Analisa Proteksi Dan Teknik Keamanan Sistem Informasi PDF

ANALISA PROTEKSI DAN TEKNIK KEAMANAN
SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA
TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI
KELOMPOK 105
Irma I. Ibrahim (7203012106)
Wisnu P. Prabowo (7203012289)
Tommy Lukman (720301227Y)
MAGISTER TEKNOLOGI INFORMASI

FAKULTAS ILMU KOMPUTER
UNIVERSITAS INDONESIA
2005 Kelompok 105 IKI-83408T MTI-UI. Dibuat dengan menggunakan OpenOffice 1.1.4 dan
PrimoPDF. Silahkan menggandakan makalah ini, selama tetap mencantumkan nota hak cipta ini.
1
DAFTAR ISI
BAB I Pendahuluan 4
1.1 Profil Perusahaan 4
1.2 Visi dan Misi Perusahaan 4
1.3 Struktur Organisasi Perusahaan 5
1.4 Topologi Jaringan 7
1.5 Denah Kantor 8
BAB II Praktek-Praktek Manajemen Keamanan 9
2.1 Dasar Teori 9
2.1.1 Keamanan Sistem Informasi 9
2.1.2 Pengelompokkan Informasi 10
2.1.3 Kebijakan Keamanan 13
2.1.4 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 14
2.1.5 Manajemen Resiko 15
2.2 Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT Asuransi
Maju Bersama 15
2.2.1 Pengelompokan Informasi 15
2.2.2 Kebijakan Keamanan 20
2.2.3 Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur 22
BAB III Sistem Kendali Akses 23
3.1 Dasar Teori 23
3.2 Analisa dan Rekomendasi 23
BAB IV Keamanan Telekomunikasi dan Jaringan 28
4.1 Dasar Teori 28
BAB V Kriptografi 34
5.1 Dasar Teori 34
BAB VI Arsitektur dan Model-Model Keamanan 37
6.1 Dasar Teori 37
2
BAB VII Keamanan Operasi-Operasi 39
7.1 Dasar Teori 39
BAB VIII Pengembangan Aplikasi dan Sistem 41
8.1 Dasar Teori 41
BAB IX Business Continuity Planning dan Disaster Recovery Planning 43
9.1 Dasar Teori 43
BAB X Hukum, Investigasi, dan Etika 46
10.1 Dasar Teori 46
BAB XI Keamanan Fisik 48
11.1 Dasar Teori 48
BAB XII Audit dan Assurance 51
12.1 Dasar Teori 51
BAB XIII Kesimpulan 54
Daftar Pustaka 55
3
BAB I
PENDAHULUAN
1.1Profil Perusahaan
PT. Asuransi Maju Bersama merupakan sebuah perusahaan asuransi jiwa dan
kesehatan. Perusahaan ini berdiri pada tahun 1998, berawal dari 15 orang karyawan
dengan modal 100 juta, dan berkonsentrasi untuk melayani klien di Jakarta saja. Dengan
kondisi saat ini, PT. Asuransi Maju Bersama berkembang dengan sangat pesat, dan di
tahun 2005 ini pegawainya sudah mencapai 50 orang dan mulai mengembangkan
usahanya sampai ke Pulau Jawa. Berdasarkan data tahun 2003, PT. Asuransi Maju
Bersama memiliki lebih dari 2000 pemegang polis, dari segi jumlah asset memiliki lebih
dari Rp 10 Milyar, dengan laba (profit) yang diperoleh setelah dipotong pajak sebesar Rp
233,8 juta (tumbuh 15,6 %).
1.2Visi dan Misi Perusahaan

PT. Asuransi Maju Bersama memiliki Nilai-Nilai Utama Perusahaan, Budaya
Perusahaan, Misi dan Visi Perusahaan, sebagai berikut:
Nilai-Nilai Utama Perusahaan:
Siapapun pelanggan kami dan apapun yang mereka kerjakan, kami dapat menyesuaikan
dengan kebutuhan mereka. Karena tujuan kami menjadi perusahaan asuransi jiwa pilihan
di Indonesia, kami berkomitmen untuk memberikan produk-produk yang inovative dan
pelayanan yang sesuai dengan kebutuhan pelanggan melalui para agen professional
kami. Nilai nilai utama kami yaitu Integritas, Inisiatif dan Rasa Keikutsertaan yang akan
ditanamkan kepada setiap karyawan dan agen untuk menjadi dasar dalam bertindak.
Budaya perusahaan:
Kami akan mengamalkan Misi kami dan menjunjung tinggi Nilai-Nilai Utama kami melalui:
Integritas, Inisiatif dan Rasa Keikutsertaan yang tinggi kepada pelanggan dan pekerjaan
kami dengan Inovatif dan Proaktif
4
Visi perusahaan:
Berkomitment memberikan perlindungan finansial untuk setiap pelanggan kami. Dikenal
karena kesempurnaan dalam pelayanan dan memegang teguh sikap integritas, Inisiatif
dan rasa keikutsertaan dalam setiap langkah penyelenggaraan bisnis.
Misi perusahaan:
Menjadi Perusahaan Asuransi Jiwa pilihan di Indonesia, yang dikenal karena produk-
produk yang berkualitas, pelayanan pelanggan yang tak kenal henti berdasarkan pada
nilai-nilai utama kami dan saluran distribusi yang efektif.
1.3Struktur Organisasi Perusahaan

Puncak organisasi PT Asuransi Maju Bersama diduduki oleh beberapa komisaris
utama dan pembina sebagai penanam saham atau investor. Kemudian di bawahnya
diikuti oleh direktur utama sebagai penanggung jawab perusahaan yang membawahi
ketua umum, sekretariat, dan ketua-ketua teknis dan non-teknis. Masing-masing ketua
membawahi beberapa kepala departemen dan staf. Struktur organisasi PT Asuransi Maju
Bersama dapat dilihat pada Gambar 1.1 berikut. Tabel 1.1 menjelaskan posisi dan
jabatan masing-masing personil sesuai dengan bagiannya.
Gambar 1. 1 Struktur Organisasi
5
DIVISI NAMA TUGAS/JABATAN
President Director A01 President director

Director A02 Director
Operation and
Technology A03 Head of Optech
A04 Head of NBU
A05 Supervisor
A06 Consultant
A07 Staff
A08 Head of CS/Claim
A09 Staff
A10 Staff
A11 Head of IT
A12 System administrator
A13 Data support
A14 Help desk
A15 Head of IS
A16 Programmer
A17 Programmer
ACTUARY A18 Head of actuary
A19 Staff
A20 Staff
FINANCE A21 Head of finance
A22 Accounting supervisor
A23 Cashier
A24 Finance staff
A25 Premium collector
A26 Finance staff
A27 OSD staff
A28 Office boy
A29 Office boy
A30 Office boy
A31 Office boy
A32 Office boy
A33 Office boy
A34 Security guard
A35 Security guard
Marketing A36 Head of marketing
A37 Head of ADS
A38 ADS staff
A39 Head of bancassurance
A40 Bancassurance staff
A41 Marketing support supervisor
A42 Marketing support staff
6
DIVISI NAMA TUGAS/JABATAN
A43 Marketing & promotion supervisor

A44 Marketing support staff
A45 Graphic designer
A46 Research & product staff
A47 Bancassurance staff
CCC A48 Head of CCC
A49 Secretary
A50 Receptionist
HR A51 Head of HRD
A52 HRD staff
A53 HRD staff
Tabel 1 1 Matriks Karyawan
1.4Topologi Jaringan
Gambar 1.2 menunjukkan topologi LAN yang dimiliki PT Asuransi Maju Bersama.
Gambar 1. 2 Topologi Jaringan
7
1.5Denah Kantor
Gambar 1.3 menunjukkan denah kantor PT Asuransi Maju Bersama.
A51 A19 A20 A03 A06 A09 A21 A22

A18
HRD ACTUARY
A15
A 27
A53
A2 3
A11
OPREATION &
TECHNOLOGY
A52 FINANCE
A 26
PRESIDENT DIRECTOR
A04 A05 A06 A08
A25 A24
A12 A42 A44 A36 A37
A13
A01
A4 7
MARKETING STAFF
A39
A4 6
DIRECTOR
A38 A40
IT STAFF
A 41
M
MARKETING
O
A02 RO A16
CCC
G
IN
LL
FI
PANTRY A48 A49

A14 A17
A45 A43
A50
RECEPTIONIST
Gambar 1. 3 Denah Kantor
8
BAB II
PRAKTEK-PRAKTEK MANAJEMEN KEAMANAN
2.1Dasar Teori
2.1.1Keamanan Sistem Informasi
Domain keamanan sistem informasi menggabungkan identifikasi dari aset data dan
informasi suatu organisasi dengan pengembangan dan implementasi kebijakan-kebijakan,
standar-standar, pedoman-pedoman, dan prosedur-prosedur. Ia mendefinisikan praktek-
praktek manajemen klasifikasi data dan manajemen resiko. Ia juga membahas masalah
confidentiality (kerahasiaan), integrity (integritas), dan availibility (ketersediaan) dengan
cara mengidentifikasi ancaman-ancaman, mengelompokkan aset-aset organisasi, dan
menilai vulnerabilities (bentuk jamak dari vulnerability yang berarti bersifat mudah untuk
diserang) mereka sehingga kendali-kendali keamanan yang efektif dapat
diimplementasikan.
Di dalam domain Keamanan Sistem informasi dikenal tiga buah konsep yakni
Confidentiality, Integrity, dan Availibility (C.I.A.), seperti yang ditunjukkan oleh Gambar
2.1. Ketiga konsep ini mewakili tiga prinsip fundamental dari keamanan informasi. Seluruh
kendali-kendali keamanan informasi, dan upaya-upaya perlindungan, serta semua
ancaman-ancaman, vulnerabilities, dan proses keamanan mengacu pada ukuran CIA.
Confidentiality. Konsep confidentiality berupaya untuk mencegah terjadinya
penyingkapan yang tidak sah secara disengaja maupun tidak disengaja terhadap isi dari
suatu pesan. Hilangnya confidentiality dapat terjadi dengan berbagai cara, seperti melalui
keluarnya informasi rahasia perusahaan secara sengaja atau melalui penyalahgunaan
hak-hak jaringan.
Confidentiality
Integrity Availability
Gambar 2.1 C.I.A Triad
9
Integrity. Konsep integrity menjamin bahwa:
Modifikasi-modifikasi tidak dilakukan terhadap data oleh personil atau proses yang
tidak sah.
Modifikasi-modifikasi yang tidak sah tidak dilakukan terhadap data oleh personil atau
proses yang sah.
Data bersifat konsisten baik secara internal maupun eksernal; dengan kata lain, bahwa
informasi internal bersifat konsisten di antara semua subentitas dan bahwa informasi
internal bersifat konsisten dengan situasi eksternal dan di dunia nyata.
Availability. Konsep availability menjamin bahwa akses terhadap data atau
sumber daya komputer yang dapat diandalkan dan tepat waktu oleh personil yang sesuai.
Dengan kata lain, availability menjamin bahwa sistem selalu up and running bila
dibutuhkan. Sebagai tambahan, konsep ini menjamin bahwa layanan-layanan keamanan
yang dibutuhkan oleh praktisi-praktisi keamanan selalu siap sedia.
Tujuan utama dari kendali-kendali keamanan adalah untuk mengurangi dampak-
dampak dari ancaman-ancaman keamanan dan vulnerabilities ke suatu tingkat yang
dapat ditoleransi oleh sebuah organisasi. Untuk mencapai tujuan tersebut dibutuhkan
penentuan dampak yang mungkin dimiliki oleh sebuah ancaman pada sebuah organisasi
dan besarnya peluang terjadinya ancaman. Proses yang menganalisa skenario ancaman
dan menghasilkan nilai representatif dari perkiraan kehilangan potensial disebut Analisa
Resiko.
2.1.2Pengelompokkan Informasi
Informasi dapat menimbulkan dampak global pada bisnis organisasi, tidak hanya
pada unit bisnis atau tingkat lini operasi. Tujuan dari pengelompokan informasi adalah
untuk meningkatkan confidentiality, integrity, dan availability dan untuk meminimalisasi
resiko-resiko organisasi. Sebagai tambahan, dengan berfokus pada mekanisme-
mekanisme proteksi dan kendali-kendali pada area informasi yang paling membutuhkan
akan diperoleh rasio biaya-manfaat yang lebih efisien.
Di dalam domain keamanan sistem informasi, pengelompokan informasi digunakan
untuk mencegah penyingkapan yang tidak sah terhadap informasi dan dampak dari
hilangnya confidentiality. Pengelompokan informasi dapat juga digunakan untuk mematuhi
peraturan-peraturan pemerintah, atau untuk menjaga daya kompetitif organisasi di dalam
pasar yang penuh persaingan.
Di samping tujuan-tujuan di atas, pengelompokan informasi juga memberi manfaat
10
sebagai berikut:
Mendemonstrasikan komitmen sebuah organisasi dalam upaya perlindungan
keamanan.
Membantu mengidentifikasi informasi mana yang paling sensitif atau vital bagi sebuah
organisasi.
Mendukung prinsip C.I.A.
Membantu mengidentifikasi proteksi-proteksi mana saja yang sesuai dengan informasi
tertentu.
Mungkin diperlukan untuk kebutuhan regulasi, compliance, atau legal.
Informasi yang dihasilkan atau diproses sebuah organisasi harus dikelompokkan
sesuai dengan sensitivitas organisasi terhadap kehilangan atau penyingkapan informasi
tersebut. Pemilik-pemilik data bertanggung jawab mendefinisikan tingkat sensitivitas data.
Pendekatan ini memungkinkan kendali-kendali keamanan diimplementasikan secara tepat
sesuai dengan skema pengelompokan.
Istilah-istilah klasifikasi berikut umum digunakan di dalam sektor swasta:
1. Public (publik). Semua informasi perusahaan yang tidak termasuk ke dalam kategori-
kategori selanjutnya dapat dianggap sebagai public. Informasi ini mungkin sebaiknya
tidak disingkap. Namun apabila terjadi penyingkapan diperkirakan tidak akan
menimbulkan dampak yang serius terhadap perusahaan.
2. Sensitive (sensitif). Informasi yang memerlukan tingkat pengelompokan lebih tinggi
dari data normal. Informasi ini dilindungi dari hilangnya confidentiality dan integrity
akibat perubahan yang tidak sah.
3. Private (pribadi). Informasi yang dianggap bersifat pribadi dan dimaksudkan untuk
penggunaan perusahaan saja. Penyingkapan terhadap informasi ini dapat berdampak
buruk terhadap perusahaan atau pegawai-pegawainya. Sebagai contoh, tingkat gaji
dan informasi medis dianggap informasi yang pribadi.
4. Confidential (rahasia). Informasi yang dianggap sangat sensitif dan dimaksudkan
untuk untuk penggunaan perusahaan saja. Penyingkapan yang tidak sah dapat
berdampak serius dan negatif terhadap perusahaan. Sebagai contoh, informasi
mengenai pengembangan produk baru, rahasia-rahasia dagang, dan negosiasi merger
dianggap informasi rahasia.
Kriteria-kriteria berikut digunakan untuk menentukan pengelompokan sebuah
obyek informasi:
1. Nilai. Nilai merupakan kriteria nomor satu yang umum digunakan. Jika suatu informasi
11
bernilai bagi sebuah organisasi atau pesaing-pesaingnya, maka ia perlu
dikelompokkan.
2. Usia. Pengelompokan informasi dapat diturunkan jika nilai informasi tersebut
berkurang seiring berjalannya waktu.
3. Waktu guna. Jika informasi dibuat menjadi kadaluwarsa karena informasi baru,
perubahan substansial di dalam perusahaan, atau alasan-alasan lain, informasi
tersebut dapat tidak dikelompokkan lagi.
4. Asosiasi pribadi. Jika informasi secara pribadi diasosiasikan dengan individu-individu
tertentu atau dilindungi oleh hukum privasi, ia perlu dikelompokkan. Misalnya,
informasi penyelidikan yang mengungkap nama-nama informan mungkin perlu
dikelompokkan.
Langkah-langkah pembuatan sistem pengelompokan adalah sebagai berikut:
1. Identifikasi administrator atau pemelihara.
2. Tentukan kriteria bagaimana cara pengelompokan dan beri tanda ke tiap informasi.
3. Kelompokkan data berdasarkan pemilik, yang tunduk pada peninjauan seorang
pengawas.
4. Tentukan dan buat dokumentasi tiap pengecualian terhadap kebijakan
pengelompokan.
5. Tentukan kendali-kendali yang akan diterapkan ke tiap tingkat pengelompokan.
6. Tentukan prosedur-prosedur terminasi untuk mendeklasifikasi informasi atau untuk
memindahkan pemeliharaan informasi ke pihak lain.
7. Buat program kesadaran perusahaan akan kendali-kendali pengelompokan.
Berikut adalah peran-peran dari semua partisipan di dalam program
pengelompokan informasi:
1. Pemilik. Seorang pemilik informasi dapat berupa seorang eksekutif atau manajer di
dalam organisasi. Orang ini bertanggung jawab terhadap aset informasi yang harus
dilindungi. Pemilik memiliki tanggung jawab korporat final terhadap perlindungan data.
Sedangkan fungsi sehari-hari dari perlindungan data berada di tangan pemelihara
data. Tanggung jawab pemilik data adalah sebagai berikut:
Membuat keputusan awal tentang tingkat pengelompokan yang diperlukan suatu
informasi, yang berdasarkan kebutuhan-kebutuhan bisnis dalam perlindungan data.
Meninjau ulang penentuan klasifikasi secara periodik dan membuat perubahan
sesuai dengan perubahan kebutuhan bisnis.
Menyerahkan tanggung jawab perlindungan data kepada pemelihara data.
12
2. Pemelihara (Custodian). Pemilik informasi menyerahkan tanggung jawab perlindungan
data kepada pemelihara data. Umumnya staf IT melaksanakan peran ini. Tugas-tugas
pemelihara data adalah sebagai berikut:
Menjalankan proses-proses backup dan secara rutin menguji validitas dari data
yang di-backup.
Melakukan pemulihan data dari backup bila diperlukan.
Menjaga data-data tersebut sesuai dengan kebijakan pengelompokan informasi
yang telah dibuat.
3. Pemakai. Pemakai adalah setiap orang (operator, pegawai, atau pihak luar) yang
secara rutin menggunakan informasi sebagai bagian dari pekerjaannya. Orang ini
dapat dianggap sebagai konsumen data, yakni seseorang yang membutuhkan akses
harian ke suatu informasi untuk menjalankan tugas-tugasnya. Berikut adalah hal-hal
penting sehubungan dengan pemakai:
Pemakai-pemakai harus mengikuti prosedur-prosedur operasi yang didefinisikan
dalam sebuah kebijakan keamanan organisasi, dan mereka harus mematuhi
pedoman-pedoman cara penggunaan yang dikeluarkan.
Pemakai-pemakai harus menjaga baik-baik keamanan dari informasi selama
melaksanakan pekerjaan mereka (seperti yang dijelaskan dalam kebijakan pemakaian
informasi korporat). Mereka harus mencegah terjadinya open view, yakni terbukanya
informasi sehingga dapat diakses oleh orang yang tak berhak.
Pemakai-pemakai harus menggunakan sumber daya komputer perusahaan hanya
untuk kepentingan perusahaan dan tidak untuk penggunaan pribadi.
2.1.3Kebijakan Keamanan
Kebijakan dapat berarti banyak di dalam dunia keamanan informasi. Sebagai
contoh, terdapat kebijakan keamanan di dalam firewall, yang mengacu kepada informasi
access control dan daftar routing. Sedangkan standar-standar, prosedur-prosedur, dan
pedoman-pedoman juga disebut sebagai kebijakan-kebijakan dalam konteks keamanan
informasi yang lebih besar.
Berikut adalah jenis-jenis dari kebijakan:
1. Pernyataan kebijakan manajemen senior. Merupakan pernyataan kebijakan umum dan
tingkat tinggi, yang mengandung elemen-elemen sebagai berikut:
Sebuah pernyataan tentang pentingnya sumber daya komputer terhadap model
bisnis.
13
Sebuah pernyataan tentang dukungan untuk keamanan informasi di seluruh
perusahaan.
Sebuah komitmen untuk menyetujui dan mengatur definisi standar-standar,
prosedur-prosedur, dan pedoman-pedoman tingkat rendah.
2. Regulasi (Regulatory). Merupakan kebijakan-kebijakan keamanan yang harus
diimplementasi oleh perusahaan akibat peraturan pemerintah. Tujuan dari regulasi
adalah sebagai berikut:
Untuk menjamin bahwa perusahaan yang terkait mengikuti prosedur-prosedur
standar atau best practices operasi di dalam industrinya.
Untuk memberikan keyakinan kepada sebuah organisasi bahwa ia telah mengikuti
standar dan kebijakan industri yang telah diakui.
3. Advisory. Merupakan kebijakan keamanan yang tidak harus dipatuhi namun sangat
disarankan, mungkin dengan konsekuensi serius seperti pemecatan, surat peringatan,
dan lain-lain. Sebuah perusahaan dengan kebijakan seperti ini menginginkan agar
sebagian besar pegawai menganggapnya kewajiban. Sebagian besar kebijakan
masuk dalam kategori ini.
4. Informatif. Merupakan kebijakan yang ada untuk memberikan informasi kepada
pembaca internal maupun eksternal.
2.1.4Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

Standar-standar, pedoman-pedoman, dan prosedur-prosedur merupakan elemen
dari implementasi kebijakan yang mengandung detil aktual dari kebijakan, seperti
bagaimana kebijakan seharusnya diimplementasikan dan standar-standar dan prosedur-
prosedur apa saja yang seharusnya digunakan. Mereka diterbitkan ke seluruh organisasi
melalui buku-buku petunjuk, intranet, buku-buku panduan, dan kelas-kelas pelatihan.
Penting untuk diketahui bahwa standar-standar, pedoman-pedoman, dan prosedur-
prosedur merupakan dokumen-dokumen yang terpisah namun berhubungan dengan
kebijakan-kebijakan umum (terutama pernyataan tingkat manajemen senior).
Berikut adalah penjelasan dari masing-masing elemen:
1. Standar. Standar menetapkan penggunaan teknologi-teknologi spesifik dalam cara
yang seragam. Standarisasi terhadap prosedur operasi ini dapat menguntungkan
sebuah organisasi dengan menetapkan metodologi-metodologi seragam yang
digunakan untuk kendali-kendali keamanan. Standar umumnya merupakan kewajiban
dan diimplementasi di seluruh organisasi untuk keseragaman.
14
2. Pedoman. Pedoman serupa dengan standar mereka merujuk kepada metodologi
dalam mengamankan sistem, namun pedoman hanya berisi tindakan-tindakan yang
sifatnya disarankan dan bukan merupakan kewajiban
3. Prosedur. Prosedur mengandung langkah-langkah detil yang perlu dilakukan untuk
menjalankan tugas tertentu. Prosedur merupakan kegiatan-kegiatan detil yang harus
diikuti seorang personil. Prosedur termasuk dalam tingkat terendah di dalam rantai
kebijakan. Tujuannya adalah untuk menyediakan langkah-langkah detil untuk
mengimplementasi kebijakan-kebijakan, standar-standar, dan pedoman-pedoman
yang telah dibuat sebelumnya.
2.1.5Manajemen Resiko
Fungsi utama manajemen resiko adalah untuk memperkecil resiko hingga
mencapai tingkat yang dapat diterima oleh sebuah organisasi. Manajemen resiko dapat
diartikan sebagai identifikasi, analisa, kendali, dan minimalisasi kerugian akibat suatu
peristiwa.
Identifikasi resiko memerlukan definisi tentang elemen-elemen dasar berikut:
Ancaman aktual
Kemungkinan konsekuensi-konsekuensi dari ancaman yang diketahui.
Peluang frekuensi terjadinya suatu ancaman.
Tingkat keyakinan kita bahwa suatu ancaman akan terjadi.
Proses manajemen resiko memiliki beberapa elemen sebagai berikut:
1. Analisa Resiko, termasuk analisa biaya-manfaat terhadap suatu tindakan
perlindungan.
2. Implementasi, peninjauan ulang, dan memelihara tindakan perlindungan.
2.2Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT

Asuransi Maju Bersama
2.2.1Pengelompokan Informasi
Saat ini di PT Asuransi Maju Bersama sama sekali belum dilakukan pendefinisian
terhadap informasi secara formal. Untuk itu maka penulis merekomendasikan
pendefinisian aset informasi yang dimiliki perusahaan tersebut. Langkah pertama adalah
mengidentifikasikan aset-aset informasi yang dimiliki. Selanjutnya adalah mengidentifikasi
administrator atau pemelihara masing-masing informasi tersebut.
Berikut adalah aset-aset ICT milik PT Asuransi Maju Bersama yang berhasil
15
diidentifikasi:
Aset tangible, terdiri dari
a) 4 server HP
b) 2 server berbasis PC
c) 1 Tape backup drive HP
d) 2 UPS APC
e) 1 Cable modem
f) 45 buah PC
g) 1 printer dot matrix Epson LQ-2180
h) 1 printer dot matrix Epson LX-300
i) 2 printer laser HP 2300
j) 1 printer laser HP 6P
k) 2 printer laser HP 1010
l) 6 printer bubble jet HP 690C
m) 2 print server D-Link
n) 1 print server HP JetDirect
o) 2 scanner HP
p) 1 PABX
q) 45 pesawat telepon
Aset intangible, terdiri dari

a) 6 license Windows 2000 Server
b) 45 license Windows XP Professional
c) Informasi pemegang polis
d) Informasi keuangan
e) Informasi kepegawaian
f) Informasi agen asuransi
g) Informasi produk asuransi
h) Informasi cadangan asuransi
i) Informasi topologi jaringan
j) Informasi source code aplikasi asuransi
k) Informasi alamat dan password e-mail Internet
Tidak semua informasi dipelihara oleh Departemen IT. Ada beberapa data yang
dipelihara oleh departemen yang bersangkutan, dan bahkan ada yang dipelihara oleh
16
pihak vendor. Untuk lebih jelasnya dapat dilihat di Tabel 2.1. Langkah selanjutnya adalah
menentukan kriteria pengelompokan. Pengelompokan dilakukan dengan menggunakan
istilah-istilah dan nilai-nilai yang telah dijelaskan di bagian sebelumnya. Tabel 2.1
menunjukkan penandaan dari setiap informasi yang ada di dalam perusahaan.
Pemelihar
No. Nama Informasi Klasifikasi Pemilik Pemakai
a
Divisi Pengemba
1 Basis data keuangan Confidential Divisi Finance
Finance ng aplikasi
Divisi Divisi Human Capital dan
Pengemba
2 Basis data kepegawaian Confidential Human pegawai yang
ng aplikasi
Capital bersangkutan
Divisi Operasi, Divisi

Manajeme Marketing, Divisi Finance,
3 Basis data pemegang polis Confidential IT
n dan pemegang polis yang
bersangkutan
Divisi Operasi, Divisi
Manajeme Marketing, Divisi Finance,
4 Basis data agen asuransi Confidential IT
n dan agen yang
bersangkutan
Divisi Divisi Divisi Aktuaria dan Divisi
5 Definisi produk asuransi Confidential
Aktuaria Aktuaria Operasi
Divisi Divisi
6 Cadangan Asuransi Confidential
Aktuaria Aktuaria
Alamat dan password e- Manajeme Pemegang e-mail yang
7 Confidential IT
mail perusahaan n bersangkutan
Manajeme
8 Source code aplikasi Confidential IS Departemen IS
n
9 Topologi jaringan Confidential IT IT IT
Tabel 2 1 Pengelompokan Informasi
Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam
PT Asuransi Maju Bersama:
1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui
berapa margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas
data harus dijaga karena berhubungan dengan penagihan kepada pemegang polis
dan vendor; apabila integritas data terganggu maka kredibilitas perusahaan dapat
terganggu. Ketersediaan data juga penting karena penagihan harus dilakukan tepat
waktunya untuk menjaga arus cash flow perusahaan.
2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh
mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji,
penilaian kinerja, dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi
tersebut.
3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas
informasi ini akan dapat merugikan baik pemegang polis maupun perusahaan.
17
4. Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan
baik agen asuransi maupun perusahaan.
5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat
merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing.
6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan
kesehatan finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk
mendiskreditkan perusahaan.
7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh
ke pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha
perusahaan yang umumnya bersifat rahasia dapat diketahui.
8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk
pengembangan aplikasi tersebut.
9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka
akan dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan
melakukan akses ilegal ke dalamnya.
Setelah mengidentifikasi aset informasi yang dimiliki perusahaan beserta
penilaiannya, langkah berikutnya adalah mengidentifikasi ancaman-ancaman potensial
yang mungkin dapat mengganggu confidentiality, integrity, dan availability dari informasi-
informasi tersebut. Tabel 2.2 menunjukkan ancaman-ancaman potensial yang berhasil
diidentifikasi.
Threat Agent Vulnerability Kemungkinan hasil dari resiko

Virus Tidak ada software antivirus, atau antivirus tidak ter- Infeksi virus, hilangnya data, kerusakan pada
update dengan rutin komputer
Hacker Ketidaksempurnaan software firewall yang digunakan Akses ilegal terhadap data penting perusahaan
dan tidak termonitornya firewall tersebut.
Tidak digunakannya enkripsi dalam pengiriman e-mail

Pemakai Miskonfigurasi operating system Akses ilegal terhadap data penting perusahaan,
kerusakan pada komputer
Kebakaran Tidak memadainya sistem pemadam kebakaran Kerusakan pada komputer dan teknologi informasi
lainnya, termasuk data di dalamnya
Internal User Kelemahan pada sistem audit Terganggunya integrasi data

Terputusnya Tidak adanya koneksi Internet cadangan Terganggunya proses bisnis perusahaan yang
akses berhubungan dengan pihak luar
Pencurian Kurangnya informasi latar belakang dari pegawai Kerugian akibat jatuhnya informasi rahasia
perusahaan perusahaan ke tangan pesaing
Kontraktor Lemahnya kontrol terhadap kontraktor Pencurian data perusahaan
Tabel 2 2 Ancaman dan Dampaknya
18
Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama
disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut:
1. Pencegahan. Tindakan pencegahan dilakukan dengan cara:
Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.
Pembelian perangkat keras firewall.
Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall
secara rutin.
Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.
Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.
Pemakai tidak diberikan hak akses administrator di PC-nya.
Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan
komputer dan elektronik lainnya.
Penggunaan akses Internet dial-up sebagai cadangan.
Memperketat proses pemeriksaan latar belakang calon pegawai.
Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan
memerlukannya.
Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk
dibawa keluar dari perusahaan.
Dibuat prosedur keamanan yang berlaku di dalam perusahaan.
Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang
benar.
Penerapan rencana disaster recovery dan business continuity.
2. Deteksi. Tindakan deteksi dilakukan dengan cara:
Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk
menghindari terjadinya kegagalan perangkat keras.
Melakukan pemeriksaan komputer secara rutin terhadap virus.
Melakukan pemeriksaan terhadap backup yang dihasilkan.
3. Represi. Tindakan Represi dilakukan dengan cara:
Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan
Access Control List, MAC address, dan Virtual LAN.
Melakukan pembatasan akses internet hanya untuk bagian yang memang harus
berhubungan dengan pihak di luar perusahaan.
4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup
19
yang benar.
5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas
keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah
yang terjadi dalam setahun terakhir, dan bagaimana cara penanganannya agar
masalah tersebut tidak terulang kembali.
2.2.2Kebijakan Keamanan
Saat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah
kebijakan IT perusahaan tersebut:
1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk
informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab
seluruh staff untuk menjaga kerahasiaan data nasabah.
2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan
oleh perusahaan.
3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan
komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan
kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server.
4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec.
5. Seluruh Komputer harus mengaktifkan screen saver untuk menghindarkan dari
pemakai yang tidak berhak.
6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan
datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang
dihasilkan tidak tersanggah (non repudiation)
7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery.
Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di
implementasikan. Backup Strategy sudah mencakup rencana backup harian.
8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui
oleh Kepala Divisi Optec.
9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun
disetujui oleh Kepala Divisi Optec dan Presiden Direktur.
10. Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh
Kepala Divisi Optec dan disetujui oleh Presiden Direktur.
11. Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem
produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan.
20
12. Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi
yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus
User-ID serta merubah hak akses.
13. Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus
diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7
(tujuh) password yang sebelumnya.
14. User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang
bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan
User-ID-nya.
15. Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh
system owner sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji
ulang dan didokumentasikan oleh system owner.
16. Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang
sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus
mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di
perusahaan.
17. Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari
pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu
kunjungan.
18. Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan
support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus
dihentikan sesaat setelah pekerjaan diselesaikan.
19. Disaster Recovery Plan harus di tes setiap tahun.
20. Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan
dan atas persetujuan dari Board Of Director.
21. Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali
telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.
22. Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke
dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala
Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data
dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus.
23. Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of
Director.
24. IT berkewajiban memastikan Data Network aman dan terlindungi dari akses oleh
21
pihak yang tidak diberi ijin.
25. Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada
Kepala Divisi Optec dan Board Of Director.
26. Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer
dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan
perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada
pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
27. Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan
disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan
kebijakan ini, harus mendapatkan persetujuan dari Board Of Director.
2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-
standar, pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan
pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan
pembuatannya dengan disetujui dan disponsori oleh board of director kemudian
disosialisasikan ke seluruh pegawai.
22
BAB III
SISTEM KENDALI AKSES
3.1Dasar Teori
Sistem Kendali Akses adalah suatu fitur dari keamanan yang mengendalikan
bagaimana pemakai dan sistem dapat berinteraksi dan berkomunikasi dengan sistem dan
sumber daya yang lain. Sistem Kendali Akses melindungi sistem dan sumber daya dari
akses pihak yang tidak berkepentingan. Sistem Kendali Akses juga memberikan tingkatan
otorisasi tertentu kepada pihak yang telah di otentifikasi untuk menggunakan sumber daya
yang ada. Untuk itu diperlukan administrasi dari kendali akses. Aspek administrasi dari
kendali akses ditangani oleh dukungan TI internal perusahaan. Apabila diperlukan dan
disetujui oleh pihak manajemen, maka dukungan TI dapat berkonsultasi dan meminta
pendapat dari praktisi di bidang keamanan TI.
Adapun Tugas-tugas administrasi dari kendali akses adalah sebagai berikut:
1. Menambahkan control list pada suatu resource.
2. Meng-update control list pada suatu resource.
3. Menghapus hak akses pada suatu resource.
3.2Analisa dan Rekomendasi

Saat ini pada PT. Adiperkasa Distribusindo terdapat lima sistem yang dibatasi
penggunaannya, yaitu sistem domain Windows 2000, sistem proxy Wingate, sistem
asuransi GEL, sistem keuangan FIT, dan sistem sumber daya manusia HR. Akses
terhadap sistem-sistem tersebut dibatasi hanya pada divisi yang menggunakan sistem
tersebut. Sistem kendali akses yang digunakan adalah dengan menggunakan password,
dan khusus untuk sistem sumber daya manusia HR menggunakan pemindaian sidik jari.
Di samping itu, PT Asuransi Maju Bersama menggunakan metode file-sharing
untuk hal-hal sebagai berikut:
1. Menjalankan aplikasi asuransi individunya.
2. Berbagi informasi, misalnya informasi pemegang polis dan klaim yang diajukan, di
antara sesama pegawai dalam satu departemen atau antar departemen yang
membutuhkan.
3. Berbagi-pakai printer.
23
Matriks dari kendali akses untuk file sharing dapat dilihat pada Tabel 3.1.
SHARED FOLDER DAN LOKASINYA
TUGAS/ shared folder untuk shared folder untuk
NAMA Master Gel_Ind
JABATAN fungsi internal tiap fungsi antar departemen
(Proxy (Application
departemen (PC staf (PC staf departemen-
server) server 1)
departemen terkait) departemen terkait)
A03 Head of Optech N/A N/A * **
A04 Head of NBU N/A R/W * **
A05 Supervisor N/A R/W * **
A06 Consultant N/A N/A * **
A07 Staff N/A R/W * **
A08 Head of CS/Claim N/A R/W * **
A10 Staff R/W R/W * **
A11 Head of IT R/W R/W * **
System
A12 N/A R/W * **
administrator
A13 Data support R/W R/W * **
A14 Help desk N/A R/W * **
A15 Head of IS N/A N/A * **
A16 Programmer N/A N/A * **
A17 Programmer N/A N/A * **
A18 Head of actuary N/A R/W * **
A21 Head of finance N/A R/W * **
Accounting
A22 N/A N/A * **
supervisor
A23 Cashier N/A R/W * **
Finance staff
A24 N/A R/W * **
A25 Premium collector N/A R/W * **
24
NAMA Master Gel_Ind
(Proxy (Application
server) server 1)
A26 Finance staff N/A R/W * **
A27 OSD staff N/A N/A * **
A28 Office boy N/A N/A * **
A34 Security guard N/A N/A * **
A35 Security guard N/A N/A * **
A36 Head of marketing N/A N/A * **
A37 Head of ADS N/A N/A * **
A38 ADS staff N/A N/A * **
Head of
A39 N/A N/A * **
bancassurance
Bancassurance
A40 N/A N/A * **
staff
Marketing support
A41 N/A R/W * **
supervisor
Marketing support
A42 N/A R/W * **
staff
Marketing &
A43 promotion N/A R * **
supervisor
Marketing support
A44 N/A R/W * **
staff
A45 Graphic designer N/A N/A * **
Research &
A46 N/A N/A * **
product staff
25
NAMA Master Gel_Ind
(Proxy (Application
server) server 1)
Bancassurance
A47 N/A N/A * **
staff
A48 Head of CCC N/A N/A * **
A49 Secretary N/A N/A * **
A50 Receptionist N/A N/A * **
A51 Head of HRD N/A N/A * **
A52 HRD staff N/A N/A * **
A53 HRD staff N/A N/A * **
Keterangan: * R/W untuk anggota dept. terkait, N/A untuk dept. Lain
** R/W untuk anggota dept. terkait, R untuk dept. Lain
Tabel 3.1 matriks Kendali Akses File Sharing
Sedangkan matriks dari kendali akses untuk print sharing dapat dilihat pada tabel
berikut:
NAMA TUGAS/JABATAN PRINTER

LQ-2180 LASERJET 2300 LX-300 LASERJET 6P DESKJET 690C
A01 President Director T Y Y Y Y
A02 Director T Y Y Y Y
A03 Head of Optech T Y Y Y Y
A04 Head of NBU T Y Y Y Y
A05 Supervisor T Y Y Y Y
A06 Consultant T Y Y Y Y
A07 Staff Y Y Y Y Y
A08 Head of CS/Claim T Y Y Y Y
A09 Staff T Y Y Y Y
A10 Staff T Y Y Y Y
A11 Head of IT T Y Y Y Y
A12 System administrator Y Y Y Y Y
A13 Data support T Y Y Y Y
A14 Help desk Y Y Y Y Y
A15 Head of IS T Y Y Y Y
A16 Programmer T Y Y Y Y
A17 Programmer T Y Y Y Y
A18 Head of actuary T Y Y Y Y
A19 Staff T Y Y Y Y
A20 Staff T Y Y Y Y
A21 Head of finance T Y Y Y Y
26
Accounting
T Y Y Y Y
A22 supervisor
A23 Cashier T Y Y Y Y
A24 Finance staff T Y Y Y Y
A25 Premium collector Y Y Y Y Y
A26 Finance staff T Y Y Y Y
A27 OSD staff T Y Y Y Y
A28 Office boy T Y Y Y Y
A34 Security guard T Y Y Y Y
A35 Security guard T Y Y Y Y
A36 Head of marketing T Y Y Y Y
A37 Head of ADS T Y Y Y Y
A38 ADS staff T Y Y Y Y
Head of
T Y Y Y Y
A39 bancassurance
A40 Bancassurance staff T Y Y Y Y
Marketing support
T Y Y Y Y
A41 supervisor
Marketing support
T Y Y Y Y
A42 staff
Marketing &
T Y Y Y Y
A43 promotion supervisor
Marketing support
T Y Y Y Y
A44 staff
A45 Graphic designer T Y Y Y Y
Research & product
T Y Y Y Y
A46 staff
A47 Bancassurance staff T Y Y Y Y
A48 Head of CCC T Y Y Y Y
A49 Secretary T Y Y Y Y
A50 Receptionist T Y Y Y Y
A51 Head of HRD T Y Y Y Y
A52 HRD staff T Y Y Y Y
A53 HRD staff T Y Y Y Y
Tabel 3.2 Matriks Kendali Akses Print Sharing
Dengan melihat kedua matriks di atas dapat disimpulkan bahwa PT Asuransi Maju
bersama telah memiliki kendali akses yang cukup baik.
27
BAB IV
KEAMANAN TELEKOMUNIKASI DAN JARINGAN
4.1Dasar Teori
Sehubungan dengan keamanan telekomunikasi dan jaringan, ada beberapa hal
yang perlu untuk diperhatikan, yaitu:
1. Keamanan komunikasi dan jaringan sehubungan dengan pengiriman suara, data,
multimedia, dan faximili dalam suatu local area, wide area, dan remote access.
2. Teknik pengamanan komunikasi untuk mencegah, mengetahui, dan memperbaiki
kesalahan sehingga integritas, ketersediaan, dan kerahasiaan dari berbagai transaksi
melalui jaringan dapat terpelihara.
3. Internet/intranet/extranet sehubungan dengan firewalls, routers, gateways, dan
berbagai protocols.
4. Teknik dan manajemen keamanan komunikasi, yang meliputi pencegahan, pelacakan,
dan perbaikan kesalahan, sehingga integritas, ketersediaan, dan kerahasiaan dari
berbagai transaksi melalui jaringan dapat terpelihara.
Berikut beberapa konsep manajemen keamanan komunikasi dan jaringan yang
sebaiknya diperhatikan:
1. The C.I.A triad, meliputi Confidential, Integrity, dan Availability.
1.1 Confidential. Bertujuan untuk menjaga kerahasiaan dari isi data. Untuk
mencapai tujuan tersebut ada beberapa hal yang dapat dilakukan, yaitu:
Network security protocols
Network authentication services
Data encryption services
1.2 Integrity. Merupakan jaminan bahwa pesan yang dikirim dan yang diterima
merupakan pesan yang sama, dalam arti lengkap. Beberapa hal yang dapat
digunakan, yaitu:
Firewall services
Communications security management
Intrusion detection services
1.3 Availability. Memastikan bahwa koneksi yang dibutuhkan akan selalu tersedia
kapan saja dibutuhkan. Beberapa hal yang dapat digunakan, yaitu:
Back up and redundant disk system
28
Acceptable logins and operation process performance
Reliable and interoperable security process and network security
mechanisms
2. Remote access manajemen, Merupakan manajemen elemen teknologi yang digunakan
untuk remote computing, yang meliputi:
2.1 Dial up, async, and remote internet connectivity
2.2 Securing enterprise and telecommuting remote connectivity
2.3 Remote user management issues
3. Intrusion detection and response, terdiri dari dua konsep, yaitu:
3.1 Intrusion Detection Systems, yang meliputi:
Memonitor host dan jaringan
Notifikasi setiap kejadian
3.2 Computer Incodent Response Teams (CIRT), yang meliputi:
Menganalisa notifikasi setiap kejadian
Memberikan resposn perbaikan untuk kejadian tersebut
Memperketat prosedur
Memberikan laporan follow-up
4. Network availability, meliputi
4.1 Redundant Array of Inexpensive Disk (RAID)
4.2 Backup concepts:
Full back up methods
Incremental back up methods
Differential back up methods
4.3 Managing single points of failure, yang meliputi:
Cabling failures
Topology failures (ethernet, token ring, fiber distributiion data, fiber
distribution data interface (FDDI), leased lines, dan frame relay)
5. Network attacks and abuses. Berikut ancaman jaringan dan penangannya yang umum
terjadi:
5.1 Penyusupan ke jaringan
Penanganan: Firewalls
5.2 Pemanfaatan bugs pada software, buffer overflows
Penanganan: Intrusion Detection Systems
29
5.3 Denial of service
Penanganan: Intrusion Detection Systems
5.4 Packet sniffing
Penanganan: Encryption (SSH, SSl. HTTPS)
5.5 Masalah sosial
Penanganan: Pelatihan, awareness program
6. Trusted network interpretation (TNI)
Sedangkan untuk konsep teknologi beberapa hal yang dapat diperhatikan adalah
sebagai berikut:
6.1 Protocols
Layer architecture concept
Open systems interconnect (OSI) model
Transmission control protocol/internet protocol (TCP/IP) model
Security-enhanced and security-focused protocols
6.2 Firewall types and architectures
6.3 Virtual private Networks (VPNs)
VPN Protocol standards
VPN Devices
6.4 Data Networking Basics
Data Network types
Common data network services
Data networking technologies
Local Area Network (LAN) technologies
Wide Area Network (WAN) technologies
Remote access technologies
Remote identification and authentication technologies

PT. Asuransi Maju Bersama memiliki Local Area Network (LAN) berbasis TCP/IP,
akses Internet kabel, dan telekomunikasi internal dengan PABX. LAN digunakan oleh
perusahaan untuk melakukan proses bisnis perusahaan, yakni menjalankan seluruh
sistem yang ada dan juga berkomunikasi melalui email dan chat. Seluruh sistem berjalan
pada servers perusahaan yang disimpan di dalam sebuah ruangan server.
30
Topologi jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan
secara luas, dan mudah dikelola serta di dukung oleh Windows yang digunakan sebagai
sistem operasi pada perusahaan. Akses keluar perusahaan hanya dapat dilakukan untuk
keperluan email melalui sebuah proxy server. Sedangkan untuk akses lain seperti
browsing hanya dapat dilakukan oleh direktur, manajer, kepala divisi, kepala departemen,
dan staf departemen TI.
Terdapat beberapa kelemahan di dalam keamanan jaringan di PT Asuransi Maju
Bersama sebagai berikut:
1. Desain logis jaringan. LAN di perusahaan ini tidak memiliki router, sehingga hanya
terdapat satu network, yakni 192.168.0.0 dengan subnet mask 255.255.255.0. Hal ini
dapat menimbulkan masalah di kemudian hari saat jumlah host yang digunakan
semakin banyak, karena dengan hanya menggunakan sebuah network, setiap host
akan menerima setiap paket broadcast yang dikirimkan oleh suatu host lain. Apabila
jumlah paket broadcast ini semakin banyak, lalu lintas LAN dapat terganggu. Selain
itu, penggunaan satu network tidak menyediakan pembatasan akses terhadap
sumber daya komputer penting seperti server. Setiap host dapat mengakses server
karena berada dalam network yang sama. Kelemahan lain adalah penentuan IP
address yang bersifat statik untuk seluruh host yang ada. Penggunaan IP address
statik adalah hal yang sangat disarankan untuk hosts yang penting seperti server dan
router. Namun penggunaan alamat statik untuk PC adalah suatu hal yang merepotkan
dengan semakin banyaknya jumlah PC.
2. Desain fisik jaringan. LAN di perusahaan ini masih menggunakan hub meskipun
jumlahnya sedikit. Seperti diketahui bahwa hub memiliki bandwidth yang kecil. Di
samping itu, seluruh switch yang digunakan merupakan switch unmanaged atau
sederhana yang tidak memiliki fitur-fitur canggih seperti pembatasan akses
berdasarkan MAC address host dan Spanning Tree Protocol. Tidak adanya fitur
keamanan di dalam switch yang digunakan akan memungkinkan akses ilegal ke dalam
LAN perusahaan. Sedangkan tidak adanya fitur STP menyebabkan rendahnya tingkat
availability LAN, karena desain LAN tersebut tidak bersifat redundant.
3. Windows domain controller dan mail server. Tidak adanya backup domain controller di
dalam sistem jaringan PT Asuransi Maju Bersama akan sangat mengurangi tingkat
availability LAN. Apabila terjadi kegagalan pada Primary Domain Controller Windows
2000 maka PC klien tidak dapat menggunakan sumber daya komputer yang dibagi-
pakai seperti file-sharing dan printer. Potensi masalah ini semakin meningkat dengan
31
disatukannya fungsi primary domain controller dan mail server Microsoft Exchange
Server 2000 dalam satu server.
4. RAID. Semua server yang digunakan tidak memiliki atau tidak memanfaatkan fitur
RAID. Setiap server hanya memiliki sebuah hard disk, sehingga apabila terjadi
kegagalan maka server tersebut tidak dapat beroperasi untuk waktu yang cukup lama
sehingga akan menghentikan proses bisnis perusahaan. Meskipun terdapat proses
backup yang rutin, kegagalan tersebut tetap membutuhkan waktu yang lama, karena
tidak adanya hard disk cadangan yang siap sedia.
5. Cabling. Pemasangan kabel UTP di beberapa tempat berdampingan dengan kabel
listrik yang dapat menimbulkan gangguan sinyal (noise) jaringan komputer.
6. Firewall. Perusahaan ini sudah memiliki firewall berbasis perangkat lunak, yakni Zone
Alarm, dan ditambah dengan proxy server Wingate. Permasalahannya adalah bahwa
server yang digunakan untuk menjalankan firewall tersebut juga digunakan untuk
menjalankan mail server eksternal. Hal tersebut akan sangat memberatkan kerja
server. Sedangkan server yang digunakan adalah server berbasis PC rakitan yang
tidak didesain untuk menjalankan fungsi server, dengan jumlah RAM hanya 256 MB,
dan tidak adanya fungsi RAID.
Berikut adalah rekomendasi-rekomendasi yang diajukan untuk meningkatkan
keamanan telekomunikasi dan jaringan PT Asuransi Maju Bersama:
1. Penggunaan router dengan fitur firewall. Kini telah tersedia router multifungsi yang
memiliki beberapa fitur penting seperti firewall, VPN, dan VoIP. Router jenis ini sangat
sesuai digunakan untuk UKM dengan dana terbatas. Dengan menggunakan router
maka dapat dibuat beberapa subnet yang memisahkan host penting seperti server
dengan host klien, dan memisahkan host klien di suatu divisi atau departemen dengan
host klien di divisi atau departemen yang lain. Router juga memiliki fungsi DHCP
server yang akan menentukan IP address host klien secara dinamis, sehingga
meningkatkan skalabilitas dan memudahkan pemeliharaan. Dengan fungsi firewall,
router tersebut dapat menggantikan fungsi firewall berbasis perangkat lunak dengan
kinerja yang lebih baik.
2. Penggunaan manageable switch. Dengan menggunakan switch yang memiliki fitur
pembatasan akses, keamanan TI dapat lebih ditingkatkan, karena hanya host yang
diberi ijin yang dapat mengakses LAN perusahaan. Dengan fitur Spanning Tree
Protocol, LAN dapat didesain secara redundant, dimana apabila sebuah alat jaringan
atau hubungan kabel mengalami kegagalan, maka alat jaringan atau hubungan
32
cadangan dapat segera beroperasi untuk menggantikannya. Dan dengan adanya fitur
VLAN maka penggunaan port switch dan kabel dapat menjadi lebih efisien, karena
digunakannya koneksi kabel yang sama untuk lebih dari dua subnet.
3. Backup domain controller dan mail server. Dengan adanya server backup domain
controller, host klien masih dapat mengakses domain dan menggunakan sumber-
sumber daya komputer yang dibagi-pakai.
4. RAID. Setiap server perlu ditambah satu buah hard disk lagi dengan fungsi RAID level
1, dimana data yang berada di dalam hard disk utama diduplikasi ke dalam hard disk
kedua. Apabila hard disk utama mengalami kegagalan maka dapat secara otomatis
digantikan oleh hard disk kedua.
5. Cabling. Kabel jaringan sebaiknya dipasang terpisah cukup jauh dengan kabel listrik
untuk menghindari noise terhadap sinyal jaringan.
33
BAB V
KRIPTOGRAFI
5.1Dasar Teori
Tujuan dari kriptografi adalah memproteksi informasi agar tidak dibaca ataupun
digunakan oleh pihak yang tidak berwenang atas informasi tersebut. Dengan kata lain
informasi yang dikirimkan tidak boleh sampai kepada penerima yang tidak seharusnya.
Untuk mencapai tujuan tersebut dilakukan kriptografi yaitu penulisan rahasia atau
penyandian informasi. Kriptografi terdiri dari lima bagian, yaitu:
1. Plaintext, merupakan sebuah pesan atau informasi dalam bentuk aslinya.
2. Encryption algoritm, proses enkripsi merupakan transformasi dari plaintext ke
chipertext
3. Secret key
4. Chipertext, merupakan sebuah pesan dalam bentuk kode rahasia (tersandi).
5. Decrytion algorithm, proses deskripsi merupakan transformasi dari chipertext ke
plaintext.
Terdapat dua jenis sistem kriptografi yakni sistem kriptografi private dan public key.
Sistem kriptografi private key berdasar pada algoritma enkripsi simetris yang
menggunakan private (rahasia) key untuk mengenkripsi teks biasa menjadi ciphertext, dan
kunci yang sama digunakan juga untuk mendekripsi ciphertext tadi menjadi teks biasa.
Dalam hal ini, kunci tersebut simetris karena kunci enkripsi sama dengan kunci dekripsi.
Sistem kriptografi public key menggunakan sepasang kunci. Kunci pertama, yakni
private key, digunakan untuk mengenkripsi data, dan kunci kedua, yakni public key,
digunakan untuk mendekripsi data. Masing-masing kunci dapat digunakan untuk
mengenkripsi maupun mendekripsi data. Public key dapat diperoleh secara bebas untuk
mengenkripsi dan mengirim sebuah pesan. Berikut adalah beberapa hal penting
mengenai sistem kriptografi public key:
Public key tidak dapat mendekripsi pesan yang telah dienkripsi oleh public key itu
sendiri.
Idealnya, private key tidak dapat diturunkan atau didapat dari public key.
Sebuah pesan yang dienkripsi oleh salah satu key dapat didekripsi oleh kunci yang
lain.
34
Private key harus dirahasiakan.
Kriptografi juga digunakan dengan tujuan untuk menjaga integritas pesan atau data
yang dikirim dengan menggunakan digital signature. Digital signature dibuat dengan
memproses isi pesan menggunakan hash function untuk menghasilkan sebuah message
digest yang bersifat unik untuk setiap pesan. Message digest tersebut kemudian
dienkripsi dengan private key milik pengirim dan dilampirkan bersama dengan pesan
aslinya, barulah pesan tersebut dikirim. Penerima mendekripsi message digest yang
terlampir menggunakan public key milik pengirim. Apabila berhasil berarti identifikasi
pengirim berhasil diverifikasi. Selanjutnya penerima membuat message digest dari pesan
yang diterima menggunakan hash function yang sama dengan yang digunakan pengirim.
Apabila kedua message digest sama maka dapat disimpulkan bahwa isi pesan tidak
dimodifikasi.

Data-data yang bersifat confidential di dalam perusahaan ini telah dilindungi pada
level Access Control List. Sedangkan pengiriman e-mail baik internal maupun eksternal
belum menggunakan metode pengamanan dengan kriptografi. Maka penulis
merekomendasikan kepada PT Asuransi Maju Bersama untuk menggunakan kriptografi
berbasis Public Key Infrastructure. Untuk menghemat anggaran, perusahaan dapat
menggunakan PKI yang bersifat open source seperti Pretty Good Privacy yang memiliki
kehandalan yang cukup baik.
Dari sudut pandang jaringan komputer, perusahaan ini sama sekali belum
menggunakan metode enkripsi untuk pengamanan pengiriman data melalui jaringan, baik
untuk pengiriman data internal maupun dengan pihak luar. Hingga kini, PT Asuransi Maju
Bersama belum melakukan kegiatan e-bisnis yang melibatkan perusahaan lain, selain
melalui e-mail, sehingga belum memerlukan implementasi keamanan jaringan dengan
pihak eksternal. Namun apabila di masa depan diputuskan untuk melakukan kerja sama
e-bisnis dengan perusahaan lain, PT Asuransi Maju Bersama harus mempertimbangkan
implementasi keamanan jaringan demi kepentingannya sendiri dan kepentingan
perusahaan mitra.
Untuk keamanan pengiriman data di dalam LAN perusahaan, penulis
merekomendasikan penggunaan metode enkripsi IPSec. IPSec adalah sebuah standar
yang menyediakan enkripsi, kendali akses, non-repudiation, dan otentikasi dari pesan-
pesan yang dikirimkan melalui IP. Untuk implementasi IPSec ini, perusahaan dapat
35
menggunakan fitur IPSec yang dimiliki oleh sistem operasi Windows 2000 Server. Untuk
memperoleh tingkat keamanan sistem informasi, perusahaan disarankan untuk
menggunakan IPSec untuk pengiriman data oleh setiap komputer di dalam perusahaan.
Hal ini dapat dicapai melalui penerapan kebijakan keamanan domain Active Directory
Windows 2000 Server.
36
BAB VI
ARSITEKTUR DAN MODEL-MODEL KEAMANAN
6.1Dasar Teori
Arsitektur keamanan dari sebuah sistem informasi sangat dibutuhkan untuk
menentukan kebijakan keamanan informasi sebuah organisasi. Karena itu hal-hal seperti
arsitektur komputer, mekanisme proteksi, isu-isu keamanan lingkungan, dan model formal
untuk framework kebijakan keamanan harus dipahami. Kebijakan keamanan yang biasa
dilakukan antara lain:
1. Proteksi. Merupakan teknik proteksi yang umum dalam suatu sistem.
Misal: Virtual memory melakukan isolasi address space dari setiap user.
2. Trusted Computing Based (TCB), merupakan kombinasi mekanisme proteksi yang ada
dalam sistem komputer (enforce security).
Basis atau pusta sistem yang paling aman.
3. Path of Logical Access: computing system
Network
Operating system platform
Database
Application layers
4. Proteksi terluar: networks
Front-end system: perimeter dengan eksternal un-trusted systems
Back-end systems: perimeter dengan user internal melalui login ke domain (OS)
TCB
5. Logical access control software
Kontrol akses ke operating sistem secara umum memiliki fungsi sebagai berikut:
1. User identification and authentication mechanisms
2. Restricted logon Ids
3. Rules for access to specific information resources
4. Create individual accountability and auditability
5. Create or change user profiles log events
6. log user activity
7. report capability
37
Kontrol akses ke database biasanya memiliki fungsi-fungsi berikut:
1. Membuat atau mengganti data dan profile database
2. Verify user authorization at the application and transaction levels
3. Verify user authorization whitin the application
4. Verify user authorization at the field level for changes whithin database
5. Verify subsystem athorization for the user at the file level
6. Log database/data communications access activities for monitoring access
violations.

Penggunaan model dan arsitektur sekuriti mengikuti model sekuriti dan arsitektur
dari operating sistem yang dipakai. Tidak ada suatu arsitektur dan model yang khusus
yang diterapkan pada perusahaan ini. Model sekuriti dapat terlihat seperti pada tabel di
bawah ini:
Aspek Model Keamanan

Network Access Control Network mengikuti credential dari Active Directory
Application Logon mengikuti credential dari Active Directory
Database mengikuti credential dari DBMS yang digunakan
File System mengikuti credential dari Active Directory
Tabel 6.1 Model Keamanan
Untuk menjaga keamanan pada level aplikasi, setiap user diberikan login dan
password untuk masuk ke aplikasi tersebut, sehingga hanya user yang memiliki hak akses
yang dapat menggunakan aplikasi tertentu. Sedangkan pada level database, keamanan
data dijaga selain dengan dilakukan back-up file, ada aturan tidak semua data dapat
diubah melalui aplikasi, terutama data-data keuangan, hal ini untuk menjaga keabsahan
data. Selain itu, seluruh karyawan juga diberikan pengetahuan mengenai penggunaaan
komputer melalui berbagai pelatihan dan disesuaikan dengan kebutuhan.
38
BAB VII
KEAMANAN OPERASI-OPERASI
7.1Dasar Teori
Keamanan operasi merupakan serangkaian kegiatan yang bertugas untuk
melakukan pengawasan terhadap semua fasilitas perangkat keras komputer, data, dan
orang-orang yang menggunakan fasilitas-fasiltas tersebut. Semua itu dilakukan agar
ketiga aspek penting dalam teknologi informasi dapat tetap terpelihara, yaitu
confidentiality, integrity, dan availability (C.I.A). Beberapa hal yang dapat dilakukan untuk
melakukan pengawasan ini adalah:
1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya
2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan
3. Pengawasan terhadap terjadinya kesalahan I/O
Domain ini seperti domain-domain lainnya juga memperhatikan ketiga aspek
berikut:
1. Threat. Dapat didefinisikan sebagai hal-hal yang dapat menyebabkan gangguan
keamanan operasi komputer yang disebabkan oleh pihak luar.
2. Vunerability. Merupakan kelemahan dari sistem itu sendiri yang dapat menyebabkan
gangguan keamanan operasi komputer.
3. Asset. Hal-hal yang berhubungan dengan perangkat lunak dan keras, data, serta
orang-orang yang menggunakan fasilitas tersebut.

Dalam melakukan keamanan operasi PT. Asuransi Maju Bersama mencoba untuk
menerapkan beberapa tindakan pengawasan berdasarkan tiga aspek pengawasa berikut:
1. Pengawasan dengan pemisahan pekerjaan berdasarkan fungsinya
2. Pengawasan terhadap perangkat keras komputer dan media yang digunakan
3. Pengawasan terhadap terjadinya kesalahan I/O
Tindakan-tindakan pengawasan yang dilakukan adalah sebagai berikut:
1. Least Privileged. Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna
dapat menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak
semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan
39
penerapan akses kontrol.
2. Separation of duties. Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh
masing-masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan
password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan
akses kontrol dan penerapan VLAN pada sistem perusahaan.
3. Categories of Control. Melakukan tindakan-tindakan pencegahan, deteksi dan
perbaikan terhadap sistem teknologi informasi perusahaan.
4. Change Management Control. Tindakan perbaikan atau perubahan dalam sistem
teknologi informasi perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh
perbaikan dan perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan
pada sistem perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara
tidak sengaja karena adanya perbaikan dan perubahan tersebut.
5. Adminstrative Control. Untuk melakukan pemasangan software baru dan perawatan
sistem dilakukan oleh bagian TI yang bertanggung jawab secara khusus.
6. Record Retention. Menerapkan berapa lama data akan disimpan dalam database
perusahaan.Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam
media backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media
yang dapat dihapus harus dengan prinsip kehati-hatian.
7. Media Security Control. Menerapkan akses kontrol dan metode logging pada server
untuk mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses
kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain itu
media-media penyimpanan data yang sudah tidak dipergunakan lagi harus dibuang
dan dihancurkan dengan cara yang tepat, agar data yang terdapat dimedia itu tidak
dapat di akses lagi oleh orang yang tidak berhak.
40
BAB VIII
PENGEMBANGAN APLIKASI DAN SISTEM
8.1Dasar Teori
Tujuan dari penerapan applicaton dan system development security adalah
menjamin keamanan pengembangan dari aplikasi. Untuk itu pihak pengembang harus
memahami betul beberapa aspek antara lain:
1. Software life cycle development process
2. Software process capability maturity model
3. Object-oriented systems
4. Artificial intelligence system
5. Database systems:
Database security issues
Data warehousinng
Data mining
Data dictionaries
6. Application Controls
Dengan memperhatikan hal-hal di atas pihak pengembang akan mampu
menentukan langkah-langkah apa saja yang dapat dilakukan untuk meningkatkan
keamanan pengembangan aplikasi dan sistem.

Aplikasi-aplikasi yang digunakan pada perusahaan ini adalah aplikasi yang
dikembangkan oleh pihak ketiga. Aspek keamanan dari aplikasi-aplikasi tersebut
mengikuti fitur keamanan yang telah disertakan oleh pengembang perangkat lunak
tersebut. Aplikasi-aplikasi yang dipakai pada perusahaan ini adalah:
1. GEL Insurance system
2. FIT finance system
3. HR system
GEL adalah sebuah sistem yang berbasis Clipper dengan platform DOS, yang
secara logis adalah merupakan sebuah shared folder yang berisi sub-sub folder yang
terdiri dari file executable dan database berbasis file. Untuk menjalankan sistem ini, PC
41
klien harus membuat sebuah map network drive dengan hak akses read write ke server
dimana sistem GEL tersebut berada. Hal ini sangat membahayakan confidentiality dan
integrity dari sistem tersebut. Seseorang yang memiliki sedikit pengetahuan dan keahlian
dalam bidang komputer berbasis Windows akan dengan mudah membuka dan
mengacak-acak isi dari sistem tersebut. Oleh karena itu maka penulis merekomendasikan
kepada PT Asuransi Maju Bersama untuk segera mengganti sistem asuransi GEL
tersebut dengan sistem baru yang memiliki tingkat keamanan data lebih tinggi, misalnya
sistem dengan RDBMS, sehingga seorang pemakai tidak dapat mengakses langsung
basis data sistem.
Meskipun FIT dan HR merupakan sistem berbasis RDBMS dengan metode akses
menggunakan ODBC, namun keamanan basis data masih dapat terancam. Vulnerability
sistem tersebut tetap ada dengan adanya sebuah jalan pintas menuju basis data sistem
tersebut. Sebagai contoh, untuk memperoleh data yang dibutuhkan oleh pihak
manajemen dan pemakai, seorang staf data support menggunakan tool administrasi
RDBMS seperti MS Enterprise Manager untuk melakukan query data yang dibutuhkan
tersebut. Hal ini dapat terjadi sebab sistem yang ada tidak menyediakan fasilitas query
yang cukup baik. Penggunaan tool administrasi RDBMS tersebut sangat berbahaya,
sebab apabila tidak hati-hati, data di dalam RDBMS tersebut dapat secara sengaja
maupun tidak sengaja berubah, sehingga integritas data menjadi terganggu. Oleh karena
itu maka penulis merekomendasikan kepada perusahaan ini untuk melarang penggunaan
tool administrasi RDBMS tersebut dan menggantikannya dengan tool query yang lebih
aman seperti Seagate Crystal Report.
42
BAB IX
BUSINESS CONTINUITY PLANNING DAN
DISASTER RECOVERY PLANNING
9.1Dasar Teori
Perencanaan Disanter Recovery dan business continuity adalah untuk segera
dapat menanggulangi apabila ada gangguan atau bencana terhadap sistem di
perusahaan khususnya sistem komputer. Perencanaan ini diharapkan apapun yang
terjadi bisnis tetap dapat beroperasi, dan melakukan penyelamatan sistem informasi. Ada
beberapa hal yang dapat dilakukan, yaitu
1. Pembuatan Business Continuity Plan (BCP)
Merupakan proses (otomisasi maupun manual) yang dirancang untuk mengurangi
ancaman terhadap fungsi-fungsi penting organisasi, sehingga menjamin kontinuitas
layanan bagi operasi yang penting.
2. Pembuatan Disaster Recovery Plan (DRP)
Saat business continuity berlangsung, maka juga dimulailah langkah-langkah untuk
penyelamatan (recovery) terhadap fasilitas IT dan sistem informasi. Dapat dikatakan
juga DRP berupakan bagian dari BCP.
Pembuatan BCP dan DRP harus disesuaikan dengan jenis-jenis bencana yang
terjadi, misalkan penanganan untuk bencana kebakaran akan berbeda dengan banjir atau
kecurian, dan lain sebagainya.

PT Asuransi Maju Bersama telah memiliki perencanaan disaster recovery dan
business continuity yang cukup baik. Namun hingga saat ini belum terdapat jadwal uji
coba terhadap perencanaan tersebut. Penulis merekomendasikan kepada perusahaan ini
untuk membuat jadwal rutin uji coba perencanaan disaster recovery dan business
continuity.
Sasaran utama dari rencana pemulihan bencana ini adalah untuk membantu
meyakinkan sistem operasional yang berkelanjutan mencakup IAS, FIT, GEL, E-mail, dan
Exchange di lingkungan PT. Asuransi Maju Bersama. Sasaran khusus dari rencana ini
termasuk:
43
1. Untuk menjelaskan secara rinci langkah-langkah yang harus diikuti.
2. Untuk meminimisasi kebingungan, kekeliruan, dan biaya bagi perusahaan.
3. Untuk bekerja cepat dan lengkap atas pemulihan bencana.
4. Untuk menyediakan proteksi yang berkelanjutan terhadap aset IT.
Berikut adalah tugas dari masing-masing anggota tim pemulihan bencana:
1. Ketua Tim Manajemen. Bertanggung jawab penuh untuk mengkoordinir strategi
pemulihan bencana PT. Asuransi Maju Bersama dan meyakinkan bahwa seluruh
karyawan sadar atas kebijakan pemulihan bencana dan merupakan tanggung jawab
mereka untuk melindungi informasi perusahaan.Tugas-tugasnya antara lain:
1) Memimpin pemulihan bencana
2) Mengumumkan rencana pemulihan bencana.
3) Menunjuk Koordinator pemulihan bencana.
2. Koordinator Pemulihan Bencana. Bertanggung jawab untuk mengkoordinir
pengembangan pemulihan bencana seperti digambarkan oleh kebijakan dan
mengarahkan implementasi dan uji coba rencana. Tugas-tugasnya antara lain:
1) Mengkoordinasikan seluruh aktifitas karyawan terhadap pemulihan bencana.
2) Menyelenggarakan program kesadaran pemulihan bencana ke Departemen IT dan
departemen terkait.
3) Bertanggung jawab untuk menjaga inventori aset IT yang terkini.
4) Mengelola pengetesan dan laporan hasil tes.
Pernyataan Bencana. Keputusan untuk menyatakan sebuah pemulihan bencana
merupakan wewenang Ketua Tim Manajemen setelah meneliti situasi yang berlangsung.
Jika Ketua Tim Manajemen memutuskan untuk menyatakan pelaksanaan prosedur
pemulihan bencana, maka seluruh anggota tim pemulihan bencana akan mengikuti
prosedur yang tercantum di dalam manual sampai pemulihan tuntas. Ketidaktersediaan
sistem, atas apapun penyebabnya, akan mengacu kepada tingkat kewaspadaan dengan
kode warna sebagai berikut:
WASPADA MERAH - Suatu kerusakan total pusat data yang menyebabkan perbaikan
jangka panjang, lebih dari tiga minggu.
WASPADA BIRU - Bencana lokal, misal kebakaran pada ruangan komputer, yang dapat
menyebabkan operasi terganggu lebih dari satu minggu.
WASPADA KUNING - Ketidaktersediaan ruangan komputer yang dapat menyebabkan
terganggunya operasi tiga hari sampai satu minggu.
WASPADA HIJAU - Kerusakan minor seperti kerusakan hardware yang dapat
44
menyebabkan pemulihan antara satu sampai tiga hari.
Apa Yang Harus Dilakukan Jika Terjadi Bencana. Bagian paling kompleks dan
kritis dari manajemen sumber daya adalah perencanaan dan organisasi personil yang
diperlukan sepanjang pelaksanaan rencana. Personil yang berpengalaman dan terlatih
akan jarang memerlukan prosedur terperinci tetapi mereka harus berada di tempat pada
waktu yang tepat, dan memastikan tugas mereka berjalan dengan lancar. Langkah
pertama jika terjadi kerusakan fatal adalah menilai sifat dan luas dari masalah itu.
Prioritas Pertama Dalam Situasi Darurat Adalah Meyakinkan Evakuasi
Seluruh Personil Secara Aman:
1. Semua karyawan berkumpul di luar lokasi gedung.
2. Manajemen gedung harus segera dihubungi atas situasi darurat, keamanan, dan pihak-
pihak yang berwenang.
3. Lengkapi lembaran konfirmasi bencana.
4. Memberi suatu penilaian awal kepada koordinator pemulihan bencana. Derajat
kerusakan pada bangunan dan peralatan dan status staf. Juga melaporkan tindakan
apa yang telah diambil.
45
BAB X
HUKUM, INVESTIGASI, DAN ETIKA
10.1Dasar Teori
Ada beberapa peraturan yang dapat diaplikasikan dalam keamanan sistem
informasi. Peraturan tersebut dapat suatu prosedur, aturan perusahaan, dan lain-lain
sampai dengan etika. Untuk peraturan seperti prosedur, pedoman, dan lain-lain
merupakan sesuatu yan tertulis, sedangkan etika perlakuannya sedikit berbeda. Etika
adalah sebuah prinsip antara yang benar dan yang salah, yang dapat digunakan sebagai
komitmen untuk sebuah konsep tindakan kejahatan dalam IT. Konsep dasar dari etika
dalam masyarakat informasi meliputi tanggung jawab, accountability, dan kewajiban.
Selain etika ada juga yang dikenal sebagai privasi, yakni perlindungan terhadap individu
dari intervensi oleh pihak lain. Dalam kasus TI juga dapat diterapkan information privacy.
Berikut adalah jenis-jenis umum dari kejahatan komputer:
1. Denial of Service dan Distributed Denial of Service.
2. Pencurian password.
3. Intrusi jaringan.
4. Emanation eavesdropping.
5. Social engineering.
6. Illegal content of material.
7. Fraud.
8. Software piracy.
9. Dumpster diving.
10.Malicious code.
11.Spoofing of IP address.
12.Information warfare.
13.Spionase.
14.Penghancuran atau perubahan informasi.
15.Penggunaan scripts yang tersedia di Internet.
16.Masquerading.
17.Embezzlement.
18.Data-diddling.
46
19.Terorisme.

Indonesia belum memiliki hukum kejahatan komputer, kecuali untuk masalah
pembajakan perangkat lunak. Namun bukan berarti bahwa kejahatan komputer dapat
dibiarkan begitu saja tanpa ada sanksi yang memberatkan. Minimal suatu perusahaan
dapat membuat peraturan yang mengakomodasi kejahatan komputer yang dilakukan
pegawai-pegawainya beserta konsekuensi atau sanksinya. PT Asuransi Maju Bersama
secara umum telah menyinggung masalah ini di dalam kebijakan TI-nya sebagai berikut:
Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer dan
seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan perusahaan
lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada pemutusan
hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
Khusus domain ini PT. Asuransi Maju Bersama, memang tidak secara jelas
menuliskan peraturan yang bersifat etika dalam peraturan perusahaan. Peraturan tertulis
yang dimiliki perusahaan sehubungan dengan keamanan teknologi informasi antara lain
standard, guidelines dan prosedur. Sedangkan untuk etika dalam teknologi informasi
perusahaan akan mengacu pada nilai-nilai kebaikan yang berlaku umum di lingkungan
perusahaan. Misalkan hal-hal yang dapat mengakibatkan kerusakan pada sistem yang
dilakukan secara sengaja oleh orang tertentu dapat dikategorikan sebagai tindakan
kejahatan TI, berusahaan untuk melindungi data-data rahasia perusahaan, dan lain-lain.
47
BAB XI
KEAMANAN FISIK
11.1Dasar Teori
Domain keamanan fisik membahas ancaman-ancaman, kelemahan-kelemahan,
dan tindakan-tindakan pengamanan yang dapat diutilisasi untuk secara fisik melindungi
sumber daya dan informasi sensitif perusahaan. Sumber daya ini meliputi pegawai,
fasilitas tempat pegawai bekerja, dan data, peralatan, sistem-sistem pendukung, dan
media yang digunakan.
Triad Confidentiality, Availability, dan Integrity berada pada kondisi beresiko di
dalam lingkungan fisik, dan oleh sebab itu harus dilindungi. Berikut adalah contoh-contoh
ancaman-ancaman terhadap keamanan fisik:
1. Keadaaan darurat, meliputi
Kebakaran dan kontaminan asap.
Keruntuhan atau ledakan gedung.
Utility loss (tenaga listrik, AC, pemanasan).
Kerusakan air (kebocoran pipa).
Terlepasnya material beracun.
2. Bencana alam, meliputi
Gempa dan tanah longsor.
Badai (salju, es, dan banjir).
3. Campur tangan manusia, meliputi
Sabotase.
Vandalisme.
Perang.
Serangan.
Keamanan fisik aset-aset IT dapat dijalankan dengan suatu metode kontrol. Secara
umum aspek-aspek pengawasan meliputi:
1. Kendali-kendali administratif, meliputi
Perencanaan kebutuhan-kebutuhan fasilitas. Membahas konsep diperlukannya
perencanaan untuk kendali-kendali keamanan fisik di tahap awal dari
48
pembangunan sebuah fasilitas data. Elemen-elemen keamanan fisik yang
terlibat di dalam tahap pembangunan meliputi pemilihan dan proses desain
sebuah situs aman. Pemilihan situs yang aman harus mempertimbangkan
masalah visibility, pertimbangan-pertimbangan lokal, potensi bencana alam,
transportasi, kepemilikan gedung (joint tenancy), dan layanan-layanan eksternal.
Sedangkan proses desain harus memperhatikan masalah jenis dinding, jenis
atap, jenis lantai, jendela, pintu, sistem sprinkler, pipa zat cair dan gas, air
conditioning, dan kebutuhan-kebutuhan listrik.
Manajemen keamanan fasilitas. Membahas audit trail dan prosedur-prosedur
darurat.
Kendali-kendali personel administratif. Meliputi proses-proses administratif yang
umumnya diimplementasi oleh departemen SDM selama proses rekrut dan
pemecatan.
2. Kendali-kendali lingkungan dan keselamatan jiwa. Meliputi kendali-kendali keamanan
fisik yang dibutuhkan untuk menopang baik lingkungan operasi komputer maupun
lingkungan operasi personel. Meliputi
Tenaga listrik. Hal-hal yang dapat mengancam sistem listrik misalnya noise,
brownout, dan kelembaban udara.
Deteksi dan supresi kebakaran. Hal-hal yang perlu diperhatikan antara lain
adalah kelas-kelas kebakaran, bahan-bahan yang mudah terbakar, pendeteksi
kebakaran, sistem-sistem pemadam kebakaran, medium-medium pemadam,
serta kontaminasi dan kerusakan.
Pemanasan, ventilasi, dan air conditioning (HVAC).
3. Kendali-kendali fisik dan teknis. Meliputi
Kebutuhan-kebutuhan kendali fasilitas, yang terdiri dari satuan pengamanan,
anjing penjaga, pemagaran, pencahayaan, kunci, dan CCTV.
Alat-alat kendali akses fasilitas. Meliputi kartu-kartu akses keamanan dan alat-
alat biometrik.
Pendeteksi intrusi dan alarm.
Kendali inventori komputer.
Kebutuhan-kebutuhan penyimpanan media.

PT Asuransi Maju Bersama memiliki sebuah ruang khusus untuk menyimpan
49
server, yang berada di lantai yang sama dengan ruang kerja. Lokasi kantor cukup
strategis dan terhindar dari banjir, karena berada di lantai 16. Namun karena berada di
wilayah bisnis, transportasi dapat terganggu terutama pada jam-jam sibuk. Hal ini dapat
mengganggu akses mobil pemadam kebakaran di saat terjadi kebakaran. Satu-satunya
hal yang dapat dilakukan adalah meningkatkan kualitas sistem pemadam kebakaran
secara mandiri. Dari kepemilikan gedung, karena PT Asuransi Maju Bersama dan
perusahaan lain menyewa kantor yang digunakan, kendali terhadap listrik, sistem
pemadam kebakaran, dan HVAC tidak berada di tangan perusahaan. Hal ini dapat
menjadi masalah saat terjadinya bencana. Penulis merekomendasikan kepada
perusahaan ini untuk membicarakan masalah service level agreement dengan pengelola
gedung untuk menjamin ketersediaan layanan tadi.
Secara desain, ruang kantor perusahaan memiliki banyak kelemahan. Tidak
terdapat pertimbangan di dalam pemilihan jenis bahan dinding, atap, lantai, dan pintu.
Jenis dan lokasi sistem sprinkler tidak tercatat dengan baik oleh perusahaan. Katup-katup
pipa air, uap, atau gas berada di dalam bilik yang dikunci oleh pengelola gedung. Penulis
merekomendasikan kepada perusahaan ini untuk membicarakan masalah ini dengan
pengelola gedung untuk memperoleh solusinya.
Terdapat buku tamu dan catatan aktivitas di dalam ruang server. Namun tidak ada
penggunaan fitur audit trail di dalam sistem operasi server maupun PC untuk mencatat
aktivitas pemakai. Direkomendasikan untuk mengaktifkan fitur audit trail yang terdapat di
sistem operasi yang digunakan.
Untuk masalah tenaga listrik, perusahaan ini telah memiliki dua buah UPS. Namun
ini kurang mencukupi, baik dari segi jumlah maupun daya listrik. Selain itu server yang
menggunakan UPS ini belum dikonfigurasi untuk secara otomatis mematikan server
tersebut apabila listrik mati. Penulis merekomendasikan untuk menambah jumlah dan
daya listrik UPS serta melakukan konfigurasi yang sesuai.
Secara keamanan gedung maka keamanan menjadi tanggung jawab building
management untuk menyediakan tenaga keamanan. Bagian IT bertanggung jawab
terhadap keamanan dari ruang server. Selain itu lokasi, lingkungan, dan layout dari
gedung juga sangat menentukan keamanan dari aset-aset kantor.
50
BAB XII
AUDIT DAN ASSURANCE
12.1Dasar Teori
Tujuan dari audit bisa sangat beragam antara lain adalah untuk evaluasi terhadap
sistem teknologi informasi yang digunakan baik dari sisi internal control, keamanan
maupun kepastian kehandalan software yang digunakan. Sebaiknya audit ini dilakukan
secara rutin minimal setahun sekali, dan setelah pergantian atau perbaikan sistem audit
ini juga perlu dilakukan. Tahapan-tahapan audit yang dapat dilakukan adalah sebagai
berikut:
1. Audit Subject.
Menentukan apa yang akan di audit. Sebelum audit dilakukan telah ditentukan
hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang tidak
termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan
menyimpang dari tujuannya.
2. Audit Objective.
Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari
pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit.
Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui
dengan pasti tujuan dari pelaksanaan audit.
3. Audit Scope (ruang lingkup).
Menentukan sistem, fungsi dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai
batasan ruang lingkup yang jelas.
4. Preaudit Planning.
Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan
dalam pelaksanaan audit.
Menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit.
Menentukan tempat dilaksanakannya audit.
5. Audit Procedures & Steps for data Gathering
Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.
Menentukan orang-orang yang berhubungan dengan permasalahan untuk
51
diwawancarai.
6. Evaluasi Hasil Pengujian dan Pemeriksaan
Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan
dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau
masih ada faktor-faktor lain yang harus dipertimbangkan.
7. Prosedur Komunikasi dengan Pihak Manajemen
Setelah dilaksanakan audit maka pihak yang mengaudit harus
mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan
audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak
manajemen, agar audit dapat berjalan dengan lancar.
8. Audit Report Preperation
Menentukan bagaimana cara mereview hasil audit yang diperoleh.
Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari
organisasi yang diaudit.

PT Asuransi Maju Bersama telah menerapkan proses audit secara rutin yang
dilakukan oleh pihak ketiga. Audit harus dilakukan secara periodik terhadap faktor-faktor
yang telah disebutkan di atas oleh bagian IT dan oleh pihak eksternal. Dokumen audit
harus mendapat persetujuan dari pihak manajemen dan jika ada hal-hal yang perlu
diperbaiki menjadi tanggung jawab bagian IT. Audit meliputi:
Perencanaan strategis sumber daya informasi
Operasi sistem informasi
Kerjasama dengan pihak ketiga
Keamanan informasi
Business continuity plan
Implementasi dan pemeliharaan sistem aplikasi
Dukungan dan implementasi database
Dukungan jaringan
Dukungan perangkat lunak
Dukungan perangkat keras
Sehubungan dengan audit tersebut maka diperlukan dokumentasi-dokumentasi
sebagai berikut:
1. Struktur organisasi dan rincian tugas departemen IT.
52
2. Rencana kerja departemen IT untuk jangka pendek dan panjang.
3. BCP dan DRP.
4. Diagram jaringan komputer.
5. Daftar hardware dan software yang digunakan (termasuk sistem aplikasi yang
digunakan).
6. Dokumentasi sistem aplikasi.
7. Kebijakan keamanan sistem informasi.
8. Prosedur pengembangan sistem informasi.
9. Prosedur pengoperasian sistem komputer.
10.Prosedur pengamanan sistem informasi.
11.Prosedur pemeliharaan dan pengembangan jaringan komputer.
12.Perjanjian kerja sama dengan vendor atau pihak ketiga dalam pemeliharaan hardware
dan software.
Dari informasi-informasi tersebut maka dapat disimpulkan bahwa PT Asuransi Maju
Bersama telah memiliki proses audit yang baik.
53
BAB XIII
KESIMPULAN
Berdasarkan analisa terhadap kendali keamanan Sistem Informasi di PT Asuransi

Maju Bersama dapat disimpulkan beberapa hal berikut:
1. PT Asuransi Maju Bersama sebaiknya dapat mengakomodir pendefinisian aset
informasi yang dimiliki perusahaan tersebut. Perusahaan dapat mempertimbangkan
kembali administrator atau pemelihara masing-masing informasi tersebut sesuai
dengan kebijakan manajemen puncak.
2. Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standar-standar,
pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan
pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan
pembuatannya dengan disetujui dan disponsori oleh board of director kemudian
disosialisasikan ke seluruh pegawai.
3. Kebijakan IT yang telah dimiliki oleh perusahaan harus secara berkala (minimal 1 tahun
sekali) di uji atau direvisi untuk penyempurnaannya disesuakain dengan kondisi dan
tuntutan bisnis saat itu.
4. PT Asuransi Maju Bersama belum secara serius memperhatikan masalah keamanan
fisik di lingkungan kerjanya.
5. Audit harus dilakukan secara periodik terhadap faktor-faktor kritis oleh bagian IT dan
oleh pihak auditor eksternal. Dokumen audit harus mendapat persetujuan dari pihak
manajemen dan jika ditemukan ada hal-hal yang perlu diperbaiki menjadi tanggung
jawab bagian IT.
54
DAFTAR PUSTAKA
Krutz, Ronald L. 2003. The CISSP prep guide. Indiana: Wiley Publishing, Inc.
Cisa review manual 2005. 2005. Illinois: Information System Audit and Control
Association.
Edo Kurniawan, Heriyadi, dan Ferdinan, Kirana, 2004. Proteksi dan Teknik Keamanan
Sistem Informasi pada PT Adiperkasa Distribusindo. Diambil Juni, 8, 2005 dari
http://bebas.vlsm.org/v06/Kuliah/MTI-Keamanan-Sistem-Informasi/2004/78/78-m-update-
AdiperkasaDistribusindo.pdf.
55

Analisa Proteksi Dan Teknik Keamanan Sistem Informasi PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Analisa Proteksi Dan Teknik Keamanan Sistem Informasi PDF

Uploaded by

Copyright:

Available Formats

ANALISA PROTEKSI DAN TEKNIK KEAMANAN

SISTEM INFORMASI PT. ASURANSI MAJU BERSAMA

TUGAS MATA KULIAH PROTEKSI DAN TEKNIK KEAMANAN SISTEM INFORMASI

MAGISTER TEKNOLOGI INFORMASI

1.2Visi dan Misi Perusahaan

1.3Struktur Organisasi Perusahaan

Gambar 1. 1 Struktur Organisasi

President Director A01 President director

A43 Marketing & promotion supervisor

Gambar 1. 2 Topologi Jaringan

A51 A19 A20 A03 A06 A09 A21 A22

PANTRY A48 A49

Gambar 1. 3 Denah Kantor

2.1.4Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

2.2Analisa dan Rekomendasi Praktek-Praktek Manajemen Keamanan di PT

Aset intangible, terdiri dari

Divisi Operasi, Divisi

Tabel 2 1 Pengelompokan Informasi

Threat Agent Vulnerability Kemungkinan hasil dari resiko

Tidak digunakannya enkripsi dalam pengiriman e-mail

Internal User Kelemahan pada sistem audit Terganggunya integrasi data

Tabel 2 2 Ancaman dan Dampaknya

2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur

3.2Analisa dan Rekomendasi

A03 Head of Optech N/A N/A * **

A04 Head of NBU N/A R/W * **

A05 Supervisor N/A R/W * **

A06 Consultant N/A N/A * **

A07 Staff N/A R/W * **

A08 Head of CS/Claim N/A R/W * **

A09 Staff N/A R/W * **

A10 Staff R/W R/W * **

A11 Head of IT R/W R/W * **

A13 Data support R/W R/W * **

A14 Help desk N/A R/W * **

A15 Head of IS N/A N/A * **

A16 Programmer N/A N/A * **

A17 Programmer N/A N/A * **

A18 Head of actuary N/A R/W * **

A19 Staff N/A R/W * **

A20 Staff N/A R/W * **

A21 Head of finance N/A R/W * **

A23 Cashier N/A R/W * **

A25 Premium collector N/A R/W * **

A26 Finance staff N/A R/W * **

A27 OSD staff N/A N/A * **

A28 Office boy N/A N/A * **

A29 Office boy N/A N/A * **

A30 Office boy N/A N/A * **

A31 Office boy N/A N/A * **

A32 Office boy N/A N/A * **

A33 Office boy N/A N/A * **

A34 Security guard N/A N/A * **

A35 Security guard N/A N/A * **

A36 Head of marketing N/A N/A * **

A37 Head of ADS N/A N/A * **

A38 ADS staff N/A N/A * **

A45 Graphic designer N/A N/A * **

A48 Head of CCC N/A N/A * **

A49 Secretary N/A N/A * **

A50 Receptionist N/A N/A * **

A51 Head of HRD N/A N/A * **

A52 HRD staff N/A N/A * **