PERTEMUAN 6 “Logical & Physical security”

• Logical security dalam konteks pengontrolan dapat di definisikan sebagai pengontrolan dengan
pertolongan software/aplikasi tertentu terhadap pengaksesan pemakai sesuai dengan wewenang yang
diberikan untuk menggunakan data/informasi termasuk programnya yang disimpan di dalam komputer.
• Tujuan logiccal security: *Melindungi data/informasi yang tersimpan di sentra komputer (computer
center) dari kerusakan atau penghancuran yang dilakukan baik secara sengaja maupun tidak sengaja.
*Menghindari dan mendetekiperubahan teerhadap informasi yang dilakukan oleh yang tidak berwenang
serta menjaga agar informasi tidak disebarluaskan kepada yang tidak berwenang
• Aplikasi logical security: *User-ID, *Password, *Level Pengaksesan, *Closed menu
• Tanggungjawab Pemberian Kontrol: *Tanggungjawab untuk memberikan dan memastikan agar
pemberian kontrol terhadap tingkat pengaksesasn yang memadai biasanya diberikan kepada security
administrator. *Security administrator berwenng untuk mengganti, menghapus user id beserta password
dan tingkat kontrol pengaksesasan. Ia akan berkonsultasi dengan pemilik sistem.
• Physical security: *Meskipun harga peralatan komputer secara umum sekarang sudah mulai
menurun,bagaimanapun juga biaya yang telah dikeluarkan merupakan investasi yang sangat besar dan
berharga. Terutama aset yang paling penting adalah data dan program di dalam komputer yang dapat
menghasilkan informasi untuk menggerakkan roda keuangan perusahaan. *Agar proses operasional dapat
berjalan secara berkesinambung, perusahaan harus memastikan agar arsip data, program dan dokumentasi
yang vital dilindungi secara memadai dan disimpan juga di tempat yang berbeda dengan lokasi
perusahaan.
• Tujuan utama dari physical security adalah melindungi dan mencegah agar tidak ada perusakan yang
dilakukan secara sengaja atau tidak sengaja terhadap bukan hanya peralatan komputer namun juga arsip
data dan program. 1. Perlu di pertimbangkan dan dipastikan agar organisasi memiliki langkah-
langkah untuk: *Meminimalkan resiko kebakaran. *Memiliki physical security yang memadai.
*Memiliki program recovery yang memadai dengan biaya yang dapat dipertanggungjawabkan apabila
terjadi kebakaran atau bencana. 2. Sentra komputer/computer centre : *Lebih baik sentra komputer
diletakan di gedung tersendiri atau satu lantai sendiri. Bagian ini terdiri tidak hanya peralatan
komputer,namun bagian ICT yang teriri dari subunit development dan support dapat di tempatkan
disinisehingga memudahkan. *Akses ke gedung atau bagian ini harus dikontrol secara ketat. 3. Kamar
komputer/computer room : *Idealnya dibangun dengan jumlah pintu yang minimum. *Disediakan pintu
darurat khusus. *Didalam ini dapat disimpan semua peralatan yang berkaitan dengan komputer. *Kamar
komputer harus dalam keadaan rapi, bersih dan bebas dari debu. 4. Tanda pengenal: *Setiap karyawan,
dalam hal ini departemen ICT, harus memiliki kartu pengenal yang harus di pakai. *Apabila stafdari
vendor akan melakukan maintenance atau perbaikan makaakan dibrikan kartu sementara. Namun
pengontrolan tetap harus dilakukan misalnya dengan cara mendampinginya. 5. Sistem alarm: *Sistem
intrusion detection patut untuk dipertimbangkan. *Sistem alarm ini akan disambungkan de ruangan
penjaga/keamanan gedung/satpam. 6. Prosedur dalam keadaan darurat : Prosedur ini berisi secara inci
aksi apa yang harus dilakukan oleh karyawan pada saat yang genting termasuk memanggil dan
mengumpulkan bantuan dari staf keamanan dan polisi. 7. Peralatan : Hanya peralatan yang di butuhkan
oleh operator diperbolehkan untuk diletakan didalam ruangan komputer dajatau sekeliling komputer. 8.
Air conditioning: AC diruangan komputer harus terpisah dari sistem AC yang digunakan oleh gedung.
*Ada AC khusus. 9. Tabung pemadam kebakaran : *Harus dimilikioleh setiap ruangan. *Tabung harus
ditempatkan dimana semua orang dapat melihat dengan jelas apabila dibutuhkan. *Pengontrolan berkala
agar tetap berfungsi saat dibutuhkan. 10. Alat pendeteksi api : *Alat ini memilikikemampuan untuk
memberikan suara alarm yang keras. 11. Pintu darurat : *Setiap karyawan harus mengetahui dimana
pintu daruratberada. *Pintu darurat hanya dapat dibuka dari dalam. 12. Laporan-laporan yang sudah
tidak terpakai : *Informasi yang tercetak merupakan konsumsi untuk para karyawan perusahaan, namun
merupakan rahasia untuk pihak luar. *Semua laporan yang tidakterpakai lagi atau salah cetak harus
dimusnahkan. 13. Aset komputer: *Bagian ICT wajib mengelola dan mendaftarkan setiap komputer
beserta alat pendukungnya yang baru dibeli diinventaris aset perusahaan. *Selain itu ict juga memiliki
daftar pemakai komputer agar dapat dengan mudah menelusuri keberadaan komputer tertentu. 14. Media
backup : Rata-rata media backup disimpan dilokasi yang sama dengan ruangan komputer atau
perusahaan, pada perusahaan besar bahakan memiliki backup diluar gedung (off-side backup).
• Kelemahan keamanan : *Beberapa kelemahan yang dapat dimanfaatkan oleh orang lain. *Tidak ada
resepsionis. *Tamu dapat masuk tanpa tanda pengenal. *Karyawan mempercayai orang dari perusahaan
 lain apabila ia memakai baju seragam. Ex perusahaan komputer. *Tidak ada access control pada ruang
pintu sensitif. *Tidak adanya pintu yang langsung menutup secara otomatis di ruang penting. *Backup
media diletkan disembarang tempat. *Cd dan atau dvd dibunang begitu saja di tempat sampah. *Laporan
yang tidak dipakai lagi.
# PERTEMUAN 7 “Prosedur Perubahan Program”
• Prosedur Perubahan Program: *Karena perbisnisan bergerak di dalam lingkungan yang dinamis,
disertai dengan pesatnya inovasi teknologi sebagai alat pendukung, maka akan selalu muncul kebutuhan
untuk meningkatkan sisteminformai yang ada atau membangun kembali dari nol. *Ada juga
kemungkinan untuk menggantikan sistem lama dengan paket sistem aplikasi yang saat ini banyak di
pasaran. Alasan ini yang telah menggerakan untuk untuk menggerakkan untuk membuat perubahan
prosedur yang berlaku. *Syarat-syarat dan harapan baru dari pemakai merupakan alasan untuk
menggadakan perubahan terhadap sistem yang sedang berjalan. *Pengontrolan terhadap aktivitas
perubahan sistem yang memiliki resiko tinggi merupakan keharusan.
• Tujuan adanya Prosedur keamanan : Tujuan utama prosedur ini adalah untuk melindungi agar
perusahaan tidak mengalami kerugian,kerusakan atau ketidak akuratan yang di sebabkan kesalahan
dan/atau kecurangan pada saat pemrosesan perubahan program/sistem
• Secara prinsip prosedur perubahan program paling sedikit memiliki langkah berikut: *Semua
perubahan program harus di setujui dan direview oleh pemilik sistem, kepala unit kerja terkait dan kepala
bagian ICT. *Pengaksesan terhadap program harus dikontrol secara memadai. *Hasil program yang telah
dirubah harus direview dan diverifikasi oleh pemilik sistem, kepala unit kerja terkait, dan kepala bagian
ICT.
• Prosedur: *Pemakai mengisi formulir “system change request”. Didalamnya pemakai menerangkan
tujuan perubahan dan syarat-syarat perubahan yang diminta. Kepala unit kerja harus menyetujui
perubahan dan menandatangani formulir tersebut.formulir diberikan kepada kepala unit ICT. *Kepala
bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir tersebut
diteruskan kepada project leader yang menangani sistem tersebut. *Bersama dengan analis sistem,Project
Leader akan membahas kemungkinan perubahan atau penambahan yang diminta. Apabila permintaan ini
dapat diwujudkan, akan dikalkulasikan biaya dan waktu yang dibutuhkan dan jadwal pembuatannya.
*Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus
menentukan apakah proyek ini berjalan terus atau ditunda dahulu. *Apabila laporan keuntungan dan
biaya proyek disetujui, pimpinan ICT akan menyusun prioritas dan jadwalnya bersama dengan project
leader. *Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan
menginformasikan secara tertulis kepada operator untuk meng-copy source program ke test environment.
*Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah
ditentukan dan setelah itu melaksanakan peng-copy-an. *Analis/programmer melakukan perubahan yang
diminta dan menguji coba perubahan ini sampai tidak ada kesalahan lagi (error free/bug free). *Hasil tes
program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila dibutuhkan,
pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada analis/programmer untuk
menguji coba lagi. Persetujuan ini harus diindikasikan di formulir change request. *Sebelum source
program yang baru dipindahkan ke production environment, Project leader melakukan pengecekan
terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source code-nya.
*Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan sempurna dan sesuai
dengan prosedur, maka ia akan menyetujui perpindahan program baru yang berisikan perubahan dari tes
ke production environment. *Setelah dokumentasi (untuk operator, pemakai dan program)diupdate,
change request dapat di berikan kepada bagian pengoperasian. *Bagian pengoperasian akan meneliti
dahulu kelengkapan tandatangan yang dibutuhkan sebelum memindahkan program lama ke history file
dan mengkomplasiprogram baru. *Analis/programer akan memverifikasi atas kebenaran penggantian
program. *Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan perubahan telah
dapat dipakai.
• Prinsip dasar pengontrolan: 1.Source dan object deck/code yang digunakan produksi harus disimpan di
dalamlibrary yang memiliki perlindungan terhadap pengaksesan yang dilakukan individu yang tidak
berwenang. 2.Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima
surat resmi dari pemohon beserta alasannya. 3.Setalah mendapat surat perintah kerja, pelaksanaan tidak
dapat dilakukan di production enviroment seperti yang tercantum di prosedur perubahan program. Oleh
karena itu, harus disediakan tes, atu development enviroment,dimana program yang telah berjalan dapat
di copy ke dalammnya untuk perubahan ini. 4.Buku registrasi yang akan berfungsi sebagai alat
 pengontrolan harus di maintain dimana tercantum : *Nomor formulir change request, *Uraian singkat
mengenai perubahan, *Tinggal permintaan, *Nama programmer yang melakukan perubahan, *Tanggal
efektif program dengan perubahan mulai dipakai. 5. Apabila perubahan ini menyangkut pengontrolan di
dalam aplkasi, audit harus mereview permintaan tambahan ini. 6. Pengontrolan terhadap source program
dan object program di production envionment untuk memastikan atas kebenarann object program. Oleh
karena itu,kontrol yang baik adalah mengkompilasi source program di production environment, yang
secara otomatis akan mengganti object yang lama. 7. Pengontrolan yang memadi terhadap uji coba yang
dilakukan sebelum memindahkan keproduction environment. 8. Memastikan agar progrm yang teleh
diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi sebelum dipindahkan ke production
environment. Hal ini dapat dilakukan dengan logical security. 9. Versi source program sebelumnya harus
dipindahkan ke history file sebelum memindahkan program baru ke production environment. Program
versi lama harus disimpan di media tertentu (misalnya tape, CD/DVD dan sebagainya) dan bukan hard
copy. *Dokumentasi harus di update.
• #P9 Prosedur

• 9. Pengembangan Sistem
- Metode yang diterapkan tergantung dari besar perusahaan, kemampuan staf ICT, teknologi yang tersedia
(development tool yang modern, biaya, pengetahuan mengenai komputer didalam organisasi dan jenis
binis yang digeluti.
- Pengembangan sistem membutuhkan perhatian yang besar dari senior manajemen sebelum
membutuhkan opsi untuk menempuh jalan ini, agar keputusan yang telah diambil tidak mubazir atau
disesalkan di kemudian hari.
- Pengembahan sistem merupakan tanggung jawab semua yang terlibat, tidak hanya semata-mata bagian
dari ICT. Tanpa input yang lengkap dan benar dari users sudah tentu ICT tidak dapat membangun sistem.
Pengetahuan operasional yang dimiliki oleh pemakai, tidak dapat dimiliki ICT. Pengetahuan ICT hanya
sebatas pengaplikasian informasi yang diberikan dengan menggunakan teknologi dan mencari solusi untuk
menunjangnya.
9.1 Tanggungjawab
-Apabila telah diputuskan untuk membangun sistem dari nol/stratch, ada baiknya apabila dibahas tanggung
jawab masing-masing karyawan yang terlibat di dalam proses yang akhir-akhir ini di sebutkan System
Development Life Cycle (SDLC). Karyawan yang telah ditunjuk dan dilibatkan akan masuk ke salah satu tim.
-Tim ini juga dapat dibentuk apabila organisasi memutuskan untuk membeli paket sistem aplikasi.
9.1.1 Steering committee/Tim pengendali
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam
perusahaan.
Biasanya terdiri dari direktur dan para senior manager/kepala bagian yang tingkatannya lebih rendah satu
tingkat dari direktur.
9.1.2 User Group/Tim Pemakai
-User group bertanggungjawab atas pengimplementasian peraturan (policy) yang telah diputuskan di
steering committee atau policy yang telah dibuat sebelumnya.
-Grup ini akan merinci lebih lanjut rencana ICT yang telah diajukan kepada steering comittee,mendesain
dan mengimplementasikan sistem komputer.
9.1.3 Test Group / Tim Uji Coba
Terdiri dari tim pengembang sistem dan pemakai (key user).
Tugas utamanya adalah menguji coba sistem yang baru dibangun.
9.2 Pengembangan sistem
-Fokus utama pada topik ini adalah pada saat penerimaan sistem baru untuk menguji coba kontrol dan
keamanan sistem.
-Kontrol terhadap pengembangan sistem membutuhkankerja sama dan effort antar departemen ict/tim
pengembang dengan unit kerja yang lain dalam perusahaan.
• 9.2.1 Awal proyek
Proyek pengmbangan sistem diwali selalu dengan mengidentifikasi permasalahan yang ada saat ini timbul
di organisasi, persyaratan baru dan/atau kebutuhan lain yang mungkin dapat menanggulanginya dengan
memanfaatkan teknologi komputer.
9.2.2 Study kelayakan/feasibility study
-Maksud dari feasibility study ini adalah mengidentifikasikan solusi-solusi yang dapat memecahakan
permasalahan dan memberikan rekomendasi opsi mana yang paling baik beserta alasannya.
-Secara umum studi kelayakan terdiri dari:
Fact-finding
Analisis
Laporan

• 9.2.3 Functional analysis dan desain

Tahap ini akan menentukan secara spesifik bagaimana permintaan para user dapat direalisasikan dan
diimplementasikan ke dalam sistem.
Bisasanya tahap ini meliputi: Input, Proses , Output
9.2.4 Technical analysis dan desain
Tujuan tahap ini adalah menerjemahkan spesifikasi fungsional ke dalam macam-macam technical
requirement agar memungkinkan sistem berjalan secara efektif dan efisien.
Dalam tahap ini para analis akan membahas: Struktur file dan database, Spesifikasi program, Keamanan
dann kontrol, Cara pengoperasian, Kriteria uji coba
9.2.5 Programming
Berdasarkan spsesifikasi yang telah dihasilkan dari tahap sebelumnya,programmer dapat mulai dengan
mengkode spesifikai tersbut dengan memakai standar bahasa pemrogramannya organisasi.
Apabila telah selesai menguji coba, maka programmer terkait harus membuat dokumentasi program dan
menyiapkan dokumentasi untuk training.
9.2.6 Melatih pemakai
Untuk memakai sistem baru udah tentu pemakai harus dilatih bagaimana caranya memakai sistem atau
program yang baru.
9.2.7 Uji coba Sistem
Tujuan utama adalah untuk meyakinkan bahwa sistem berjalan dengan baik sesuai dengan spesifikasi
fungsional, memenuhi persyaratan pemakai, dan menerapkam pengontrolan efektif.
9.2.8 Persiapan data dan parallel run
- Implementasi sistem lama dan baru bisa dilakukan dengan memulai sistem baru bersamaan dengan
sistem lama (parallel run). Namaun sebelum sampai ke tahap ini data utama harus dipersiapkan dulu
dengan cara konversi. Data utama yang lama akan dikonversikan dulu sesuai dengan struktur database baru
yang di sediakan.
-Cara ini adalah cara yang paling aman karena apabila timbul sesuatu yang tidak diprediksikan sebelumnya,
maka sistem lama masih dapat di gunakan sehingga bisnis tidak berhenti.
9.2.9 Pengalihan dan akseptasi sistem
-Pemisahan antara production sistem dan development environment sistem informasi memiliki tujuan agar
sistemyang sedang dibangun tidak mengganggu sistem-sistem yang sedang berjalan.
- Pengalihan sistem baru ke production environment merupakan pula momentum untuk membubarkan
tim pengembang sistem baru dan menyerahkannya kepada tim maintenace/supports
9.3 Kebijakan Peraturan Akseptasi
Sistem baru atau perubahan yang telah dilakukan terhadap sistem yang telah berjalan,hanya dapat
diimplementasikan ke dalam production environmentstelah prosedur akseptasi yang resmi telah dilakukan
dengan baik.
9.4 Prinsip Pengalihan Sistem
Cara berikut dapat dilakukan untuk pengalihan, akseptasi dan distribusi
Pemisahan environment
Lingkungan (environment) harus diamankan
Pengecualian pada saat darurat untuk mengubah program.
9.5 Otorisasi Komponen sistem
Pemberian wewenang harus menganut prinsip “need to know”
Pemberian dan atau peerubahan otorisasi hanya dapat di alukan oleh administrator sistem keamanan
berdasarkan konfirmasi pemilik sistem.
Pada saat darurat hanya dengan persetujuan/atas keputusan manajemen staf ICT diperbolehkan mengubah
otorisasi pemakai jika pada saat itu Administrator kemanan sistem absen.
9.6 Daftar Pertanyaan pda saat Penerimaan Sistem
- Langkah Pengamanan Sistem merupakan salah satu bagian yang harus di ujicoba sebelum memindahkan
sistem dari development ke production environment. Uji coba khusus misalnya backup dan recovery
harudilakukan secara hati-hati agar tidak mengganggu sistem yang sedang berjalan.
-Berikut langkah dan pengujian yang patut mendapat perhatian khusus untuk menentukan apakah sistem
yang akan dipakai di produksi memiliki sistem keamanan cukup baus atau setidak-tidaknya memenuhi
minimum persyaratan, namun hal ini juga tergantung dengan hardware dan software yang digunakan.

Apakah langkah pengamanan yang berkaitan dengan pengontrolan akses berjalan efektif?
Apakah fungsi dari sistem keamanan diterapkan dengan benar?
Apakah pengamanan terhadap resource cukup memadai?
Apakah langkah backup dan recovery diperiapkan dan berjalan dengan baik?
Apakah langkah untuk pengamanan pekerjaan yang bersifat rahasia telah disusun?
Apakah sistem telah menerapkan screening yang memadai?
Apakah isi output sesuai dengan permintaan?
Apakah tersedia fasilitas untuk audit?

9.7 Kontrol setelah pengalihan dan akseptasi sistem

Kontrol terhadap pengoperasian
Kontrol terhadap dokumentasi
Kontrol terhadap pemrosesan
9.8 Outsourcing
Outsourcing adalah menyerahkan pekerjaan kepada pihak ketiga (misalnya software house), yang di
kukuhkan dengan suatu kontrak tertulis.
Faktor pertimbangannya :
-Tidak tersedianya programmer/analis untuk mengerjakannya dengan apapun alasannya, sedangkan
kebutuhannya sangat mendesak
-Pengetahuan proses bisnis dan atau komputerisasi yang tidak memadai.
-Tidak/belum tersedianya bagian ICT
-Dalam jangka panjang organisasi menilai outsourcing lebih murah daripada merekut staf ICT yang mahal.
-Sangat sulit untuk merekut ahli ICT yang profesional dan loyal terhadap organisasi.
9.9 Distributed System
Untuk perusahaan yang memiliki cabang di luar lokasi kantor pusat dan setelah memutuskan untuk
mengembangkan sistemsendiri yang akan dibangun oleh bagian ICT, ada baiknya apabila
mempertimbangkan kemungkinan penerapan distributed system.
Mengapa distributed system ? Seperti yang telah disebutkan penunjang utama untuk kesuksesan bisnis dan
sistem yang sangat diminati oleh semua organisasi adalah ketersediaan (availability).
Suatu distributed system dapat didesain dngan data yang sama seperti mesin utama atau sebagian darinya
di beberapa lokasi dengan pertimbangan :
Biaya transmisi, Response time, Availability,Security,Struktur database
# P10 Keamanan Jaringan
11. Keamanan Jaringan, PC dan LAN
Banyak fungsi perusahaan yang dilakukan menggunakan jaringan, baik online maupun jaringan lokal.
Fasilitas jaringanharus diyakini keandalannya untuk merealisasikan transisi data secara utuh kepada
penerimanya dalamurutan yang benar. Untuk tujuan ini pengecekan integritas harus diikutsertakan di
dalam protokol komunikasi data.
11.1 Keamanan di dalam jaringan
Secara umudalam hal keamanan untuk jaringan harus dengan jelas dirumuskan/disusun terutama pada
ujung terminal pengirim (misalnya PC) dan pada ujung penerima (misalnya server atau mesin besar).
Apabila koneksi telah terjadi masing-masing harus menetapkan dan memverifikasi masing-masing
identitas (authentication) dan bertanggungjawab juga atas integritas data yang dikirim.
11.2 Ancaman
Suatu jaringan terdiri dari banyak titik terminal (nodes) yang di sambungkan satu sama lain menjadi gari
komunikasi.
Beberapa resiko keamanan jaringan di antaranya:
-Mengakses jaringan atau aplikasi oleh user yang tidak memiliki wewenang dari terminal sendiri atau dari
nodes network yang lain.
-Menggangu atau mengacaukan pengiriman data yang rahasia dengan cara mencegat atau
memanipulasinya.
-Kegagalan jaringan atau putus jaringan.
Serangan/ncaman terhadap jaringan yang merupakan pintu gerbang untuk menyerang sistem perusahaan,
dapat dalam bentuk software jahat (malicious software):
Logic bom,Bom waktu ,Virus,Worm ,Trojan horse,Spyware,Interception komunikasi,Denial of service,
Maliciou java/Active X,Tunneling
11.3 Langkah pengamanan jaringan
Manajeman Jaringan ,Enkripsi,Jaringan cadangan,Call back, Firewall
11.4 Internet
Dengan meluasnya kemungkinan untuk mengakses internet, risiko ancaman terhadap jaringan atau
individu pc mengalami peningkatan.
Untuk meminimalkan resiko ancaman terhadap koneksi jaringan luar dan dalam digunakan firewall.
Syarat-syarat umum untuk koneksi dengan jaringan eksternal dan terutama dengan internet sebagi
berikut:
Apabila in-house user ingin mendapatkan fasilitas untuk mengakes jaringan eksternal dan atau servis yang
spesifik, maka ia harus mendapat izin khusus dari manajeman/steering commitee.
Jaringan in-house dan mesin utama untuk produksi tidak diperolehkan untuk diakses langung oleh jaringan
external.
Lingkungan tertentu harus dibuat untuk memungkinkan pemberian service kepada jaringan ekxternal.
Pertanggung jawab bagi supervisi dan pemonitoran hubungan dengan jaringan luar harus mencakup.
Pencatatan user, user group dan profiles
Pemeriksaan dan verifikasi user profiles
Pencatatan semua pelanggaran.
11.5 Keamanan PC dan LAN
Secara umum, ancaman utama untuk PC dan LAN adalah:
Pengaksesan data produksi,departemen dan pemakai oleh individu yang tidak memiliki kewenangan.
Pasif (membaca atau mendengar data) dan aktif (memnipulasi data) menangkap koneksi.
Menyambung workstation yang tidak otentik kedalam LAN perusahaan.
Menginstal program yang ilegal atau yang tidak dikenal perusahaan dan memodifikasi program perusahaan
secara diam-diam.
Mencuri PC dan komponen PC.
Terkontaminasi oleh virus.
Berikut beberapa cara untuk meminimalkan/melindungi LAN dan PC yang tersambung ke jaringan LAN
dari ancaman:
LAN data harus disimpan (apabila dimungkinan) di dalam server untuk memudahkan proses backup.
Tindakan keamanan harus sebanyak mungkin di implementasikan ke tingkat sever. Hal ini akan
memudahkan untuk supervisi dan pemonitoran.
Hanya PC dan software yang dibeli oleh perusahaan dan melalui jalur prosedur yang berlaku diperbolehkan
untuk disambungkan ke dalam LAN.
Notebook dan ekxternal media penyimpanan harus disimpan di tempat yang terkunci.
Pc software tidak diperbolehkan untuk didistribusikan ke perusahaan kecuali oleh staf yang telah ditunjuk.
Informasi yang berifat rahasia harus di simpan baik di harddisk maupun flash disk atau disket dalam bentuk
enkripsi.
Modem tidak diperbolehkan untuk tersambung ke PC yang tersambung jaringan LAN perusahaan.
# P 11 DRP
11. Disaster recovery plan
Dunia bisnis sudah sangat tergantung dengan keberadaan komputer.
Bagimana roda bisnis organisasi akan bergerak apabila komputer utama untuk waktu yang tidak dapat
diprediksikan atau dalam waktu yang lama tidak dapat berfungsi?
Tujuan utama disaster recovery plan adalah menghasilkan rencana untuk:
Mengurangi impact terhadap organisasi apabila terjadi bencana terhadap instalasi instalasi komputer milik
perusahaan.
Meminimumkan kerugian organisasi yang diakibatkan oleh keterlambatan atau penghentian fasilitas
pemrosesan informasi.
11.1 Pengumpulan fakta
Tim akan mengumpulkan informasi dari semua unit kerja yang ada di dalam organisasi dan memiliki kaitan
dengan komputerisasi.
11.2 Penentuan prioritas
Ditentukan area apa saja yang memiliki resiko yang vital bagi kelanjutan organisasi melakukan bisnisnya.
Dari informasi yang terkumpul, tim proyek akan menentukan atau memberikan prioritas area mana yang
akan sangat sensitif terhadap bisnis perusahaan.
11.3 Evaluasi alternatif
Perusahaan dapat meyiapkan suatu tempat yang lokasinya berbedadengan lokasi utama.
Dapat pula membuat peerjanjian dengan perusahaan kedua dimana konfigurasi komputernya sama.
Solisi lain adalah mengikat perjanjian dengan perusahaan yang menyewakan fasilitas disaster recovery.
Opsi yang tersedia:
Fully mirrord site
Hot site
Warm site
Cold site
Third party/resiprocal site
In-House
Manual
11.4 Dokumentasi disaster recovery plan
Beragam buku teks memberikan alternatif isi dokumentasi disaster recovery , namun secara umum
dokumentasi ini terdiri dari;
Jenis bencana
Distribusi dari rencana ini.
Anggota tim disaster recovery
Konfigurasi hardware
Sistem aplikasi
Data users
Sistem software
Lokasi backup
Prosedur tes
11.5 uji coba
Uji Coba dapat dilakukan dengan beragam cara
Tes secara mendadak
Tes yang telah direncanakan
Global tes
Partial tes
11.6 Maintain review
Setelah rencana ini disetujui dan diuji coba, rencana ini harus dimonitor agar semua yang dituangkan di
dalam rencana ini masih dapat berfungsi secara efektif atau tidak.
11.7 Asuransi
Langkah lain yang diterapkan adalah mengasuransikan semua aset perusahaan termasuk juga aset
komputer.