PENGUJIAN TERHADAP SISTEM KEAMANAN

TRANSAKSI BERBASIS SOFTWARE AS

SERVICE (SaaS) MENGGUNAKAN
FRAMEWORK NIST SP800-53A
(STUDI KASUS PADA PT. X, DI BANDUNG)

Nanang Sasongko

Agenda
Latar Belakang & Profil PT X
Sekilas SaaS & Cloud System
Identifikasi Masalah
Tujuan & Batasan
Objek Penelitian
Standard NIST ( SP800-53A)
Metodologi Pengamanan & Pengujian berbasis
NIST
Proses Pengujian berbasis NIST SP800-53A
Simpulan

Nanang Sasongko

Pendahuluan
Berdasarkan informasi yang diperoleh dari
SDA ASIA dalam kurun waktu lima tahun ke
depan, pasar analisa bisnis software-as-a
service (SaaS), dikenal pula dengan istilah
cloud system akan tumbuh tiga kali lipat
hingga 2013. Menurut IDC, pasar SaaS di
Asia Pasifik tahun ini meningkat cukup
signifikan.
PT X sebagai penyedia jasa yang berbasis
pada software as a service.
Nanang Sasongko

Tujuan
Tujuan penelitin ini adalah menguji
masalah keamanan data pelanggan,
disebabkan karena adanya kekhawatiran
gangguan server atau koneksi
mengalami gangguan jaringan dan
kemanan data, yang merupakan salah
satu hal yang perlu menjadi perhatian
dalam menerapkan bisnis berbasis
konsep software as a service(SaaS)
Nanang Sasongko

Profil Perusahaan
PT. X mengembangkan bisnisnya sebagai penyedia
jasa yang berbasis pada software as a service.
Dalam software as a service, seluruh bisnis proses
dan data pelanggan ditempatkan di sebuah server
data centre milik service provider.
Semua proses dikelola oleh penyedia layanan,
pelanggan dapat menggunakan dan membayar jasa
sewanya setiap bulan sesuai dengan pemakaian.
Sistem software as a service bagi perusahaan dapat
menghemat pengeluaran biaya belanja TI.
Nanang Sasongko

Segmentasi jaringan dilakukan pada jaringan PT.X.

Firewall yang dipasang di PT. X membagi ke dalam 4
segmen, yang terdiri dari segmen-segmen :
1. Internal network, merupakan jaringan internal dari PT.X yang berisi
komputer-komputer dari staf PT.X.
2. Eksternal network, merupakan jaringan eksternal dari PT.X yang
terhubung dengan jaringan publik atau internet.
3. DMZ (Demilitary Zone), merupakan jaringan yang berisi serverserver yang disediakan agar pengguna jaringan publik dapat
mengakses layanan yang disediakan oleh PT.X. Salah satu layanan
tersebut adalah berupa aplikasi perhotelan dan restoran yang
merupakan aplikasi berbasis web dan dapat diakses oleh para
pelanggan melalui internet.
4. Server farm, merupakan wilayah jaringan yang berisi server-server
internal PT.X, seperti mail server, database server. Server-server ini
tidak dapat diakses secara langsung melalui wilayah eksternal.
Nanang Sasongko

Cloud Computing
Merupakan sebuah sistem yang
mengijinkan kita untuk mengakses semua
aplikasi dan dokumen dari manapun
membuatnya lebih mudah bagi anggota
kelompok yang berada dilokasi berbeda
untuk berkolaborasi. (Miller, 2009:12)

12

Nanang Sasongko

Jenis Layanan Cloud Computing

SaaS (Software as a Service)
Aplikasi & Infrastruktur
disediakan oleh provider.
PaaS (Platform as a service)
Aplikasi dibuat oleh client tetapi
di deploy ke sebuah cloud
system.
IaaS (Infrastructure as a
Service) Penyewaan
infrastuktur jaringan (storage,
server dsb)
13

Nanang Sasongko

Cloud Computing

Merupakan sebuah sistem

yang mengijinkan kita
untuk mengakses semua
aplikasi dan dokumen dari
manapun membuatnya
lebih mudah bagi anggota
kelompok yang berada
dilokasi berbeda untuk
berkolaborasi.
(Miller, 2009:12)

Nanang Sasongko

Framework NIST SP800-53A

NIST (National Institute Standards Technology)
merupakan salah satu lembaga pemerintahan
Amerika Serikat yang bekerja sama dengan
badan-badan federal lainnya untuk
meningkatkan pemahaman terhadap
pelaksanaan FISMA (Federal Information
Security Management Act) dalam melindungi
informasi dan sistem informasi serta menerbitkan
standar dan pedoman yang memberikan dasar
untuk program keamanan informasi yang kuat.
16

Nanang Sasongko

NIST (National Institute Standards

Technology)
NIST mengeluarkan dokumen SP800-53
(Special Publication)untuk memberikan
pedoman dalam pengelolaan kontrol
keamanan terhadap sistem informasi
federal maupun organisasi lainnya.
Rekomendasi SP800-53 dibagi ke dalam
3 kelas kontrol,
18 bagian (family)

17

Nanang Sasongko

3 Kelas Kontrol
Rekomendasi SP800-53 dibagi ke dalam
3 kelompok kontrol :
Operational Control mekanisme yang
diterapkan
Management Control manajemen SI &
resiko
Technical Control kontrol keamanan yg
diterapkan

18

Nanang Sasongko

18 Bagian (family)
Technical

Operational

Management

1
2

Access Control
Audit and Accountability

Identification and Authentication

System and Communications Protection

5
6

Awareness and Training

Configuration Management

Contingency Planning

System and Information Integrity Operational

Incident Response

10

Maintenance

11

Media Protection

12

Physical and Environmental Protection

13

Personnel Security

14
15

Security Assessment and Authorization Management

Program Management

16

Planning Management

17

Risk Assessment Management

19

Nanang Sasongko

NIST ( National Institute of Standards and Technology )

NIST bertanggung jawab

untuk mengembangkan
standar-standar dan
panduan, termasuk
persyaratan minimum,
yang menyediakan
keamanan informasi
yang cukup untuk semua
kegiatan lembagalembaga di US.

Nanang Sasongko

NIST SP800-53 & SP800-53A

SP800
53

SP800
53A

Pedoman dalam
pengelolaan kontrol
keamanan sistem
informasi.

Pedoman dalam
pengujian terhadap
pengelolaan kontrol
keamanan sistem
informasi.
Nanang Sasongko

 Dalam penyediaan
sistem layanan cloud
computing memiliki
beberapa problema
dasar berkaitan
dengan :
Data availability
Security & Privacy
Integrity,
Confidentiality
22

Metode Penelitian
Dalam melakukan pengujian terhadap
mekanisme sistem pengamanan yang
diterapkan PT.X, penulis menggunakan
standard NIST SP800-53A. Prosedur
pengujian berdasarkan standard NIST
SP800-53A, terdiri dari beberapa tahapan
sebagai berikut :

Nanang Sasongko

Tahapan ...
1. Persiapan untuk melakukan penilaian mekanisme
pengamanan,
2. Membuat perencanaan terhadap kegiatan penilaian
keamanan, dalam tahapan ini :
Jenis penilaian kontrol keamanan
Menentukan kontrol keamanan / perangkat kontrol
tambahan yang harus dimasukkan dalam penilaian
berdasarkan security plan dan tujuan / lingkup
penilaian.
Memilih, menyesuaikan dan mengembangkan
prosedur penilaian yang digunakan selama
penilaian.
Nanang Sasongko

Lanjutan...
Melakukan penilaian terhadap sistem pengamanan,
Puas (Satisfied (S)), yang mengindikasikan bahwa
tujuan kontrol keamanan telah dipenuhi.
Selain puas (Other than satisfied (O)), menunjukkan
bahwa kontrol keamanan memiliki potensi anomali
dalam operasional organisasi atau pelaksanaan
kontrol perlu ditangani oleh organisasi.
Mendokumentasikan hasil penilaian dalam bentuk
laporan penilaian.
Melakukan analisa terhadap hasil laporan penilaian
sistem pengamanan, berdasarkan indikator dari selain
puas other than satisfied) dan puas (satisfied),
Nanang Sasongko

Proses penilaian dilakukan melalui tahapan-tahapan berikut :

Proses penilaian dilakukan melalui tahapan-tahapan berikut :

1. Mengkategorisasi Sistem Informasi,

2. Menentukan baseline kontrol keamanan,
3. Penerapan kontrol keamanan terhadap
sistem informasi
4. Melakukan penilaian kontrol keamanan
dengan menggunakan prosedur penilaian
yang tepat
Nanang Sasongko

Potensi Impact
Potensi
Dampak
Low

Moderate

High

Deskripsi
Hilangnya kerahasiaan, integritas, atau
ketersediaan menyebabkan
dampak buruk yang membatasi kegiatan
operasional & aset organisasi atau individu.
Hilangnya kerahasiaan, integritas, atau
ketersediaan memiliki efek samping yang
serius pada kegiatan operasional & aset
organisasi atau individu.
Hilangnya kerahasiaan, integritas, atau
ketersediaan dapat memiliki dampak buruk
yang parah atau bencana pada kegiatan
operasional & aset organisasi atau individu.
Nanang Sasongko

Hasil Pengujian
Pada objek penelitian kelas operational
controls, jumlah perolehan satisfy lebih banyak
dari other satisfy,ini artinya opertion control
sudah baik.
Pada management controls, jumlah perolehan
satisfy lebih sedikit dari other satisfy,ini artinya
opertion control sudah belum baik.
Dan pada technical controls jumlah perolehan
satisfy hampir sama banyak dari other satisfy,ini
artinya opertion control tidak terlalu baik.
Nanang Sasongko

Simpulan
1. Pengujian kontrol keamanan yang menggunakan framework NIST
SP800-53A sangat mengutamakan pemeriksaan terhadap
ketersediaan dokumentasi.
2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT.
PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol
keamanan yang perlu ditingkatkan.
3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST
SP800-53A terhadap aspek teknikal dan operasional sistem informasi
hotel sudah memperoleh status satisfied tetapi masih terdapat
beberapa hal yang perlu diperbaiki atau ditingkatkan.
Pengujian terhadap aspek manajemen sistem informasi hotel
memperoleh status other than satisfied, sehingga masih banyak hal
yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya.
Nanang Sasongko

NANANG SASONGKO
Kepala Pusat Studi Ekonomi
Dosen Jurusan Akuntansi Fakultas Ekonomi
Universitas Jenderal Achmad Yani (UNJANI)
BANDUNG
Mobile : 081 320 310 160
E-Mail

: nanangs@bdg.centrin.net.id

Nanang Sasongko