Tugas Kuliah Penerapan Kebijakan Proteksi dan Keamanan SI ... · PT Bengkel Mobil Jaya termasuk...

Tugas Kuliah

Penerapan Kebijakan Proteksi dan Keamanan SI/TIpada UKM PT Bengkel Mobil Jaya

Gimson Ahmed - 7203010472

Esti Ellianti Djuwarta - 7203010162

____________________________________________________________

Magister Teknologi Informasi

Universitas Indonesia

Desember 2004

i

© 2004 Kelompok 76 IKI-83408T MTI UI. Silakan menggadakan bahan ajar ini selama tetap mencatumkan nota hak cipta ini.

Tugas KuliahPenerapan Kebijakan Proteksi danKeamanan SI/TI padaUKM PT Bengkel Mobil Jaya

ii


Daftar Isi

I. DESKRIPSI BISNIS PT BENGKEL MOBIL JAYA......................................1

I.1. Struktur organisasi .........................................................................................................1

I.2. Proses Bisnis PT Bengkel Mobil Jaya ..........................................................................4

I.2.A. Mendaftar mobil ..................................................................................................................... 6

I.2.B. Menyetujui layanan bengkel .................................................................................................. 7

I.2.C. Menanyakan progress pelayanan .......................................................................................... 8

I.2.D. Membayar tagihan.................................................................................................................. 8

I.2.E. Mengantarkan barang pesanan............................................................................................... 9

I.2.F. Mengambil pembayaran......................................................................................................... 9

I.2.G. Menyetujui klaim asuransi................................................................................................... 10

I.2.H. Membayar klaim asuransi .................................................................................................... 10

I.3. Dukungan TI ................................................................................................................10

I.3.A. Penanganan transaksi pelayanan kepada pelanggan ........................................................... 11

I.3.B. Administrasi (pelaporan manajemen dan penggajian)........................................................ 11

II. PEMBAHASAN IT SECURITY DOMAIN ..............................................13

II.1. Access Control Systems & Methodology ...................................................................13

II.2. Telecommunication and Network Security.................................................................14

II.3. Security Management Practices ..................................................................................14

II.4. Application & System Development Security............................................................16

II.5. Cryptography ...............................................................................................................16

II.6. Security Architecture & Model ...................................................................................17

II.7. Operations security ......................................................................................................18

II.8. Disaster recovery & BCP ............................................................................................18

II.9. Laws, ethics & investigation .......................................................................................19

II.10. Physical security......................................................................................................20

II.11. Auditing & Assurance.............................................................................................21

iii


III. KESIMPULAN...........................................................................................23

IV. DAFTAR ISTILAH....................................................................................24

iv


Daftar Gambar

Gambar 1. Struktur Organisasi ...................................................................................2

Gambar 2. Diagram Use Case Bengkel Mobil ............................................................5

Gambar 3. Business Object Modeling: Mendaftar mobil.............................................6

Gambar 4. Business Object Model: Menyetujui layanan bengkel................................7

Gambar 5. Business Object Modeling: Menanyakan progress pelayanan ....................8

Gambar 6. Business Object Modeling: Membayar tagihan.........................................8

Gambar 7. Business Object Modeling: Mengantarkan barang pesanan........................9

Gambar 8. Business Object Model: Mengambil pembayaran......................................9

Gambar 9. Business Object Model: Menyetujui klaim asuransi ...............................10

Gambar 10. Business Object Model: Membayar klaim asuransi................................10

Daftar Tabel

Tabel 1. Daftar Personil PT Bengket Abadi Jaya ........................................................4

Tabel 2. Inventaris TI dan Infrastruktur ....................................................................12

Tabel 3. Identifikasi aset TI ......................................................................................15

v


Tabel 4. Tabel Information Asset Valuation .............................................................15

1


I. Deskripsi bisnis PT Bengkel Mobil Jaya

PT Bengkel Mobil Jaya termasuk kategori usaha kecil & menengah (UKM) yangmenjalankan bisnis di bidang perbaikan dan pemeliharaan kendaraan bermotor,khususnya mobil. Perusahaan saat ini memiliki 50 orang karyawan termasuk pemilik.Target konsumen dari bengkel ini adalah penduduk Jabotabek yang merawat jeniskendaraan pribadi (bisa memiliki mobil pribadi, atau merawat mobil dinas instansipemerintah).

Secara umum, ada 3 jenis layanan yang diberikan oleh bengkel bagi parapelanggannya yaitu:

1. PerbaikanPerbaikan meliputi layanan perbaikan mesin dan body repair. Bengkel tidakmembatasi merek mobil yang dilayani, selama peralatan yang dimiliki mampumenangani permasalahan

2. PemeliharaanPemeliharaan mencakup pemeliharaan mobil rutin seperti penggantian olimesin, transmisi, dan tune-up.

3. Cuci mobilPencucian mobil untuk menjaga kebersihan bodi mobil.

Omset sebulan rata-rata adalah 350 order (mobil) mencakup ketiga jenis layanan yangditawarkan.

I.1. Struktur organisasiBengkel ini didirikan oleh A1 dengan modal awal Rp 300 juta. Hingga kini posisidirektur utama dipegang oleh A1 sekaligus pemilik. Struktur organisasi yang berlakusampai saat ini adalah sebagai berikut:

2


Pemilik

Staff Administrasi

Resepsionis/Operator

SupervisorBag. Reparasi

Mesin

SupervisorBag. Servis

SupervisorBag. Cuci

Security

PetugasCuci

PetugasServis

Janitor

PetugasReparasi Mesin

PetugasBody Repair

SupervisorBag. Body Repair

Gambar 1. Struktur Organisasi

Jabatan/fungsi PenjelasanPemilik Bertanggung jawab secara hukum atas operasional bengkel,

melakukan kontrol secara keseluruhan atas layanan bengkel. Selainitu pemilik juga mengambil bagian penting sebagai penyelenggaraTI sederhana untuk bengkelnya dan memegang kendali ataskeputusan penting yang bersifat umum atau berkaitan denganmasalah regulasi dan finansial. Karena organisasi bengkel inibersifat agak informal, masih ada sejumlah peran lain yangdirangkap oleh pemilik seperti menyetujui pembayaran untukpembelian stok, rekrutmen karyawan baru dan sebagainya

PetugasAdministrasi

Bertanggung jawab untuk menyediakan laporan-laporan yangdiminta oleh pemilik. Sebagai input, setiap harinya mereka akanmendapatkan rangkuman transaksi hari tersebut. Selain itu merekajuga bertanggung jawab atas penggajian harian untuk para petugasdan supervisor reparasi, body repair, servis dan cuci, sertapenggajian bulanan untuk personil lainnya. Petugas administrasijuga membantu pelaksanaan purchasing stok barang habis pakai,onderdils dan alat tulis kantor.

3


Jabatan/fungsi Penjelasanonderdils dan alat tulis kantor.

Resepsionis/Operator

bertanggung jawab untuk melayani pelanggan yang datang denganmengentry data kendaraan dan membuatkan work order. Setelahpekerjaan selesai mereka juga berkewajiban untuk membuatkantagihan dan menerima pembayaran. Setiap akhir hari kerja,Resepsionis akan membuat file berisi rincian transaksi hari tersebutdan dikirimkan kepada bagian administrasi melalui fasilitas filesharing di LAN.

SupervisorBagianReparasi Mesin

Bertanggung jawab mengawasi pekerjaan reparasi mesin oleh parapetugas. Selain itu ia juga bertanggung jawab atas pemakaian stokbarang habis pakai dan onderdil oleh bagian Reparasi Mesin.

SupervisorBagian BodyRepair

Bertanggung jawab mengawasi pekerjaan body repair oleh parapetugas. Selain itu ia juga bertanggung jawab atas pemakaian stokbarang habis pakai dan onderdil oleh bagian body repair.

SupervisorBagian Servis

Bertanggung jawab mengawasi pekerjaan servis rutin oleh parapetugas. Selain itu ia juga bertanggung jawab atas pemakaian stokbarang habis pakai dan onderdil oleh bagian Servis.

SupervisorBagian Cuci

Bertanggung jawab mengawasi pekerjaan Cuci oleh para petugas.Selain itu ia juga bertanggung jawab atas pemakaian stok baranghabis pakai dan onderdil oleh bagian Cuci.

PetugasReparasi Mesin

Bertanggung jawab untuk melaksanakan work order reparasi mesinsesuai dengan penugasan dari supervisornya dan harus melaporkanstatus pekerjaannya kepada supervisor.

Petugas BodyRepair

Bertanggung jawab untuk melaksanakan work order body repairsesuai dengan penugasan dari supervisornya dan harus melaporkanstatus pekerjaannya kepada supervisor.

Petugas Servis Bertanggung jawab untuk melaksanakan work order servis sesuaidengan penugasan dari supervisornya dan harus melaporkan statuspekerjaannya kepada supervisor.

Petugas Cuci Bertanggung jawab untuk melaksanakan work order cuci kendaraandalam tim yang terdiri dari 2 orang untuk 1 order. Petugas cucimendapatkan penugasan dari supervisornya dan harus melaporkanstatus pekerjaannya kepada supervisor segera setelah selesai.Apabila ada bahan2 yang diperlukan untuk melaksanakanpencucian (shampo mobil, wax) yang stoknya hampir habis,petugas cuci berkewajiban untuk segera memberitahukan kepadasupervisor agar dapat disediakan stok baru.

Security Bertanggung jawab atas keamanan umum bengkel. Securitybertugas dalam 2 shift per hari untuk memberikan pengamanan 24jam kepada bengkel baik hari kerja maupun hari libur.

Janitor Bertanggung jawab atas kebersihan fisik bengkel, terutama ruangkantor administrasi, front office, ruang kerja pemilik, berikutkebersihan WC dan pantry. Janitor bekerja selama jam kerja dantidak memiliki shift.

Sementara itu, daftar personil bengkel diperlihatkan pada tabel dibawah ini.

4


Jabatan JumlahPersonil Nama

Pemilik 1 A1

Petugas Administrasi 2 A2, A3

Resepsionis/ Operator 3 A4, A5, A6

Supervisor Bagian ReparasiMesin 1 A7

Supervisor Bagian Body Repair 1 A8

Supervisor Bagian Servis 3 A9, A10, A11

Supervisor Bagian Cuci 1 A12

Petugas Reparasi Mesin 5 A15, A14, A15, A16, A17

Petugas Body Repair 5 A18, A19, A20, A21, A22

Petugas Servis 8 A23, A24, A25, A26, A27,A28, A29, A30

Petugas Cuci 12A31, A32, A33, A34, A35,A36, A37, A38, A39, A40,A41, A42

Security 4 A43, A44, A45, A46

Janitor 4 A47, A48, A49, A50Tabel 1. Daftar Personil PT Bengket Abadi Jaya

I.2. Proses Bisnis PT Bengkel Mobil JayaAda sejumlah proses bisnis yang dilaksanakan oleh PT Bengkel Mobil Jaya - padabagian ini akan dijelaskan secara rinci proses bisnis yang berlaku.

Pihak eksternal yang terlibat dalam proses bisnis adalah:1. Pelanggan. Pelanggan bengkel yang membawa mobilnya untuk mendapatkan

layanan bengkel.2. Pemasok (bahan baku, onderdil). Perusahaan atau individu yang menyediakan

bahan, peralatan, dan barang-barang untuk dipakai atau dijual kepadapelanggan oleh

3. Perusahaan asuransi. Perusahaan asuransi yang menjadi mitra kerja bengkelsehingga bengkel menerima perbaikan dari pelanggan asuransi mitranya.

Proses bisnis tersebut digambarkan dalam diagram Use Case sebagai berikut:

5


Gambar 2. Diagram Use Case Bengkel Mobil

Dari diagram di atas, kegiatan bengkel yang digambarkan oleh Use-Case adalah:1. Mendaftar mobil. Kegiatan yang dilakukan oleh pelanggan ketika pertama kali

datang ke bengkel. Pelanggan akan mendaftarkan mobilnya untuk mendapatantrian pelayanan bengkel.

2. Menyetujui layanan bengkel. Kegiatan yang dilakukan oleh pelanggan ketikabengkel memberikan persetujuan pelayanan. Jika pelanggan akan melakukanpemeliharaan mobil dan bengkel menambahkan daftar onderdil yang harusdiganti, maka penambahan tersebut harus disetujui pelanggan terlebih dahulu.Sehingga pelanggan mengendalikan jenis pelayanan bengkel ataskendaraannya.

3. Menanyakan progress pelayanan. Kegiatan yang dilakukan pelanggan kepadaresepsionis ketika mobilnya berada dalam antrian pelayanan bengkel. Apakahmobilnya sudah selesai ganti oli, ataukah masih membongkar filter oli, agarpelanggan mengetahui perkiraan waktu selesainya.

4. Membayar tagihan. Kegiatan yang dilakukan pelanggan kepada resepsionisketika mobilnya telah selesai dilayani bengkel. Pelanggan melakukanpembayaran atas pelayanan bengkel yang telah dilakukan.

5. Mengantarkan barang pesanan. Kegiatan yang yang dilakukan pemasokbarang kebutuhan bengkel. Pemasok mengirimkan barang pesanan bengkel

6


dan diterima oleh resepsionis. Resepsionis kemudian meminta supervisorbengkel untuk memeriksa kondisi dan rincian barang yang dikirim.

6. Mengambil pembayaran. Kegiatan yang dilakukan oleh pemasok barangkebutuhan bengkel setelah supervisor menyetujui pengiriman barang tersebut.Petugas administrasi bengkel akan memberikan pembayaran atas pengirimanbarang tersebut.

7. Menyetujui klaim asuransi. Kegiatan yang dilakukan oleh perusahaan asuransiyang menjadi mitra bengkel. Perusahaan asuransi tersebut harus memberikanpersetujuan atas perbaikan mobil pelanggan asuransi. Sehingga perbaikanterhadap mobil tersebut baru bisa dilakukan setelah perusahaan asuransimenyetujuinya.

8. Membayar klaim asuransi. Kegiatan yang dilakukan oleh perusahaan asuransiyang menjadi mitra bengkel. Perusahaan asuransi memberikan pembayaranatas kegiatan perbaikan mobil pelanggannya.

Secara lebih rinci, kegiatan tersebut digambarkan dalam bentuk diagram UMLBusiness Object Modeling. Diagram tersebut merupakan penjelasan lebih lanjut daridiagram Use Case di atas. Tujuannya adalah untuk mengidentifikasi proses daninteraksi yang terjadi di dalam bengkel. Diagram dijelaskan sebagai berikut:

I.2.A. Mendaftar mobil

Gambar 3. Business Object Modeling: Mendaftar mobil

Pihak eksternal: PelangganPihak internal: Resepsionis, supervisor (dari bagian reparasi, body repair,

pemeliharaan, atau cuci mobil)Proses: • Pelanggan datang ke bengkel dan memarkir mobilnya di

pintu masuk bengkel.• Pelanggan masuk ke kantor bengkel dan menemui

resepsionis untuk memilih layanan bengkel (perbaikan,pemeliharaan, atau cuci mobil).

• Apabila pelanggan sedang meminta klaim asuransi atasperbaikan mobilnya, maka resepsionis mendata mobilpelanggan dan rincian kerusakan untuk disetujui olehperusahaan asuransi.

7


pelanggan dan rincian kerusakan untuk disetujui olehperusahaan asuransi.

• Resepsionis mendata mobil pelanggan (nomor polisi,jenis, merek mobil, dan tahun pembuatan) dan jenislayanan yang diminta.

• Resepsionis meminta supervisor layanan bengkel terkait(reparasi, body repair, pemeliharaan, atau cuci mobil)untuk melakukan diagnosa layanan terhadap mobilpelanggan.

• Supervisor melakukan diagnosa terhadap mobil danmenuliskan rincian kegiatan bengkel dalam bentukLembar Pelayanan Mobil.

• Supervisor menyerahkan hasil diagnosa layananberbentuk Lembar Pelayanan Mobil kepada resepsionisuntuk disetujui pelanggan.

I.2.B. Menyetujui layanan bengkel

Gambar 4. Business Object Model: Menyetujui layanan bengkel

Pihak eksternal: PelangganPihak internal: Resepsionis, supervisor layanan bengkelProses: • Jika pelanggan belum mendapatkan nomor antrian, maka

Lembar Pelayanan Mobil yang berisi diagnosa bengkeldiserahkan resepsionis untuk disetujui.

• Jika pelanggan sudah mendapatkan nomor antrian, makaresepsionis memanggil pelanggan untuk menyetujuikegiatan bengkel tambahan berdasarkan diagnosabengkel yang mutakhir. Misalnya ada perbaikan ataupenggantian onderdil tambahan yang sebelumnya tidakmuncul dalam diagnosa bengkel.

• Pelanggan menyetujui diagnosa bengkel.• Resepsionis memperbarui Lembar Pelayanan Mobil dan

diserahkan pada supervisor untuk ditindaklanjuti.

8


I.2.C. Menanyakan progress pelayanan

Gambar 5. Business Object Modeling: Menanyakan progress pelayanan

Pihak eksternal: PelangganPihak internal: ResepsionisProses: • Pelanggan sudah menunggu selama mobilnya dilayani

bengkel.• Pelanggan ingin menanyakan sejauh mana pengerjaan

mobilnya kepada resepsionis.• Resepsionis melihat Lembar Pelayanan Mobil untuk

melihat data mobil dan supervisor yang menangani.• Resepsionis menanyakan pengerjaan mobil pelanggan

tersebut kepada supervisor terkait.• Resepsionis memberitahukan pengerjaan mobil tersebut

kepada pelanggan.

I.2.D. Membayar tagihan

Gambar 6. Business Object Modeling: Membayar tagihan

Pihak eksternal: PelangganPihak internal: ResepsionisProses: • Pelanggan mendatangi resepsionis untuk melakukan

pembayaran.• Resepsionis memberitahukan jumlah pembayaran

berdasarkan pengerjaan dalam Lembar Pelayanan Mobil.

9


• Pelanggan membayar sejumlah tagihan tersebut.• Resepsionis menyerahkan bukti pembayaran pada

pelanggan.

I.2.E. Mengantarkan barang pesanan

Gambar 7. Business Object Modeling: Mengantarkan barang pesanan

Pihak eksternal: PemasokPihak internal: Administrasi, supervisor bengkelProses: • Pemasok mengantarkan barang pesanan berdasarkan PO

dari bengkel kepada petugas administrasi bengkel.• Petugas administrasi mengecek PO dari pemasok,

mencocokkan dengan data pemesanan bengkel, danmeminta supervisor memeriksa barang pesanan.

• Supervisor membandingkan barang pesanan dengan PO-nya.

I.2.F. Mengambil pembayaran

Gambar 8. Business Object Model: Mengambil pembayaran

Pihak eksternal: PemasokPihak internal: AdministrasiProses: • Pemasok meminta pembayaran atas pengiriman barang.

• Petugas administrasi bengkel menyetujui pengirimanbarang pesanan dan membayar sesuai nilai PO.

• Petugas administrasi memberikan bukti pembayarankepada pemasok.

• Pemasok menerima bukti pembayaran tersebut.

10


I.2.G. Menyetujui klaim asuransi

Gambar 9. Business Object Model: Menyetujui klaim asuransi

Pihak eksternal: Perusahaan asuransiPihak internal: Petugas administrasiProses: • Resepsionis menghubungi perusahaan asuransi tentang

klaim atas perbaikan mobil pelanggan.• Resepsionis mengirimkan data mobil dan pelanggan

bersangkutan berdasarkan diagnosa bengkel dalamLembar Pelayanan Mobil.

• Perusahaan asuransi memberikan konfirmasi persetujuanatas klaim tersebut.

I.2.H. Membayar klaim asuransi

Gambar 10. Business Object Model: Membayar klaim asuransi

Pihak eksternal: Perusahaan asuransiPihak internal: Petugas administrasiProses: • Perusahaan asuransi membayar bengkel atas klaim

perbaikan yang diajukan pelanggan.• Petugas administrasi menerima pembayaran tersebut,

membuat bukti penerimaan, dan menyerahkannya kepadaperusahaan asuransi.

• Perusahaan asuransi menerima bukti penerimaanpembayaran dari bengkel.

I.3. Dukungan TIPenerapan dukungan TI dalam operasi bengkel sehari-hari meliputi beberapa halyaitu:

11


I.3.A. Penanganan transaksi pelayanan kepada pelangganSebuah aplikasi database sederhana standalone berbasis sistem operasi DOS danFoxPro ditempatkan di bagian resepsionis untuk melakukan pengisan data work orderdan membuatkan tagihan. Aplikasi ini juga memiliki kemampuan untuk membuatrangkuman transaksi per hari dalam file spreadsheet sebagai masukan untuk bagianadministrasi. Data yang disimpan oleh aplikasi ini antara lain:

• Work Order• Pembayaran• Data asuransi• Katalog Onderdil & Aksesoris

I.3.B. Administrasi (pelaporan manajemen dan penggajian)Pelaporan manajemen oleh bagian administrasi didukung oleh perangkat PC rakitanberbasis Windows yang terpasang dari pabrik dan paket OpenOffice. Pelaporanbersifat manual. PC bagian administrasi dan aplikasi database dapat saling bertukardata melalui fasilitas file sharing dari LAN.

Rincian perangkat yang ada disajikan dalam tabel di bawah ini.

Item Spesifikasi Keterangan TotalPC Windows, OpenOffice Transaksi (front office) 4 Windows, OpenOffice Bagian Administrasi 2Total PC 6 unit Laptop Windows, OpenOffice Direktur Utama 1Total Laptop 1 unit LAN File Sharing 1Total LAN 1 unit Printer Dot Matrix Transaksi 2 Laser Bagian Administrasi 2Total Printer 4 unit Scanner Bagian Administrasi 1Total Scanner 1 unit FAX Plain Paper fax 1Total FAX 1 unit PABX sistem dengan 10 extension 1 sistem 1Total PABX 1 unit Line Telp Line Telkom 2Total Line Telp 2 unit

12


Item Spesifikasi Keterangan Total

Tabel 2. Inventaris TI dan Infrastruktur

13


II. Pembahasan IT Security DomainPembahasan berikut akan mengupas rinci aspek-aspek IT Security Domain sesuaidengan penerapan TI saat ini di PT Bengkel Mobil Jaya.

II.1. Access Control Systems & MethodologyResiko:Unauthorized access untuk data pada sistem pelaporan dan data transaksi.

Tujuan:Resiko unauthorized access akan dihilangkan dengan penerapan password dan rightaccess secara sederhana dengan memanfaatkan fasilitas yang disediakan olehoperating system atau LAN.

Penerapan:• Data transaksi - diproteksi dengan password

Data transaksi hanya dapat diinput oleh operator yang memiliki akses yangvalid ke dalam aplikasi database yang disediakan untuk penginputan transaksi.Sesuai dengan situasi saat ini, peran Administrator untuk aplikasi data entryadalah pemilik bengkel. Administratorlah yang akan melakukan set up userdan password untuk operator, serta melakukan maintenance dimana perlu. Halini dilakukan untuk menjaga agar akses hanya diberikan kepada orang yangberhak, dimana persetujuan untuk menambahkan atau mengubah accesscontrol adalah atas persetujuan pemilik.

• Data rangkuman dan pelaporan - diproteksi dengan password dan accesscontrol direktori dan file system (right access)Setiap akhir hari, aplikasi data entry akan menghasilkan laporan detailtransaksi yang dituangkan ke dalam file spreadsheet. File berisi rangkumantersebut akan dikirimkan kepada bagian administrasi untuk pengolahan lebihlanjut. File hasil rangkuman transaksi dan laporan-laporan yang dibuatberdasarkan data tersebut menjadi milik bagian administrasi. Selainrangkuman transaksi harian, bagian administrasi juga memiliki data sensitiflainnya seperti data gaji harian dan bulanan.

Hanya staf bagian administrasi saja yang berhak mengakses file-file tersebut -hal ini diatur dengan memanfaatkan fasilitas access control dari produk LANyang dipakai untuk keperluan file sharing.

• Administrator memastikan bahwa semua user memakai fasilitas auto screenlock, sehingga apabila komputer idle dalam batas waktu tertentu, data yangkebetulan terlihat di layar tidak dapat dilihat atau dimanipulasikan oleh orangyang tidak berhak.

14


II.2. Telecommunication and Network SecurityResiko:Kerusakan fisik infrastruktur jaringan LAN (Cabling, ports, UPS dll. )

Tujuan:Resiko ini dapat dieliminasi dengan mempersiapkan program maintenance secaraterjadwal untuk memeriksa kondisi fisik infrastruktur secara periodik.

Penerapan:Secara periodik pemilik akan melakukan pemeriksaan fisik terhadap infrastrukturjaringan dengan memanfaatkan tenaga kontrak dari luar bengkel. Apabila terjadikegagalan jaringan akibat kerusakan fisik, maka telah disiapkan suatu prosedurdarurat dimana pada akhir hari, file spreadsheet yang berisi rincian transaksi haritersebut dapat ditransport ke bagian administrasi secara manual dengan disket atauthumb drive. Prosedur darurat ini akan berlaku sampai LAN dapat berfungsi normalkembali.

II.3. Security Management PracticesResiko:Ada sejumlah resiko yang dihadapi oleh bengkel terkait dengan berbagai ancamanyang mungkin terjadi seperti:

1. Kerusakan data (destruction)Kehilangan data-data transaksi atau data pelaporan yang dapat terjadi karenakelalaian manusia, bencana alam , kebakaran, kerusuhan, listrik mati atauserangan virus

2. Pencurian (theft/disclosure)Data transaksi atau rugi laba dapat dicuri untuk diakses oleh orang yangtidak berhak

3. Pengubahan (modification)Secara tidak sengaja mengubah nilai gaji dalam sistem penggajian pegawai

4. Penipuan (fraud)Mengubah nilai gaji dalam sistem penggajian pegawai secara tidak sah,mengubah data penjualan secara tidak sah.

Tujuan:Setiap resiko dari ancaman yang sudah diidentifikasikan di atas harus dapatdieliminasi atau diantisipasi dengan serangkaian prosedur yang baku untukmelindungi keamanan informasi.

Penerapan:Pertama kali, perlu diketahui asset apa saja yang dimiliki oleh bengkel. Asset dapatberupa asset tangible dan intangible.

15


Asset tangible(hardware dan ruangan)

Aset intangible(Software dan data)

• Komputer• Printer• Fax• Scanner

• Aplikasi data entry transaksi• Data dan informasi keuangan (rugi laba, GL)• Data personalia dan gaji• Data Work Order• Data Pembayaran Transaksi• Data asuransi• Data Katalog Onderdil & Aksesoris

Tabel 3. Identifikasi aset TI

Information Asset Valuation diperlihatkan dalam tabel berikut ini:

Data &infokeuangan

Datapersonaliadan gaji

DataWorkOrder

DataPembayaranTransaksi

DataAsuransi

DataKatalog

Confidentiality SangatRahasia

SangatRahasia

TidakRahasia Rahasia Tidak

RahasiaTidakRahasia

Integrity Akurat Akurat Akurat Akurat Akurat AkuratAvailability Penting Penting Penting Penting Penting Penting

Tabel 4. Tabel Information Asset Valuation

Preventive control/pencegahan• Semua komputer harus diinstall antivirus versi terakhir setiap hari.• Akses terhadap seluruh aplikasi ditentukan oleh administrator. Dalam hal ini

pemilik yang berkepentingan terhadap kinerja bengkel.• Setiap karyawan tidak boleh meninggalkan data confidential di tempat yang

mudah dijangkau oleh orang yang tidak berkepentingan selama dan setelahjam kerja.

• Penerapan screen lock untuk mencegah data terlihat oleh orang yang kebetulanlewat

• Business Continuity Plan.

Detective control /pendeteksianPengecekan ulang pada akhir hari oleh bagian administrasi pusat terhadap datatransaksi dan pendapatan harian

Corrective control / memperkecil dampak ancamanMelakukan prosedur backup secara berkala terhadap database dan file system.Kegiatan backup dilakukan oleh pemilik bengkel yang bertanggung jawab atasfungsionalitas SI/TI pada perusahaan.

16


II.4. Application & System Development SecurityResiko:Aplikasi data entry sederhana (stand alone) yang dikerjakan secara internalmengalami gangguan, memerlukan perubahan atau maintenance.

Tujuan:Resiko ini akan dieliminasi dengan menyediakan support untuk perubahan dankerusakan aplikasi data entry transaksi.

Penerapan:• Kegiatan bisnis PT Bengkel Jaya didukung oleh aplikasi database sederhana

yang digunakan untuk mencatat transaksi serta mencetak work order daninvoice. Aplikasi tersebut dikembangkan secara internal oleh pemilik. Saat inisemua masalah berkaitan dengan aplikasi tersebut diselesaikan oleh pemiliksebagai pengembang aplikasi sekaligus administrator.

• Seluruh dokumentasi berupa rancangan dan source code aplikasi databasedisimpan oleh pemilik dan digunakan sebagai referensi sewaktu-waktu supportdiperlukan.

• Dengan pertimbangan bahwa aplikasi tersebut cukup sederhana, dandiperkirakan tidak akan banyak perubahan fungsi dan struktur, makamanajemen perubahan software tidak diterapkan secara kaku. Perubahan, bilaada akan dikerjakan dan dites oleh pemilik dalam environment terpisahsebelum diaplikasikan ke sistem yang operasional

• Untuk keperluan pelaporan, Staf Administrasi, Kepala Cabang dan DirekturUtama hanya mengandalkan paket OpenOffice.

II.5. CryptographyResiko:Penyadapan data sensitif perusahaan oleh pihak yang tidak berhak.

Tujuan:Resiko penyadapan data yang tidak disandikan dianggap sebagai resiko yang dapatdiabaikan mengingat data tidak ditransmisikan keluar perusahaan.

Penerapan:• Berdasarkan kebutuhan saat ini, belum diterapkan teknik kriptografi apapun

untuk data perusahaan - baik untuk data transaksi dan data pelaporan.Kriptografi hanya digunakan untuk menyimpan password, sesuai denganfasilitas standard yang diberikan oleh operating system dan program aplikasidata entry.

17


• Apabila ada penyadapan oleh pihak yang tidak berhak yang dimungkinkanoleh lokasi fisik ruang komputer dan penyalahgunaan akses atau password,akan diantisipasi pada bagian Physical Security dan Access Control.

II.6. Security Architecture & ModelResiko:

o Staf pegawai yang memiliki literasi komputer rendah. Hanya sebagian kecilpegawai yang menggunakan komputer dan terbatas pada pekerjaan rutinadministratif.

o Informasi sensitif yang tidak boleh disebarluaskan kepada seluruh pegawai,seperti gaji, jumlah pendapatan bengkel, dan catatan pemasukan/pengeluaranbengkel.

o Sistem operasi pada komputer yang mendukung pembatasan akses denganfasilitas password.

o Aplikasi transaksi pembayaran beresiko memiliki back door.

Tujuan:o Membuat kebijakan keamanan SI/TI yang sederhana dan mudah dipahami,

dan tidak terasa menyulitkan oleh pegawai bengkel.o Membatasi proteksi keamanan SI/TI pada tingkat yang mampu dikelola

(managable). Sehingga resiko seperti back door pada aplikasi akan tetapterbuka karena tidak tertangani dengan sumber daya yang ada.

o Kendali keamanan SI/TI mengikuti kebijakan pada aspek lainnya (sepertikepegawaian dan keuangan) yang terpusat pada pemilik. Sehingga kebijakankeamanan tidak dianggap terpisah dari kebijakan lainnya.

Penerapan:o Proteksi keamanan SI/TI pada bengkel ini disesuaikan dengan porsi aktivitas

utama dan pendukung dalam perusahaan. Dengan kata lain alokasi biayakeamanan SI/TI tidak boleh membebani kas perusahaan karena hanya menjadiaktivitas pendukung yang tidak menyumbang pendapatan.

o Dengan penggunaan SI/TI yang cukup rendah, proteksi keamanan bisadilakukan pada sisi manusia dengan kendali operasi & fisik. Pada sisikomputer dengan login sistem operasi & aplikasi serta filesystem. Aspeklainnya yaitu jaringan, tabel database tidak dilakukan proteksi karenaketerbatasan waktu dan SDM.

o Proteksi pada komputer dilakukan dengan membatasi akses hanya padapegawai yang berwenang. Pegawai yang berwenang diberi kata kunci(password) untuk mengakses komputer dan aplikasi transaksi pembayaran.

o Untuk proteksi secara operasional dan fisik akan dijelaskan pada bagiansetelah ini.

o Security model yang diterapkan pada pengamanan SI/TI bengkel mengadopsiAccess Matrix Model. Karena model ini cukup sederhana untuk mengaturpembatasan akses baca/tulis dari pegawai yang menggunakan komputer kesumber daya TI yang ada. Penjelasan lebih rinci mengenai Access Matrixterdapat pada bagian Access Control di atas.

18


o Dengan posisi TI sebagai pendukung non-primer sehingga bisnis tidakbergantung dengan TI, maka sertifikasi atau akreditasi keamanan SI/TI tidakdilakukan. Karena kepercayaan pelanggan tidak tergantung oleh tingkatkeamanan TI bengkel. Oleh karena itu pula pemilihan sistem terbuka dantertutup lebih didasarkan pada kemudahan penggunaan. Sistem mana yanglebih mudah digunakan.

II.7. Operations securityResiko:

o Pegawai yang ‘kurang kerjaan’ dan ‘kreatif’ untuk mengakses informasi laindi luar cakupan pekerjaannya.

o Petugas administrasi dihalangi dalam menjalankan tugasnya.

Tujuan:o Memberi penugasan kepada pegawai yang efektif, memberikan insentif dan

sanksi atas kedisiplinan pegawai.

Penerapan:o Pemilik bengkel menggunakan kharismanya untuk menjaga keeratan

hubungan dengan pegawai. Pemilik berusaha memberi pemahaman bahwa diatidak akan merugikan pegawainya dan mengharapkan hal yang sama daripegawainya. Pemilik telah berbaik hati untuk memberikan pekerjaan bagipegawai, maka sepantasnya pegawai tidak melakukan hal yang merugikanperusahaan. Karena semua pihak akan mengalami dampak kerugian tersebut.Sehingga pegawai akan melaksanakan pekerjaan sebaik-baiknya. Hal inisebagai tindakan preventif.

o Pemilik bengkel harus jeli untuk menilai kinerja pegawai. Mungkin dapatmeminta bantuan pada pemimpin informal pegawai (seseorang yang dituakan)untuk mengidentifikasi hal tersebut. Pemilik bengkel menjalankan tindakan inisecara intuitif ketimbang sistematis agar lebih efektif. Hal ini sebagai tindakandetektif.

o Pemilik menerapkan disiplin kepada pegawai atas pekerjaan mereka denganpendekatan pribadi untuk menjaga keeratan hubungan internal. Sanksi yangditerapkan dapat disetujui dan dipahami oleh semua pihak. Hal ini sebagaitindakan korektif.

II.8. Disaster recovery & BCPResiko:

o Aliran listrik padam. Pasokan listrik dari PLN tidak bisa diandalkan 100%untuk tersedia selama bengkel beroperasi. Apalagi jika terjadi hal daruratseperti perbaikan gardu listrik yang tidak bisa ditolak pelanggan PLN.

o Banjir. Lokasi bengkel terletak di kawasan yang rawan banjir. Bangunanbengkel telah ditinggikan 1 meter agar tidak tergenang oleh banjir rutin.

19


o Kebakaran. Bisnis bengkel beresiko tinggi untuk mengalami kebakaran. Izinusaha dari pemerintah telah mensyaratkan kelengkapan pemadam kebakaranuntuk meminimalisasi resiko tersebut.

Tujuan:o Penanggulangan bencana terhadap aset TI mengikuti kebijakan bengkel secara

umum yang memprioritaskan penyelamatan manusia dan aset fisik berupaperalatan dan bangunan bengkel.

o Kelanjutan aktivitas perusahaan pada saat bencana tergantung klasifikasibencana dan kelayakan lokasi bengkel.

Penerapan:o Untuk gangguan bencana, bengkel memprioritaskan keselamatan orang, aset

pelanggan, peralatan utama, dan bangunan bengkel. Aset TI tidak diberikanfasilitas khusus untuk penyelamatan, meskipun penyimpanan arsip mendapatprioritas untuk disimpan dalam fasilitas khusus.

o Gangguan listrik lebih berpengaruh kepada kegiatan bengkel yang utama,seperti cuci mobil, reparasi, dan pemeliharaan. Sehingga aset TI tetap rentanterhadap gangguan listrik karena tidak mengganggu operasional bengkel. Jikalistrik terganggu dan komputer tidak bisa digunakan, maka bengkel beralih kesistem manual dengan kertas. Dengan demikian bisnis tetap berjalan sepertisemula.

o Dalam hal gangguan bencana banjir atau genangan, proteksi terhadap aset TIdiperlakukan sama halnya dengan inventaris bengkel yang lain. Apabila terjadigenangan atau bencana banjir, maka aset TI dijauhkan dari lokasi genangan.Misalnya CPU yang asalnya berada di bawah meja dipindahkan ke atas meja.Apabila kegiatan bengkel tidak terganggu dengan bencana banjir, makabengkel beralih ke sistem manual dengan kertas.

o Dalam hal gangguan kebakaran, proteksi terhadap aset TI juga diperlakukanseperti inventaris bengkel lainnya. Apabila terjadi kebakaran, maka aset TItersebut dijauhkan dari lokasi kebakaran.

o Apabila bencana yang dialami bengkel dikategorikan kecil, maka aktivitasbengkel dapat dilanjutkan. Apabila bencananya dikategorikan berat sehinggalokasi bengkel tidak dapat digunakan, maka aktivitas bengkel dihentikansementara. Sementara kegiatan administratif perusahaan seperti pengurusanpajak berpindah ke rumah pemilik bengkel.

o Apabila kegiatan perusahaan berpindah ke lokasi lain, maka inventarisbengkel yang mudah dipindahkan akan dititipkan ke rumah pemilik. Terutamaperalatan di bagian administrasi seperti komputer dan printer.

II.9. Laws, ethics & investigationResiko:

o Melanggar undang-undang mengenai hak cipta akibat penggunaan softwaretak berlisensi.

20


o Pencurian informasi secara elektronik. Misalnya menduplikasi data gaji dantransaksi keuangan bengkel tanpa seizin dan diketahui oleh pemilik bengkel.

Tujuan:• Mengurangi resiko pelanggaran undang-undang tentang hak cipta.

Penerapan:• Menggunakan software yang berlisensi. Sistem operasi diusahakan sudah

terpasang dari pabrik dengan lisensi OEM. Sedangkan paket aplikasi dicariyang berharga lisensi murah. Format data elektronik harus menggunakanformat yang universal, seperti format CSV, dan MS Excel yang bisa terbacaoleh kebanyakan aplikasi spreadsheet.

• Menghindari pembelian sistem operasi secara terpisah dari pembeliankomputer untuk menghemat biaya.

• Pemilik bengkel akan menganalisisi peristiwa pencurian informasi secaraelektronik untuk mencari celah keamanannya. Kemudian perusahaan akanmengubah kegiatannya yang memiliki celah keamanan tersebut agar kejadianyang sama tidak terulang lagi di masa mendatang. Perusahaan tidak bisamenggunakan cara yang sesuai dengan hukum karena biaya dan upayanyayang terlalu mahal.

II.10. Physical securityResiko:

• Pihak yang tidak berwenang dapat mengakses data rahasia perusahaan yangtersimpan di bagian Administrasi.

• Aset perangkat TI beresiko dicuri oleh pihak internal maupun eksternal.• Notebook pemilik beresiko tinggi dicuri.• Pegawai bengkel yang tidak menjaga aset dengan baik, misalnya dengan

menukar mouse atau keyboard milik perusahaan.• Komputer cepat rusak karena terkena oli, air atau bahan lain yang bersifat

merusak. Misalnya penggunanya sering memegang oli.

Tujuan:Mengurangi resiko kerugian secara nominal.

Penerapan:• Ruangan administrasi diakses secara terbatas. Hanya petugas administrasi dan

pemilik yang boleh memasuki ruangan tersebut. Ketika pembayaran gajipegawai, petugas administrasi melayani dari dalam ruangan melalui loket.Kunci hanya dipegang oleh petugas administrasi dan pemilik.

• Ruang kerja pemilik dibatasi aksesnya untuk pemilik. Pegawai yangmenghadap pemilik harus dilakukan ketika pemilik bengkel berada dalamruangan.

• Ruangan administrasi dan ruang kerja pemilik menggunakan pintu kacadengan bingkai besi untuk mempersulit pendobrakan pintu dan menggunakantembok semen. Pintu kaca dengan bingkai besi relatif lebih sulit dicongkelketimbang pintu kayu. Pendobrakan terhadap pintu kaca tersebut akan

21


menimbulkan suara yang lebih keras sehingga lebih memudahkan petugassecurity untuk melakukan pengawasan.

• Pembersihan ruangan dilakukan ketika petugas administrasi atau pemilikberada di dalam ruangan.

• Komputer PC yang digunakan pegawai terletak di tempat yang sulit terjangkaudari luar ruangan. Misalnya CPU diletakkan di bawah meja. Kabel mouse dankeyboard diikat menjadi satu agar tidak mudah dilepas.

• Notebook pemilik menggunakan kunci/rantai pengunci notebook yangdipasang ke meja. Sehingga sedikit menyulitkan pencurian, karena notebooktergandeng dengan meja.

• Komputer PC milik perusahaan terletak pada ruangan yang bersih, jauh darigudang onderdil, penyimpanan oli, tempat cuci mobil, dan kamar mandi.Setelah selesai dipakai, komputer dilindungi dengan selimut komputer untukmenghindari debu. Keyboard PC menggunakan pelindung plastik agar tidakmudah kotor.

• Ruangan tempat menyimpan komputer dan barang berharga dilindungi denganteralis atau pintu besi geser.

• Pintu masuk ke ruangan administrasi dan ruang kerja pemilik bengkel mudahterlihat oleh petugas security. Lokasi pintu dapat terlihat langsung olehpetugas security dari posnya yang berada di luar ketika bengkel masih buka.Ketika bengkel tutup, petugas security membagi tugas untuk berjaga di luarbengkel dan di dalam bengkel.

• Pihak eksternal seperti pelanggan, pemasok, dan petugas dari perusahaanasuransi harus didampingi oleh petugas security ketika akan menemui petugasadministrasi. Petugas security akan kembali ke posnya apabila petugasadministrasi mengkonfirmasi bahwa orang tersebut memang berurusandengannya.

• Petugas security dapat mengawasi kondisi front office agar dapat bergerakcepat untuk melakukan tindakan korektif pada kejadian yang tidak diinginkan.

II.11. Auditing & AssuranceResiko:Kebocoran keamanan SI/TI yang tidak teridentifikasi dan merugikan perusahaan.

Tujuan:o Memeriksa apakah perintah dari pemilik bengkel telah dilaksanakan dengan

baik oleh pegawai.o Mengurangi kerugian perusahaan.

Penerapan:o Audit terhadap keamanan SI/TI dilakukan oleh pemilik bengkel sendiri.

Karena pemilik bengkel lebih menguasai SI/TI yang diterapkan dalamperusahaan dan sebagai penanggung resiko kerugian. Sehingga audit inidilakukan untuk memeriksa apakah pegawai telah melaksanakan kebijakankeamanan SI/TI yang telah diperintahkan.

22


o Apabila ditemukan pegawai yang tidak melaksanakan kebijakan keamananSI/TI dengan baik, maka pemilik bengkel akan memberikan sanksi padapegawai yang bersangkutan.

o Audit terhadap keamanan SI/TI tidak dilakukan oleh pihak ketiga untukpenghematan biaya dan waktu.

23


III. KesimpulanPenggunaan SI/TI dalam perusahaan bengkel ini bersifat pendukung dalam aktivitasperusahaan. Investasi perusahaan diprioritaskan pada peralatan dan kelengkapanbengkel, dan penggajian pegawai. Fungsi TI digunakan untuk memudahkan prosesadministrasi dan penyimpanan data. Sehingga aset TI diperlakukan sebagai inventariskantor seperi layaknya mesin faksimili untuk kegiatan perusahaan yang rutin(clerical). Dengan pembatasan fungsionalitas tersebut, maka keamanan dan proteksiSI/TI tidak menjadi prioritas tinggi dalam perusahaan.

Peningkatan fungsi TI dalam perusahaan belum tentu menjamin peningkatan layanankepada pelanggan. Karena optimalisasi fungsi TI baru menghasilkan data yang lebihrapi yang berdampak secara terbatas pada kalangan internal perusahaan. Sehinggaperusahaan sebaiknya berkonsentrasi untuk meningkatkan layanan pelanggan denganmenambah peralatan bengkel dan perluasan fasilitas agar dapat melayani pelangganlebih banyak dan dalam waktu lebih cepat.

Apabila kondisi finansial cukup memadai dan pasarnya menjanjikan, perusahaandapat memberikan layanan nilai tambah bagi pelanggan dengan mendirikan warunginternet. Sehingga pelanggan dapat memanfaatkannya selama menunggu pengerjaanmobilnya dan tagihannya dibayarkan sekaligus pada saat mobil selesai dikerjakan.Layanan internet ini sebaiknya tidak diperuntukkan bagi pegawai karena cenderungkurang produktif. Dengan demikian, perusahaan tidak perlu khawatir bahwapenggunaan internet menjadi suatu cost center karena biayanya akan ditagihkankepada pelanggan.

24


IV. Daftar Istilah

Lembar Pelayanan Mobil. Formulir dari bengkel yang berisi informasi tentangidentitas mobil yang akan dilayani (nama pemilik, nomor polisi, jenis,merek, dan tahun pembuatan), layanan bengkel yang diminta pelanggan(reparasi, pemeliharaan, body repair, atau cuci mobil) dan catatan lain sepertijenis oli pilihan atau setelan khusus yang diinginkan.

PO. Singkatan dari Purchase Order, merupakan formulir pemesanan barang.

Tugas Kuliah Penerapan Kebijakan Proteksi dan Keamanan SI ... · PT Bengkel Mobil Jaya termasuk...

Documents

Transcript of Tugas Kuliah Penerapan Kebijakan Proteksi dan Keamanan SI ... · PT Bengkel Mobil Jaya termasuk...