Sistem Keamanan pada Pengembangan Sistem Informasi untuk Usaha Kecil dan Menengah (UKM)

Download File

Bab I

Pendahuluan

1.1 Apakah Sistem Keamanan pada Pengembangan Sistem Informasi

Sistem keamanan pada pengembangan sistem informasi adalah faktor utama yang harus dimiliki. Mengingat sistem informasi tidak akan bertahan lama jika tidak memiliki sistem keamanan. Keamanan sistem informasi merupakan sebuah metode pencegahan gangguan-gangguan yang mungkin terjadi terhadap sistem informasi itu sendiri. Misalnya pencegahan dari kemungkinan adanya virus, hacker, cracker dan kemungkinan lainnya. Berbicara masalah keamanan sistem informasi maka tidak hanya dilakukan pencegahan, namun juga membahas kemungkinan resiko yang muncul dan cara mengatasinya. Sehingga pada dasarnya keamanan sistem mencakup :

  1. Threats (Ancaman) pada sistem
  2. Vulnerability (Kelemahan) pada sistem

Dampak kedua masalah tersebut akan mengganggu 6 aspek utama pada sebuah sistem informasi, yaitu :

  • Efektifitas
  • Efisiensi
  • Kerahasiaan
  • Integritas
  • Keberadaan (Availability)
  • Kepatuhan (Compliance)
  • Keandalan (Reliability)

Hal yang sangat perlu diperhatikan dalam masalah keamanan sistem informasi yaitu :

  1. Akses kontrol sistem yang digunakan
  2. Telekomunikasi dan jaringan yang dipakai
  3. Manajemen praktis yang di pakai
  4. Pengembangan sistem aplikasi yang digunakan
  5. Cryptographs yang diterapkan
  6. Arsitektur dari sistem informasi yang diterapkan
  7. Pengoperasian yang ada
  8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
  9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
  10. Tata letak fisik dari sistem yang ada

Dari hal-hal diatas kita dapat mengklasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.

  1. Ancaman (Threats)

Ancaman merupakan aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

  1. Ancaman Alam
  • Ancaman air : banjir, tsunami, intrusi air laut, kelembaban tinggi, badai, pencairan salju, kebocoran
  • Ancaman tanah : longsor, gempa bumi, gunung meletus
  • Ancaman lain : kebakaran hutan, petir, tornado
  1. Ancaman Manusia
  • Malicious code
  • Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
  • Social engineering
  • Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor
  • Kriminal
  • Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
  • Teroris
  • Peledakan, Surat kaleng, perang informasi, perusakan
  1. Ancaman Lingkungan
  • Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama
  • Polusi
  • Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll
  • Kebocoran seperti A/C, atap bocor saat hujan

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.

  1. Kelemahan (Vulnerability)

Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki.

Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :

  1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan
  2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
  3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal

Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.

Tujuan-tujuan kemanan sendiri dimaksudkan untuk mencapai 3 tujuan utama , yaitu :

  1. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak.
  2. Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya.
  3. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang diwakilinya.

Pentingnya pengendalian Sistem Informasi

Untuk berfungsi secara efektif dan efisien, sebuah business harus mempunyai sistem informasi manajemen yang valid, akurat, lengkap, tepat waktu dan tepat guna. Dengan demikian manajemen, aktor yang menjadi pemegang peranan penting dari keberhasilan sesuatu perusahaan, dapat mengambil keputusan yang optimal berdasarkan informasi yang dapat diandalkan. Sesuai dengan laju perkembangan teknologi informasi, sistem informasi manajemen masa kini pada umumnya telah didukung oleh komputer di dalam suatu kegiatan usaha adalah sangat tergantung pada situasi dan kondisi dari masing-masing perusahaan. Ada perusahaan yang tidak bisa berfungsi sama sekali kalau komputernya macet, karena memekai sistem informasi manajemen yang sangat bergantung pada komputer (computer dominant firm); dan ada pula perusahaan yang tetap bisa beroperasi seperti biasa, meskipun komputernya musnah terkena bencana, sebab sistem informasi manajemennya memang kurang bergantung pada peran komputer (computer minor firm).

Information security atau keamanan informasi terdiri dari 4 bagian penting yaitu Network Security (keamanan jaringan), Management of Information Security (manajemen keamanan informasi), Computer & Data Security (keamanan komputer dan data) dan dilengkapi dengan policy (kebijaksanaan).

Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi lima area :

  • Struktur organisasional
  • Kontrol perpustakaan
  • Pemeliharaan peralatan
  • Kontrol lingkungan dan kemanan fasilitas

Rencana keadaan darurat (emergency plan)

Rencana back-up

Langkah yang digunakan meliputi :

Awal Proyek Sistem

  1. Perencanaan Sistem

Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja & dana yang dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung operasinya setelah diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2 tahun) dan jangka panjang (sampai dengan 5 tahun).

Proses utama dalam perencanaan sistem :

  • Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem
  • Menentukan proyek-proyek sistem dilakukan oleh komite pengarah
  • Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis

Pengembangan Sistem

  1. Analisis Sistem

Tahap yang digunakan oleh analis sistem untuk menemukan kelemahan-kelemahan dari sistem yang ada sehingga dapat diusulkan perbaikannya.

  1. Desain/Perancangan Sistem

Tahap untuk membentuk sistem yang baru berdasarkan hasil analisis.

  1. Implementasi Sistem

Tahap untuk memilih perangkat keras dan perangkat lunak yang dibutuhkan dan meletakkan sistem supaya siap untuk dioperasikan.

Kegiatan yang dilakukan dalam implementasi :

  • Pemilihan dan pelatihan personil
  • Pemilihan tempat dan instalasi hardware dan juga software
  • Pemrograman dan pengetesan program
  • Pengetesan sistem
  • Konversi

Manajemen Sistem

  1. Maintenance Sistem

Tahap setelah pengembangan sistem dilakukan dan sistem dioperasikan. Disebut sebagai tahap manajemen sistem karena yang melakukan proses ini sudah bukan analis sistem tetapi manajemen.

SDLC yang lebih lengkap dapat dilihat pada gambar di bawah ini :

1.3         Sepuluh besar Kerawanan dalam Pengembangan Suatu Aplikasi

Perancangan Sistem Informasi harus memperhatikan sejumlah tekanan

 desain (forces design) :

  1. Integrasi (Integration)
  2. Jalur Pemakai / Sistem (User / System Interface)
  3. Tekanan Persaingan (Competitive Forces)
  4. Kualitas dan kegunaan Informasi (Information Quality and Usability)
  5. Kebutuhan-kebutuhan System (Systems Requirements)
  6. Kebutuhan-kebutuhan Pengolahan Data (Data Processing Requirements)
  7. Faktor-faktor Organisasi (Organizations Factors)
  8. Kebutuhan-kebutuhan Biaya Efektifitas (Cost Effectiveness Requirements)
  9. Faktor-faktor Manusia (Human Factors)
  10. Kebutuhan-Kebutuhan Kelayakan (Feasibility Requirements)

1.4      Sektor UKM

CV. Subur Jaya Marketing adalah perusahaan yang dimiliki oleh dua orang dan telah dirancang oleh Sonhaji Moch. Soleh dan Supriyanto pada tahun 2008 dan resmi didirikan pada bulan April 2009. CV. Subur Jaya Marketing sendiri bergerak dibidang distribusi. Barang-barang yang didistribusikan tidak hanya satu macam. Pemilihannya sendiri berdasarkan minat pasar pada saat ini. Jika dirasa barang dapat laku kersa di pasaran maka dapat dipertimbangkan untuk dijual. CV. Subur Jaya Marketing memiliki anak cabang yang sudah tersebar di pulau Jawa, Kalimantan dan Bali.

Untuk saat ini, CV. Subur Jaya Marketing memproduksi tikar tenun yang juga memiliki merk dagang nagabonar dan packson. Beda dengan dua barang yang sebelumnya, untuk kali ini diproduksi sendiri oleh CV. Subur Jaya Marketing mulai dari pembuatan tikar tenun sampai dengan proses pembungkusan.

Nama Perusahaan          : CV. Subur Jaya Marketing

Nama Pemilik                : Sonhaji Moch. Soleh dan Supriyanto

Alamat                           : Jl. Warinoi V/3 Bunulrejo Malang

Telp                                : 0341-488747

Email                              : tapakdara@yahoo.com

Denah Lokasi CV. Subur Jaya Marketing

Berikut adalah Usecase penjualan yang dimiliki oleh CV Subur Jaya Marketing:

Berikut merupakan flowchart dari sistem penjualan yang dimiliki oleh UKM Tikar tenun CV Subur Jaya Marketing :

Bab II

Keamanan Pada Fase Perencanaan

2.1      Review Policies dan Standard

UKM saat ini harus mempertimbangkan kebutuhan keamanan informasi. Hal-hal yang seudah lama menjadi bagian keamanan informasi antara lain adalah Policy, Standart, Guideline, dan Procedure. Berikut adalah sedikit informasi mengenai istilah-istilah tersebut:

Policy

Policy atau kebijakan merupakan suatu rangkaian konsep yang menjadi pedoman dan dasar rencana dalam pelaksanaan suatu pekerjaan, kepemimpinan, dan cara bertindak. Policy berbeda dengan peraturan dan hukum, karena policyatau kebijakan itu hanya menjadi pedoman tindakan yang paling mungkin memperoleh hasil yang diinginkan. Kebijakan dapat pula merujuk pada proses pembuatan keputusan penting.

Standard

Standard adalah karakteristik atau ketentuan teknis tentang suatu kegiatan atau hasil kegiatan, yang dirumuskan dan disepakati bersama oleh pihak-pihak yang berkepentingan sebagai acuan baku bagi kegiatan dan transaksi yang mereka lakukan.

Guideline

Guideline atau petunjuk (dari kamus Bahasa Indonesia) merupakan sesuatu (tanda, isyarat) untuk menunjukkan, memberi tahu, dsb. Menurut saya, sederhananya Guideline itu petunjuk bagi pengguna(konsumen) maupun penyedia jasa(produsen) untuk melakukan proses transaksi bisnis informasi agar sesuai prosedur yang telah ditetapkan.

Procedure

Procedure merupakan serangkaian tahapan-tahapan aksi yang spesifik yang digunakan oleh user dalam melakukan suatu kegiatan atau proses bisnisnya agar sesuai dengan policy, standarisasi yang telah ditentukan oleh sistem

Contoh standart yang biasanya digunakan secara umum oleh UKM :

Software Licensing, dalam pembuatan aplikasi nantinya harus dipastikan bahwa SELURUH entitas perangkat lunak yang terlibat dalam pembangunan aplikasi harus terjamin dan tersedia licensenya agar tidak ada kendala non teknis pada saat perangkat lunak mulai dikembangkan dan digunakan.

Business Contingency Planning, dalam perencaanaan perangkat lunak harus dapat ditentukan bagaimana desain dalam upaya menjaga realibilitas sistem aplikasi dan bagaimana rencana kontingensi jika terjadi kerusakan sehingga tidak menggangu bisnis yang sedang berjalan.

Security Policy and Procedures, Ini lebih memuat aturan yang jelas dan terdokumentasi sebagai guideline atau pegangan bagi seluruh personil yang terlibat dalam pengembangan aplikasi, seperti aturan network akses, user akses, waktu akses dan lainnya.

Ownership of Software Code and Related Intellectual Property, setelah aplikasi dapat diluncurkan, maka harus dapat ditegaskan kepemilikan dari perangkat aplikasi terutana code program dan bagian-bagian yang rumit dari program.

IT Project Management, perlu ada untuk menspesifikasikan kebutuhan-kebutuhan selama pelaksanaan project aktifitas didalamnya seperti Requirements Management, Project Planning, Project Tracking, Configuration Management, Risk Management, and Project Closeout.

Technical Architecture Compliance, aplikasi memiliki standar yang dapat diimplementasikan pada arsitektur teknis yang eksisting.

2.2      Pengembangan Pengukuran dan Kriterianya

Pada fase perencanaan sistem :

  • Dibentuk suatu struktur kerja strategis yang luas dan pandangan sistem informasi baru jelas akan memenuhi kebutuhan-kebutuhan pemakai informasi
  • Proyek sistem dievaluasi dan dipisahkan berdasarkan prioritasnya. Proyek dengan prioritas tertinggi akan dipilih untuk pengembangan
  • Sumber daya baru direncanakan untuk, dan dana disediakan untuk mendukung pengembangan sistem

Faktor-faktor yang dipertimbangkan selama fase perencanaan sistem :

  • Faktor-faktor kelayakan (feasibility factors) yang berkaitan dengan kemungkinan berhasilnya sistem informasi yang dikembangkan dan digunakan
  • Faktor-faktor strategis (strategic factors) yang berkaitan dengan pendukung sistem informasi dari sasaran bisnis dipertimbangkan untuk setiap proyek yang disusulkan. Nilai-nilai yang dihasilkan dievaluasi untuk menentukan proyek sistem mana yang akan menerima prioritas yang tertinggi.

Faktor Kelayakan

(feasibility factors)

Faktor Strategis

(strategic factors)

Kelayakan teknis Produktivitas
Kelayakan ekonomis Diferensiasi
Kelayakan legal Manajemen
Kelayakan operasional  
Kelayakan planning  

Suatu sistem yang diusulkan harus layak, yaitu sistem harus memenuhi kriteria-kriteria sebagai berikut :

  • Kelayakan teknis untuk melihat apakah sistem yang diusulkan dapat dikembangkan dan diimplementasikan dengan menggunakan teknologi yang ada atau apakah teknologi baru dibutuhkan.
  • Kelayakan ekonomis untuk melihat apakah dana yang tersedia cukup untuk mendukung estimasi biaya untuk sistem yang diusulkan.
  • Kelayakan legal untuk melihat apakah ada konflik antara sistem yang sedang dipertimbangkan dengan kemampuan UKM untuk melaksanakan kewajiban secara legal.
  • Kelayakan operasional untuk melihat apakah prosedur dan keahlian pegawai yang ada cukup untuk mengoperasikan sistem yang diusulkan atau apakah diperlukan penambahan/pengurangan prosedur dan keahlian.
  • Kelayakan rencana berarti bahwa sistem yang diusulkan harus telah beroperasi dalam waktu yang telah ditetapkan.

Selain layak, proyek sistem yang diusulkan harus mendukung faktor-faktor startegis :

  • Produktivitas mengukur jumlah output yang dihasilkan oleh input yang tersedia. Tujuan produktivitas adalah mengurangi atau menghilangkan biaya tambahan yang tidak berarti. Produktivitas ini dapat diukur dengan rasio antara biaya yang dikeluarkan dengan jumlah unit yang dihasilkan.
  • Diferensiasi mengukur bagaimana suatu perusahaan dapat menawarkan produk atau pelayanan yang sangat berbeda dengan saingannya. Diferensiasi dapat dicapai dengan meningkatkan kualitas, variasi, penanganan khusus, pelayanan yang lebih cepat, dan biaya yang lebih rendah.
  • Manajemen melihat bagaimanan sistem informasi menyediakan informasi untuk menolong manajer dalam merencanakan, mengendalikan dan membuat keputusan. Manajemen ini dapat dilihat dengan adanya laporan-laporan tentang efisiensi produktivitas setiap hari.

Pada tahap perencanaan ini yang terpenting ialah Goals, Objectives, Strategies, Plans. Semua akan dijelaskan sesuai ISO 20007 pada sektor UKM.

2.3      Sektor UKM

2.3.1        Scope

Tujuan Security Management System terhadap UKM Tikar Tenun ini adalah memastikan data-data yang terkait dengan penjualan tetap terjaga kemanan, kerahasiaan dan ketersediaannya. Dan juga memastikan personil-personil yang terlibat mendapatkan informasi penjualan yang dibutuhkan sesuai dengan aspek CIA Triangle (confidentiality, integrity, availability).

Area yang terlibat dalam business scope kali ini mencakup pihak-pihak Administrasi. Karena yang terlibat langsung terhadap aplikasi penjualan adalah piha administrasi.

Untuk Information Security Management System yang akan dibuat untuk UKM Tikar Tenun antara lain :

  • Autorisasi dan Autentikasi kepada pihak-pihak yang terlibat langsung dalam penggunaan aplikasi
  • Penjadwalan back up data
  • Penyimpanan data
  • Memastikan data yang ada dan dibutuhkan terjaga keamanan , kerahasiaan, keutuhan, dan ketersediaan
  • Policy yang diberikan untuk pegawai yang terlibat
  • Maintenance dan kemananan hardware/software yang digunakan

2.3.2        Inventory Information Assets

Organisation & Relevant Process
Operating Unit / Function Process Name Process Owner
Input Penjualan Penjualan Administrasi
Input Pelanggan Pelanggan Administrasi
Input Pembayaran Piutang Piutang Administrasi
Laporan Penjualan Laporan Administrasi

Bab III

Keamanan Pada Fase Analisa dan Design

  1.  
  2.  
  3.  
    1. Personil yang terlibat

3.1       Hal-hal yang terkait pada Fase Perancangan/Desain

  • Owner/pemilik
  • Administrasi
  • Sales

  1. Perancangan Input
  • Data capture
  • Data preparation
  • Data entry
  • Tipe data
  • Tipe Input External

Faktur pembelian, kwitansi dari luar organisasi

  • Tipe Input Internal

Faktur penjualan, order penjualan

  1. Perancangan Output
  • Tipe Output External

Nota Penjualan, Nota piutang

  • Tipe Output Internal

Laporan terinci, Laporan ringkasan

  1. Perancangan Penyimpanan data
  • Save Data
  • Back up Data

  1. Perancangan Hardware
  • Input

Mouse, keyboard

  • Proses

CPU

  • Output

Monitor, printer

  • Penyimpanan

Hardisk, flashdisk

  1. Perancangan Keamanan dan Kontrol
  • Training user
  • Policy
  • Validasi
  • Error provider
  • Autentifikasi


3.2       Sektor UKM

3.1.1        Information Security Risk Assesment

Information Asset Details
Name Of Asset Description of Asset Type of Information Asset Personal Data (Y/N) Sensitive Customer Data (Y/N) Classification
Penjualan Data penjualan diberikan oleh sales berupa nota penjualan kepada pihak Administrasi. Pihak Administrasi input data penjualan ke sistem. Nota Penjualan

 

Data yang tersimpan di komputer Administrasi

N N Confidentiality
Pelanggan Pihak Administrasi melakukan input adata pelanggan ke dalam sistem. Data yang tersimpan di komputer Administrasi Y Y Confidentiality
Piutang Data piutang diberikan oleh sales berupa nota pembayaran piutang kepada pihak Administrasi. Pihak Administrasi input data ke sistem. Nota Pembayaran Piutang

 

Data yang tersimpan di komputer Administrasi

Y Y Confidentiality
Laporan Administrasi mencetak laporan melalui sistem dan melalui laporan yang dibikin manual di microsoft Excel. Kertas laporan

 

Data yang tersimpan di komputer Administrasi

N N Availability

Dan

Integrity

3.1.2        Risk Treatement Plan

Current Level of Protection
Name of Asset At Origin If Information is Moved
Penjualan Pihak Adminsitrasi melakukan input data dari nota penjualan yang diberikan oleh sales. Sistem terintegrasi dengan pihak sales sehingga pihak sales dapat melakukan pengecekan penjualan yang telah diperoleh. Untuk menjamin kerahasiaan, ketepatan dan ketersediaan data penjulaan yang dibutuhkan sales sesuai dengan CIA Triangle.
Pelanggan Pihak Adminsitrasi melakukan input data dari informasi pelanggan yang diberikan sales maupun dari pelanggan langsung. Sistem terintegrasi dengan sales, sehingga sales dapat menginputkan sendiri pelanggan yang diperolehnya.
Piutang Pihak Adminsitrasi melakukan input data dari nota piutang yang diberikan oleh sales. Memberikan policy untuk penginputan data piutang bertujuan untuk menjamin kerahasian data.

 

Training user.

Laporan Pihak Adminsitrasi melakukan pembuatan laporan manual dan beberapa langsung dari sistem. Semua laporan terintegrasi kepada sistem, sehingga pihak administrasi tidak perlu membuat laporan secara manual.

 

Memberikan hak akses kepada owner atau pemilik UKM, sehingga pemilik dapat membuka laporan tanpa melalui Administrasi.

3.1.3        Statement of Applicability

Clause Sec Control Objective/Control
5. Security Policy 5,1 Information Security Policy
5.1.1 Information Security Policy Document
5.1.2 Review of Information Security Policy
     
6. Organization of Information security 6,1 Internal Organization
6.1.1 Management Commitment to information security
6.1.2 Information security Co-ordination
6.1.3 Allocation of information security Responsibilities
6.1.4 Authorization process for Information Processing facilities
6.1.5 Confidentiality agreements
6.1.6 Contact with authorities
6.1.7 Contact with special interest groups
6.1.8 Independent review of information security
6,2 External Parties
6.2.1 Identification of risk related to external parties
6.2.2 Addressing security when dealing with customers
6.2.3 Addressing security in third party agreements
     
7. Asset Management 7,1 Responsibility for Assets
7.1.1 Inventory of assets
7.1.2 Ownership of Assets
7.1.3 Acceptable use of assets
7,2 Information classification
7.2.1 Classification Guidelines
7.2.2 Information Labeling and Handling
     
8. Human Resource Security 8,1 Prior to Employment
8.1.1 Roles and Responsibilities
8.1.2 Screening
8.1.3 Terms and conditions of employment
8,2 During Employment
8.2.1 Management Responsibility
8.2.2 Information security awareness, education and training
8.2.3 Disciplinary process
8,3 Termination or change of employment
8.3.1 Termination responsibility
8.3.2 Return of assets
8.3.3 Removal of access rights
   
     
9. Physical and Environmental Security 9,1 Secure Areas
9.1.1 Physical security Perimeter
9.1.2 Physical entry controls
9.1.3 Securing offices, rooms and facilities
9.1.4 Protecting against external and environmental threats
9.1.5 Working in secure areas
9.1.6 Public access, delivery and loading areas
9,2 Equipment security
9.2.1 Equipment sitting and protection
9.2.2 Support utilities
9.2.3 Cabling security
9.2.4 Equipment Maintenance
9.2.5 Security of equipment off-premises
9.2.6 Secure disposal or reuse of equipment
9.2.7 Removal of Property
   
     
10. Communications and Operations Management 10,1 Operational Procedures and responsibilities
10.1.1 Documented operating Procedures
10.1.2 Change Management
10.1.3 Segregation of Duties
10.1.4 Separation of development and Operations facilities
10,2 Third Party Service Delivery Management
10.2.1 Service Delivery
10.2.2 Monitoring and review of third party services
10.2.3 Manage changes to the third party services
10,3 System Planning and Acceptance
10.3.1 Capacity management
10.3.2 System acceptance
10,4 Protection against Malicious and Mobile Code
10.4.1 Controls against malicious code
10.4.2 Controls against Mobile code
10,5 Back-Up
10.5.1 Information Backup
10,6 Network Security Management
10.6.1 Network controls
10.6.2 Security of Network services
10,7 Media Handling
10.7.1 Management of removable media
10.7.2 Disposal of Media
10.7.3 Information handling procedures
10.7.4 Security of system documentation
10,8 Exchange of Information
10.8.1 Information exchange policies and procedures
10.8.2 Exchange agreements
10.8.3 Physical media in transit
10.8.4 Electronic Messaging
10.8.5 Business Information systems
10,9 Electronic Commerce Services
10.9.1 Electronic Commerce
10.9.2 On-Line transactions
10.9.3 Publicly available information
10,10 Monitoring
10.10.1 Audit logging
10.10.2 Monitoring system use
10.10.3 Protection of log information
10.10.4 Administrator and operator logs
10.10.5 Fault logging
10.10.6 Clock synchronization
     
11. Access control 11,1 Business Requirement for Access Control
11.1.1 Access control Policy
11,2 User Access Management
11.2.1 User Registration
11.2.2 Privilege Measurement
11.2.3 User password management
11.2.4 Review of user access rights
11,3 User Responsibilities
11.3.1 Password Use
11.3.2 Unattended user equipment
11.3.3 Clear Desk and Clear Screen Policy
11,4 Network Access control
11.4.1 Policy on use of network services
11.4.2 User authentication for external connections
11.4.3 Equipment identification in networks
11.4.4 Remote diagnostic and configuration port protection
11.4.5 Segregation in networks
11.4.6 Network connection control
11.4.7 Network Routing control
11,5 Operating System Access Control
11.5.1 Secure Log-on procedures
11.5.2 User identification and authentication
11.5.3 Password Management system
11.5.4 Use of system utilities
11.5.5 Session Time-out
11.5.6 Limitation of connection time
11,6 Application access control
11.6.1 Information access restriction
11.6.2 Sensitive system isolation
11,7 Mobile Computing and Teleworking
11.7.1 Mobile computing and communication
11.7.2 Teleworking
   
     
12. Information Systems Acquisition  Development and Maintenance 12,1 Security Requirements of Information Systems
12.1.1 Security requirement analysis and specifications
12,2 Correct Processing in Applications
12.2.1 Input data validation
12.2.2 Control of internal processing
12.2.3 Message integrity
12.2.4 Output data validation
12,3 Cryptographic controls
12.3.1 Policy on the use of cryptographic controls
12.3.2 Key Management
12,4 Security of System Files
12.4.1 Control of Operational software
12.4.2 Protection of system test data
12.4.3 Access control to program source library
12,5 Security in Development & Support Processes
12.5.1 Change Control Procedures
12.5.2 Technical review of applications after Operating system changes
12.5.3 Restrictions on changes to software packages
12.5.4 Information Leakage
12.5.5 Outsourced Software Development
12,6 Technical Vulnerability Management
12.6.1 Control of technical vulnerabilities
   
     
13. Information Security Incident Management 13,1 Reporting Information Security Events and Weaknesses
13.1.1 Reporting Information security events
13.1.2 Reporting security weaknesses
13,2 Management of Information Security Incidents and Improvements
13.2.1 Responsibilities and Procedures
13.2.2 Learning for Information security incidents
13.2.3 Collection of evidence
     
14. Business Continuity Management 14,1 Information Security Aspects of Business Continuity Management
14.1.1 Including Information Security in Business continuity management process
14.1.2 Business continuity and Risk Assessment
14.1.3 developing and implementing continuity plans including information security
14.1.4 Business continuity planning framework
14.1.5 Testing, maintaining and re-assessing business continuity plans
     
15. Compliance 15,1 Compliance with Legal Requirements
15.1.1 Identification of applicable legislations
15.1.2 Intellectual Property Rights ( IPR)
15.1.3 Protection of organizational records
15.1.4 Data Protection and privacy of personal information
15.1.5 Prevention of misuse of information processing facilities
15.1.6 Regulation of cryptographic controls
15,2 Compliance with Security Policies and Standards and Technical compliance
15.2.1 Compliance with security policy
15.2.2 Technical compliance checking
15,3 Information System Audit Considerations
15.3.1 Information System Audit controls
15.3.2 Protection of information system audit tools
   

 

Bab IV

Keamanan Pada Fase Pengembangan

4.1      Pemrograman dan Percobaan

Produk yang dihasilkan dalam pemrograman

  • Program dengan rancangan yang sesuai dengan planning dan analisisi
  • Dapat dieksekusi oleh mesin
  • Berfungsi dengan benar
  • Sanggup melayani segala kemungkinan masukan
  • Disertai dokumentasi

Pada fase pengembangan ada 2 topik besar yakni pemrograman dan percobaaan (testing), adapun secara umum hal-hal yang perlu diperhatikan dapat diuraikan sebagai berikut:

  • Bagaimana menulis kode yang aman

Gunakan variabel-variabel yang tidak mudah dimengerti oleh umum sebagai penanda pekerjaan kita, memang akan sulit jika pemrograman dilakukan oleh banyak orang atau team namun hal ini akan mencegah atau mengurangi pembobolan sistem melalui variabel. Menggunakan OOP atau Object Oriented Program. Dan menggunakan enkripsi untuk variabel yang dianggap penting.

  • Bagaimana menangani eksespi yang aman

Eksepsi adalah keadaan tidak normal yang muncul pada suatu bagian program. Jangan pernah mengungkapkan informasi tentang sistem internal atau aplikasi seperti stak traces, SQL statement fragments, dan sebagainya. Pastikan informasi jenis ini tidak sampai pada end user atau keluar dari batas team development. Jangan mencatat data yang sensitif atau pribadi seperti password. Ketika mencatat laporan eksespi, jika input dari user dimasukkan dalam pesan yang dicatat, validasilah atau bersihkan terlebih dahulu, misalnya jika pesannya dalam format HTML, maka harus di encode terlebih dahulu untuk menghindari injeksi script.

  • Pemeriksaan keamanan pada managed code

  • Ruang lingkup/ ruang kerja team development

Team development memiliki tempat kerja harus juga mendapat perhatian dalam masalah keamanan. Team development harus mengamankan alat kerjanya seperti: account, protokol, port, service, share, file dan direktory, dan registry.

  • Least privileged code

Memberi batasan kode apa yang bisa dijalankan berdasarkan account. Pemberian akses pada yang membutuhkan saja. Untuk itu dapat digunakan code access security untuk membatasi resources dan operasi yang diperbolehkan dengan membuat kebijakan terlebih dahulu. Jika kode tidak membutuhkan mengakses sebuah resource atau operasi, maka dapat digunakan declarative security attributes untuk memastikan kode tersebut tida diberi hak oleh administrator.

  • File I/O

Sebagai contoh, sebuah aplikasi web dapat dibatasi hanya bisa mengakses file pada virtual directory yang dimilikinya. Penggunaan code access security dapat dilakukan untuk membatasu kemampuan kode dalam mengakses area dari sistem file dan menjalankan file I/O.

  • Pencegahan SQL injection

Pengguanaan  stored  procedures  yang  mempunyai parameter. Penggunaan parameter tersebut untuk memastikan nilai input sudah dicek tipe dan panjangnya. Parameter juga diberlakukan untuk menjamin sebagai nilai yang aman dan bukan kode yang dapat dieksekusi dalam database. Jika tidak dapat menggunakan stored procedures, sebaiknya menggunakan SQL statement dengan parameter. Jangan pernah membangun SQL statement dengan langsung memasukkan nilai input dalam SQL command. Pastikan aplikasi memberikan hak akses ke database seperlunya saja.

  • Pencegahan cross-site scripting

Untuk mencegah cross-site sripting, validasi semua input termasuk tipe, panjang, format, dan range dan yang penting encode outputnya. Sebagai contoh, encode form fileds, query string parameters, cookies, dan sebagainya.

  • Validasi input yang aman

Memberikan validasi pada semua inputan. Batasi, tolak, bersihkan input merupakancara yang lebih mudah dalam melakukan validasi data untuk tipe, pola, range yang valid dan sudah diketahui terlebih dahulu kemudian mencari karakter yang jelek. Untuk input berupa string bisa digunakan ekspresi regular.

  • Bagaiaman mengamankan Forms authentication

Untuk mengatur authentication harus ada pembagian area mana yang bisa diakses oleh anonim dan area mana yang hanya bisa diakses oleh user dengan menggunakan otentifikasi. Jika aplikasi berbasis web, gunakanlah Secure Sockets Layer (SSL). Batasi juga jangka waktu sesi dan pastikan authentication cookie hanya melalui HTTPS saja. Enkripsi authentication cookie dan jangan gunakan untuk tujuan personalisasi. Untuk personalisai, gunakan cookie terpisah selain authentication cookie.

4.2      Sektor UKM

Incident Responses Planning

Risk Factors Recommended Controls  Cost Justification Type Control Method Action Method
Penyalahgunaan hak akses/password pada komputer. Policy password yang harus terdiri dari kombinasi angka, huruf besar dan kecil Preventive Administrative control Accept
Policy untuk mengganti password 6 bulan sekali
Sistem yang mendukung Automatic Lock
Terjadi kerusakan data, misalnya akibat bencana alam, hardisk rusak Back up regularly pada hardisk lain  Rp                     2.000.000 Preventive Tactical control Accept
Serangan virus yang dapat merusak data dan sistem Mengaktifkan firewall  Rp                     1.000.000 Preventive Tactical control Minimize
Menggunakan antivirus resmi
Human Error Training user setiap tahun  Rp                         500.000 Preventive Tactical control Minimize
Sistem tidak berjalan dengan baik karena human error Validasi inputan, dan pemberian error provider  – Corrective Operational control Minimize
Serangan dari luar. Misalnya hacker Memasang firewall  – Preventive Tactical control Minimize
Monitoring dan control jaringan  –

Bab V

Keamanan Pada Fase Implementasi

5.1      Penerapan/Instalasi

Fase Implementasi

Aktivitas yang dilakukan pada fase implementasi adalah :

  • Ujicoba perangkat lunak
  • Dokumentasi Sistem
  • Dokumentasi untuk pengguna
  • Pelatihan
  • Konversi Sistem

Ujicoba Perangkat Lunak

Rangkaian ujicoba yang dirancang untuk mendeteksi kesalahan dan memvalidasi logika dalam program secara bersamaan. Ada beberapajenis ujicoba perangkat lunak :

Jenis Fokus Dilakukan oleh
Developmental Menguji kebenaran modul-modul dalam bentuk individual dan terintegrasi (seluruhnya atau sebagian) Programmer
Alpha Menguji sistem secara keseluruhan, apakah sudah sesuai kebutuhan Penguji perangkat lunak
Beta Uji coba kemampuan sistem dalam ruang lingkup pengguna, menggunakan data aktual yang ada Pengguna sistem (pihak Administrasi pada UKM Tikar Tenun ini)

 

Dokumentasi sistem

Penjabaran proses kerja bagian dalam sistem, untuk mendukung operasi dan pemeliharaan sistem.

Dokumentasi untuk pengguna

Bantuan bagi pengguna untuk memahami tujuan dan penggunaan sistem.

  • User Guides

Berisi tahapan keterangan mengenai intruksi-intruksi untuk penggunaan fitur dan fungsi sistem

  • Tutorial dan Training User

Berisi petunjuk dan latihan untuk pengajaran dan pengembangan kompetensi user dalam penggunaan sistem. Petunjuk latihan dan tutorial ini dapat dilengkapi oleh basis data yang menggunakan data riil

  • Prosedur Instalasi dan saran Trouble Shooting

Petunjuk dan prosedur yang didesain bagi teknisi untuk instalasi dan pemecahan masalah dalam operasi sistem

Pelatihan

Proses untuk melatih pengguna dalam penggunaan proses bisnis baru dan fitur serta fungsi sistem baru dengan tujuan pengembangan kompetensi untuk menjamin keberhasilan operasional sistem baru


 

Parallel Approach

 

5.2      Tahap Pemeliharaan & Review

Proses dimana dilakukan pengembangan minor terhadap sistem yang sedang berjalan. Berikut ini ditunjukkan beberapa bentuk pemeliharaan sistem :

Jenis pemeliharaan Deskripsi
Korektif Membuat perubahan pada sistem informasi untuk memperbaiki kesalahan yang terjadi pada saat desain, coding, atau implementasi
Adaptif Pengubahan sistem untuk mengembangkan funsionalitasnya agar dapat mengakomodasi perubahan kebutuhan bisnis atau untuk migrasi ke lingkungan operasi yang berbeda.
Perfektif Pengembangan untuk meningkatkan kinerja proses atau kegunaan antarmuka, atau penambahan fitur sistem yang sebenarnya tidak terlalu diperlukan
Preventif Pengubahan sistem untuk memperkecil peluang terjadinya kesalahan di masa yang mendatang

5.3      Sektor UKM

Risk Assessment and Mitigation Plan

Risk Factors Most Likely Impact Potential Impact on Project Success Likelihood of Occurrence Mitigation Plan  strongly recommended for H/H, H/M and M/H
Low Medium High L/M/H
Penyalahgunaan hak akses/password pada sistem. H Tidak melakukan maipulasi data. Data yang diakses tidak terlalu penting dan atau tidak mengganggu proses bisnis. Tidak melakukan maipulasi data. Data yang diakses cukup penting dan atau cukup mengganggu proses bisnis. Melakukan manipulasi data. Data yang diakses sangat penting dan atau sangat mengganggu proses bisnis. H Tracing pelaku melalui keamanan yang ada (User ID, Nomor IP, CCTV)
Mengganti user dan password yang disalahgunakan
Melakukan perubahan manipulasi data yang dilakukan
Mengembalikan data yang telah dimanipulasi (restore by savepoint)
Melakukan training pada pihak-pihak universitas atas keamanan hak akses masing-masing
Terjadi kerusakan data, misalnya akibat bencana alam hardisk rusak H Data yang hilang sebesar 1-10%. Atau data rusak (ada kemungkinan data kembali) sebesar 1-30%. Data yang hilang sebesar 11-40%. Atau data rusak (ada kemungkinan data kembali) sebesar 31-50%. Data yang hilang sebesar 41-100%. Atau data rusak (ada kemungkinan data kembali) sebesar 51-100%. M Melakukan restore data pada savepoint backup terakhir
Menganalisa data mana saja yang hilang
Melakukan input data ulang
Serangan virus yang beresiko merusak data dan sistem H Data yang hilang sebesar 1-10%. Atau data rusak (ada kemungkinan data kembali) sebesar 1-30%. Data yang hilang sebesar 11-40%. Atau data rusak (ada kemungkinan data kembali) sebesar 31-50%. Data yang hilang sebesar 41-100%. Atau data rusak (ada kemungkinan data kembali) sebesar 51-100%. L Melakukan scanning virus
Update antivirus
Menganalisa data mana saja yang hilang
Melakukan restore data pada savepoint backup terakhir
Melakukan input data ulang
Serangan dari dalam (pegawai) H Data yang hilang sebesar 1-10%. Atau data rusak (ada kemungkinan data kembali) sebesar 1-30%. Data yang hilang sebesar 11-40%. Atau data rusak (ada kemungkinan data kembali) sebesar 31-50%. Data yang hilang sebesar 41-100%. Atau data rusak (ada kemungkinan data kembali) sebesar 51-100%. H Tracing pelaku melalui keamanan yang ada (User ID, Nomor IP, CCTV)
Memberikan sanksi
Analisa apakah ada data yang hilang/rusak/atau dicuri
Human Error (tidak bisa mengakses data, tidak dapat mengoperasikan hardware pendukung sistem) L tidak dapat mengakses sistem H Training User
Evaluasi sistem yang harus sesuai dengan kemampuan user (User Friendly, Error Provider, Validation)
Hardisk penuh H Kebutuhan akan space server tidak mendesak dan di hari libur. Kebutuhan akan space server sangat mendesak dan di hari libur. Kebutuhan akan space server sangat mendesak dan di hari kerja. L Analisa data yang bisa dihapus
Penambahan hardisk
Memindahkan beberapa data ke server cadangan
Serangan dari luar, misalnya hacker H Kerusakan sistem 1-20%. Atau data yang hilang sebesar 1-10%. Atau data rusak (ada kemungkinan data kembali) sebesar 1-30%. Kerusakan sistem 21-40%. Atau data yang hilang sebesar 11-40%. Atau data rusak (ada kemungkinan data kembali) sebesar 31-50%. Kerusakan sistem 41-100%. Atau data yang hilang sebesar 41-100%. Atau data rusak (ada kemungkinan data kembali) sebesar 51-100%. M Tracing hacker dari IP, firewall,dll
Melaporkan pihak yang berwajib
Menganalisa celah yang dilalui dan celah-celah yang masih mungkin bisa dilalui
Melakukan upgrading sistem yang lebih baik
Menganalisa data dan sistem yang rusak (jika data maka dilakukan restore dan input ulang)

Bab VI

Perangkat untuk Peningkatan Kualitas

6.1      Diagram Fishbone


6.2      Cause and Effect

Internal Attack
pencurian data human error manipulation missusing if authentication
tidak ada CCTV di kantor UKM Tikar Tenun kurangnya training user audit dilakukan oleh pihak administrasi sendiri kecil kemungkinannya namun dapat terjadi karena sistem digunakan pada satu komputer umum
data pelanggan dapat dijual      
audit dilakukan oleh pihak administrasi sendiri      
Tidak ada peraturan yang menegaskan tentang tindakan tersebut      

 

External Attack
hack, virus, malicious code, backdoor, DDOS, Logics Bomb
tidak ada team IT di UKM Tikar tenun
user kurang mengetahui tentang keamanan sistem
user tidak aware terhadap keamanan sistem

 

Disk Error
bencana alam lingkungan full
banjir kebakaran no backup file
longsor listrik mati data lain hanya berupa kertas
gempa atap bocor tidak memiliki disk cadangan
    tidak menggunakan server

 

Sistem Error
UKM Tikar Tenun tidak memiliki team IT yang mengurusi sistem
user tidak mengerti cara penggunaan sistem
kurangnya training user

 

 

 

Bab VII

Penutup

7.1      Kesimpulan

Keamanan sistem informasi sangat dibutuhkan oleh seluruh pihak yang bergantung kepada sistem ataupun teknologi. Data yang diolah baik UKM maupun perusahaan besar sama memiliki tingkat kepentingan yang sangat rawan jika data tersebut hilang maupun rusak. Oleh karena itu minimal UKM maupun perusahaan-perusahaan besar lainnya memiliki keamanan informasi yang sesuai dengan kebutuhan.

Pada UKM Tikar Tenun milik CV. Subur Jaya Marketing pada dasarnya tidak memiliki keamanan sistem yang memadai, bahkan kelengkapan untuk backup datapun masih minim. Hal ini terjadi karena kurang awarenya pihak-pihak UKM akan kepentingan keamanan sistem yang digunakannya.

7.2      Saran

Untuk seluruh UKM sebaiknya menerapkan keamanan sistem informasi yang memadai setidaknya mencakup kebutuhan keamanan data dan sistem yang dimilikinya. Mengingat sekarang seluruh data adalah penting dan banyaknya ancaman-ancaman yang terjadi dari pihak internal maupun external. Pada UKM sistem yang digunakanpun masih diindikasi memiliki banyak kelemahan. Oleh karena itu penerapan keamanan sistem sangan dibutuhkan.

Pada UKM Tikar Tenun CV Subur Jaya Marketing ini seharusnya memiliki standar keamanan data pada UKMnya. Setidaknya memiliki policy dan procedure yang dapat digunakan oleh user dalam mengoperasikan sistem dan menggunakan data UKM. Dan memberikan keamanan yang cukup pada datanya yang meliputi antivirus, firewall, password komputer dan keamanan-keamanan yang dasar yang mudah untuk diaplikasikan.


 

Bab VIII

Daftar Pustaka

http://hornets999.wordpress.com/keamanan-dan-kontrol-sistem-informasi/

http://lihatmatakuliahku.blogspot.com/2013/03/keamanan-sistem-informasi.html

http://ijobaraya.com/perbedaan-policy-standard-guideline-dan-procedure/

http://edysoewanto.wordpress.com/2010/11/18/pentingnya-manajemen-kontrol-keamanan-pada-sistem/

http://blog.uad.ac.id/faeri/2013/06/17/langkah-langkah-pembangunan-sistem-keamanan-pada-perusahaan/

http://jisc.cetis.ac.uk/crm-tools/where-are-you-now.html

http://indraharimukti.blogspot.com/2010/04/tahap-dari-implementasi-sistem.html

http://rullulul20.blogspot.com/2010/03/jelaskan-salah-satu-tahap-dari-proses.html

 

BAB IX

Lampiran

9.1      Security Check List

Information Security Check List Before Analisis with Old Sistem After Analisis New Security Sistem
     
1. POLICY: Has management provided the necessary leadership and reduced liability by issuing comprehensive information security policies, operating procedures, and associated responsibility statements? N Y
     
2. EMPLOYEE ACKNOWLEDGEMENT: Are all employees and contractors required to provide written acknowledgement of their understanding and acceptance of the organization’s information security policies? N Y
     
3. CONFIDENTIALITY AGREEMENTS: Has the execution of properly signed confidentiality agreements been verified before proprietary and/or sensitive information is disclosed, in any form, to individuals outside the organization? N Y
     
4. PHYSICAL SECURITY: Are buildings, paper records, and sensitive IT resources (e.g., computer and network equipment, storage media, wiring closets) within them properly secured from unauthorized access, tampering, damage, and/or theft by an intruder with malicious intent? N Y
     
5. BUSINESS RESUMPTION PLAN: Does the organization have a documented and frequently tested business resumption plan for critical computer system and associated office support infrastructure that includes frequent system backups, off-site data backup storage, emergency notification, replacement IT and office resources, alternate facilities, and detailed recovery procedures? N Y
     
     
6. ANTI-VIRUS: Are all computer systems protected with up-to-date anti-virus software and other defenses against malicious software attacks? Y Y
     
7. INTERNET SECURITY: Are all dedicated connections to the Internet and other external networks properly documented, authorized, and protected by firewalls, intrusion detection systems, virtual private networks (or other forms of encrypted communication,) and incident response capability? N Y
     
8. REMOTE ACCESS: Are modem and wireless access point connections known, authorized, and properly secured?    
     
9. PASSWORDS: Have all vendor-supplied, default passwords, or similar “published” access codes for all installed operating systems, database management systems, network devices, application packages, and any other commercially produced IT products been changed or disabled? N Y
     
10. SOFTWARE PATCHES: Are security-sensitive software patches, including the removal of unnecessary sample application software, promptly applied to systems that are accessible to users outside of the organization? N Y
     
11. DATA PROTECTION: Is sensitive, valuable information properly protected from unauthorized access, including Windows network file shares and undocumented (desktop) Web and FTP servers? N Y
     
12. AUDITS AND VULNERABILITY TESTING: Are all computers and network devices (e.g., routers, and switches) within your organization regularly tested for exploitable vulnerabilities and any unauthorized (or illegally copied!) software? N Y

 


 

Tagged: , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: