STANDARD OPERATING PROCEDURE (SOP) KEAMANAN DATABASE

(STUDI KASUS PERUSAHAAN XYZ)

Universitas Gunadarma
2014
 DAFTAR ISI

Halaman

Halaman Judul .......................................................................................................... i

Daftar Isi ................................................................................................................... ii
PENDAHULUAN .................................................................................................... 1
Latar Belakang .......................................................................................................... 1
Rumusan Masalah…………………… ..................................................................... 2
State of The Art ......................................................................................................... 2
Tujuan Penulisan ……………………… .................................................................. 2
Sistematika Penulisan Makalah ………………………………………….……… 2
METODOLOGI……………………… .................................................................... 2
Hasil Analisa ............................................................................................................. 3
Analisa Kerawanan ................................................................................................... 3
Analisa Ancaman…………………………… .......................................................... 3
Analisa Resiko .......................................................................................................... 4
Analisa Keamanan .................................................................................................... 4
Simpulan ................................................................................................................... 7
DAFTAR PUSTAKA ............................................................................................... 8
 STANDARD OPERATING PROCEDURE (SOP) KEAMANAN DATABASE
(STUDI KASUS PERUSAHAAN XYZ)

Syarifah Azharina Syafrudin

s_azharina@staff.gunadarma.ac.id

Abstraks
Dewasa ini peranan sistem informasi dalam perusahaan tidak dapat diragukan lagi.
Dukungannya dapat membuat sebuah perusahaan memiliki keunggulan kompetitif. Sumber
daya tersebut memerlukan perhatian khusus, karena semakin tinggi tingkat kebutuhan
perusahaan tersebut semakin tinggi pula proteksi keamanan yang harus diberikan agar
kelangsungan hidup perusahaan tetap terjaga. Untuk meningkatkan pemahaman mengenai
standard operating procedure keamanan suatu sistem informasi terutama database melalui
pengalaman langsung dengan melakukan analisis keamanan sistem informasi berdasarkan
beberapa domain keamanan. Penelitian ini menilai dari sudut pandang faktor efektivitas
sistem keamanan basis data dengan indikator keakurasian dan kelengkapan sistem dalam
memenuhi kebutuhan pengguna.

Kata kunci : Database, Kemanan Komputer, SOP

I. PENDAHULUAN Kebutuhan perusahaan bagi peningkatan

efisiensi dibebankan pada sumber daya
I.1. Latar Belakang teknologi informasi. Sumber daya tersebut
memerlukan perhatian khusus, karena
Keamanan merupakan hal krusial pada
semakin tinggi tingkat kebutuhan
bidang teknologi komputer, namun juga
perusahaan tersebut semakin tinggi pula
hal tersebut berdampak pada beberapa
proteksi keamanan yang harus diberikan
organisasi ataupun perusahaan pada
agar kelangsungan hidup perusahaan tetap
khususnya yang telah menggunakan
terjaga. Proteksi keamanan sistem
jaringan komputer. Organisasi dan
informasi khususnya keamanan database
perusahaaan tersebut membutuhkan jasa
pada perusahaan, dalam hal ini database
dari pihak berkemampuan tertentu dalam
Perusahaan XYZ Jakarta memerlukan
bidang kemanan jaringan komputer untuk
perhatian khusus, sehingga diperlukan
membantu menjaga sumber daya
Standard Operating Procedure (SOP)
perusahaan agar tetap berjalan dan
yang jelas.
sanggup melakukan kompetisi. Di saat ini
kebutuhan dan perminataan yang besar
ditempatkan pada keamanan komputer
sebagai bagian kesatuan bagi kesuksesan 1.3. State of The Art
sebuah perusahaan.
Sistem informasi saat ini merupakan
sistem informasi berbasis teknologi, yang
I.2. Rumusan Masalah berdasar pada media software dan
hardware, paperless dan optimalisasi
database. Penyediaan informasi berbasis 3.5. Operations Security
IT membutuhkan sumber daya software 3.6. Pengembangan Aplikasi dan
dan hardware yang baik, jaringan antar Sistem
departemen (fakultas) sebagai sarana 3.7. Disaster Recovery, pada
pertukaran informasi yang simultan, bagian ini akan dibahas
bandwidth yang memadai dan kemampuan tentang prosedur dalam
proteksi data yang tercakup didalamnya. Disaster Recovery
Baik dari kemungkinan kerusakan, akses 3.8. Physical Security, pada bagian
oleh pihak-pihak yang tidak berwenang, ini akan membahas tentang
maupun kendala human error dan disaster domain pengamanan fisik
recovery. (physical security) mencakup
unsur-unsur di sekitar
1.4. Tujuan Penulisan lingkungan fisik dan
mendukung infrastruktur yang
Untuk meningkatkan pemahaman
mempengaruhi confidentiality,
mengenai standard operating procedure
integrity dan availability
keamanan suatu sistem informasi terutama
sebuah sistem informasi.
database melalui pengalaman langsung
3.9. Audit Sistem Informasi
dengan melakukan analisis keamanan
4. Kesimpulan dan saran dari
sistem informasi berdasarkan beberapa
penulisan makalah
domain keamanan.
5. Daftar Pustaka
1.5.Sistematika Penulisan Makalah
Sistematika penulisan makalah adalah : II. METODOLOGI
1. Pada bagian 1 akan dibahas tentang Dalam konsep manajemen keamanan,
latar belakang penulisan makalah terdapat 3 konsep, yaitu :
2. Profil perusahaan yang meliputi - Konfidensialitas (Confidentiality),
struktur organisasi, proses bisnis, integritas (Integrity) dan
visi dan misi. availabilitas (availability)
3. Bagian 3 akan membahas pokok - Identifikasi, autentifikasi,
utama dari penulisan makalah yaitu akuntabilitas, autorisasi dan privasi
SOP keamanan database yang - Objek kontrol keamanan ( objective
meliputi : of security controls ).
3.1. Manajemen Keamanan yang
meliputi prosedur Konsep konfidensialitas adalah
penyimpanan dokumen dan menyangkut kerahasiaan dari suatu
manajemen risiko. informasi. Atau menjaga agar informasi
3.2. Sistem kontrol akses baik tidak diakses oleh orang-orang yang tidak
kontrol akses secara phisik, berhak. Konsep konfidensialitas
kontrol akses pada file dan diterapkan dengan pengklasifikasian
kontrol akses yang diterapkan informasi, penyimpanan dokumen dalam
pada aplikasi dan server lemari besi, pemberian hak akses pada
database. direktori file server dan kebijakan
3.3. Keamanan jaringan yang kemanan database lain yang akan
terdiri dari konfigurasi diterapkan.
jaringan, Authentication Konsep integritas memastikan agar
Database tentang user, modifikasi hanya dilakukan oleh orang
Gateaway, Attack yang memiliki hak akses dan bukannya
3.4. Cryptography Security dilakukan oleh pihak yang tidak berhak.
Architecture and Models
Konsep availabilitas memastikan agar
informasi yang terdapat didalam database
tersedia bila dibutuhkan. Atau availabilitas
menjamin bahwa database berjalan dengan
baik. Hal ini dilakukan dengan sistem
penyimpanan yang baik
II.1. Klasifikasi Informasi
Dalam pengklasifikasian dokumen
ini, dokumen meliputi dokumen
umum, internal umum, internal divisi,
dan rahasia
II.2. Penyimpanan Dokumen
Dari segi phisik dokumen, terdapat 2
jenis dokumen, yaitu
1. Dokumen berupa kertas
2. Dokumen berupa file
II.3. Prosedur Pengklasifikasian Dokumen
Elemen kunci dari pengklasifikasian
dokumen adalah sebagai berikut :
1. Pemilik
Pemilik dokumen adalah yayasan,
rektor dan wakil rektor. Seorang
pemilik dokumen berkewajiban
menentukan pengklasifikasian
informasi, merubah klasifikasi
informasi secara periodik,
memberikan hak akses kepada
orang/divisi lain dan
mendelegasikan kewenangan
kemananan dokumen kepada
kustodian.
2. Kustodian
Pemilik informasi mendelegasikan
tanggungjawab keamanan
dokumen pada kustodian dalam hal
ini karyawan pada divisi Teknologi
Informasi. Tugas dari kustodian
yaitu: melakukan backup secara
periodik, melakukan restorasi data
backup bila diperlukan dan
memelihara catatan-catatan
informasi kebijakan
pengklasifikasian
3. Pengguna
Pengguna adalah orang-orang yang
boleh membaca dokumen tersebut.
Kewajiban dari seorang pengguna
adalah mengikuti operasional
prosedur keamanan sistem
informasi.
Prosedur untuk pengklasifikasian dokumen
berupa kertas, adalah sebagai berikut:
1. Setiap pemilik dokumen
diwajibkan untuk menuliskan /
mengecap pada awal dokumen
mengenai klasifikasi dokumen (
umum, internal umum, internal
divisi atau rahasia).
2. Menuliskan / mengecap pada awal
dokumen tanggal penulisan atau
tanggal penerimaan dokumen
Prosedur untuk pengklasifikasian
dokumen berupa file, adalah sebagai
berikut:
1. Setiap dokumen / file yang dibuat,
diwajibkan untuk menuliskan hak
akses, tanggal dibuat dan
dimodifikasi, dan klasifikasi
informasi (umum, internal umum,
internal divisi atau rahasia).
2. Setiap divisi memiliki direktori
file. Dalam direktori file tersebut
terdapat direktori yang sesuai
dengan klasifikasi informasi
tersebut. Jadi terdapat direktori
umum, direktori internal umum,
direktori internal divisi dan
direktori rahasia. Setiap pemilik
dokumen diwajibkan meletakkan
file-file tersebut sesuai dengan
klasifikasi informasinya.
III. HASIL ANALISA
Manajemen risiko dimaksudkan untuk
mengurangi risiko hingga mencapai
sebuah tingkatan yang dapat diterima.
Didalam manajemen risiko ini akan
dilakukan Analisa risiko. Risiko adalah
potensial kerugian yang membutuhkan
proteksi. Untuk menganalisa risiko ini,
akan dianalisa kerawanan (vulnerability)
dan ancaman (threat) yang akan mungkin
terjadi.

Tujuan utama dari analisa risiko adalah
untuk menghitung dampak dari ancaman
potensial. Sedangkan ancaman potensial
yang paling rawan terjadi adalah masalah
yang berkaitan dengan tingkat keamanan
dalam sebuah akses jaringan komputer.
Informasi saat ini sudah menjadi sebuah
komoditi yang sangat penting.
“information-based society” adalah bentuk
hubungan sosial yang ada saat ini.
Kemampuan untuk mengakses dan
menyediakan informasi secara cepat dan
akurat menjadi sangat esensial bagi sebuah
organisasi, baik yang berupa organisasi
komersial (perusahaan), lembaga
pendidikan, lembaga pemerintahan,
maupun individual
Hal ini dimungkinkan dengan
perkembangan yang signifikan dan cepat
di bidang teknologi komputer dan
telekomunikasi. Penggunaan komputer
untuk menyimpan informasi yang sifatnya
classified baru dilakukan di sekitar tahun
1950-an. Sangat pentingnya nilai sebuah
informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses
oleh orang-orang tertentu.
Jatuhnya informasi ke pihak saingan,
dalam hal ini dunia bisnis dapat
menimbulkan banyak kerugian bagi
pemilik informasi awal. Sebagai contoh,
banyak informasi dalam sebuah
perusahaan yang hanya diperbolehkan
diketahui oleh orang-orang tertentu di
dalam perusahaan tersebut, seperti
misalnya informasi tentang produk yang
sedang dalam development,
algoritma-algoritma dan teknik-teknik
yang digunakan untuk menghasilkan
produk tersebut. Oleh disebabkan itu
keamanan dari dari sistem informasi yang
digunakan harus terjamin dalam batasan
tertentu.
Jaringan komputer, seperti LAN dan
Internet, memungkinkan untuk
menyediakan informasi secara cepat. Ini
salah satu alasan perusahaan atau
organisasi mulai berbondong-bondong
membuat LAN untuk system informasinya
dan menghubungkan LAN tersebut ke
Internet.
III.1. Analisa Kerawanan
Kerawanan adalah jalan yang
potensial untuk menyerang.
Kerawanan dapat terjadi karena
sistem komputer dan jaringan (sistem
terbuka sehingga dapat
memungkinkan diserang) atau dapat
pula karena prosedur administratif.
Kemungkinan-kemungkinan
kerawanan yang ada yaitu :
1.Lokasi bangunan. Bangunan 8.Pemakaian server secara bersama.
berada pada kompleks perkantoran. Dengan pemakaian server secara
Penjagaan dilakukan oleh satuan bersama, staff Teknologi Informasi
pengamanan kompleks haruslah selalu melakukan kontrol
2.Keamanan bangunan. Keamanan terhadap sistem secara keseluruhan
bangunan disini yaitu siapa saja dan prioritas hak yang diberikan
yang memegang kunci pintu. Yang pada masing-masing file.
boleh memegang pintu kunci
ruangan adalah setiap kepala
badan/biro/bagian yang III.2. Analisa Ancaman
bersangkutan. Satuan pengaman
Ancaman adalah sebuah tindakan atau
hanya memegang kunci pintu
kejadian yang memungkinkan tindakan
utama. Disini juga terpasang
yang melawan keamanan sistem informasi.
CCTV yang dapat mengamati
Ancaman-ancaman yang dapat terjadi :
ruangan pada tiap lantai. Rekaman
1.Virus
CCTV ini terdapat pada ruang
Hal ini diatasi dengan memberikan
server.
anti virus AVG free pada setiap PC
3.Pembagian ruangan setiap bagian
komputer. Setiap pengguna
Dengan adanya pembagian
komputer haruslah meng-update
ruangan, maka selain kunci yang
anti virus ini. Apabila memasukan
dipegang oleh kepala
disket, CD atau USB haruslah
badan/biro/bagian, juga hanya
men-scan-nya terlebih dahulu.
orang-orang tertentu yang boleh
2.Pegawai
masuk ke ruang tertentu. Seperti
Pegawai mempunyai akses
gudang hanya dapat dimasuki oleh
langsung ke sumber informasi
karyawan gudang, ruang keuangan
karena pekerjaannya. Tetapi
hanya boleh dimasuki oleh
adanya pegawai yang tidak puas,
karyawan keuangan, karyawan lain
dapat merusak sistem informasi
yang ingin berhubungan dengan
yang ada. Sehingga setiap pegawai
staf keuangan harus melalui loket
dapat dianggap sebagai ancaman
yang tersedia. Ruang server hanya
3.Mantan pegawai
boleh dimasuki oleh karyawan
Mantan pegawai mempunyai
divisi Teknologi Informasi.
pengetahuan mengenai seluk beluk
4.Meja karyawan yang
sistem informasi yang ada,
memungkinkan informasi tercecer.
sehingga hal ini patut diwaspadai
Meja karyawan diharuskan selalu
4.Hacker
bersih oleh dokumen-dokumen.
Hacker dapat datang dari luar
5.Lemari tempat penyimpanan
(internet) ataupun dari dalam. Dari
dokumen. Lemari tempat
luar dapat ditanggulangi dengan
penyimpanan dokumen harus
penempatan firewall.
selalu terkunci, dan tidak
5.Pesaing
ditinggalkan dalam keadaan tidak
Pesaing dapat saja mencoba untuk
terkunci
masuk dalam sistem informasi.
6.Pengklasifikasian dokumen .Setiap
6.Mahasiswa
dokumen haruslah diklasifikasikan
Mahasiswa yang datang juga dapat
agar menjamin integritas dan
dicurigai sebagai ancaman, karena
confidensialitas.
bila terdapat informasi yang
7.Hak akses. Diadakan aturan
tercecer dimeja, atau pada saat staff
terhadap hak akses bagi setiap
IT tidak berada ditempat,
karyawan.
mahasiswa dapat mencoba untuk
 masuk ke dalam sistem informasi.
Karena dalam sistem informasi
terdapat data-data nilai mahasiswa.
7.Tamu
Tamu terkadang ditempatkan di
dalam ruangan. Apabila tamu
tersebut tidak diawasi, dan terdapat
informasi yang tercecer, maka
informasi tersebut dapat diketahui
oleh tamu yang datang
8.Bencana alam
Bencana alam dapat merusak
bangunan dan penyimpanan
informasi yang ada.
9.Kecerobohan
Yang termasuk kecerobohan
seperti tertumpah air, berserakan,
jatuh tercecer dan lain-lain
III.3. Analisa Risiko
Risiko adalah kombinasi dari ancaman
(threat)dan kerawanan (vulnerability).
Risiko dapat diukur secara kuantitatif dan
kualitatif. Dengan pendekatan kuantitatif,
risiko diukur dengan pendekatan secara
finansial. Dengan pendekatan kualitatif,
pendekatan dilakukan dengan
menggunakan “scoring system”.
Dalam hasil analisa ini, kami melakukan
pendekatan kualitatif sebagai berikut:
1. Rendah
Posisi kerawanan cukup rendah
atau hal ini sangat jarang terjadi.
Tindakan untuk menghilangkan
kerawanan ini akan diambil bila
memungkinkan, tetapi faktor biaya
juga mendapat perhatian untuk
menghilangkan kerawanan ini.
2. Medium
Posisi kerawanan pada perusahaan
cukup tinggi terhadap
konfidensialitas, integrity,
availabilitas dan akuntanbiliatas
dari sistem informasi. Hal ini
sangat mungkin terjadi. Tindakan
untuk menghilangkan kerawanan
ini sangatlah dianjurkan
3. Tinggi
Posisi kerawanan pada perusahaan
sangat tinggi dan sangat
membahayakan terhadap
konfidensialitas, integritas,
availabilitas dan atau akuntabilitas
dari sistem informasi. Tindakan
untuk menghilangkan kerawanan
ini harus segera dilakukan.
III.4. Analisa Keamanan
Empat aspek keamanan komputer, yaitu
privacy, integrity, authentication, dan
availability. Selain keempat hal di atas,
masih ada dua aspek lain yang juga sering
dibahas dalam kaitannya dengan electronic
commerce, yaitu access control dan
non-repudiation.
Privacy / Confidentiality
Usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses. Privacy
lebih ke arah data-data yang sifatnya
rahasia, sedangkan confidentiality
berhubungan dengan data yang diberikan
ke pihak lain untuk keperluan khusus dan
hanya diperbolehkan untuk keperluan
tertentu tersebut.
 Contoh hal yang berhubungan
dengan privacy adalah e-mail
seorang pemakai (user) tidak boleh
dibaca oleh administrator.
 Contoh confidential information
adalah data-data yang sifatnya
pribadi (seperti nama, tempat
tanggal lahir, social security
number, agama, status perkawinan,
penyakit yang pernah diderita,
nomor kartu kredit, dan sebagainya)
merupakan data-data yang ingin
diproteksi penggunaan dan
penyebarannya.
Integrity
Aspek ini menekankan bahwa informasi
tidak boleh diubah tanpa seizin pemilik
informasi. Adanya virus, trojan horse, atau
pemakai lain yang mengubah informasi
tanpa izin merupakan contoh masalah yang
harus dihadapi.
Availability
Aspek availability atau ketersediaan
berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sistem
informasi yang diserang atau dijebol dapat
menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah
serangan yang sering disebut dengan
“denial of service attack” (DoS attack),
dimana server dikirimi permintaan
(biasanya palsu) yang bertubitubi atau
permintaan yang diluar perkiraan sehingga
tidak dapat melayani permintaan lain atau
bahkan sampai down, hang, crash.
Authentication
Aspek ini berhubungan dengan metoda
untuk menyatakan bahwa informasi
betul-betul oleh orang yang berhak.
Ada tiga hal yang dapat ditanyakan kepada
orang untuk menguji siapa dia:
• What you have (kartu Identitas)
• What you know (PIN atau
password)
• What you are (dicontohkan dengan
sidik jari atau sidik retina)
Penggunaan teknologi smart card,
saat ini kelihatannya dapat
meningkatkan keamanan aspek ini.
Secara umum, proteksi authentication
dapat menggunakan digital
certificates.
Authentication biasanya hanya
diarahkan kepada orang (user),
namun tidak pernah ditujukan kepada
server atau mesin.
Access Control
Aspek ini berhubungan dengan cara
pengaturan akses kepada informasi. Hal ini
biasanya berhubungan dengan klasifikasi
data (public, private, confidential, top
secret) & user (guest, admin, dsb.),
mekanisme authentication dan juga
privacy. Access control seringkali
dilakukan dengan menggunakan kombinasi
userid/password atau dengan menggunakan
mekanisme lain (seperti kartu, biometrics).
Kontrol Identifikasi dan Otentikasi
Identifikasi adalah proses atau aksi yang
dilakukan oleh pengguna untuk
membuktikan siapa (identitas) dirinya
kepada sistem. Otentikasi adalah verifikasi
pengguna tersebut sesuai dengan identitas
yang ada.
Non-repudiation
Penggunaan digital signature, certifiates,
dan teknologi kriptografi secara umum
dapat menjaga aspek ini. Akan tetapi hal ini
masih harus didukung oleh hukum legal
dari status dari digital signature
SIMPULAN
Dengan memperhatikan metodologi yang
terdapat pada bab I dan hasil anilasa
terhadap keamanan Perusahaan XYZ
Jakarta yang tedapat pada pab II, maka
Standard Operating Procedure (SOP)
keamanan database sangatlah diperlukan
untuk memudahkan dalam hal penanganan
asset-aset database jika terjadi kerawanan
dan ancaman yang tidak diinginkan. Selain
itu juga dengan dibuatnya SOP, jika
sewaktu-waktu akan terjadi pergantian
pimpinan terutama pimpinan bagian IT
maka pimpinan baru dengan mudah untuk
mempelajari SOP keamanan database yang
ada.
Dari hasil kesimpulan diatas maka kami
bermaksud untuk membuat makalah
tentang Standard Operating Procedure
(SOP) Keamanan Database Perusahaan
XYZ Jakarta.
IV. DAFTAR PUSTAKA
Eric Maiwald, Fundamental of Network
Security, McGraw-Hill Technology
Education, 2004.
Richard H Baker, Network Security,
McGraw-Hill, 1996.
Ronald L Krutz, Russel Dean Vines, The
CISSP prep guide, Robert Ipsen, 2003
O’Brien, J.A., 2003 : Introduction to
Information Systems, McGraw-Hill
Spafford, E.H., 2001 : Challenge of Secure
Software, www.cerias.purdue.edu
Stallings, W.H., 2001 : Network Security
Essentials, Prentice-Hall
http://www.ilmukomputer.com