut dipilih angka yang mudah diingat oleh setiap orang atau calon customer.

Di kantor pusat dan kantor cabang digunakan jaringan komputer (LAN) yang menggunakan protokol TCP/IP. Untuk merawat / mengoperasikan jaringan komputer dimasing-masing kantor, perusahaan menugaskan staf TI untuk melakukan pemeriksaan secara berkala serta memberikan tip-tip penggunaan dan perbaikan seputar LAN kepada Koordinator Kantor. Tiap 3 bulan sekali diadakan pemeriksaan jaringan di kantor pusat dan kantor cabang. Apabila ada gangguan atau kerusakan pada jaringan komputer yang tidak dapat diatasi oleh Koordinator Kantor, kantor cabang dapat meminta bantuan kantor pusat untuk mengirimkan staf TI guna memperbaiki gangguan atau kerusakan tersebut.

Karena jaringan komputer di kantor pusat terhubung dengan internet serta adanya jaringan internal dan web server maka dibuatlah suatu zona yang disebut De-Militarized Zone (DMZ). Di dalam DMZ dipasang Firewall yang berfungsi untuk keamanan jaringan yaitu mencegah akses dari luar masuk kedalam jaringan internal perusahaan. Firewall membuang paket IP dengan address tertentu (source,

destination) atau TCP port number (services yang dibatasi). Firewall yang dipakai berupa Router yang diprogram khusus untuk membatasi “site” dan external network.

Di kantor cabang tidak terdapat Firewall yang dipasang karena hanya komputer Kepala Cabang dan Koordinator Kantor saja yang terhubung ke internet melalui modem external dan menggunakan koneksi dial-up. Internet disini dipakai untuk mengirimkan data properti dan data keuangan melalui email ke kantor pusat tiap bulannya. Untuk memeriksa data properti yang telah dikirimkan ke kantor pusat telah diterima dan diproses, koordinator kantor dapat melihat di website perusahaan yaitu dibagian properti yang dijual. Disitu akan terlihat data-data properti yang dijual dari masing-masing kantor cabang.

2.4. Cryptography

Tujuan:

• Mengetahui berbagai metode dan teknik penyembunyian data dengan menggunakan kriptografi.

Pembahasan:

Cryptography adalah suatu teknik penyandian yang dilakukan dalam mengirim data melalui internet guna menyembunyikan informasi tersebut dari pihak lain. Biasanya data yang akan dikirim tersebut dienkripsi terlebih dahulu dan kemudian sesampainya dipenerima akan didekripsi dan baru bisa dibaca kemudian. Data-data yang dikirim melalui teknik tersebut diatas adalah data yang bersifat sangat rahasia dan sering merupakan data transaksi keuangan seperti pembayaran via internet, nomor kartu kredit, dan sebagainya.

Di PT. Griya Media, data yang dikirim melalui internet adalah data data dari kantor cabang yang melaporkan kegiatannya selama satu bulan secara periodik. Data yang dikirim adalah data properti dan data keuangan. Data properti adalah data tentang properti yang baru saja diterima dari client untuk dipasarkan, dan properti yang telah laku terjual pada bulan tersebut. Data keuangan adalah data tentang pendapatan perusahaan selama satu bulan itu serta biaya operasional kantor cabang termasuk gaji staf tidak termasuk staf marketing.

Data properti dikirim melaui email oleh Koordinator Kantor Cabang dan ditujukan ke Manager Marketing untuk ditampilkan di website melalui bantuan staf TI. Apabila ada customer yang tertarik untuk mengetahui properti tersebut lebih lanjut, mereka dapat menelpon langsung ke staf marketing yang bersangkutan atau kantor cabang dimana properti tersebut dipasarkan (nomor telepon ditampilkan di website).

Data keuangan dikirim ke kantor pusat juga melalui email oleh Koordinator Kantor dan ditujukan ke Kepala Bagian Keuangan untuk didownload dan dimasukkan ke dalam aplikasi keuangan guna pembuatan laporan keuangan perbulannya. Data keuangan menampilkan data pendapatan dan pengeluaran kantor cabang semata tanpa terdapat kegiatan atau transaksi pembayaran properti melalui internet.

Demi menjaga kerahasiaan dan keamanan data maka dalam pengiriman data keuangan dan data properti melalui email tersebut diharuskan memakai sistem kriptografi. Metode kriptografi yang digunakan masih sederhana, yaitu : Symmetric Key Cryptography, dimana pada metode ini antara pengirim dan penerima memiliki private key yang sama. Alasan pemakaian metode ini yaitu karena pada masing – masing cabang tidak terdapat staf IT, sehingga proses pengiriman data secara enkripsi harus lebih mudah untuk dipahami dan dilakukan oleh koordinator kantor yang bertugas untuk mengirimkan data ke kantor pusat, selain itu data yang dikirim hanya berupa data transaksi, petugas tidak perlu melakukan konfigurasi private key dan setting ulang setiap kali akan melakukan

pengiriman data. Sistem akan secara otomatis menyertakan private key yang baku bersama dengan data yang dikirim.

Metode ini tentu saja mengandung resiko, dimana bisa saja staf membocorkan informasi user id dan private key, sehingga data bisa daikses oleh orang luar. Oleh sebab itu salah satu kebijakan yang diambil perusahaan adalah baik user name , password, maupun private key harus diganti dalam periode 1 bulan sekali.

2.5. Security Architecture and Models

Tujuan:

• Mengetahui berbagai konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.

Pembahasan:

Dalam mengelola sistem informasi perusahaan, PT. Griya Media menerapkan sistem terbuka khusus untuk sub sistem Properti, dimana daftar properti yang dipasarkan dan telah terjual dapat diakses oleh siapa saja melalui web site, hal ini ditujukan untuk mendukung aktivitas marketing.

Sedangkan untuk sub sistem lainnya, diterapkan sistem tertutup, dimana hanya pihak intern perusahaan saja yang berhak untuk mengakses masing – masing sistem. Guna melakukan tindakan preventif supaya data perusahaan tidak dibaca oleh orang – orang yang tidak berwenang dan dipergunakan untuk hal – hal yang merugikan perusahaan, maka masing-masing bagian memperoleh hak akses yang berbeda – beda sesuai dengan fungsi dan job description-nya. Pengecualian diberikan kepada karyawan pada level Kepala Bagian atau yang lebih tinggi, dimana mereka memiliki wewenang untuk untuk

mengakses semua sistem yang ada, namun hanya sebatas membaca data. Data selengkapnya mengenai wewenang masing-masing staf dapat dilihat pada tabel matrix dibawah ini :

No Nama Jabatan Sub Sistem Properti Sub Sistem Keuangan Sub Sistem Personalia Keterangan

1. A01 Direktur Utama R R R

2. A02 Manager Umum R R CRED

3. A03 Manager Marketing CRED R R 4. A04 Kepala Bagian

Administrasi

R R CRED

5. A05 Kepala Bagian Keuangan

R CRED R 6. A06 Kepala Bagian TI CRED CRED CRED 7. A07 Kepala Kantor Pusat R R R 8. A08 s/d

A11

Kepala Kantor Cabang

R R R Kepala Kantor pusat dan setiap cabang

9. A12 Staf Administrasi - - CRED

10. A13 Staf Keuangan - CRED -

11. A14 Staf TI CRED CRED CRED

12. A15 s/d A19

Koordinator Kantor CRED CRED - Koornonator Kantor Pusat & setiap cabang. Hanya untuk sistem pada masing-masing wilayah

13. A20 Resepsionis - - -

14. A21 Office Boy - - -

15. A22 s/d A48

Staf Marketing CRED - - Hanya untuk sistem pada masing-masing wilayah 16. A49 s/d

A60

Satpam - - -

Tabel 2.6. Daftar wewenang staf dalam mengakses sistem

Keterangan :

1. C = Create, R=Read, E=Edit, D=Delete

2. Staf Koordinator Kantor Cabang hanya berhak untuk melakukan CRED pada sub sistem properti dan sub sistem keuangan pada cabang tempat dia berada.

3. Staf Marketing hanya berhak untuk melakukan CRED pada sub sistem properti pada cabang tempat dia berada.

2.6. Operations

Security

Tujuan:

• Mengetahui berbagai konsep, prinsip, dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.

Pembahasan:

Tindakan yang akan dilakukan oleh PT. Griya Media pada dasarnya dibagi menjadi 3 kategori yaitu :

a. Preventive control: kontrol atau pengendalian yang dilakukan untuk memperkecil sejumlah akibat dari error dan mencegah perusak/penyerang yang tidak berwenang

Yaitu dengan menerapkan aturan – aturan baku untuk operasional, misalnya :

ƒ Pembatas wewenang untuk akses sistem sesuai dengan masing-masing fungsi dan job description dengan menggunakan autentifikasi user name dan password untuk masuk ke dalam sustem.

ƒ Yang berhak masuk ke ruangan server adalah Kepala Bagian TI dan stafnya.

ƒ Komputer hanya boleh dipakai pada jam kantor.

ƒ Yang diperbolehkan menggunakan internat hanya level kepala bagian atau yang lebih tinggi

b. Detective control: merupakan kontrol atau pengendalian yang dilakukan untuk mendeteksi error pada saat kesalahan itu terjadi

Hanya dapat dilakukan di kantor pusat, sebab tidak ada staf TI yang ditempatkan di kantor cabang. Apabila terjadi eror pada kantor pusat, staf IT dapat langsung mendeteksi sumber dari permasalahann tersebut.

c. Corrective (recovery) control: merupakan kontrol atau pengendalian yang dilakukan untuk membantu mengurangi pengaruh dari kerusakan/kehilangan data

Apabila terjadi eror pada kantor cabang, maka staf TI akan didatangkan ke tempat tersebut guna melakukan recovery sistem dan melakukan setting ulang sesuai dengan kondisi sebelum terjadi eror.

2.7. Applications

and Systems Development

Tujuan:

• Mengetahui berbagai aspek keamanan dan kendali yang terkait pada pengembangan sistem informasi.

Pembahasan:

PT. Griya Media menerapkan domain ini dalam bentuk kewajiban setiap pegawai harus menandatangani surat pernyataan bahwa mereka diwajibkan menjaga dan melindungi data – data rahasia perusahaan

Sedangkan terkait dengan aspek kontrol terhadap pengembangan dan gangguan terhadap sistem, gangguan pada software yang sering terjadi disebabkan oleh virus, meskipun sudah dilakukan update antivirus secara berkala, hal tersebut terkadang tidak dapat mencegah serangan virus. Jika ruang lingkup kerusakan tidak terlalu bersar staf TI, berikut dengan teknisi akan membantu memperbaiki dan melakukan setting ulang. Namun jika kerusakan yang terjadi terlalu besar, maka perlu didatangkan teknisi dari luar atau dibawa ke perbaikan computer.

Keamanan data pada server diserahkan pada administrator baik database ataupun jaringan. Keamanan database dibuat dengan memberikan spesifikasi file yang berbeda-beda. File-file yang bersifat rahasia seperti data keuangan, data personalia, dan keuangan diberikan

password dan pemberian hak akses yang berbeda untuk setiap pengguna.

Secara berkala administrator melakukan backup dalam bentuk penyimpanan CD. Hal ini dilakukan jika sewaktu-waktu terjadi kerusakan sistem, data-data masih dapat digunakan kembali.

2.8. Disaster

Recovery

and

Business Continuity Plan

Tujuan:

• Mengetahui bagaimana aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana.

Pembahasan:

Pada dasarnya bisnis ini tidak terlalu sensitif terhadap Teknologi Informasi, sebab pengiriman data belum dilakukan secara online dan update data juga belum dilakukan secara real time, hanya saja pencatatan transaksi, data personalia, dan aktivitas marketing akan sangat terbantu dengan adanya Teknologi Informasi ini. Tindakan preventif yang telah dilakukan:

• Melakukan back-up secara rutin setiap minggu sekali dengan bantuan media Compact Disk. CD ini disimpan di kantor dengan ada wewenang dan tanggung jawab untuk membawa kunci tersebut.

• Menyiapkan Stavol UPS pada setiap kantor, guna mengantisipasi gangguan pada aliran listrik..

• Sebagian karyawan, terutama Satpam diambil dari orang yang lokasi tempat tinggalnya dekat dengan kantor, sehingga dapat segera dipanggil dalam keadaan darurat (emergency).

Apabila terjadi bencana besar yang sangat membahayakan kelangsungan hidup perusahaan, maka langkah – langkah yang harus dilakukan adalah:

• Menyelamatkan back up data pada CD.

• Menghubungi salah satu petingi perusahaan (bila dapat).

• Menghubungi karyawan yang rumahnya paling dekat (bila dapat). • Menyelamatkan perangkat keras.

Tujuan utamanya adalah supaya bisnis tetap bisa terus berjalan. Back up CD tersebut dapat dipergunakan untuk tetap menjalankan perusahaan meskipun dengan perangkat keras yang seadanya.

2.9. Laws, Investigations, and Ethics

Tujuan:

• Mengetahui berbagai jenis aturan yang terkait dengan kejahatan komputer dan legalitas transaksi elektronik

• Mengetahui masalah etika dalam dunia komputer

Pembahasan:

Kondisi perusahaan sekarang terhadap domain tentang hukum, penyelidikan dan etika di dunia teknologi informasi adalah sebagai berikut:

• Perusahaan menggunakan software windows sebagai sistem operasi, Microsoft office sebagai penunjang office automation, dan software aplikasi distribusi dari distributor pusat.

• Seluruh software yang digunakan adalah legal dan PT. Griya Media memiliki lisensi penggunaannya.

• Tidak semua pegawai mengerti tentang arti pentingnya masalah legalitas penggunaan software, sebagian besar hanya mengerti tentang penggunaannya tanpa memperdulikan dampaknya apabila menggunakan software bajakan terhadap perusahaan.

• Perlu adanya pengarahan dan training mengenai penggunaan komputer dengan segala aspeknya, termasuk di dalanya aspek legalitas.

PT. Griya Media tidak mempunyai rencana yang jelas untuk pengembangan sistem teknologi informasinya, sehingga kebijakan pengadaan software tidak mempunyai arah. Kadang-kadang para pegawai menginstall begitu saja software-software yang ingin mereka gunakan (software bajakan) tanpa memikirikan dampaknya pada perusahaan. Dalam hal ini Bagian IT hanya bertugas mengawasi kinerja server dan menjadi help desk terhadap gangguan terhadap jaringan kantor ataupun masalah yang terjadi di PC user.

PT. Griya Media harus memulai untuk memberlakukan beberapa kebijakan-kebijakan sehubungan dengan legalitas transaksi elektronik, sebagai berikut:

1. Semua PC yang digunakan adalah PC branded bukan rakitan.

2. Semua software yang dipakai adalah software asli dan bukan bajakan. 3. Semua pengguna komputer dilarang menginstall software yang bukan

berasal dari perusahaan.

4. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada. 5. Semua pelaksanaan instalasi dan prosedur pengaplikasian harus

melalui staf dari bagian IT, tanpa terkecuali.

6. Memberikan sanksi kepada staf yang menggunakan peralatan kantor untuk hal-hal yang tidak berhubungan dengan pekerjaan kantor.

7. Semua staf terutama staf bagian IT diharuskan menandatangani peraturan untuk menjaga kerahasiaan sistem di dalam perusahaan, tanpa terkecuali.

8. Semua pegawai / karyawan terutama staf bagian IT harus menyadari arti pentingnya fasilitas perusahaan sebagai aset sehingga semua orang mempunyai kewajiban untuk merawat dan me-maintain fasilitas perusahaan yang digunakan dan setiap orang wajib bertanggung

jawab terhadap fasilitas kantor yang digunakan karena setiap penggunaan fasilitas kantor akan dipertanggungjawabkan ketika dilakukan audit.

2.10. Physical Security

Tujuan:

• Mengetahui berbagai ancaman, resiko, dan control untuk pengamanan fasilitas sistem informasi.

Pembahasan:

Pada saat awal berdirinya perusahaan ditahun 2000, staf yang ada masih sedikit dan belum mempunyai kantor cabang seperti sekarang ini. Setiap staf masih bisa melakukan beberapa kegiatan yang bersifat pribadi seperti mengajak orang-orang diluar kantor untuk datang dan berkunjung ke kantor tanpa keperluan yang jelas. Boleh dikatakan bahwa pada saat itu belum terdapat pembatasan akses masuk bagi pengunjung selain pegawai sehingga pengawasan terhadap setiap orang yang masuk masih kurang. Selain itu setiap pegawai masih bebas keluar masuk ke dalam ruang server sehingga kemungkinan terjadinya sabotase terhadap perusahaan bagi orang yang pernah sakit hati terhadap perusahaan sangat besar.

Namun setelah berjalan 5 bulan, beberapa pimpinan perusahaan mulai merasakan perlunya beberapa aturan yang harus dijalankan oleh staf kantor seperti satpam untuk melakukan pekerjaannya agar tercipta rasa aman bagi semua staf yang ada dikantor itu. Adapun beberapa cara yang dilakukan perusahaan adalah sebagai berikut:

1. Menempatkan satpam di kantor pusat dan kantor cabang selama 24 jam secara bergiliran, yang bertugas sebagai berikut :

ƒ Penjagaan keamanan dilakukan secara bergantian dengan dua shift pagi dan malam dengan waktu kerja

ƒ Melakukan pengontrolan terhadap fasilitas perusahaan yang kemudian dimasukkan ke dalam Laporan Harian dan melaporkan hasil tugasnya kepada komandannya.

ƒ Dalam melakukan tugasnya satpam harus mencatat kejadian-kejadian yang dialami.

ƒ Satpam memiliki nomor-nomor telepon penting yang harus segera dihubungi (kepolisian, rumah sakit, kebakaran, kantor telepon, PDAM, PLN dan para pegawai mulai dari direksi sampai seluruh staf.

ƒ Menjaga pintu masuk dan keluar perusahaan. Kendaraan yang berlalu lalang melalui gerbang dicatat nomor serinya, sehingga jika terjadi hal-hal yang tidak diinginkan dapat segera diketahui siapa saja tamu yang datang hari ini ke perusahaan.

• Melakukan pencatatan terhadap setiap orang yang masuk ke dalam ruang kantor kecuali pegawai, terutama di luar jam dan kerja.

2. Untuk masalah keamanan dan pengamanan terhadap bangunan kantor tidak hanya dipegang oleh petugas keamanan akan tetapi dari pihak perusahaan harus melengkapi semua prosedur dan kebijakan mengenai pengamanan bangunan diantaranya penanganan terhadap kebakaran, banjir, huru hara dan lain sebagainya.

3. Setiap tamu yang masuk harus ditanya apa kepentingannya dan tidak diperkenankan masuk ke dalam ruangan sebelum ada konfirmasi dari orang yang ingin ditemuinya. Hal ini untuk menghindari adanya penyusupan dari perusahaan kompetitor / pesaing.

4. Untuk pegawai / karyawan harus mengenakan tanda pengenalnya selama di area kerja tanpa terkecuali.

5. Melakukan pembatasan akses bagi tamu, bila kepentingan tamu tersebut diluar urusan kantor dan tidak jelas sebaiknya tamu tidak diijinkan untuk masuk ke dalam dan hanya dibatasi sampai dengan lobi saja. Kecuali sudah ada konfirmasi dengan pegawai yang ingin ditemuinya dan harus menggunakan badge tamu.

6. Melakukan pembatasan akses terhadap karyawan untuk masuk ke dalam R. Server. Misalnya menggunakan pintu yang berakses.

7. Menempatkan ruang-ruang yang membutuhkan privacy tinggi seperti ruang server, brankas dan ruang arsip jauh dari public area.

8. Untuk pengamanan jaringan komputer dibutuhkan suatu penahan terhadap serangan komputer dan server. Untuk itu dibutuhkan Firewall yang berguna untuk menyaring setiap data yang masuk ke dalam jaringan sehingga kemungkinan serangan menjadi kecil. Agar firewall ini dapat bekerja dengan baik maka dibutuhkan tenaga administrator yang selalu melakukan checking rutin berkala.

9. Staf bagian IT harus melakukan back up data setiap akhir hari sehingga setiap transaksi elektronik yang terjadi pada hari itu apabila terjadi masalah masih memiliki back up datanya.

10. Hanya staf bagian IT yang mempunyai wewenang melakukan editing data pada database dengan persetujuan dari Kepala Bagian IT atas permintaan user. Hal ini untuk menghindari kemungkinan penyalahgunaan database perusahaan untuk kepentingan pribadi.

2.11. Auditing

Tujuan:

• Mengetahui konsep dasar auditing sistem informasi terkait dengan masalah keamanan sistem informasi.

Beberapa hal yang masih terlewat dalam melaksanakan 11 domain sistem informasi adalah mengadakan auditing terhadap sistem informasi yang dipunyai perusahaan. Hal ini disebabkan karena belum adanya kesadaran dari tingkat pimpinan perusahaan untuk melakukan auditing. Sehingga dengan belum adanya audit terhadap sistem informasi dalam perusahaan mengakibatnya banyak terjadinya penyimpangan dalam pelaksanaan instalasi aplikasi sistem informasi. Kemudian tidak adanya jaminan ataupun asuransi yang melindungi aset – aset perusahaan dari berbagai hal yang dapat menyebabkan kerusakan ataupun kehilangan.

Untuk mencegah terjadinya penyimpangan dalam melaksanakan pekerjaan yang dilakukan oleh masing-masing staf, perusahaan telah melakukan beberapa langkah yang dapat membantu mengurangi kekurangan-kekurangan didalam perusahaan. Langkah-langkah tersebut adalah dengan mengadakan auditing terhadap segala hal yang berkaitan atau mendukung pekerjaan dan proses bisnis dari perusahaan. Langkah-langkah tersebut antara lain:

1 Pada PT. Griya Media konsep audit sistem informasi harus dijalankan dengan cara mengamati / memantau kinerja sistem informasi secara berkala. Pengauditan sistem informasi secara berkala ini dijalankan untuk mencegah (prevention), mengetahui / mendeteksi (detection), dan mengambil tindakan yang diperlukan untuk mengatasi kesalahan yang sudah terjadi (correction). Pengauditan berkala ini dilakukan dilakukan tiap hari untuk skala pengoperasian (apabila ada kesalahan yang bukan tergolong kesalahan human error, seperti kesalahan ketik atau input, dalam pengoperasian sistem informasi maka kesalahan tersebut dicatat dan dilaporkan kepada Bagian IT.

2 Melakukan audit internal untuk sistem informasi perusahaan setiap 6 bulan sekali diseluruh kantor guna mengetahui kinerja dari sistem informasi tersebut.

3 Selain mengaudit sistem informasi maka juga dilakukan pengauditan terhadap kinerja pengamanan aset-aset fisik lainnya.

4 Melakukan audit terhadap aset – aset perusahaan secara berkala sehingga dapat diketahui apa saja yang masih berfungsi dan masih ada.

5 Mengenai masalah jaminan dan asuransi terhadap segala aset aset milik perusahaan mengingat investasi yang sudah dikeluarkan untuk investasi terhadap aset perusahaan cukup besar terutama investasi di bidang Teknologi Informasi harus mulai dipikirkan untuk menggunakan jasa asuransi terhadap aset perusahaan.

BAB III

KESIMPULAN

Berdasarkan pembahasan yang telah dilakukan diatas terhadap 11 domain sistem keamanan informasi di PT. Griya Media, maka dapat disimpulkan bahwa:

1. Kebijakan perusahaan terhadap pengamanan sistem informasi perusahaan adalah perlu. Hal ini karena selain sebagai penunjang kegiatan perusahaan, juga dapat menghindarkan perusahaan dari kerugian yang tidak diharapkan. 2. Dalam mengimplementasikan kebijakan terhadap pengamanan sistem

informasi perusahaan diperlukan petunjuk yang jelas kepada karyawan serta kesepahaman diantara para staf perusahaan dalam melihat arti pentingnya kegiatan pengamanan tersebut.

DAFTAR PUSTAKA

Johny Moningka, Rahmat M. Samik-Ibrahim, Arrianto Mukti Wibowo, 2005, Materi Kuliah Proteksi dan Keamanan Sistem Informasi, Program Magister Teknologi Informasi Universitas Indonesia Jakarta.

Roberta Bragg, CISSP Security Management Practices, in Exam Cram 2.com [online] (June 20, 2005), available from <http://www.examcram2.com /articles/article.asp?p=30287&seqNum=4&rl=1>

Ronald L. Krutz, Russel Dean Vines, 2003, The CISSP Prep Guide, Gold Edition, Wiley.