Professional Documents
Culture Documents
KELOMPOK 105
Irma I. Ibrahim (7203012106)
Wisnu P. Prabowo (7203012289)
Tommy Lukman (720301227Y)
BAB I Pendahuluan 4
1.1 Profil Perusahaan 4
1.2 Visi dan Misi Perusahaan 4
1.3 Struktur Organisasi Perusahaan 5
1.4 Topologi Jaringan 7
1.5 Denah Kantor 8
BAB II Praktek-Praktek Manajemen Keamanan 9
2.1 Dasar Teori 9
2.1.1 Keamanan Sistem Informasi 9
2.1.2 Pengelompokkan Informasi 10
2.1.3 Kebijakan Keamanan 13
2.1.4 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 14
2.1.5 Manajemen Resiko 15
2.2 Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi
Maju Bersama 15
2.2.1 Pengelompokan Informasi 15
2.2.2 Kebijakan Keamanan 20
2.2.3 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 22
BAB III Sistem Kendali Akses 23
3.1 Dasar Teori 23
3.2 Analisa dan Rekomendasi 23
BAB IV Keamanan Telekomunikasi dan Jaringan 28
4.1 Dasar Teori 28
4.2 Analisa dan Rekomendasi 30
BAB V Kriptografi 34
5.1 Dasar Teori 34
5.2 Analisa dan Rekomendasi 35
BAB VI Arsitektur dan Model-Model Keamanan 37
6.1 Dasar Teori 37
6.2 Analisa dan Rekomendasi 38
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
2
BAB VII Keamanan Operasi-Operasi 39
7.1 Dasar Teori 39
7.2 Analisa dan Rekomendasi 39
BAB VIII Pengembangan Aplikasi dan Sistem 41
8.1 Dasar Teori 41
8.2 Analisa dan Rekomendasi 41
BAB IX Business Continuity Planning dan Disaster Recovery Planning 43
9.1 Dasar Teori 43
9.2 Analisa dan Rekomendasi 43
BAB X Hukum, Investigasi, dan Etika 46
10.1 Dasar Teori 46
10.2 Analisa dan Rekomendasi 47
BAB XI Keamanan Fisik 48
11.1 Dasar Teori 48
11.2 Analisa dan Rekomendasi 49
BAB XII Audit dan Assurance 51
12.1 Dasar Teori 51
12.2 Analisa dan Rekomendasi 52
BAB XIII Kesimpulan 54
Daftar Pustaka 55
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
3
BAB I
PENDAHULUAN
1.1Profil Perusahaan
PT. Asuransi Maju Bersama merupakan sebuah perusahaan asuransi jiwa dan
kesehatan. Perusahaan ini berdiri pada tahun 1998, berawal dari 15 orang karyawan
dengan modal 100 juta, dan berkonsentrasi untuk melayani klien di Jakarta saja. Dengan
kondisi saat ini, PT. Asuransi Maju Bersama berkembang dengan sangat pesat, dan di
tahun 2005 ini pegawainya sudah mencapai 50 orang dan mulai mengembangkan
usahanya sampai ke Pulau Jawa. Berdasarkan data tahun 2003, PT. Asuransi Maju
Bersama memiliki lebih dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih
dari Rp 10 Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp
233,8 juta (tumbuh 15,6 %).
Budaya perusahaan:
Kami akan mengamalkan Misi kami dan menjunjung tinggi Nilai-Nilai Utama kami melalui:
Integritas, Inisiatif dan Rasa Keikutsertaan yang tinggi kepada pelanggan dan pekerjaan
kami dengan Inovatif dan Proaktif
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
4
Visi perusahaan:
Berkomitment memberikan perlindungan finansial untuk setiap pelanggan kami. Dikenal
karena kesempurnaan dalam pelayanan dan memegang teguh sikap integritas, Inisiatif
dan rasa keikutsertaan dalam setiap langkah penyelenggaraan bisnis.
Misi perusahaan:
Menjadi Perusahaan Asuransi Jiwa pilihan di Indonesia, yang dikenal karena produk-
produk yang berkualitas, pelayanan pelanggan yang tak kenal henti berdasarkan pada
nilai-nilai utama kami dan saluran distribusi yang efektif.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
5
DIVISI NAMA TUGAS/JABATAN
1.4Topologi Jaringan
Gambar 1.2 menunjukkan topologi LAN yang dimiliki PT Asuransi Maju Bersama.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
7
1.5Denah Kantor
Gambar 1.3 menunjukkan denah kantor PT Asuransi Maju Bersama.
A 27
A53
A2 3
A11
OPREATION &
TECHNOLOGY
A52 FINANCE
A 26
PRESIDENT DIRECTOR
A04 A05 A06 A08
A25 A24
A12 A42 A44 A36 A37
A13
A01
A4 7
MARKETING STAFF
A39
A4 6
DIRECTOR
A38 A40
IT STAFF
A 41
M
MARKETING
O
A02 RO A16
CCC
G
IN
LL
FI
A50
RECEPTIONIST
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
8
BAB II
PRAKTEK-PRAKTEK MANAJEMEN KEAMANAN
2.1Dasar Teori
2.1.1Keamanan Sistem Informasi
Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan
informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan,
standar-standar, pedoman-pedoman, dan prosedur-prosedur. Ia mendefinisikan praktek-
praktek manajemen klasifikasi data dan manajemen resiko. Ia juga membahas masalah
confidentiality (kerahasiaan), integrity (integritas), dan availibility (ketersediaan) dengan
cara mengidentifikasi ancaman-ancaman, mengelompokkan aset-aset organisasi, dan
menilai vulnerabilities (bentuk jamak dari vulnerability yang berarti bersifat mudah untuk
diserang) mereka sehingga kendali-kendali keamanan yang efektif dapat
diimplementasikan.
Di dalam domain Keamanan Sistem informasi dikenal tiga buah konsep yakni
Confidentiality, Integrity, dan Availibility (C.I.A.), seperti yang ditunjukkan oleh Gambar
2.1. Ketiga konsep ini mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh
kendali-kendali keamanan informasi, dan upaya-upaya perlindungan, serta semua
ancaman-ancaman, vulnerabilities, dan proses keamanan mengacu pada ukuran CIA.
Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya
penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari
suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui
keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan
hak-hak jaringan.
Confidentiality
Integrity Availability
Gambar 2.1 C.I.A Triad
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
9
Integrity. Konsep integrity menjamin bahwa:
Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang
tidak sah.
Modifikasi-modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau
proses yang sah.
Data bersifat konsisten baik secara internal maupun eksernal; dengan kata lain, bahwa
informasi internal bersifat konsisten di antara semua subentitas dan bahwa informasi
internal bersifat konsisten dengan situasi eksternal dan di dunia nyata.
Availability. Konsep availability menjamin bahwa akses terhadap data atau
sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai.
Dengan kata lain, availability menjamin bahwa sistem selalu up and running bila
dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan
yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia.
Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampak-
dampak dari ancaman-ancaman keamanan dan vulnerabilities ke suatu tingkat yang
dapat ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan
penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah organisasi
dan besarnya peluang terjadinya ancaman. Proses yang menganalisa skenario ancaman
dan menghasilkan nilai representatif dari perkiraan kehilangan potensial disebut Analisa
Resiko.
2.1.2Pengelompokkan Informasi
Informasi dapat menimbulkan dampak global pada bisnis organisasi, tidak hanya
pada unit bisnis atau tingkat lini operasi. Tujuan dari pengelompokan informasi adalah
untuk meningkatkan confidentiality, integrity, dan availability dan untuk meminimalisasi
resiko-resiko organisasi. Sebagai tambahan, dengan berfokus pada mekanisme-
mekanisme proteksi dan kendali-kendali pada area informasi yang paling membutuhkan
akan diperoleh rasio biaya-manfaat yang lebih efisien.
Di dalam domain keamanan sistem informasi, pengelompokan informasi digunakan
untuk mencegah penyingkapan yang tidak sah terhadap informasi dan dampak dari
hilangnya confidentiality. Pengelompokan informasi dapat juga digunakan untuk mematuhi
peraturan-peraturan pemerintah, atau untuk menjaga daya kompetitif organisasi di dalam
pasar yang penuh persaingan.
Di samping tujuan-tujuan di atas, pengelompokan informasi juga memberi manfaat
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
10
sebagai berikut:
Mendemonstrasikan komitmen sebuah organisasi dalam upaya perlindungan
keamanan.
Membantu mengidentifikasi informasi mana yang paling sensitif atau vital bagi sebuah
organisasi.
Mendukung prinsip C.I.A.
Membantu mengidentifikasi proteksi-proteksi mana saja yang sesuai dengan informasi
tertentu.
Mungkin diperlukan untuk kebutuhan regulasi, compliance, atau legal.
Informasi yang dihasilkan atau diproses sebuah organisasi harus dikelompokkan
sesuai dengan sensitivitas organisasi terhadap kehilangan atau penyingkapan informasi
tersebut. Pemilik-pemilik data bertanggung jawab mendefinisikan tingkat sensitivitas data.
Pendekatan ini memungkinkan kendali-kendali keamanan diimplementasikan secara tepat
sesuai dengan skema pengelompokan.
Istilah-istilah klasifikasi berikut umum digunakan di dalam sektor swasta:
1. Public (publik). Semua informasi perusahaan yang tidak termasuk ke dalam kategori-
kategori selanjutnya dapat dianggap sebagai public. Informasi ini mungkin sebaiknya
tidak disingkap. Namun apabila terjadi penyingkapan diperkirakan tidak akan
menimbulkan dampak yang serius terhadap perusahaan.
2. Sensitive (sensitif). Informasi yang memerlukan tingkat pengelompokan lebih tinggi
dari data normal. Informasi ini dilindungi dari hilangnya confidentiality dan integrity
akibat perubahan yang tidak sah.
3. Private (pribadi). Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk
penggunaan perusahaan saja. Penyingkapan terhadap informasi ini dapat berdampak
buruk terhadap perusahaan atau pegawai-pegawainya. Sebagai contoh, tingkat gaji
dan informasi medis dianggap informasi yang pribadi.
4. Confidential (rahasia). Informasi yang dianggap sangat sensitif dan dimaksudkan
untuk untuk penggunaan perusahaan saja. Penyingkapan yang tidak sah dapat
berdampak serius dan negatif terhadap perusahaan. Sebagai contoh, informasi
mengenai pengembangan produk baru, rahasia-rahasia dagang, dan negosiasi merger
dianggap informasi rahasia.
Kriteria-kriteria berikut digunakan untuk menentukan pengelompokan sebuah
obyek informasi:
1. Nilai. Nilai merupakan kriteria nomor satu yang umum digunakan. Jika suatu informasi
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
11
bernilai bagi sebuah organisasi atau pesaing-pesaingnya, maka ia perlu
dikelompokkan.
2. Usia. Pengelompokan informasi dapat diturunkan jika nilai informasi tersebut
berkurang seiring berjalannya waktu.
3. Waktu guna. Jika informasi dibuat menjadi kadaluwarsa karena informasi baru,
perubahan substansial di dalam perusahaan, atau alasan-alasan lain, informasi
tersebut dapat tidak dikelompokkan lagi.
4. Asosiasi pribadi. Jika informasi secara pribadi diasosiasikan dengan individu-individu
tertentu atau dilindungi oleh hukum privasi, ia perlu dikelompokkan. Misalnya,
informasi penyelidikan yang mengungkap nama-nama informan mungkin perlu
dikelompokkan.
Langkah-langkah pembuatan sistem pengelompokan adalah sebagai berikut:
1. Identifikasi administrator atau pemelihara.
2. Tentukan kriteria bagaimana cara pengelompokan dan beri tanda ke tiap informasi.
3. Kelompokkan data berdasarkan pemilik, yang tunduk pada peninjauan seorang
pengawas.
4. Tentukan dan buat dokumentasi tiap pengecualian terhadap kebijakan
pengelompokan.
5. Tentukan kendali-kendali yang akan diterapkan ke tiap tingkat pengelompokan.
6. Tentukan prosedur-prosedur terminasi untuk mendeklasifikasi informasi atau untuk
memindahkan pemeliharaan informasi ke pihak lain.
7. Buat program kesadaran perusahaan akan kendali-kendali pengelompokan.
Berikut adalah peran-peran dari semua partisipan di dalam program
pengelompokan informasi:
1. Pemilik. Seorang pemilik informasi dapat berupa seorang eksekutif atau manajer di
dalam organisasi. Orang ini bertanggung jawab terhadap aset informasi yang harus
dilindungi. Pemilik memiliki tanggung jawab korporat final terhadap perlindungan data.
Sedangkan fungsi sehari-hari dari perlindungan data berada di tangan pemelihara
data. Tanggung jawab pemilik data adalah sebagai berikut:
Membuat keputusan awal tentang tingkat pengelompokan yang diperlukan suatu
informasi, yang berdasarkan kebutuhan-kebutuhan bisnis dalam perlindungan data.
Meninjau ulang penentuan klasifikasi secara periodik dan membuat perubahan
sesuai dengan perubahan kebutuhan bisnis.
Menyerahkan tanggung jawab perlindungan data kepada pemelihara data.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
12
2. Pemelihara (Custodian). Pemilik informasi menyerahkan tanggung jawab perlindungan
data kepada pemelihara data. Umumnya staf IT melaksanakan peran ini. Tugas-tugas
pemelihara data adalah sebagai berikut:
Menjalankan proses-proses backup dan secara rutin menguji validitas dari data
yang di-backup.
Melakukan pemulihan data dari backup bila diperlukan.
Menjaga data-data tersebut sesuai dengan kebijakan pengelompokan informasi
yang telah dibuat.
3. Pemakai. Pemakai adalah setiap orang (operator, pegawai, atau pihak luar) yang
secara rutin menggunakan informasi sebagai bagian dari pekerjaannya. Orang ini
dapat dianggap sebagai konsumen data, yakni seseorang yang membutuhkan akses
harian ke suatu informasi untuk menjalankan tugas-tugasnya. Berikut adalah hal-hal
penting sehubungan dengan pemakai:
Pemakai-pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan
dalam sebuah kebijakan keamanan organisasi, dan mereka harus mematuhi
pedoman-pedoman cara penggunaan yang dikeluarkan.
Pemakai-pemakai harus menjaga baik-baik keamanan dari informasi selama
melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam kebijakan pemakaian
informasi korporat). Mereka harus mencegah terjadinya open view, yakni terbukanya
informasi sehingga dapat diakses oleh orang yang tak berhak.
Pemakai-pemakai harus menggunakan sumber daya komputer perusahaan hanya
untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.
2.1.3Kebijakan Keamanan
Kebijakan dapat berarti banyak di dalam dunia keamanan informasi. Sebagai
contoh, terdapat kebijakan keamanan di dalam firewall, yang mengacu kepada informasi
access control dan daftar routing. Sedangkan standar-standar, prosedur-prosedur, dan
pedoman-pedoman juga disebut sebagai kebijakan-kebijakan dalam konteks keamanan
informasi yang lebih besar.
Berikut adalah jenis-jenis dari kebijakan:
1. Pernyataan kebijakan manajemen senior. Merupakan pernyataan kebijakan umum dan
tingkat tinggi, yang mengandung elemen-elemen sebagai berikut:
Sebuah pernyataan tentang pentingnya sumber daya komputer terhadap model
bisnis.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
13
Sebuah pernyataan tentang dukungan untuk keamanan informasi di seluruh
perusahaan.
Sebuah komitmen untuk menyetujui dan mengatur definisi standar-standar,
prosedur-prosedur, dan pedoman-pedoman tingkat rendah.
2. Regulasi (Regulatory). Merupakan kebijakan-kebijakan keamanan yang harus
diimplementasi oleh perusahaan akibat peraturan pemerintah. Tujuan dari regulasi
adalah sebagai berikut:
Untuk menjamin bahwa perusahaan yang terkait mengikuti prosedur-prosedur
standar atau best practices operasi di dalam industrinya.
Untuk memberikan keyakinan kepada sebuah organisasi bahwa ia telah mengikuti
standar dan kebijakan industri yang telah diakui.
3. Advisory. Merupakan kebijakan keamanan yang tidak harus dipatuhi namun sangat
disarankan, mungkin dengan konsekuensi serius seperti pemecatan, surat peringatan,
dan lain-lain. Sebuah perusahaan dengan kebijakan seperti ini menginginkan agar
sebagian besar pegawai menganggapnya kewajiban. Sebagian besar kebijakan
masuk dalam kategori ini.
4. Informatif. Merupakan kebijakan yang ada untuk memberikan informasi kepada
pembaca internal maupun eksternal.
2.1.5Manajemen Resiko
Fungsi utama manajemen resiko adalah untuk memperkecil resiko hingga
mencapai tingkat yang dapat diterima oleh sebuah organisasi. Manajemen resiko dapat
diartikan sebagai identifikasi, analisa, kendali, dan minimalisasi kerugian akibat suatu
peristiwa.
Identifikasi resiko memerlukan definisi tentang elemen-elemen dasar berikut:
Ancaman aktual
Kemungkinan konsekuensi-konsekuensi dari ancaman yang diketahui.
Peluang frekuensi terjadinya suatu ancaman.
Tingkat keyakinan kita bahwa suatu ancaman akan terjadi.
Proses manajemen resiko memiliki beberapa elemen sebagai berikut:
1. Analisa Resiko, termasuk analisa biaya-manfaat terhadap suatu tindakan
perlindungan.
2. Implementasi, peninjauan ulang, dan memelihara tindakan perlindungan.
Pemelihar
No. Nama Informasi Klasifikasi Pemilik Pemakai
a
Divisi Pengemba
1 Basis data keuangan Confidential Divisi Finance
Finance ng aplikasi
Divisi Divisi Human Capital dan
Pengemba
2 Basis data kepegawaian Confidential Human pegawai yang
ng aplikasi
Capital bersangkutan
Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam
PT Asuransi Maju Bersama:
1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui
berapa margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas
data harus dijaga karena berhubungan dengan penagihan kepada pemegang polis
dan vendor; apabila integritas data terganggu maka kredibilitas perusahaan dapat
terganggu. Ketersediaan data juga penting karena penagihan harus dilakukan tepat
waktunya untuk menjaga arus cash flow perusahaan.
2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh
mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji,
penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi
tersebut.
3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas
informasi ini akan dapat merugikan baik pemegang polis maupun perusahaan.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
17
4. Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan
baik agen asuransi maupun perusahaan.
5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat
merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing.
6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan
kesehatan finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk
mendiskreditkan perusahaan.
7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh
ke pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha
perusahaan yang umumnya bersifat rahasia dapat diketahui.
8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk
pengembangan aplikasi tersebut.
9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan
melakukan akses ilegal ke dalamnya.
Setelah mengidentifikasi aset informasi yang dimiliki perusahaan beserta
penilaiannya, langkah berikutnya adalah mengidentifikasi ancaman-ancaman potensial
yang mungkin dapat mengganggu confidentiality, integrity, dan availability dari informasi-
informasi tersebut. Tabel 2.2 menunjukkan ancaman-ancaman potensial yang berhasil
diidentifikasi.
Hacker Ketidaksempurnaan software firewall yang digunakan Akses ilegal terhadap data penting perusahaan
dan tidak termonitornya firewall tersebut.
Kebakaran Tidak memadainya sistem pemadam kebakaran Kerusakan pada komputer dan teknologi informasi
lainnya, termasuk data di dalamnya
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
18
Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama
disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut:
1. Pencegahan. Tindakan pencegahan dilakukan dengan cara:
Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.
Pembelian perangkat keras firewall.
Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall
secara rutin.
Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.
Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.
Pemakai tidak diberikan hak akses administrator di PC-nya.
Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan
komputer dan elektronik lainnya.
Penggunaan akses Internet dial-up sebagai cadangan.
Memperketat proses pemeriksaan latar belakang calon pegawai.
Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan
memerlukannya.
Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk
dibawa keluar dari perusahaan.
Dibuat prosedur keamanan yang berlaku di dalam perusahaan.
Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang
benar.
Penerapan rencana disaster recovery dan business continuity.
2. Deteksi. Tindakan deteksi dilakukan dengan cara:
Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk
menghindari terjadinya kegagalan perangkat keras.
Melakukan pemeriksaan komputer secara rutin terhadap virus.
Melakukan pemeriksaan terhadap backup yang dihasilkan.
3. Represi. Tindakan Represi dilakukan dengan cara:
Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan
Access Control List, MAC address, dan Virtual LAN.
Melakukan pembatasan akses internet hanya untuk bagian yang memang harus
berhubungan dengan pihak di luar perusahaan.
4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
19
yang benar.
5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas
keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah
yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar
masalah tersebut tidak terulang kembali.
2.2.2Kebijakan Keamanan
Saat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah
kebijakan IT perusahaan tersebut:
1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk
informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab
seluruh staff untuk menjaga kerahasiaan data nasabah.
2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan
oleh perusahaan.
3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan
komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan
kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server.
4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec.
5. Seluruh Komputer harus mengaktifkan screen saver untuk menghindarkan dari
pemakai yang tidak berhak.
6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan
datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang
dihasilkan tidak tersanggah (non repudiation)
7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery.
Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di
implementasikan. Backup Strategy sudah mencakup rencana backup harian.
8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui
oleh Kepala Divisi Optec.
9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun
disetujui oleh Kepala Divisi Optec dan Presiden Direktur.
10. Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh
Kepala Divisi Optec dan disetujui oleh Presiden Direktur.
11. Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem
produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
20
12. Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi
yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus
User-ID serta merubah hak akses.
13. Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus
diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7
(tujuh) password yang sebelumnya.
14. User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang
bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan
User-ID-nya.
15. Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh
system owner sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji
ulang dan didokumentasikan oleh system owner.
16. Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang
sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus
mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di
perusahaan.
17. Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari
pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu
kunjungan.
18. Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan
support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus
dihentikan sesaat setelah pekerjaan diselesaikan.
19. Disaster Recovery Plan harus di tes setiap tahun.
20. Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan
dan atas persetujuan dari Board Of Director.
21. Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali
telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.
22. Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke
dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala
Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data
dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus.
23. Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of
Director.
24. IT berkewajiban memastikan Data Network aman dan terlindungi dari akses oleh
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
21
pihak yang tidak diberi ijin.
25. Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada
Kepala Divisi Optec dan Board Of Director.
26. Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer
dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan
perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada
pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
27. Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan
disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan
kebijakan ini, harus mendapatkan persetujuan dari Board Of Director.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
22
BAB III
SISTEM KENDALI AKSES
3.1Dasar Teori
Sistem Kendali Akses adalah suatu fitur dari keamanan yang mengendalikan
bagaimana pemakai dan sistem dapat berinteraksi dan berkomunikasi dengan sistem dan
sumber daya yang lain. Sistem Kendali Akses melindungi sistem dan sumber daya dari
akses pihak yang tidak berkepentingan. Sistem Kendali Akses juga memberikan tingkatan
otorisasi tertentu kepada pihak yang telah di otentifikasi untuk menggunakan sumber daya
yang ada. Untuk itu diperlukan administrasi dari kendali akses. Aspek administrasi dari
kendali akses ditangani oleh dukungan TI internal perusahaan. Apabila diperlukan dan
disetujui oleh pihak manajemen, maka dukungan TI dapat berkonsultasi dan meminta
pendapat dari praktisi di bidang keamanan TI.
Adapun Tugas-tugas administrasi dari kendali akses adalah sebagai berikut:
1. Menambahkan control list pada suatu resource.
2. Meng-update control list pada suatu resource.
3. Menghapus hak akses pada suatu resource.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
23
Matriks dari kendali akses untuk file sharing dapat dilihat pada Tabel 3.1.
SHARED FOLDER DAN LOKASINYA
TUGAS/ shared folder untuk shared folder untuk
NAMA Master Gel_Ind
JABATAN fungsi internal tiap fungsi antar departemen
(Proxy (Application
departemen (PC staf (PC staf departemen-
server) server 1)
departemen terkait) departemen terkait)
System
A12 N/A R/W * **
administrator
Accounting
A22 N/A N/A * **
supervisor
Finance staff
A24 N/A R/W * **
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
24
SHARED FOLDER DAN LOKASINYA
TUGAS/ shared folder untuk shared folder untuk
NAMA Master Gel_Ind
JABATAN fungsi internal tiap fungsi antar departemen
(Proxy (Application
departemen (PC staf (PC staf departemen-
server) server 1)
departemen terkait) departemen terkait)
Head of
A39 N/A N/A * **
bancassurance
Bancassurance
A40 N/A N/A * **
staff
Marketing support
A41 N/A R/W * **
supervisor
Marketing support
A42 N/A R/W * **
staff
Marketing &
A43 promotion N/A R * **
supervisor
Marketing support
A44 N/A R/W * **
staff
Research &
A46 N/A N/A * **
product staff
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
25
SHARED FOLDER DAN LOKASINYA
TUGAS/ shared folder untuk shared folder untuk
NAMA Master Gel_Ind
JABATAN fungsi internal tiap fungsi antar departemen
(Proxy (Application
departemen (PC staf (PC staf departemen-
server) server 1)
departemen terkait) departemen terkait)
Bancassurance
A47 N/A N/A * **
staff
Keterangan: * R/W untuk anggota dept. terkait, N/A untuk dept. Lain
** R/W untuk anggota dept. terkait, R untuk dept. Lain
Sedangkan matriks dari kendali akses untuk print sharing dapat dilihat pada tabel
berikut:
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
26
Accounting
T Y Y Y Y
A22 supervisor
A23 Cashier T Y Y Y Y
A24 Finance staff T Y Y Y Y
A25 Premium collector Y Y Y Y Y
A26 Finance staff T Y Y Y Y
A27 OSD staff T Y Y Y Y
A28 Office boy T Y Y Y Y
A29 Office boy T Y Y Y Y
A30 Office boy T Y Y Y Y
A31 Office boy T Y Y Y Y
A32 Office boy T Y Y Y Y
A33 Office boy T Y Y Y Y
A34 Security guard T Y Y Y Y
A35 Security guard T Y Y Y Y
A36 Head of marketing T Y Y Y Y
A37 Head of ADS T Y Y Y Y
A38 ADS staff T Y Y Y Y
Head of
T Y Y Y Y
A39 bancassurance
A40 Bancassurance staff T Y Y Y Y
Marketing support
T Y Y Y Y
A41 supervisor
Marketing support
T Y Y Y Y
A42 staff
Marketing &
T Y Y Y Y
A43 promotion supervisor
Marketing support
T Y Y Y Y
A44 staff
A45 Graphic designer T Y Y Y Y
Research & product
T Y Y Y Y
A46 staff
A47 Bancassurance staff T Y Y Y Y
A48 Head of CCC T Y Y Y Y
A49 Secretary T Y Y Y Y
A50 Receptionist T Y Y Y Y
A51 Head of HRD T Y Y Y Y
A52 HRD staff T Y Y Y Y
A53 HRD staff T Y Y Y Y
Tabel 3.2 Matriks Kendali Akses Print Sharing
Dengan melihat kedua matriks di atas dapat disimpulkan bahwa PT Asuransi Maju
bersama telah memiliki kendali akses yang cukup baik.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
27
BAB IV
KEAMANAN TELEKOMUNIKASI DAN JARINGAN
4.1Dasar Teori
Sehubungan dengan keamanan telekomunikasi dan jaringan, ada beberapa hal
yang perlu untuk diperhatikan, yaitu:
1. Keamanan komunikasi dan jaringan sehubungan dengan pengiriman suara, data,
multimedia, dan faximili dalam suatu local area, wide area, dan remote access.
2. Teknik pengamanan komunikasi untuk mencegah, mengetahui, dan memperbaiki
kesalahan sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi
melalui jaringan dapat terpelihara.
3. Internet/intranet/extranet sehubungan dengan firewalls, routers, gateways, dan
berbagai protocols.
4. Teknik dan manajemen keamanan komunikasi, yang meliputi pencegahan, pelacakan,
dan perbaikan kesalahan, sehingga integritas, ketersediaan, dan kerahasiaan dari
berbagai transaksi melalui jaringan dapat terpelihara.
Berikut beberapa konsep manajemen keamanan komunikasi dan jaringan yang
sebaiknya diperhatikan:
1. The C.I.A triad, meliputi Confidential, Integrity, dan Availability.
1.1 Confidential. Bertujuan untuk menjaga kerahasiaan dari isi data. Untuk
mencapai tujuan tersebut ada beberapa hal yang dapat dilakukan, yaitu:
Network security protocols
Network authentication services
Data encryption services
1.2 Integrity. Merupakan jaminan bahwa pesan yang dikirim dan yang diterima
merupakan pesan yang sama, dalam arti lengkap. Beberapa hal yang dapat
digunakan, yaitu:
Firewall services
Communications security management
Intrusion detection services
1.3 Availability. Memastikan bahwa koneksi yang dibutuhkan akan selalu tersedia
kapan saja dibutuhkan. Beberapa hal yang dapat digunakan, yaitu:
Back up and redundant disk system
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
28
Acceptable logins and operation process performance
Reliable and interoperable security process and network security
mechanisms
2. Remote access manajemen, Merupakan manajemen elemen teknologi yang digunakan
untuk remote computing, yang meliputi:
2.1 Dial up, async, and remote internet connectivity
2.2 Securing enterprise and telecommuting remote connectivity
2.3 Remote user management issues
3. Intrusion detection and response, terdiri dari dua konsep, yaitu:
3.1 Intrusion Detection Systems, yang meliputi:
Memonitor host dan jaringan
Notifikasi setiap kejadian
3.2 Computer Incodent Response Teams (CIRT), yang meliputi:
Menganalisa notifikasi setiap kejadian
Memberikan resposn perbaikan untuk kejadian tersebut
Memperketat prosedur
Memberikan laporan follow-up
4. Network availability, meliputi
4.1 Redundant Array of Inexpensive Disk (RAID)
4.2 Backup concepts:
Full back up methods
Incremental back up methods
Differential back up methods
4.3 Managing single points of failure, yang meliputi:
Cabling failures
Topology failures (ethernet, token ring, fiber distributiion data, fiber
distribution data interface (FDDI), leased lines, dan frame relay)
5. Network attacks and abuses. Berikut ancaman jaringan dan penangannya yang umum
terjadi:
5.1 Penyusupan ke jaringan
Penanganan: Firewalls
5.2 Pemanfaatan bugs pada software, buffer overflows
Penanganan: Intrusion Detection Systems
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
29
5.3 Denial of service
Penanganan: Intrusion Detection Systems
5.4 Packet sniffing
Penanganan: Encryption (SSH, SSl. HTTPS)
5.5 Masalah sosial
Penanganan: Pelatihan, awareness program
6. Trusted network interpretation (TNI)
Sedangkan untuk konsep teknologi beberapa hal yang dapat diperhatikan adalah
sebagai berikut:
6.1 Protocols
Layer architecture concept
Open systems interconnect (OSI) model
Transmission control protocol/internet protocol (TCP/IP) model
Security-enhanced and security-focused protocols
6.2 Firewall types and architectures
6.3 Virtual private Networks (VPNs)
VPN Protocol standards
VPN Devices
6.4 Data Networking Basics
Data Network types
Common data network services
Data networking technologies
Local Area Network (LAN) technologies
Wide Area Network (WAN) technologies
Remote access technologies
Remote identification and authentication technologies
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
30
Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan
secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai
sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan untuk
keperluan email melalui sebuah proxy server. Sedangkan untuk akses lain seperti
browsing hanya dapat dilakukan oleh direktur, manajer, kepala divisi, kepala departemen,
dan staf departemen TI.
Terdapat beberapa kelemahan di dalam keamanan jaringan di PT Asuransi Maju
Bersama sebagai berikut:
1. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga hanya
terdapat satu network, yakni 192.168.0.0 dengan subnet mask 255.255.255.0. Hal ini
dapat menimbulkan masalah di kemudian hari saat jumlah host yang digunakan
semakin banyak, karena dengan hanya menggunakan sebuah network, setiap host
akan menerima setiap paket broadcast yang dikirimkan oleh suatu host lain. Apabila
jumlah paket broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain
itu, penggunaan satu network tidak menyediakan pembatasan akses terhadap
sumber daya komputer penting seperti server. Setiap host dapat mengakses server
karena berada dalam network yang sama. Kelemahan lain adalah penentuan IP
address yang bersifat statik untuk seluruh host yang ada. Penggunaan IP address
statik adalah hal yang sangat disarankan untuk hosts yang penting seperti server dan
router. Namun penggunaan alamat statik untuk PC adalah suatu hal yang merepotkan
dengan semakin banyaknya jumlah PC.
2. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub meskipun
jumlahnya sedikit. Seperti diketahui bahwa hub memiliki bandwidth yang kecil. Di
samping itu, seluruh switch yang digunakan merupakan switch unmanaged atau
sederhana yang tidak memiliki fitur-fitur canggih seperti pembatasan akses
berdasarkan MAC address host dan Spanning Tree Protocol. Tidak adanya fitur
keamanan di dalam switch yang digunakan akan memungkinkan akses ilegal ke dalam
LAN perusahaan. Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat
availability LAN, karena desain LAN tersebut tidak bersifat redundant.
3. Windows domain controller dan mail server. Tidak adanya backup domain controller di
dalam sistem jaringan PT Asuransi Maju Bersama akan sangat mengurangi tingkat
availability LAN. Apabila terjadi kegagalan pada Primary Domain Controller Windows
2000 maka PC klien tidak dapat menggunakan sumber daya komputer yang dibagi-
pakai seperti file-sharing dan printer. Potensi masalah ini semakin meningkat dengan
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
31
disatukannya fungsi primary domain controller dan mail server Microsoft Exchange
Server 2000 dalam satu server.
4. RAID. Semua server yang digunakan tidak memiliki atau tidak memanfaatkan fitur
RAID. Setiap server hanya memiliki sebuah hard disk, sehingga apabila terjadi
kegagalan maka server tersebut tidak dapat beroperasi untuk waktu yang cukup lama
sehingga akan menghentikan proses bisnis perusahaan. Meskipun terdapat proses
backup yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena
tidak adanya hard disk cadangan yang siap sedia.
5. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan kabel
listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan komputer.
6. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak, yakni Zone
Alarm, dan ditambah dengan proxy server Wingate. Permasalahannya adalah bahwa
server yang digunakan untuk menjalankan firewall tersebut juga digunakan untuk
menjalankan mail server eksternal. Hal tersebut akan sangat memberatkan kerja
server. Sedangkan server yang digunakan adalah server berbasis PC rakitan yang
tidak didesain untuk menjalankan fungsi server, dengan jumlah RAM hanya 256 MB,
dan tidak adanya fungsi RAID.
Berikut adalah rekomendasi-rekomendasi yang diajukan untuk meningkatkan
keamanan telekomunikasi dan jaringan PT Asuransi Maju Bersama:
1. Penggunaan router dengan fitur firewall. Kini telah tersedia router multifungsi yang
memiliki beberapa fitur penting seperti firewall, VPN, dan VoIP. Router jenis ini sangat
sesuai digunakan untuk UKM dengan dana terbatas. Dengan menggunakan router
maka dapat dibuat beberapa subnet yang memisahkan host penting seperti server
dengan host klien, dan memisahkan host klien di suatu divisi atau departemen dengan
host klien di divisi atau departemen yang lain. Router juga memiliki fungsi DHCP
server yang akan menentukan IP address host klien secara dinamis, sehingga
meningkatkan skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall,
router tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan
kinerja yang lebih baik.
2. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki fitur
pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya host yang
diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur Spanning Tree
Protocol, LAN dapat didesain secara redundant, dimana apabila sebuah alat jaringan
atau hubungan kabel mengalami kegagalan, maka alat jaringan atau hubungan
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
32
cadangan dapat segera beroperasi untuk menggantikannya. Dan dengan adanya fitur
VLAN maka penggunaan port switch dan kabel dapat menjadi lebih efisien, karena
digunakannya koneksi kabel yang sama untuk lebih dari dua subnet.
3. Backup domain controller dan mail server. Dengan adanya server backup domain
controller, host klien masih dapat mengakses domain dan menggunakan sumber-
sumber daya komputer yang dibagi-pakai.
4. RAID. Setiap server perlu ditambah satu buah hard disk lagi dengan fungsi RAID level
1, dimana data yang berada di dalam hard disk utama diduplikasi ke dalam hard disk
kedua. Apabila hard disk utama mengalami kegagalan maka dapat secara otomatis
digantikan oleh hard disk kedua.
5. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan kabel listrik
untuk menghindari noise terhadap sinyal jaringan.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
33
BAB V
KRIPTOGRAFI
5.1Dasar Teori
Tujuan dari kriptografi adalah memproteksi informasi agar tidak dibaca ataupun
digunakan oleh pihak yang tidak berwenang atas informasi tersebut. Dengan kata lain
informasi yang dikirimkan tidak boleh sampai kepada penerima yang tidak seharusnya.
Untuk mencapai tujuan tersebut dilakukan kriptografi yaitu penulisan rahasia atau
penyandian informasi. Kriptografi terdiri dari lima bagian, yaitu:
1. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya.
2. Encryption algoritm, proses enkripsi merupakan transformasi dari plaintext ke
chipertext
3. Secret key
4. Chipertext, merupakan sebuah pesan dalam bentuk kode rahasia (tersandi).
5. Decrytion algorithm, proses deskripsi merupakan transformasi dari chipertext ke
plaintext.
Terdapat dua jenis sistem kriptografi yakni sistem kriptografi private dan public key.
Sistem kriptografi private key berdasar pada algoritma enkripsi simetris yang
menggunakan private (rahasia) key untuk mengenkripsi teks biasa menjadi ciphertext, dan
kunci yang sama digunakan juga untuk mendekripsi ciphertext tadi menjadi teks biasa.
Dalam hal ini, kunci tersebut simetris karena kunci enkripsi sama dengan kunci dekripsi.
Sistem kriptografi public key menggunakan sepasang kunci. Kunci pertama, yakni
private key, digunakan untuk mengenkripsi data, dan kunci kedua, yakni public key,
digunakan untuk mendekripsi data. Masing-masing kunci dapat digunakan untuk
mengenkripsi maupun mendekripsi data. Public key dapat diperoleh secara bebas untuk
mengenkripsi dan mengirim sebuah pesan. Berikut adalah beberapa hal penting
mengenai sistem kriptografi public key:
Public key tidak dapat mendekripsi pesan yang telah dienkripsi oleh public key itu
sendiri.
Idealnya, private key tidak dapat diturunkan atau didapat dari public key.
Sebuah pesan yang dienkripsi oleh salah satu key dapat didekripsi oleh kunci yang
lain.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
34
Private key harus dirahasiakan.
Kriptografi juga digunakan dengan tujuan untuk menjaga integritas pesan atau data
yang dikirim dengan menggunakan digital signature. Digital signature dibuat dengan
memproses isi pesan menggunakan hash function untuk menghasilkan sebuah message
digest yang bersifat unik untuk setiap pesan. Message digest tersebut kemudian
dienkripsi dengan private key milik pengirim dan dilampirkan bersama dengan pesan
aslinya, barulah pesan tersebut dikirim. Penerima mendekripsi message digest yang
terlampir menggunakan public key milik pengirim. Apabila berhasil berarti identifikasi
pengirim berhasil diverifikasi. Selanjutnya penerima membuat message digest dari pesan
yang diterima menggunakan hash function yang sama dengan yang digunakan pengirim.
Apabila kedua message digest sama maka dapat disimpulkan bahwa isi pesan tidak
dimodifikasi.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
36
BAB VI
ARSITEKTUR DAN MODEL-MODEL KEAMANAN
6.1Dasar Teori
Arsitektur keamanan dari sebuah sistem informasi sangat dibutuhkan untuk
menentukan kebijakan keamanan informasi sebuah organisasi. Karena itu hal-hal seperti
arsitektur komputer, mekanisme proteksi, isu-isu keamanan lingkungan, dan model formal
untuk framework kebijakan keamanan harus dipahami. Kebijakan keamanan yang biasa
dilakukan antara lain:
1. Proteksi. Merupakan teknik proteksi yang umum dalam suatu sistem.
Misal: Virtual memory melakukan isolasi address space dari setiap user.
2. Trusted Computing Based (TCB), merupakan kombinasi mekanisme proteksi yang ada
dalam sistem komputer (enforce security).
Basis atau pusta sistem yang paling aman.
3. Path of Logical Access: computing system
Network
Operating system platform
Database
Application layers
4. Proteksi terluar: networks
Front-end system: perimeter dengan eksternal un-trusted systems
Back-end systems: perimeter dengan user internal melalui login ke domain (OS)
TCB
5. Logical access control software
Kontrol akses ke operating sistem secara umum memiliki fungsi sebagai berikut:
1. User identification and authentication mechanisms
2. Restricted logon Ids
3. Rules for access to specific information resources
4. Create individual accountability and auditability
5. Create or change user profiles log events
6. log user activity
7. report capability
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
37
Kontrol akses ke database biasanya memiliki fungsi-fungsi berikut:
1. Membuat atau mengganti data dan profile database
2. Verify user authorization at the application and transaction levels
3. Verify user authorization whitin the application
4. Verify user authorization at the field level for changes whithin database
5. Verify subsystem athorization for the user at the file level
6. Log database/data communications access activities for monitoring access
violations.
Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login dan
password untuk masuk ke aplikasi tersebut, sehingga hanya user yang memiliki hak akses
yang dapat menggunakan aplikasi tertentu. Sedangkan pada level database, keamanan
data dijaga selain dengan dilakukan back-up file, ada aturan tidak semua data dapat
diubah melalui aplikasi, terutama data-data keuangan, hal ini untuk menjaga keabsahan
data. Selain itu, seluruh karyawan juga diberikan pengetahuan mengenai penggunaaan
komputer melalui berbagai pelatihan dan disesuaikan dengan kebutuhan.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
38
BAB VII
KEAMANAN OPERASI-OPERASI
7.1Dasar Teori
Keamanan operasi merupakan serangkaian kegiatan yang bertugas untuk
melakukan pengawasan terhadap semua fasilitas perangkat keras komputer, data, dan
orang-orang yang menggunakan fasilitas-fasiltas tersebut. Semua itu dilakukan agar
ketiga aspek penting dalam teknologi informasi dapat tetap terpelihara, yaitu
confidentiality, integrity, dan availability (C.I.A). Beberapa hal yang dapat dilakukan untuk
melakukan pengawasan ini adalah:
1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya
2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan
3. Pengawasan terhadap terjadinya kesalahan I/O
Domain ini seperti domain-domain lainnya juga memperhatikan ketiga aspek
berikut:
1. Threat. Dapat didefinisikan sebagai hal-hal yang dapat menyebabkan gangguan
keamanan operasi komputer yang disebabkan oleh pihak luar.
2. Vunerability. Merupakan kelemahan dari sistem itu sendiri yang dapat menyebabkan
gangguan keamanan operasi komputer.
3. Asset. Hal-hal yang berhubungan dengan perangkat lunak dan keras, data, serta
orang-orang yang menggunakan fasilitas tersebut.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
39
penerapan akses kontrol.
2. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh
masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan
password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan
akses kontrol dan penerapan VLAN pada sistem perusahaan.
3. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan
perbaikan terhadap sistem teknologi informasi perusahaan.
4. Change Management Control. Tindakan perbaikan atau perubahan dalam sistem
teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh
perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan
pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara
tidak sengaja karena adanya perbaikan dan perubahan tersebut.
5. Adminstrative Control. Untuk melakukan pemasangan software baru dan perawatan
sistem dilakukan oleh bagian TI yang bertanggung jawab secara khusus.
6. Record Retention. Menerapkan berapa lama data akan disimpan dalam database
perusahaan.Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam
media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media
yang dapat dihapus harus dengan prinsip kehati-hatian.
7. Media Security Control. Menerapkan akses kontrol dan metode logging pada server
untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses
kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu
media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang
dan dihancurkan dengan cara yang tepat, agar data yang terdapat dimedia itu tidak
dapat di akses lagi oleh orang yang tidak berhak.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
40
BAB VIII
PENGEMBANGAN APLIKASI DAN SISTEM
8.1Dasar Teori
Tujuan dari penerapan applicaton dan system development security adalah
menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang harus
memahami betul beberapa aspek antara lain:
1. Software life cycle development process
2. Software process capability maturity model
3. Object-oriented systems
4. Artificial intelligence system
5. Database systems:
Database security issues
Data warehousinng
Data mining
Data dictionaries
6. Application Controls
Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu
menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan
keamanan pengembangan aplikasi dan sistem.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
42
BAB IX
BUSINESS CONTINUITY PLANNING DAN
DISASTER RECOVERY PLANNING
9.1Dasar Teori
Perencanaan Disanter Recovery dan business continuity adalah untuk segera
dapat menanggulangi apabila ada gangguan atau bencana terhadap sistem di
perusahaan khususnya sistem komputer. Perencanaan ini diharapkan apapun yang
terjadi bisnis tetap dapat beroperasi, dan melakukan penyelamatan sistem informasi. Ada
beberapa hal yang dapat dilakukan, yaitu
1. Pembuatan Business Continuity Plan (BCP)
Merupakan proses (otomisasi maupun manual) yang dirancang untuk mengurangi
ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas
layanan bagi operasi yang penting.
2. Pembuatan Disaster Recovery Plan (DRP)
Saat business continuity berlangsung, maka juga dimulailah langkah-langkah untuk
penyelamatan (recovery) terhadap fasilitas IT dan sistem informasi. Dapat dikatakan
juga DRP berupakan bagian dari BCP.
Pembuatan BCP dan DRP harus disesuaikan dengan jenis-jenis bencana yang
terjadi, misalkan penanganan untuk bencana kebakaran akan berbeda dengan banjir atau
kecurian, dan lain sebagainya.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
45
BAB X
HUKUM, INVESTIGASI, DAN ETIKA
10.1Dasar Teori
Ada beberapa peraturan yang dapat diaplikasikan dalam keamanan sistem
informasi. Peraturan tersebut dapat suatu prosedur, aturan perusahaan, dan lain-lain
sampai dengan etika. Untuk peraturan seperti prosedur, pedoman, dan lain-lain
merupakan sesuatu yan tertulis, sedangkan etika perlakuannya sedikit berbeda. Etika
adalah sebuah prinsip antara yang benar dan yang salah, yang dapat digunakan sebagai
komitmen untuk sebuah konsep tindakan kejahatan dalam IT. Konsep dasar dari etika
dalam masyarakat informasi meliputi tanggung jawab, accountability, dan kewajiban.
Selain etika ada juga yang dikenal sebagai privasi, yakni perlindungan terhadap individu
dari intervensi oleh pihak lain. Dalam kasus TI juga dapat diterapkan information privacy.
Berikut adalah jenis-jenis umum dari kejahatan komputer:
1. Denial of Service dan Distributed Denial of Service.
2. Pencurian password.
3. Intrusi jaringan.
4. Emanation eavesdropping.
5. Social engineering.
6. Illegal content of material.
7. Fraud.
8. Software piracy.
9. Dumpster diving.
10.Malicious code.
11.Spoofing of IP address.
12.Information warfare.
13.Spionase.
14.Penghancuran atau perubahan informasi.
15.Penggunaan scripts yang tersedia di Internet.
16.Masquerading.
17.Embezzlement.
18.Data-diddling.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
46
19.Terorisme.
Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan
seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan perusahaan
lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan
hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
Khusus domain ini PT. Asuransi Maju Bersama, memang tidak secara jelas
menuliskan peraturan yang bersifat etika dalam peraturan perusahaan. Peraturan tertulis
yang dimiliki perusahaan sehubungan dengan keamanan teknologi informasi antara lain
standard, guidelines dan prosedur. Sedangkan untuk etika dalam teknologi informasi
perusahaan akan mengacu pada nilai-nilai kebaikan yang berlaku umum di lingkungan
perusahaan. Misalkan hal-hal yang dapat mengakibatkan kerusakan pada sistem yang
dilakukan secara sengaja oleh orang tertentu dapat dikategorikan sebagai tindakan
kejahatan TI, berusahaan untuk melindungi data-data rahasia perusahaan, dan lain-lain.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
47
BAB XI
KEAMANAN FISIK
11.1Dasar Teori
Domain keamanan fisik membahas ancaman-ancaman, kelemahan-kelemahan,
dan tindakan-tindakan pengamanan yang dapat diutilisasi untuk secara fisik melindungi
sumber daya dan informasi sensitif perusahaan. Sumber daya ini meliputi pegawai,
fasilitas tempat pegawai bekerja, dan data, peralatan, sistem-sistem pendukung, dan
media yang digunakan.
Triad Confidentiality, Availability, dan Integrity berada pada kondisi beresiko di
dalam lingkungan fisik, dan oleh sebab itu harus dilindungi. Berikut adalah contoh-contoh
ancaman-ancaman terhadap keamanan fisik:
1. Keadaaan darurat, meliputi
Kebakaran dan kontaminan asap.
Keruntuhan atau ledakan gedung.
Utility loss (tenaga listrik, AC, pemanasan).
Kerusakan air (kebocoran pipa).
Terlepasnya material beracun.
2. Bencana alam, meliputi
Gempa dan tanah longsor.
Badai (salju, es, dan banjir).
3. Campur tangan manusia, meliputi
Sabotase.
Vandalisme.
Perang.
Serangan.
Keamanan fisik aset-aset IT dapat dijalankan dengan suatu metode kontrol. Secara
umum aspek-aspek pengawasan meliputi:
1. Kendali-kendali administratif, meliputi
Perencanaan kebutuhan-kebutuhan fasilitas. Membahas konsep diperlukannya
perencanaan untuk kendali-kendali keamanan fisik di tahap awal dari
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
48
pembangunan sebuah fasilitas data. Elemen-elemen keamanan fisik yang
terlibat di dalam tahap pembangunan meliputi pemilihan dan proses desain
sebuah situs aman. Pemilihan situs yang aman harus mempertimbangkan
masalah visibility, pertimbangan-pertimbangan lokal, potensi bencana alam,
transportasi, kepemilikan gedung (joint tenancy), dan layanan-layanan eksternal.
Sedangkan proses desain harus memperhatikan masalah jenis dinding, jenis
atap, jenis lantai, jendela, pintu, sistem sprinkler, pipa zat cair dan gas, air
conditioning, dan kebutuhan-kebutuhan listrik.
Manajemen keamanan fasilitas. Membahas audit trail dan prosedur-prosedur
darurat.
Kendali-kendali personel administratif. Meliputi proses-proses administratif yang
umumnya diimplementasi oleh departemen SDM selama proses rekrut dan
pemecatan.
2. Kendali-kendali lingkungan dan keselamatan jiwa. Meliputi kendali-kendali keamanan
fisik yang dibutuhkan untuk menopang baik lingkungan operasi komputer maupun
lingkungan operasi personel. Meliputi
Tenaga listrik. Hal-hal yang dapat mengancam sistem listrik misalnya noise,
brownout, dan kelembaban udara.
Deteksi dan supresi kebakaran. Hal-hal yang perlu diperhatikan antara lain
adalah kelas-kelas kebakaran, bahan-bahan yang mudah terbakar, pendeteksi
kebakaran, sistem-sistem pemadam kebakaran, medium-medium pemadam,
serta kontaminasi dan kerusakan.
Pemanasan, ventilasi, dan air conditioning (HVAC).
3. Kendali-kendali fisik dan teknis. Meliputi
Kebutuhan-kebutuhan kendali fasilitas, yang terdiri dari satuan pengamanan,
anjing penjaga, pemagaran, pencahayaan, kunci, dan CCTV.
Alat-alat kendali akses fasilitas. Meliputi kartu-kartu akses keamanan dan alat-
alat biometrik.
Pendeteksi intrusi dan alarm.
Kendali inventori komputer.
Kebutuhan-kebutuhan penyimpanan media.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
50
BAB XII
AUDIT DAN ASSURANCE
12.1Dasar Teori
Tujuan dari audit bisa sangat beragam antara lain adalah untuk evaluasi terhadap
sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan
maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan
secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit
ini juga perlu dilakukan. Tahapan-tahapan audit yang dapat dilakukan adalah sebagai
berikut:
1. Audit Subject.
Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan
hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak
termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan
menyimpang dari tujuannya.
2. Audit Objective.
Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari
pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit.
Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui
dengan pasti tujuan dari pelaksanaan audit.
3. Audit Scope (ruang lingkup).
Menentukan sistem, fungsi dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai
batasan ruang lingkup yang jelas.
4. Preaudit Planning.
Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan
dalam pelaksanaan audit.
Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.
Menentukan tempat dilaksanakannya audit.
5. Audit Procedures & Steps for data Gathering
Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.
Menentukan orang-orang yang berhubungan dengan permasalahan untuk
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
51
diwawancarai.
6. Evaluasi Hasil Pengujian dan Pemeriksaan
Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan
dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau
masih ada faktor-faktor lain yang harus dipertimbangkan.
7. Prosedur Komunikasi dengan Pihak Manajemen
Setelah dilaksanakan audit maka pihak yang mengaudit harus
mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan
audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak
manajemen, agar audit dapat berjalan dengan lancar.
8. Audit Report Preperation
Menentukan bagaimana cara mereview hasil audit yang diperoleh.
Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari
organisasi yang diaudit.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
53
BAB XIII
KESIMPULAN
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
54
DAFTAR PUSTAKA
Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc.
Cisa review manual 2005. 2005. Illinois: Information System Audit and Control
Association.
Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik Keamanan
Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil Juni, 8, 2005 dari
http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2004/78/78-m-update-
AdiperkasaDistribusindo.pdf.
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
55