Universitas Indonesia
IKI-83408T: Proteksi dan Teknik Keamanan Sistem Informasi
P.T Penerbit Percetakan Jaya
Ade Gunawan - 7203010022
Dananjaya - 7203010081
Kekhususan Teknologi Informasi
Program Magister Ilmu Komputer
Fakultas Ilmu Komputer
Universitas Indonesia
2004
”@ 2004 Kelompok 74 IKI-83408T MTI UI. Silahkan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini”
DAFTAR ISI
I. Pendahuluan...3
II. Susunan Organisasi PT PPJ ...4
II.1 Staff Perusahaan... 6
III. Analisa Jaringan Komputer PT PPJ ...9
IV. Floor Plan PT PPJ ...12
VI. Analisa Konfigurasi Struktur Jaringan WAN PT PPJ...13
VII. Analisa 11 Domain Keamanan infrastruktur TI PT PPJ ...14
VII.1 Access Control Systems and Methodology... 14
VII.2 Telecommunications & Ne twork Security... 20
VII.3 Security Management Practices... 21
VII.4 Application and System Development Security... 22
VII.5 Cryptography... 23
VII.6 Security Architecture dan Models... 24
VII.7 Operations Security... 24
VII.8 Disaster Recovery & Business Continuity Plan... 25
VII.8.1 Mekanisme Backup ...29
VII.8.2 Emergency List... 30
VII.9 Laws, Investigation & Ethics... 30
VII.10 Phisical Security... 31
I. Pendahuluan
I.1 Profil Perusahaan
Nama perusahaan : PT Penerbit Percetakan Jaya (PT PPJ)
Lokasi : Jakarta
Jenis usaha : Penerbitan dan Percetakan
Visi : Menjadi perusahaan percetakan Big Five di
Indonesia
Misi : Penyedia layanan penerbitan dan percetakan
yang terpercaya
Jumlah Modal di setor : Rp. 50 Juta
Aset Saat ini : Rp. 500 Juta
Revenue : Rp. 30 Juta / Bulan
Spending IT : Rp. 20 Juta / Tahun
Personel IT : 3 Orang
I.2 Deskripsi Singkat
P.T Penerbit Percetakan Jaya (PT PPJ) adalah sebuah perusahaan yang bergerak di bidang percetakan dan penerbitan, perusahaan ini berdiri pada tahun 1945 diawali dengan pembukaan kantor pertama di Jakarta di bilangan ruko Tanah Abang dengan luas bangunan sebesar 250M2. Pendiri PT PPJ adalah dua bersaudara Tan Aseng dan Tan Ahong warga Indonesia keturunan tionghoa yang sekarang menjadi Direktur dari perusahaan tersebut.
Dengan berjalannya waktu maka semakin berkembanglah bisnis percetakan dan penerbitan milik dua bersaudara ini, yang semula hanya melayani percetakan kartu undangan pernikahan sekarang sudah melayani pencetakan buku-buku best seller, surat kabar, majalah dan tabloid. Cabang perusahaanpun sudah terdapat pada berbagai kota -kota besar di indonesia, diantaranya adalah
di Jakarta, Surabaya, Medan, Balik Papan dan Ujung Pandang. Pada saat dibentuk Tan Aseng dan Tan Ahong hanya mengeluarkan modal sebesar lima puluh juta rupiah dan saat ini sudah berkembang menjadi aset ratusan juta rupiah dengan keuntungan perbulan mencapai 30 Juta rupiah.
Tulisan ini akan melakukan analisa dalam hal keamanan pada infrastruktur Teknologi Informasi yang diterapkan pada PT PPJ. Hal pertama yang dilakukan adalah dengan mensurvey dan membuat konfigurasi dari infrastruktur yang saat ini sudah di terapkan setelah itu akan dikaji konfigurasi keamanan berdasarkan sebelas domain keamanan infrastruktur teknologi i nformasi.
II. SUSUNAN ORGANISASI PT PPJ
PT PPJ dikepalai oleh dua orang direktur yaitu Tan Aseng dan Tan Ahong yang mana keduanya menjabat sebagai direktur sekaligus pemegang saham dari PT PPJ. Kemudian dibawah direktur terdapat 5 orang manajer yang masing-masing mengepalai setiap bagian divisi dari PT PPJ. Divisi yang ada adalah:
- Divisi Produksi
Divisi yang khusus menangani produksi dari PT PPJ seperti pembuatan layout buku, pencetakan buku sampai dengan pendistribusiannya.
- Divisi Development
Divisi ini bertugas untuk melakukan pengembangan produk seperti pembuatan design, layout dan melakukan editing.
- Divisi Keuangan
Divisi ini melakukan perencanaan anggaran keuangan bagi perusahaan dan merencanakan cashflow dari perusahaan.
- Divisi Pemasaran dan Sales
Divisi yang melakukan kegiatan mencari pasar dan menjual produk jasa yang diberikan oleh perusahaan dalam hal percetakan dan penerbitan.
- Divisi Teknologi Informasi
Divisi ini bertugas melakukan perencanaan infrastruktur bagi perusahaan sekaligus memeliharanya.
Setiap manajer mengepalai dan mengatur anggota divisi yang bertugas untuk berbagai kegiatan sepeti manajer produksi mengepalai dan mengatur anggotanya yang bertugas untuk melakukan tugas produksi seperti percetakan, penerbitan dan distribusi. Begitu juga untuk manajer TI mengepalai anggota-anggota divisinya yang bertugas untuk memelihara jaringan, sistem dan database. Bagan struktur oranisasi PT PPJ dapat dilihat pada gambar 1.
Disamping struktur organisasi yang menggambarkan personel fungsional pada perusahaan juga terdapat personel yang berfungsi sebagai pendukung dalam melakukan bisnis perusahaan. Personel pendukung tersebut adalah untuk satu kantor terdapat dua orang office boy, dua orang supir perusahaan dan tiga orang satpam yang bertugas untuk menjaga aset-aset dari perusahaan. Dan juga sesuai dengan kebijakan perusahaan maka dalam setiap bagian divisi perusahaan setidaknya terdapat dua orang dengan keahlian yang sama sebagai cadangan apabila orang tersebut melakukan cuti ataupun sakit sehingga tidak masuk kerja sementara ada pekerjaan yang harus diselesaikan dengan segera. Dengan kebijakan ini diharapkan bisnis perusahaan akan tetap dapat berjalan dengan normal walaupun terdapat karyawan yang berhalangan masuk kerja.
Gambar 1. Bagan Struktur Organisasi PT PPJ
Dalam melakukan aktifitas operasi perusahaan PT PPJ memberlakukan dua buah shift kerja yaitu shift pagi untuk melakukan pencetakan pada sore hari, dan shift malam untuk melakukan pencetakan pada pagi hari. Juga ada shift untuk hari libur seperti sabtu dan minggu yang dijadwalkan untuk setiap pegawai dengan menggantikan hari liburnya.
II.1 Staff Perusahaan
Staff PT PPJ terdiri dari lima puluh orang yang terbagi antar tiap-tiap divisi. Divisi produksi memiliki jumlah pegawai terbanyak yang terbagi atas dua shift yaitu shift siang dan shift malam. Dibawah ini adalah jumlah dan daftar dari pegawai PT PPJ.
Jumlah pegawai : 50 Orang
Direksi : 2 Orang
Divisi Produksi : 15 Orang
Divisi Development : 7 Orang Divisi Keuangan : 4 Orang
Divisi Pemasaran&Sales : 7 Orang Divisi Administrasi : 3 Orang
Divisi TI : 4 Orang
Office Boy : 2 Orang
Satpam : 3 Orang
Supir : 2 Orang
Receptionist : 1 Orang
Tabel I. Daftar dan Tanggung Jawab Pegawai
Role Nama Description
Direktur 1 A01 Memimpin perusahaan
Direktur 2 A02 Memimpin Perusahaan
Manajer Divisi Produksi A03 Memimpin Divisi Produksi Koordinator Percetakan A04 Koordinator Bagian Percetakan Koordina tor Distribusi A05 Koordinator Bagian Distribusi Koordinator Penerbitan A06 Koordinator Bagian Penerbitan Staff Produksi 1 A07 Melakukan kegiatan produksi Staff Produksi 2 A08 Melakukan kegiatan produksi Staff Produksi 3 A09 Melakukan kegiatan produksi Staff Produksi 4 A10 Melakukan kegiatan produksi Staff Produksi 5 A11 Melakukan kegiatan produksi Staff Produksi 6 A12 Melakukan kegiatan produksi Staff Produksi 7 A13 Melakukan kegiatan produksi Staff Produksi 8 A14 Melakukan kegiatan produksi Staff Produksi 9 A15 Melakukan kegiatan produksi Staff Produksi 10 A16 Melakukan kegiatan produksi Staff Produksi 11 A17 Melakukan kegiatan produksi Manajer Divisi
Development
A18 Memimpin Divisi Development
Koordinator Editing A20 Koordinator Bagian Editing
Staff Development 1 A21 Melakukan kegiatan development Staff Development 2 A22 Melakukan kegiatan development Staff Development 3 A23 Melakukan kegiatan development Staff Development 4 A24 Melakukan kegiatan development Manajer Divisi Keuangan A25 Memimpin Divisi Keuangan Koordinator Keuangan A26 Koordinator Bagian Keuangan Staff Keuangan 1 A27 Melakukan kegiatan akuntansi Staff Keuangan 2 A28 Melakukan kegiatan akuntansi Manajer Divisi Pemasaran
& Sales
A29 Memimpin Divisi Pemasaran dan Sales
Koordinator Sales A30 Koordinator Bagian Sales Market Analyst 1 A31 Melakukan analisa pasar Market Analyst 2 A32 Melakukan analisa pasar Staff Sales 1 A33 Melakukan kegiatan penjualan Staff Sales 2 A34 Melakukan kegiatan penjualan Staff Sales 3 A35 Melakukan kegiatan penjualan Manajer Divisi TI A36 Memimpin Divisi TI
Network Admin A37 Mengelola Jaringan Komputer System Admin A38 Mengelola Sistem Komputer Security Specialist A39 Mengelola Keamanan Sistem TI Administratsi 1 A40 Mendukung kegiatan administratif Administratsi 2 A41 Mendukung kegiatan administratif Administratsi 3 A42 Mendukung kegiatan administratif Office Boy I A43 Mengelola kebersihan gedung Office Boy II A44 Mengelola kebersihan gedung
Satpam I A45 Menjaga keamanan gedung
Satpam II A46 Menjaga keamanan gedung
Satpam III A47 Menjaga keamanan gedung
Supir II A49 Melakukan kegiatan transportasi Receptionist A50 Melayani pelanggan di depan kantor
III. ANALISA JARINGAN KOMPUTER PT PPJ
Dalam rangka memudahkan dan mengeffektifkan kerja dari pada karyawannya dan untuk meningkatkan kinerja perusahaan maka sejak tahun 1997 PT PPJ sudah menerapkan infrastruktur Local Area Network di dalam perusahaannya.
Pada setiap divisi terdapat komputer dengan spesifikasi yang berbeda-beda, untuk komputer divisi produksi dan development diberikan spesifikasi yang lebih tinggi dari pada divisi lainnya, hal ini disebabkan pada divisi ini dibutuhkan kompute r yang cukup bertenaga untuk melakukan editing gambar dengan resolusi tinggi. Dan untuk divisi marketing dan sales di berikan masing-masing laptop karena kerja nya yang berpindah-pindah untuk melakukan penjualan dan analisa pasar.
Tabel II dibawah ini menerangkan jumlah dan spesifikasi dari komputer karyawan PT PPJ.
Tabel II. Spesifikasi Komputer PT PPJ
Divisi Spesifikasi Jumlah
PC Desktop 2 Buah
Processor: Pentium 4 Memory : 1GB
Video RAM : 512 MB OS: Microsoft Windows XP
Direksi
Divisi Spesifikasi Jumlah
PC Desktop 7 Buah
Processor: Pentium 4 Memory : 1GB
Video RAM : 512 MB OS: Microsoft Windows XP Printers 2 Buah Produksi Scaner 2 Buah PC Desktop 7 Buah Processor: Pentium 4 Memory : 1GB Video RAM : 512 MB OS: Microsoft Windows XP
Development
Printers 1 Buah
Scanner 1 Buah
Mobile Computer 4 Buah Processor: Pentium III
Memory : 256MB Video RAM : 128 MB OS: Microsoft Windows XP
Marketing dan Sales
Printers 1 Buah PC Desktop 7 Buah Keuangan Processor: Pentium 4 Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP
Divisi Spesifikasi Jumlah PC Desktop 4 Buah Teknologi Informasi Processor: Pentium 4 Memory : 512MB Video RAM : 256MB OS: Microsoft Windows XP
PC Desktop 3 Buah
Administrasi
Processor: Pentium III Memory : 256MB Video RAM : 128MB OS: Microsoft Windows XP
Selain itu juga terdapat dua buah server yang berfungsi sebagai pendukung dari infrastruktur teknologi informasi yang di terapkan pada PT PPJ.
Server yang beroperasi dapat dilihat pada tabel III.
Tabel III. Spesifikasi Server PT PPJ
Server Spesifikasi Fungsi
File Server dan Server Aplikasi
Processor: Pentium 4 Memory: 512 MB Video RAM: 256 MB
OS: Microsoft Windows 2003
Sebagai tempat meletakan berkas-berkas pekerjaan dari karyawan agar tersentralisasi dan mudah melakukan pemeliharaan.
Tempat aplikasi yang di akses dari kantor-kantor cabang.
Server Spesifikasi Fungsi
Domain Server, Mail Server dan Procy Server
Processor: Pentium 4 Memory: 512 MB Video RAM: 256 MB
OS: Microsoft Windows 2003
Aplikasi:Microsoft Exchange
Sebagai domain controller yang berfungsi mengatur login dan hak akses dari komputer karyawan terhadap berkas-berkas di file server. Sebagai server untuk menampung dan mengirimkan email karyawan.
IV. FLOOR PLAN PT PPJ
Berdasarkan divisi dari PT PPJ dibuat suatu rancangan denah dari ruangan yang digunakan oleh perusahaan. Divisi terbagi atas 5 bagian yang masing-masing menempati ruangan tersendiri dan juga terdapat ruangan direksi, server,
pantry dan front office. Denah ini berguna untuk mengetahui rancangan dari infrastruktur jaringan komputer PT PPJ. Komponen yang terlibat antara lain adalah komputer, printer, scanner dan telepon. Untuk ruang server komponennya adalah server, switch dan PABX. Denah dapat dilihat pada Gambar II.
Gambar II. Denah Floor Plan PT PPJ
V. ANALISA KONFIGURASI STRUKTUR JARINGAN WAN PT PPJ
PT PPJ memiliki cabang yang berada pada kota-kota besar di seluruh indonesia, diantaranya adalah Medan, Ujung Pandang, Surabaya dan Balik Papan. Untuk setiap cabang PT PPJ menggunakan jaringan WAN berupa ADSL melalui internet. Jaringan ini berfungsi untuk mempermudahkan sarana komunikasi antar cabang dan juga untuk mengakses aplikasi web yang berada pada cabang di Jakarta. Juga di implementasikan server yang berfungsi sebagai firewall dengan menggunakan proxy firewall.
Konfigurasi jaringan WAN PT PPJ dapat dilihat pada gambar IV.
Gambar IV. Konfigurasi Jaringan WAN PT PPJ
VI. ANALISA 11 DOMAIN KEAMANAN INFRASTRUKTUR TI PT
PPJ
VI.1 Access Control Systems and Methodology
Access Control Systems adalah suatu metoda bagaimana mengkontrol pengaksesan sumber daya sehingga mencegah pembukaan dan pemodifikasian oleh orang-orang yang tidak berhak.
Penerapan akses kontrol oleh PT PPJ di terapkan terhadap: a. Ruangan Kantor
Ruangan kantor dijaga agar hanya dapat dimasuki oleh orang -orang yang berhak saja, seperti karyawan PT PPJ. Untuk itu metoda pengamanan nya adalah:
1. Penjagaan oleh Satpam
Untuk keamanan ruangan di pintu depan terdapat receptionist dan satpam sehingga apabila ada tamu ia tidak di perbolehkan memasuki ruang kantor begiru saja. Hal ini untuk menghindari tamu tersebut menggunakan salah satu komputer karyawan dan mengakses jaringan lokal PT.PJJ untuk mengambil data ataupun untuk menghindari terjadinya pencurian.
2. Penggunaan Magnetic Card Access Control
Penggunaan magnetic card sebagai access control keluar masuk ruangan perkantoran sehingga diharapkan yang dapat memasuki ruangan kantor hanyalah orang-orang yang berhak saja seperti karyawan PT PPJ. Hal ini untuk menghindari terjadinya pencurian dan perusakan baik barang ataupun data oleh orang yang tidak berhak dan tidak berwewenang.
b. Ruangan Server
Ruangan server memerlukan akses kontrol untuk menjaga terjadinya kesalahan konfigurasi server oleh orang yang tidak berhak. Akses kontrol yang dilakukan diantaranya adalah:
1. Penggunaan Akses magnetic card yang terbatas
Ruangan server selalu terkunci dan yang hanya dapat dibuka dengan menggunakan magnetic card karyawan tertentu. Dalam hal ini adalah bagian Teknologi Informasi seperti Netwok Administrator
atau System Administrator. Hal ini dilakukan untuk mencegah masuknya orang yang tidak berhak yang dapat menyebabkan
kegagalan pada server baik akibat kegagalan fisik ( kabel yang tercabut) ataupun kesalahan konfigurasi.
2. Penggunaan password yang unik pada server
Setiap server diberikan password yang unik untuk bisa mengakses kedalam. Yang mengetahui password tersebut hanyalah orang-orang tertentu saja di dalam perusahaan, dalam hal ini adalah orang-orang teknologi informasi. Dengan penggunaan password yang unik di harapkan untuk menghindari kesalahan konfigurasi dan akses dari orang yang tidak berhak dan tidak berwewenang yang ingin mengakses server dan merubah konfigurasi.
c. Jaringan LAN
Penggunaan LAN juga dibatasi dengan akses kontrol untuk mencegah pengaksesan berkas-berkas perusahaan oleh orang yang tidak berhak atau tidak memiliki wewenang. Metoda ini diterapkan dengan cara:
1. Penggunaan login dan password untuk memasuki LAN
Karyawan yang ingin memasuki jaringan internal perusahaan dan mengakses berkas-berkas pada perusahaan harus memasukan login dan passwordnya sehingga dapat diketahui hak akses yang dimilikinya. Metoda ini diterapkan dengan penggunaan domain controller untuk mengatur setiap hak akses dari karyawan berdasarkan login yang dimasukan. Dengan diterapkannya metoda ini diharapkan akses user terhadap berkas-berkas perusahaan dapat dibatasi berdasarkan hak aksesnya saja. Contoh: Karyawan pada divisi Produksi tidak boleh melihat berkas-berkas yang disimpan oleh karyawan pada divisi Keuangan.
2. Penggunaan Virtual LAN (VLAN)
Penggunaan Virtual LAN dengan antara bagian Keuangan atau Produksi. Dengan demikian pengaksesan berkas oleh orang yang tidak berhak dapat dicegah.
3. Pencatatan Log kegagalan login
Pada server domain juga terdapat log sebagai audit yang mencatat kegagalan login dari user, apabila terdapat lima kali kegagalan memasukan password maka account user tersebut akan di kunci sampai dengan dibukakan oleh administrator. Hal ini dilakukan untuk mencegah percobaan akses ke sumber daya server oleh orang yang tidak berhak secara berulang -ulang.misahkan segment-segment dari jaringan komputer untuk setiap divisi dari perusahaan diharapkan dapat mencegah pengaksesan berkas -berkas yang seharusnya tidak boleh di akses. Karena dengan penggunaan Virtual LAN jaringan komputer dapat di sekat-sekat menjadi suatu segmen yang terpisah secara logis walaupun secara fisik bergabung. Dengan pemisahan secara logis tersebut karyawan pada divisi TI tidak dapat melihat komputer karyawan pada divisi
VI.1.1 Metoda akses terhadap file-file di dalam server berkas
Berkas-berkas di dalam server berkas terdiri dari folder-folder sebagai berikut:
• Laporan Produksi [Bulan] • Design Library [Nama Project] • Laporan Sales [Bulan] • Dokumen TI [Kegiatan] • Dokumen Admin [Hal] • Laporan Keuangan [Bulan]
Hak akses yang diberikan untuk setiap staff PT PPJ adalah berdasarkan Tabel IV.
Tabel IV. Hak akses staff terhadap berkas Folder Role Kode Laporan
Produksi Design Library Dokumen TI Laporan Sales Laporan Keuangan Admin Direktur 1 A01 R/W R/W R/W R/W R/W R/W Direktur 2 A02 R/W R/W R/W R/W R/W R/W Manajer Divisi Produksi A03 R/W R/W - R - - Koordinator Percetakan A04 R/W R - - - - Koordinator Distribusi A05 R/W R - - - - Koordinator Penerbitan A06 R/W R - - - -
Staff Produksi 1 A07 R - - - - -
Staff Produksi 2 A08 R - - - - -
Staff Produksi 3 A09 R - - - - -
Staff Produksi 4 A10 R - - - - -
Staff Produksi 5 A11 R - - - - -
Staff Produksi 6 A12 R - - - - -
Staff Produksi 7 A13 R - - - - -
Staff Produksi 8 A14 R - - - - -
Staff Produksi 9 A15 R - - - - -
Staff Produksi 10 A16 R - - - - -
Staff Produksi 11 A17 R - - - - -
Manajer Divisi Development A18 R/W R/W - R - - Koordinator Design A19 R R/W - - - - Koordinator Editing A20 R R/W - - - - Staff A21 - R - - - -
Folder Role Kode Laporan
Produksi Design Library Dokumen TI Laporan Sales Laporan Keuangan Admin Development 1 Staff Development 2 A22 - R - - - - Staff Development 3 A23 - R - - - - Staff Development 4 A24 - R - - - - Manajer Divisi Keuangan A25 - - - R/W R/W - Koordinator Keuangan A26 - - - R R/W -
Staff Keuangan 1 A27 - - - - R -
Staff Keuangan 2 A28 - - - - R -
Manajer Divisi Pemasar an & Sales
A29
- - - R/W R/W -
Koordinator Sales A30 - - - R/W R -
Market Analyst 1 A31 R - - R - -
Market Analyst 2 A32 R - - R - -
Staff Sales 1 A33 R - - R - -
Staff Sales 2 A34 R - - R - -
Staff Sales 3 A35 R - - R - -
Manajer Divisi TI A36 R R R/W - - -
Network Admin A37 R R R/W - - -
System Admin A38 R R R/W - - -
Security Specialist A39 R R R/W - - - Administratsi 1 A40 - - - R/W Administratsi 2 A41 - - - R/W Administratsi 3 A42 - - - R/W
Office Boy I A43 - - - -
Office Boy II A44 - - - -
Folder Role Kode Laporan
Produksi Design Library Dokumen TI Laporan Sales Laporan Keuangan Admin Satpam II A46 - - - -
Satpam III A47 - - - -
Supir I A48 - - - -
Supir II A49 - - - -
Receptionist A50 R - - R - -
VI.2 Telecommunications & Network Security
Jaringan pada PT PJJ menggunakan protokol Open Standard yaitu protokol TCP/IP berbasiskan ethernet dengan koneksi sebesar 100MB. Topologi yang digunakan adalah topologi star dengan menggunakan switch yang masing-masing divisi dipisahkan oleh Virtual LAN (VLAN) untuk mencegah pengaksesan berkas-berkas rahasia pada masing -masing divisi.
Alamat IP yang digunakan adalah tipe C untuk private IP yaitu 192.168.1.x/24 dan menggunakan fasilitas NAT untuk mengakses internet melalui router. PT PPJ juga menggunakan DNS lokal pada server domain untuk memetakan nama-nama komputer karyawan ke dalam alamat IP.
Firewall juga digunakan untuk melindungi jaringan lokal diakses oleh orang lain dari Internet. Konfigurasi firewall di set seaman mungkin berdasarkan port-port yang boleh di akses. Port yang dibuka adalah port-port untuk http yaitu port-port 80.
Untuk jaringan dengan kantor-kantor cabang di seluruh nusantara PT.PJJ menggunakan jaringan ADSL 128K yang diperlukan untuk saling mengirimkan berkas-berkas redaksional dan mempermudah untuk pertukaran informasi dengan menggunakan intranet perusahaan melalui web. Selain itu juga tersedia layanan dial-up sebagai backup apabila jaringan ADSL mengalami kegagalan. Konfigurasi jaringan PT PPJ dapat dilihat pada gambar V.
Gambar V. Konfigurasi jaringan PT PPJ
Pada server-server PT PJJ juga diimplementasikan teknologi RAID sebagai redundansi apabila terjadi kerusakan pada salah satu disk. Dilakukan backup setiap seminggu sekali untuk berkas-berkas yang terdapat pada server berkas.
VI.3 Security Management Practices
Manajemen keamanan adalah proses bagaimana mengatur pengamanan infrastruktur dapat selalu terpelihara dalam operasi sehari -hari.
PT PPJ mengimplementasikan manajemen keamanan adalah dengan membuat aturan-aturan dan panduan antara lain adalah aturan pemb uatan password. Contoh aturan yang diimplementasikan dalam PT PPJ dalam hal manajemen password:
1. Panjang password harus minimal 6 karakter 2. Password terdiri dari huruf dan angka 3. Password diganti setiap bulan sekali
4. Penggantian password tidak boleh sama dengan password sebelumnya
5. Password tidak boleh di catat dimanapun
Selain itu PT PPJ juga mempekerjakan IT Security specialist yang menangani keamanan dari keseluruhan jaringan dan data-data perusahaan agar tidak bocor keluar, juga mengatur akses kontrol dan role dari masing-masing pegawai dalam operasi sehari-hari perusahaan.
Penggunaan domain controller untuk mengatur hak akses dari setiap karyawan juga termasuk ke dalam manajemen keamanan yang di terapkan pada PT PPJ.
Update antivirus setiap seminggu sekali juga merupakan manajemen keamanan yang terdapat di PT PPJ.
VI.4 Application and System Development Security
Application and System Development Security adalah keamanan yang berkaitan dengan aplikasi. PT PPJ tidak melakukan pengembangan aplikasi tetapi terdapat aplikasi yang digunakan secara bersama-sama oleh seluruh kantor cabang, yaitu aplikasi intranet PT PPJ. Keamanan yang di terapkan pada aplikasi ini adalah dengan menggunakan login dan password untuk setiap karyawan. Pada setiap login terdapat hak akses yang di terapkan berdasarkan peranan dari masing-masing karyawan. Apabila yang login adalah karyawan bagian keuangan maka dia akan dapat melihat anggaran keuangan yang di rencanakan dan cash flow dari perusahaan, sementara apabila yang login adalah karyawan bagian produksi maka hal tersebut tidak muncul.
Selain keamanan berdasarkan login dan password aplikasi ini juga berada dibalik firewall dan hanya bisa diakses dari luar jaringan LAN dengan menggunakan port 80 karena hanya port itu sajalah yang diperbolehkan masuk ke dalam jaringan lokal oleh firewall.
Didalam server aplikasi ini juga di install aplikasi Intrusion Detection System (IDS) sehingga apabila ada percobaan untuk memasuki sistem secara illegal dapat segera diketahui. Adalah tugas dari IT Security Specialist untuk melakukan pengecekan log dari sistem maupun dari IDS.
Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah:
• Divisi Keuangan Microsoft Office General Ledger
• Divisi Development Adobe Photoshop • Divisi TI Network Monitoring • Divisi Produksi CAD Aplikasi Web PT PPJ • Divisi Lainnya Microsoft Office VI.5 Cryptography
Cryptography adalah proses mengenkript suatu data untuk mengamankan data tersebut. Proses enkripsi yang terdapat pada PT PPJ adalah penggunaan digital signature dan metoda symetric key dalam pengiriman email dengan menggunakan fasilitas program PGP.Antar kepala cabang dari PT PJJ dalam melakukan komunikasi menggunakan email selalu menggunakan encrypsi dengan menggunakan metoda symetric key dan disertai dengan digital signature dari pengirim email. Hal ini dimaksudkan untuk melindungi data email yang dikirimkan agar tidak mudah di sadap oleh orang lain ataupun di palsukan. Dengan penggunaan symetric key dalam mengenkripsikan email maka diharapkan data email yang dikirimkan akan aman dari sadapan orang lain, dan dengan menyertakan digital signature di dalam email maka akan dapat menjaga ke otentikan dari email yang dikirimkan.
Selain digunakan dalam email proses enkripsi juga di gunakan untuk mengirimkan berkas-berkas yang berhubungan dengan strategi marketing dan peluncuran produk-produk baru yang akan dikirimkan kekantor cabang. Data akan di enkripsi terlebih dahulu dengan menggunakan metoda symetric key sebelum dilakukan pengiriman melalui jaringan internet. Dengan melakukan proses enkripsi diharapkan isi dari berkas yang dikirimkan tidak akan di sadap oleh orang lain di dalam internet, karena data tersebut berisi strategi perusahaan
untuk kantor cabang. Apabila sampai tersadap oleh pesaing PT PPJ maka strategi tersebut akan sia-sia.
Dalam keperluan dari System Administrator untuk mengakses server pada kantor cabang maka metoda yang digunakan adalah dengan menggunakan fasilitas SSH (Secure Shell) yaitu fasilitas remote akses yang meng enkripsikan login dan password sebelum dikirimkan melalui internet. Dengan melakukan metoda ini diharapkan login dan password yang dikirimkan tidak akan di sadap oleh orang lain dan digunakan untuk mengakses secara illegal server dari PT PPJ.
VI.6 Security Architecture dan Models
Security model yang digunakan oleh PT PPJ adalah mengedepankan aspek dari kerahasiaan informasi dengan menggunakan model Bell-LaPadula (No read up, No write down). Setelah karyawan memasukan login dan password kedalam domain dari PT PPJ maka karyawan tersebut akan terikat oleh hak akses yang dimilikinya. Karyawan tersebut tidak diperkenankan membaca data pada level security yang lebih tinggi dari hak aksesnya hanya sebatas keperluannya saja.
PT PPJ dapat diklasifikasikan kedalam kelas C2 (Controlled Access Protection) sebagai kelas default yang digunakan oleh Microsoft Windows dimana setiap karyawan diperlukan identifikasi melalui login dan password sebelum diperkenankan memasuki jaringan lokal PT PPJ dan mengakses sumber daya.
VI.7 Operations Security
Operation Security adalah kegiatan rutin untuk memelihara operasional sehari-hari setelah infrastruktur teknologi informasi di implementasikan agar selalu berjalan dengan baik dan dalam keadaan aman.
Kegiatan Operation Security yang dilakukan di PT PPJ untuk menjaga operasi sehari-hari infrastruktur teknologi informasinya adalah:
1. Mengupdate patch pada server windows yang dilakukan oleh system administrator
2. Mengupdate antivirus update definition
3. Selalu memeriksa log dari audit login apakah ada yang mencuriga kan
4. Memeriksa log dari IDS. Clipping level di berlakukan pada log-log yang dihasilkan sehingga hanya pada level tertentu saja maka hal tersebut dianggap mencurigakan
5. Dilakukan dokumentasi change control dalam hal seperti ada komputer baru yang terinstall dan masuk kedalam jaringan LAN, aplikasi baru, patch baru, dan perubahan konfigurasi network 6. Menerapkan least privillages atau need-to -know kepada setiap
user dimana hanya mendapatkan privilleges yang paling minimum dalam melakukan pekerjaannya.
7. Dalam hal keamanan pada email maka PT PPJ selalu mengedukasi karyawannya mengenai keamanan email, email sepeti apa yang mengandung virus dan tidak boleh di buka. 8. Selain itu juga selalu mengupdate definisi email scanner di
dalam server email
VI.8 Disaster Recovery & Business Continuity Plan
Disaster Recovery dan Business Continuity Plan adalah proses untuk meminimalisasikan efek yang disebabkan terjadinya bencana dan melakukan proses pemulihan dengan secepatnya sehingga bisnis dapat berjalan dengan baik kembali.
PT PPJ telah menga nalisa Business Analisis Impact dalam hal terjadi kegagalan pada infrastruktur. Proses BIA yang dilakukan adalah sebagai berikut:
1. Mendeskripsikan Komponen yang berhubungan dengan Infrastruktur Komponen pembentuk infrastruktur dapat di lihat pada tabel V.
Tabel V . Komponen yang berkaitan dengan Infrastruktur
KOMPONEN JUMLAH
SERVER DOMAIN, EMAIL DAN PROXY
1
SERVER FILE DAN APLIKASI 1
PC KLIEN 34
PRINTER 5
SCANNER 3
SWITCH 2
MODEM 1
2. Kemudian mengidentifikasi akibat dan toleransi dari kegagalan
Berdasarkan konsultasi dengan pengguna sumber daya PT PPJ maka didapat akibat dan toleransi dari kegagalan seperti pada tabel VI.
Tabel V I. Akibat dan Toleransi kegagalan dari Infrastruktur TI
KOMPONEN AKIBAT TOLERANSI
KEGAGALAN
SERVER DOMAIN, EMAIL DAN PROXY
User tidak dapat mengirim dan menerima email, email yang lama pada server hilang.
User tidak dapat login ke dalam jaringan dan mengambil berkas yang dibutuhkan
5 Hari
SERVER FILE User tidak dapat mengambil berkas yang dibutuhkan dan ada kemungkinan berkas tersebut hilang
1 Hari
10 PC KLIEN User tidak dapat bekerja dengan komputer nya
1 Hari
3 PRINTER
User tidak dapat mencetak laporan ataupun sample dari produksi
5 Hari
2 SCANNER
User tidak dapat men scan gambar dalam kegiatan produksi
3 Hari
1 SWITCH
User tidak dapat koneksi kedalam jaringan untuk login kedalam domain
2 Hari 1 ROUTER User tidak dapat melakukan koneksi ke
kantor cabang dan tidak dapat melakukan koneksi ke internet
3. Analisa Rancangan Ketersediaan Infrastruktur PT PPJ
Berdasarkan tabel pada tahap ke dua maka dapat PT PPJ membuat perancangan ketersediaan infrastruktur untuk komponen-komponen infrastruktur sebagai berikut:
a. Server
• UPS
UPS digunakan untuk mencegah kegagalan akibat kelistrikan. Apabila terjadi kegagalan akibat kelistrikan maka UPS dapat untuk sementara menyediakan tenaga listrik sementara proses berjalan. Dan jika kegagalan berlangsung lama admin dapat mematikan server secara normal untuk mencegah terjadinya kehilangan data.
• RAID
Solusi RAID digunakan untuk mencegah kegagalan pada disk sebagai metoda redundansi disk. Solusi RAID yang digunakan adalah RAID 0+1. Dengan implementasi solusi RAID 0+1 yaitu striping dan mirrorin maka apabila terjadi kegagalan pada salah satu disk masih terdapat mirror nya pada disk ya ng lain. Juga dengan implementasi striping dapat mempercepat proses transaksi.
• Backup data Server
Proses backup dilakukan setiap seminggu sekali mengunakan tape backup. Dengan adanya backup diharapkan apabila terjadi kerusakan pada data di server data yang hilang tidak terlalu banyak atau tidak ada data yang hilang sama sekali.
• Dual Ethernet
Dual ethernet adalah solusi server untuk mencegah kegagalan pada interface ethernet. Dengan adanya dua ethernet sehingga apabila salah satu ethernet mengalami kerusakan dapat dengan segera digantikan oleh ethernet cadangannya. Dengan demikian akan mengurangi waktu akibat terjadinya kegagalan akibat kerusakan ethernet.
b. PC Client
Untuk solusi ketersediaan PC Client PT PPJ memberlakukan solusi sebagai berikut.
1. Implementasi Konsep Imaging
Dengan ada nya image dari komputer klien proses pemulihan komputer dapat dilakukan dengan cepat tanpat perlu menginstall semua aplikasi lagi cukup dengan me-restore image yang terlah dibuat.
2. Penyimpanan berkas pada Server Berkas
Setiap karya wan diwajibkan untuk menyimpan data-data pekerjaannya pada server berkas. Dengan demikian apabila terjadi kegagalan pada komputernya data-data pekerjaan masih dapat diambil pada server berkas dan pekerjaan masih dapat dilakukan dengan menggunakan komputer lainnya.
c. Printer
Solusi printer PT PPJ memberlakukan backup antar printer, disediakan minimal terdapat 3 printer yang berjalan secara normal. Apabila terjadi kegagalan pada salah satu printer maka karyawan dapat menggunakan printer yang lainnya karena semua printer terhubung dengan jaringan.
d. Scanner
Solusi scanner adalah sama seperti solusi printer diberlakukan backup antar scanner selama masih ada 2 scanner yang masih berfungsi proses bisnis masih dapat berjalan dengan baik.
e. Switch
Untuk solusi ketersediaan switch PT PPJ menyediakan 2 buah switch sebagai backup apabila salah satu switch mengalami kegagalan dapat menggunakan switch yang satunya lagi sebagai redundansi. Kedua nya sudah terhubung ke dalam jaringan. Disediakan juga extra port sebagai solusi re dundansi port switch.
f. Modem
Untuk keperluan koneksi ke internet dan ke kantor cabang PT PPJ menyediakan fasilitas modem dengan dial-up sebagai cadangan backup apabila terjadi kegagalan pada router. Selama router diperbaiki agar proses bisnis dapat tetap berjalan dengan baik maka solusi dial-up menjadi backdial-up nya.
VI.8.1 Mekanisme Backup
Backup dilakukan pada server berkas, hal ini dilakukan untuk melindung hilangnya atau rusaknya berkas-berkas penting yang di perlukan untuk operational PT PPJ. Jadwal backup yang dilakukan adalah seperti pada Tabel VII.
Backup dilakukan mingguan oleh divisi TI, tape catridge yang diperlukan adalah 4 buat yang mana setiap bulannya di hapus untuk di isi dengan berkas yang terbaru.
Table V II - Jadwal Backup Tape
Pekan Senin Selasa Rabu Kamis Jumat Sabtu
Ke-1 1
Ke-2 2
Ke-3 3
VI.8.2 Emergency List
Dan apabila terjadi suatu keadaan yang membutuhkan penanganan dari divisi tertentu maka dibuat suatu emergency list yang berisi contact person dari manajer untuk tiap-tiap divisi dari PT PPJ. Lihat Tabel V III.
Table VIII- Emergency Contact List
No Name Title Home Address Home Phone Cell Phone
1 A03 Manajer Divisi TI Jakarta 1 111 081 2 A18 Manajer Divisi
Produksi
Jakarta 2
112 082
3 A25 Manajer D ivisi Development Jakarta 3 113 083 4 A29 Manajer Divisi Pemasaran dan Sales Jakarta 4 114 084
5 A36 Manajer Divisi Keuangan
Jakarta 5
115 085
VI.9 Laws, Investigation & Ethics
Laws, Investigations & Ethics adalah mengenai keamanan dari segi hukum dan etika serta kejahatan di dalam dunia komputer.
Dalam hal hukum PT PPJ selalu mengedepankan aspek legalitas sebagaimana produk-produk PT PPJ juga selalu menyertakan label CopyRight sebagai hak cipta dari PT PPJ.
Pengunaan software adalah pembelian asli berlisensi seperti software sistem operasi microsoft windows xp adalah berasal dari pembelian komputer branded. Begitu juga untuk software -software pada server semuanya adalah berlisensi.
VI.10 Phisical Security
Physical Security adalah suatu metoda yang digunakan untuk melindungi aset perusahaan dari ancaman secara fisik. Ancaman yang dapat terjadi adalah:
1. Ancaman dari dalam (Internal Physical Threats) sepertu kebakaran, kegagalan pada kelistrikan
2. Ancaman dari Manusia (Human Threats) seperti pencurian, perusakan 3. Ancaman dari luar (External Threats) seperti banjir, gempa bumi
Implementasi PT PPJ terhadap keamanan secara fisik diantaranya adalah menerapkan:
1. Penjagaan satpam secara shift di pintu masuk ke kantor
Hal ini untuk melindungi ancaman dari manusia seperti pencurian dan perusakan
2. Penggunaan magnetik card untuk setiap karyawan
Dengan penerapan magnetik card dapat membatasi orang yang dapat masuk ke dalam kantor yang akan meningkatkan keamanan aset dari ancaman tindak pencurian oleh orang luar. Selain itu dengan penerapan magnetik card ini dapat diketahui log dari keluar masuknya pegawai sehingga apabila terjadi pencurian dapat diketahui siapa yang berada di dalam kantor pada saat kejadian berlangsung.
3. Ruang server yang selalu terkunci dengan hak akses yang terbatas
Ruang server selalu terkunci dan yang dapat memasuki ruang server terbatas hanya oleh beberapa orang saja dengan hak akses tertentu. Hal ini untuk mencegah terjadi nya orang masuk dan melakukan miskonfigurasi pada server ataupun pada perangkat jaringan.
4. Penggunaan UPS pada server
Dengan digunakannya UPS pada server dapat mencegah kegagalan server yang diakibatkan kegagalan pada kelistrikan. Dalam rentang waktu tertentu apabila kegagalan kelistrikan tetap berlangsung maka server
dapat dimatikan secara normal dengan menggunakan tenaga baterai dari UPS.
5. Fire Detector
PT PPJ menerapkan fire detektor pada setiap ruangan kantornya sehingga apabila terjadi kebakaran pada suatu ruangan dapat dengan segera mengaktifkan alarm dan menyiramkan air untuk mematikan api agar tidak menyebar pada ruangan lainnya.
VI.11 Auditing & Assurance
Dalam hal penerapan Audit Sistem Informasi di PT PPJ maka hal-hal yang perlu di audit adalah:
1. Audit Internal Jaringan LAN
Hal yang perlu di audit adalah apakah setiap karyawan sudah memperoleh hak akses yang sesuai dengan pekerjaannya ataukah ada beberapa karyawan yang ternyata memiliki hal akses yang berlebih sehingga dapat melihat atau merubah berkas-berkas yang bukan merupakan haknya.
2. Audit External Jaringan WAN
Yang perlu di audit adalah konfigurasi dari Router dan Firewall, apakah konfigurasi Router sudah di lakukan dengan mempertimbangkan aspek keamanan ataukah hanya mempertimbangkan akses koneksi saja. Dan konfigurasi firewall apakah sudah aman sehingga dapat mencegah akses sumber daya perusahaan dari luar jaringan internet oleh orang-orang yang tidak bertanggung jawab.
Dengan demikian hal-hal yang perlu di perhatikan diantaranya adalah konfigurasi dari peralatan jaringan beserta dengan log-log yang dihasilkannya.
