Analisa Penjagaan Aset SI dengan Membuat Rancangan Keamanan pada Hotel "X".

(1)

vi

Universitas Kristen Maranatha

Abstract

Hotel X is company that handle service and already use information system on it bussiness. With information system need way to protect information system asset that exist in company. It required audit information system asset with security program for secure asset that existing in company and there will be. Method and research technique used is inteview and observation. This research do with analyze IT asset and know threat that exist in company so that important asset can be secured of threat that may occur.

(2)

vii

Abstrak

Hotel X merupakan perusahaan yang bergerak pada bidang jasa yang dimana telah menggunakan sistem informasi dalam menggerakan usahanya. Dengan adanya sistem informasi diperlukan cara untuk melindungi aset sistem informasi yang ada dalam perusahaan. Untuk itu diperlukan audit penjagaan aset SI dengan membuat rancangan keamanan guna mengamanankan aset yang sudah ada dan yang akan datang. Metode dan teknik penelitian yang digunakan adalah dengan melakukan wawancara dan observasi. Penelitian ini dilakukan dengan menganalisa aset IT dan mengetahui ancaman yang ada dalam perusahaan sehingga aset penting yang ada dapat diamankan oleh perusahaan dari ancaman – ancaman yang mungkin terjadi.

(3)

viii

DAFTAR ISI

LEMBAR PENGESAHAN ... i

PERNYATAAN PUBLIKASI LAPORAN PENELITIAN ... iii

PRAKATA ... iv

BAB I PENDAHULUAN ... 1

1.1 Latar Belakang Masalah ... 1

1.2 Rumusan Masalah ... 1

1.3 Tujuan Pembahasan... 1

1.4 Ruang Lingkup Kajian ... 2

1.5 Sumber Data ... 3

1.6 Sistematika Penyajian ... 3

BAB II KAJIAN TEORI ... 4

2.1 Pengertian Sistem ... 4

2.2 Pengertian Informasi... 6

2.3 Pengertian Audit Sistem Informasi ... 7

2.4 Pengertian Aset ... 16

2.5 Langkah Rancangan Keamanan ... 22

2.5.1 Mengidentifikasi Aset (IdentificationofAssets) ... 24

(4)

ix

2.5.3 Mengidentifikasi Ancaman (Threats Identification) ... 28

2.5.4 Menilai Kemungkinan Ancaman (Threat Likelihood Assessment)30 2.5.5 Menganalisis Pemaparan Ancaman (Exposures Analysis) ... 31

2.5.6 Pengaturan Kontrol (ControlAdjustment) ... 34

2.5.7 Membuat Laporan (Report Preparation) ... 35

2.6 Penjelasan Ancaman ... 37

2.7 Work Breakdown Structure ... 23

2.8 Teknik Pengumpulan Data... Error! Bookmark not defined. 2.9 Maturity Model ... 39

BAB III ANALISIS DAN PEMBAHASAN ... 43

3.1 Prepare Project Plan... 43

3.1.1 Tujuan Pembuatan Dokumen ... 43

3.1.2 Metodologi Proyek ... 43

3.1.3 Hasil Kerja ... 43

3.1.4 Waktu Penjadwalan ... 44

3.1.5 Ringkasan ... 45

3.1.6 Kunci Keberhasilan ... 45

3.2 Identify Assets (Mengidentifikasi Aset) ... 46

3.3 Value Assets (Menilai Aset) ... 48

3.4 Identify Threats (Mengidentifikasi Resiko) ... 78

3.5 Assess Likelihood of Threats (Menilai Kemungkinan Ancaman) ... 85

3.6 Analyze Exposures (Menganalisis Eksposur) ... 104

3.7 Adjust Controls (Pengaturan Kontrol) ... 109

(5)

x

Universitas Kristen Maranatha BAB IV SIMPULAN DAN SARAN ... 115

(6)

xi

DAFTAR GAMBAR

(7)

xii

DAFTAR TABEL

Tabel I Contoh Identifikasi Aset ... 24

Tabel II Contoh Jenis – Jenis Ancaman Dari Luar ... 29

Tabel III Contoh Jenis – Jenis Ancaman Dari Dalam ... 30

Tabel IV Rencana Waktu Pengerjaan Proyek ... 44

Tabel V Wawancara Identifikasi Aset Kepada Staff IT ... 46

Tabel VI Wawancara Identifikasi Aset Kepada Staff IT ... 47

Tabel VII Wawancara Menilai Aset Kepada Manager Hotel ... 48

Tabel VIII Wawancara Menilai Aset Kepada Manager Hotel (lanjutan) ... 49

Tabel IX Wawancara Menilai Aset Kepada Manager Hotel ... 49

Tabel X Wawancara Menilai Aset Kepada Staff IT ... 50

Tabel XI Wawancara Menilai Aset Kepada Staff IT (Lanjutan) ... 51

Tabel XII Menilai Aset ... 52

Tabel XIII Menilai Aset (Lanjutan) ... 52

Tabel XIV Menilai Aset (Lanjutan) ... 53

Tabel XV Menilai Aset (Lanjutan) ... 53

Tabel XVI Menilai Aset (Lanjutan) ... 54

Tabel XVII Menilai Aset (Lanjutan)... 54

Tabel XVIII Menilai Aset (Lanjutan)... 55

Tabel XIX Menilai Aset (Lanjutan) ... 55

Tabel XX Menilai Aset (Lanjutan) ... 56

Tabel XXI Menilai Aset (Lanjutan) ... 56

Tabel XXII Menilai Aset (Lanjutan)... 57

Tabel XXIII Menilai Aset (Lanjutan)... 57

Tabel XXIV Menilai Aset (Lanjutan) ... 58

Tabel XXV Menilai Aset (Lanjutan) ... 58

Tabel XXVI Menilai Aset (Lanjutan) ... 59

Tabel XXVII Menilai Aset (Lanjutan) ... 59

(8)

xiii

Tabel XXIX Menilai Aset (Lanjutan) ... 60

Tabel XXX Menilai Aset (Lanjutan) ... 61

Tabel XXXI Menilai Aset (Lanjutan) ... 61

Tabel XXXII Menilai Aset (Lanjutan) ... 62

Tabel XXXIII Menilai Aset (Lanjutan) ... 62

Tabel XXXIV Menilai Aset (Lanjutan) ... 63

Tabel XXXV Menilai Aset (Lanjutan) ... 64

Tabel XXXVI Menilai Aset (Lanjutan) ... 64

Tabel XXXVII Menilai Aset (Lanjutan) ... 64

Tabel XXXVIII Menilai Aset (Lanjutan) ... 65

Tabel XXXIX Menilai Aset (Lanjutan) ... 65

Tabel XL Menilai Aset (Lanjutan) ... 65

Tabel XLI Menilai Aset (Lanjutan) ... 65

Tabel XLII Menilai Aset (Lanjutan) ... 66

Tabel XLIII Menilai Aset (Lanjutan) ... 66

Tabel XLIV Menilai Aset (Lanjutan)... 66

Tabel XLV Menilai Aset (Lanjutan)... 67

Tabel XLVI Menilai Aset (Lanjutan)... 68

Tabel XLVII Menilai Aset (Lanjutan)... 68

Tabel XLVIII Menilai Aset (Lanjutan) ... 69

Tabel XLIX Menilai Aset (Lanjutan)... 69

Tabel L Menilai Aset (Lanjutan) ... 69

Tabel LI Menilai Aset (Lanjutan) ... 69

Tabel LII Menilai Aset (Lanjutan) ... 70

Tabel LIII Menilai Aset (Lanjutan) ... 70

Tabel LIV Menilai Aset (Lanjutan) ... 70

Tabel LV Menilai Aset (Lanjutan) ... 70

Tabel LVI Menilai Aset (Lanjutan) ... 71

Tabel LVII Menilai Aset (Lanjutan) ... 71

(9)

xiv

Tabel LIX Menilai Aset (Lanjutan) ... 71

Tabel LX Menilai Aset (Lanjutan) ... 72

Tabel LXI Menilai Aset (Lanjutan) ... 72

Tabel LXII Menilai Aset (Lanjutan) ... 72

Tabel LXIII Menilai Aset (Lanjutan) ... 72

Tabel LXIV Menilai Aset (Lanjutan)... 73

Tabel LXV Menilai Aset (Lanjutan)... 73

Tabel LXVI Menilai Aset (Lanjutan)... 73

Tabel LXVII Menilai Aset (Lanjutan)... 73

Tabel LXVIII Menilai Aset (Lanjutan) ... 74

Tabel LXIX Menilai Aset (Lanjutan)... 74

Tabel LXX Menilai Aset (Lanjutan)... 74

Tabel LXXI Menilai Aset (Lanjutan)... 75

Tabel LXXII Menilai Aset (Lanjutan)... 75

Tabel LXXIII Menilai Aset (Lanjutan) ... 75

Tabel LXXIV Menilai Aset (Lanjutan) ... 75

Tabel LXXV Menilai Aset (Lanjutan) ... 76

Tabel LXXVI Menilai Aset (Lanjutan) ... 76

Tabel LXXVII Menilai Aset (Lanjutan) ... 76

Tabel LXXVIII Menilai Aset (Lanjutan) ... 77

Tabel LXXIX Mengidentifikasi Ancaman ... 78

Tabel LXXX Mengidentifikasi Ancaman (Lanjutan) ... 79

Tabel LXXXI Mengidentifikasi Ancaman (Lanjutan) ... 81

Tabel LXXXII Mengidentifikasi Ancaman (Lanjutan) ... 82

Tabel LXXXIII Mengidentifikasi Ancaman (Lanjutan) ... 83

Tabel LXXXIV Mengidentifikasi Ancaman (Lanjutan) ... 84

Tabel LXXXV Menilai Kemungkinan Ancaman Gempa Bumi ... 85

Tabel LXXXVI Menilai Kemungkinan Ancaman Banjir ... 86

Tabel LXXXVII Menilai Kemungkinan Ancaman Kebakaran ... 87

(10)

xv

Tabel LXXXIX Menilai Kemungkinan Ancaman Suhu ... 89

Tabel XC Menilai Kemungkinan Ancaman Gunung Meletus ... 90

Tabel XCI Menilai Kemungkinan Ancaman Polusi ... 91

Tabel XCII Menilai Kemungkinan Ancaman Hardware Rusak ... 92

Tabel XCIII Menilai Kemungkinan Ancaman Hardware Tidak Kompatibel .. 93

Tabel XCIV Menilai Kemungkinan Ancaman Software Crash ... 94

Tabel XCV Menilai Kemungkinan Ancaman Data Hilang ... 95

Tabel XCVI Menilai Kemungkinan Ancaman Listrik Padam ... 96

Tabel XCVII Menilai Kemungkinan Ancaman Server Down ... 97

Tabel XCVIII Menilai Kemungkinan Ancaman Pengrusakan Dari Orang Luar98 Tabel XCIX Menilai Kemungkinan Ancaman Pencurian Dari Oang Luar ... 99

Tabel C Menilai Kemungkinan Ancaman Kecerobohan Dari SDM ... 100

Tabel CI Menilai Kemungkinan Ancaman Pengrusakan Dari Orang Dalam101 Tabel CII Menilai Kemungkinan Ancaman Pencurian Dari Orang Dalam ... 102

Tabel CIII Menilai Kemungkinan Ancaman Hardware/ Software Terkena Virus ... 103

Tabel CIV Pengaturan Kontrol Software ... 109

Tabel CV Pengaturan Kontrol Software (lanjutan) ... 109

Tabel CVI Pengaturan Kontrol Software (lanjutan) ... 110

Tabel CVII Pengaturan Kontrol Software (lanjutan) ... 110

Tabel CVIII Pengaturan Kontrol Hardware ... 111

Tabel CIX Pengaturan Kontrol Hardware (lanjutan) ... 112

Tabel CX Pengaturan Kontrol Hardware (lanjutan) ... 112

(11)

xvi

DAFTAR LAMPIRAN

LAMPIRAN A ... A.1

LAMPIRAN B ... B.1

LAMPIRAN C ... C.1

(12)

1

BAB I PENDAHULUAN

1.1 Latar Belakang Masalah

Mengingat kebutuhan akan pengambilan keputusan yang cepat dan akurat, persaingan yang ketat, serta pertumbuhan dunia usaha dalam menggunakan teknologi informasi menuntut dukungan penggunaan teknologi mutakhir yang kuat dan handal. Dalam konteks ini keberhasilan perusahaan akan sangat dipengaruhi oleh kemampuannya dalam memanfaatkan teknologi informasi secara optimal, efisien, dan efektif.

Hotel X merupakan perusahaan jasa bidang pariwisata yang telah menggunakan sistem informasi didalam menjalankan bisnisnya, yang dimana sebuah sistem informasi perlu pengamanan dari berbagai ancaman. Sehingga aset perusahaan dapat terselamatkan ketika terjadi ancaman. Maka dari itu perlu dilakukan audit aset keamanan teknologi informasi untuk menilai apakah sistem keamanan tersebut telah cukup melindungi aset teknologi informasi yang ada. Penelitian ini dilakukan di Hotel X, dimana dalam perusahaan belum pernah dilakukan audit atas sistem keamanannya. Dikarenakan penting nya sebuah aset IT untuk dijaga maka perlu dibuat rancangan keamanan untuk aset IT.

1.2 Rumusan Masalah

Bagaimana membuat rancangan keamanan dalam upaya penjagaan aset SI pada hotel X?

1.3 Tujuan Pembahasan

(13)

2

1.4 Ruang Lingkup Kajian

Solusi yang akan dibuat memiliki batasan-batasan sebagai berikut :

1. Melakukan analisa aset perusahaan yang terdiri atas aset fisik dan aset logika.

Aset fisik terdiri atas: a. Pegawai

b. Perangkat keras c. Fasilitas

d. Dokumentasi e. Perlengkapan Aset logika terdiri atas:

a. Data/ informasi

b. Sistem perangkat lunak & Aplikasi

2. Melakukan audit dengan menggunakan tahapan rancangan keamanan sebagai berikut:

1. Prepare Project Plan (menyusun rencana proyek) dengan menggunakan Work Breakdown Structure.

2. Identify assets (mengidentifikasi aset)

3. Value assets (menilai aset) dengan metode penilaian maturity model

4. Identify threats (mengidentifikasi resiko) dengan metode penilaian maturity model

5. Assess likelihood of threats (menilai kemungkinan ancaman)

6. Analyze exposures (menganalisis eksposur)

7. Adjust Controls (pengaturan kontrol)

(14)

3

1.5 Sumber Data

Sumber data yang digunakan dalam penelitian ini adalah data primer yaitu data atau informasi yang digunakan secara langsung dari responden atau obyek yang diteliti. Data primer dalam penelitian ini diperoleh secara langsung dari wawancara, dokumen dari pihak yang terkait dan survei yang dilakukan peneliti.

1.6 Sistematika Penyajian

Berikut adalah sistematika penyajian dalam laporan tugas akhir ini:

BAB I PENDAHULUAN

Berisikan tentang penjelasan latar belakang, rumusan masalah, tujuan, ruang lingkup kajian, sumber data dan sistematika penyajian Laporan Tugas Akhir.

BAB II KAJIAN TEORI

Berisikan tentang metode yang dipakai untuk proses analisis dan audit.

BAB III ANALISIS DAN PEMBAHASAN

Berisi tentang data-data yang akan diperoleh dari perusahaan dan prosedur yang akan dipakai dalam melakukan audit.

BAB IV SIMPULAN & SARAN

(15)

115

BAB IV SIMPULAN DAN SARAN

4.1 Simpulan

1. Dari penelitian yang dilakukan untuk membuat rancangan keamanan dalam upaya penjagaan aset SI pada hotel X dilakukan pengumpulan bukti – bukti dan hasil analisis, maka dapat disimpulkan sebagai berikut: a. Dari hasil analisa wawancara dan observasi, Identify assets dalam

perusahaan masih perlu dibenahi karena masih banyak dokumentasi yang belum terdata dengan baik.

b. Dari hasil analisa wawancara dan observasi, Value assets dalam perusahaan cukup besar, sehingga perlu dilakukan asuransi terhadap nilai aset yang ada agar kerugian terhadap resiko ancaman tidak menjadi beban perusahaan.

c. Dari hasil analisa wawancara dan observasi, Identify threats yang ada pada perusahaan memiliki sedikit ancaman, meskipun demikian ancaman-ancaman yang ada perlu ditanggulangi sebelum menimbulkan kerugian pada perusahaan.

d. Dari hasil analisa wawancara dan observasi, Assess likelihood of threats dalam melakukan upaya perlindungan masih perlu dilakukan upaya perlindungan yang lebih baik dengan cara mempertimbangkan saran yang telah peneliti berikan.

e. Dari hasil analisa wawancara dan observasi, Adjust controls yang dilakukan oleh perusahaan masih belum terlaksana dengan baik, maka perlu dilakukan pembenahan terhadap pelaksanaan kontrol yang sudah ada.

(16)

116

Universitas Kristen Maranatha dan pelaksanaan terhadap kontrol masih perlu diperketat walaupun resiko terhadap ancaman perusahaan tergolong kecil.

4.2 Saran

(17)

117

DAFTAR PUSTAKA

Baskerville, Richard (1993), “Informastion System Security Design Method: Implications for Information System Development,” ACM Computing Surveys

(December), 375-414.

Chambers & Associates Pty Ltd (2006). Work Breakdown Structure.

Retrieved November 25, 2010, from

http://www.chambers.com.au/sample_p/wbs_cncp.htm

Fasswald , Jan. 2004. Federal Court of Audit (Bundesrechnungshof), Audit Unit

IV 3. 2004: 2nd Seminar on IT-Audit September 1st to 4th, 2004 in Nanjing. Bundesrechnungshof.

John Burch dan Gary Grudnitski, (“Information Systems Theory and Practice”, John Wiley and Sons, New York, 1986)

John F. Nash dan Martin B. Roberts dalam Jogiyanto H.M (2001:35-36)

John F.Nash, Martin B. Roberts. Accounting information systems. New York : Macmillan Pub. Co., 1984.

Henderson, Stuart (1996), “The Information Systems Security Policy Statement,” EDPACS (Juni),9-18.

Henry C. Lucas dalam Jogiyanto H.M (2001:35)

(18)

118

Universitas Kristen Maranatha Infrastructures. Bundesamt fur Sicherheit in der Informationstechnik: Bonn, Jerman. 2005.

Lammle,Todd., CCNA Study Guide, Third Edition, Sybex Network Press, 2002

McLean, Kevin, and Len Watts. (1996), “Evolution of a UK-Sponsored Risk Analysis Methodology,” IS Audit & Control Journal, III, 32-36.

Patrick G. McKeown and Robert A. Leitch's. Management information systems : managing with komputers. Fort Worth : Dryden Press, 1993.

Rahardjo, Budi. (2006). Cybercrime. Retrieved November 20, 2010, from http://keamananinternet.tripod.com/pengertian-definisi-cybercrime.html

Ruslan, Rosady. Metode penelitian public relations dan komunikasi. Jakarta: PT. Raja Grafindo Persada, 2008.

Weber, Ron (1998), “Security Management Controls,”Information System