78 M AdiperkasaDistribusindo

Tugas
Proteksi dan Teknik Keamanan
Sistem Informasi pada PT Adiperkasa Distribusindo
Copyright (c) 2004
Edo Kurniawan - 7203010138

Heriyadi - 720301020Y
Kirana Ferdinan - 7202014237
____________________________________________________________
Magister Teknologi Informasi
Universitas Indonesia
Desember 2004
GNU FREE DOCUMENTATION LICENSE ............................................................................. 4
BAB 1 PENDAHULUAN............................................................................................................. 11
1.1 PROFIL PERUSAHAAN................................................................................................... 11

1.2 MODAL DISETOR .................................................................................................................. 12
1.3 STRUKTUR ORGANISASI ....................................................................................................... 12
1.4 DIVISI ................................................................................................................................... 12
1.5 APLIKASI YANG DIGUNAKAN ................................................................................................ 15
1.6 PROSES BISNIS PT. ADIPERKASA DISTRIBUSINDO ................................................................ 16
BAB 2 TUJUAN DAN LINGKUP .............................................................................................. 18
BAB 3 KEAMANAN SISTEM INFORMASI ........................................................................... 19
3.1 ACCESS CONTROL SYSTEM & METHODOLOGY .................................................................... 19

3.1.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ....................................................... 19
3.1.2 Kelemahan dalam Sistem yang diterapkan saat ini ..................................................... 20
3.1.3 Rekomendasi bagi PT. Adiperkasa Distribusindo ....................................................... 20
3.2 TELECOMMUNICATIONS AND NETWORK SECURITY .............................................................. 21
3.2.3 Rekomendasi bagi PT. Adiperkasa Distribusindo ....................................................... 22
3.3 SECURITY MANAGEMENT PRACTICES .................................................................................. 22
Jenis-jenis ancaman terhadap PT. Adiperkasa Distribusindo.............................................. 24
3.3.3 Rekomendasi untuk PT. Adiperkasa Distribusindo...................................................... 25
3.4 APPLICATION & SYSTEM DEVELOPMENT SECURITY ............................................................ 27
3.5 CRYPTOGRAPHY ................................................................................................................... 28
3.6 SECURITY ARCHITECTURE AND MODEL ............................................................................... 29
3.7 OPERATION SECURITY .......................................................................................................... 30
3.8 DISASTER RECOVERY & BUSINESS CONTINUITY PLAN ........................................................ 32
3.8.2 Kekurangan sistem yang diterapkan saat ini............................................................... 33
3.9 LAWS, INVESTIGATIONS AND ETHICS ................................................................................... 33
3.9.2 Kekurangan sistem yang diterapkan saat ini............................................................... 34
3.10 PHYSICAL SECURITY .......................................................................................................... 34
3.10.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ..................................................... 34
3.10.2 Kekurangan Sistem yang diterapkan saat ini ............................................................ 36
3.10.3 Rekomendasi untuk PT. Adiperkasa Distribusindo.................................................... 37
3.11 AUDIT AND ASSURANCE ..................................................................................................... 37
3.11.1 Kondisi saat ini di PT. Adiperkasa Distribusindo ..................................................... 37
3.11.2 Kekurangan Sistem yang diterapkan saat ini ............................................................ 37
3.11.3 Rekomendasi untuk PT. Adiperkasa Distribusindo.................................................... 38
333
GNU Free Documentation License
Version 1.1, March 2000
Copyright (C) 2000 Free Software Foundation, Inc.

59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
Everyone is permitted to copy and distribute verbatim copies
of this license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other

written document "free" in the sense of freedom: to assure everyone
the effective freedom to copy and redistribute it, with or without
modifying it, either commercially or noncommercially. Secondarily,
this License preserves for the author and publisher a way to get
credit for their work, while not being considered responsible for
modifications made by others.
This License is a kind of "copyleft", which means that derivative

works of the document must themselves be free in the same sense. It
complements the GNU General Public License, which is a copyleft
license designed for free software.
We have designed this License in order to use it for manuals for free
software, because free software needs free documentation: a free
program should come with manuals providing the same freedoms that the
software does. But this License is not limited to software manuals;
it can be used for any textual work, regardless of subject matter or
whether it is published as a printed book. We recommend this License
principally for works whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
This License applies to any manual or other work that contains a

notice placed by the copyright holder saying it can be distributed
under the terms of this License. The "Document", below, refers to any
such manual or work. Any member of the public is a licensee, and is
addressed as "you".
A "Modified Version" of the Document means any work containing the

Document or a portion of it, either copied verbatim, or with
modifications and/or translated into another language.
A "Secondary Section" is a named appendix or a front-matter section of

the Document that deals exclusively with the relationship of the
publishers or authors of the Document to the Document's overall subject
(or to related matters) and contains nothing that could fall directly
within that overall subject. (For example, if the Document is in part
a
4
textbook of mathematics, a Secondary Section may not explain any
mathematics.) The relationship could be a matter of historical
connection with the subject or with related matters, or of legal,
commercial, philosophical, ethical or political position regarding
them.
The "Invariant Sections" are certain Secondary Sections whose titles

are designated, as being those of Invariant Sections, in the notice
that says that the Document is released under this License.
The "Cover Texts" are certain short passages of text that are listed,
as Front-Cover Texts or Back-Cover Texts, in the notice that says that
the Document is released under this License.
A "Transparent" copy of the Document means a machine-readable copy,

represented in a format whose specification is available to the
general public, whose contents can be viewed and edited directly and
straightforwardly with generic text editors or (for images composed of
pixels) generic paint programs or (for drawings) some widely available
drawing editor, and that is suitable for input to text formatters or
for automatic translation to a variety of formats suitable for input
to text formatters. A copy made in an otherwise Transparent file
format whose markup has been designed to thwart or discourage
subsequent modification by readers is not Transparent. A copy that is
not "Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain

ASCII without markup, Texinfo input format, LaTeX input format, SGML
or XML using a publicly available DTD, and standard-conforming simple
HTML designed for human modification. Opaque formats include
PostScript, PDF, proprietary formats that can be read and edited only
by proprietary word processors, SGML or XML for which the DTD and/or
processing tools are not generally available, and the
machine-generated HTML produced by some word processors for output
purposes only.
The "Title Page" means, for a printed book, the title page itself,
plus such following pages as are needed to hold, legibly, the material
this License requires to appear in the title page. For works in
formats which do not have any title page as such, "Title Page" means
the text near the most prominent appearance of the work's title,
preceding the beginning of the body of the text.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either
commercially or noncommercially, provided that this License, the
copyright notices, and the license notice saying this License applies
to the Document are reproduced in all copies, and that you add no other
conditions whatsoever to those of this License. You may not use
technical measures to obstruct or control the reading or further
copying of the copies you make or distribute. However, you may accept
compensation in exchange for copies. If you distribute a large enough
number of copies you must also follow the conditions in section 3.
5
You may also lend copies, under the same conditions stated above, and
you may publicly display copies.
3. COPYING IN QUANTITY
If you publish printed copies of the Document numbering more than 100,
and the Document's license notice requires Cover Texts, you must
enclose
the copies in covers that carry, clearly and legibly, all these Cover
Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on
the back cover. Both covers must also clearly and legibly identify
you as the publisher of these copies. The front cover must present
the full title with all words of the title equally prominent and
visible. You may add other material on the covers in addition.
Copying with changes limited to the covers, as long as they preserve
the title of the Document and satisfy these conditions, can be treated
as verbatim copying in other respects.
If the required texts for either cover are too voluminous to fit
legibly, you should put the first ones listed (as many as fit
reasonably) on the actual cover, and continue the rest onto adjacent
pages.
If you publish or distribute Opaque copies of the Document numbering

more than 100, you must either include a machine-readable Transparent
copy along with each Opaque copy, or state in or with each Opaque copy
a publicly-accessible computer-network location containing a complete
Transparent copy of the Document, free of added material, which the
general network-using public has access to download anonymously at no
charge using public-standard network protocols. If you use the latter
option, you must take reasonably prudent steps, when you begin
distribution of Opaque copies in quantity, to ensure that this
Transparent copy will remain thus accessible at the stated location
until at least one year after the last time you distribute an Opaque
copy (directly or through your agents or retailers) of that edition to
the public.
It is requested, but not required, that you contact the authors of the
Document well before redistributing any large number of copies, to give
them a chance to provide you with an updated version of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under
the conditions of sections 2 and 3 above, provided that you release
the Modified Version under precisely this License, with the Modified
Version filling the role of the Document, thus licensing distribution
and modification of the Modified Version to whoever possesses a copy
of it. In addition, you must do these things in the Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct
from that of the Document, and from those of previous versions
(which should, if there were any, be listed in the History section
6
of the Document). You may use the same title as a previous version
if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities
responsible for authorship of the modifications in the Modified
Version, together with at least five of the principal authors of the
Document (all of its principal authors, if it has less than five).
C. State on the Title page the name of the publisher of the
Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications
adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice
giving the public permission to use the Modified Version under the
terms of this License, in the form shown in the Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections
and required Cover Texts given in the Document's license notice.
H. Include an unaltered copy of this License.
I. Preserve the section entitled "History", and its title, and add to
it an item stating at least the title, year, new authors, and
publisher of the Modified Version as given on the Title Page. If
there is no section entitled "History" in the Document, create one
stating the title, year, authors, and publisher of the Document as
given on its Title Page, then add an item describing the Modified
Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for
public access to a Transparent copy of the Document, and likewise
the network locations given in the Document for previous versions
it was based on. These may be placed in the "History" section.
You may omit a network location for a work that was published at
least four years before the Document itself, or if the original
publisher of the version it refers to gives permission.
K. In any section entitled "Acknowledgements" or "Dedications",
preserve the section's title, and preserve in the section all the
substance and tone of each of the contributor acknowledgements
and/or dedications given therein.
L. Preserve all the Invariant Sections of the Document,
unaltered in their text and in their titles. Section numbers
or the equivalent are not considered part of the section titles.
M. Delete any section entitled "Endorsements". Such a section
may not be included in the Modified Version.
N. Do not retitle any existing section as "Endorsements"
or to conflict in title with any Invariant Section.
If the Modified Version includes new front-matter sections or

appendices that qualify as Secondary Sections and contain no material
copied from the Document, you may at your option designate some or all
of these sections as invariant. To do this, add their titles to the
list of Invariant Sections in the Modified Version's license notice.
These titles must be distinct from any other section titles.
You may add a section entitled "Endorsements", provided it contains

nothing but endorsements of your Modified Version by various
parties--for example, statements of peer review or that the text has
been approved by an organization as the authoritative definition of a
standard.
7
You may add a passage of up to five words as a Front-Cover Text, and a
passage of up to 25 words as a Back-Cover Text, to the end of the list
of Cover Texts in the Modified Version. Only one passage of
Front-Cover Text and one of Back-Cover Text may be added by (or
through arrangements made by) any one entity. If the Document already
includes a cover text for the same cover, previously added by you or
by arrangement made by the same entity you are acting on behalf of,
you may not add another; but you may replace the old one, on explicit
permission from the previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License

give permission to use their names for publicity for or to assert or
imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this
License, under the terms defined in section 4 above for modified
versions, provided that you include in the combination all of the
Invariant Sections of all of the original documents, unmodified, and
list them all as Invariant Sections of your combined work in its
license notice.
The combined work need only contain one copy of this License, and
multiple identical Invariant Sections may be replaced with a single
copy. If there are multiple Invariant Sections with the same name but
different contents, make the title of each such section unique by
adding at the end of it, in parentheses, the name of the original
author or publisher of that section if known, or else a unique number.
Make the same adjustment to the section titles in the list of
Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections entitled "History"

in the various original documents, forming one section entitled
"History"; likewise combine any sections entitled "Acknowledgements",
and any sections entitled "Dedications". You must delete all sections
entitled "Endorsements."
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other

documents
released under this License, and replace the individual copies of this
License in the various documents with a single copy that is included in
the collection, provided that you follow the rules of this License for
verbatim copying of each of the documents in all other respects.
You may extract a single document from such a collection, and

distribute
it individually under this License, provided you insert a copy of this
License into the extracted document, and follow this License in all
other respects regarding verbatim copying of that document.
8
7. AGGREGATION WITH INDEPENDENT WORKS
A compilation of the Document or its derivatives with other separate

and independent documents or works, in or on a volume of a storage or
distribution medium, does not as a whole count as a Modified Version
of the Document, provided no compilation copyright is claimed for the
compilation. Such a compilation is called an "aggregate", and this
License does not apply to the other self-contained works thus compiled
with the Document, on account of their being thus compiled, if they
are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these

copies of the Document, then if the Document is less than one quarter
of the entire aggregate, the Document's Cover Texts may be placed on
covers that surround only the Document within the aggregate.
Otherwise they must appear on covers around the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modification, so you may

distribute translations of the Document under the terms of section 4.
Replacing Invariant Sections with translations requires special
permission from their copyright holders, but you may include
translations of some or all Invariant Sections in addition to the
original versions of these Invariant Sections. You may include a
translation of this License provided that you also include the
original English version of this License. In case of a disagreement
between the translation and the original English version of this
License, the original English version will prevail.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except
as expressly provided for under this License. Any other attempt to
copy, modify, sublicense or distribute the Document is void, and will
automatically terminate your rights under this License. However,
parties who have received copies, or rights, from you under this
License will not have their licenses terminated so long as such
parties remain in full compliance.
10. FUTURE REVISIONS OF THIS LICENSE
The Free Software Foundation may publish new, revised versions

of the GNU Free Documentation License from time to time. Such new
versions will be similar in spirit to the present version, but may
differ in detail to address new problems or concerns. See
http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number.

If the Document specifies that a particular numbered version of this
9
License "or any later version" applies to it, you have the option of
following the terms and conditions either of that specified version or
of any later version that has been published (not as a draft) by the
Free Software Foundation. If the Document does not specify a version
number of this License, you may choose any version ever published (not
as a draft) by the Free Software Foundation.
10
BAB 1
Pendahuluan
1.1 Profil Perusahaan
Perusahaan PT. Adiperkasa Distribusindo adalah perusahaan distribusi makanan

yang didirikan pada tahun 1990 di Medan. Perusahaan ini merupakan perusahaan
distribusi minuman serbuk, makanan & minuman diet/suplemen fitness/untuk penderita
diabetes. Cakupan perusahaan pada awalnya adalah toko-toko semi grosir dan toko-toko
biasa di kota Medan. Sekarang PT. Adiperkasa Distribusindo juga melayani
supermarket, minimarket, grosir dan sektor healthcare (tempat-tempat fitness dan
kebugaran lainnya). Perusahaan ini sekarang melayani sekitar 300 outlet di daerah Medan
dan sekitarnya.
Perusahaan ini hanya mempunyai satu kantor di kota Medan. Dan
mempunyai 48 orang pegawai. Terdiri dari 30 orang bagian pemasaran, 5 orang bagian
gudang dan logistik, 2 orang bagian keuangan, 5 orang bagian administrasi dan 15 orang
petugas lain-lain.
Perusahaan ini mempunyai investasi teknologi informasi saat ini :
• Platform : Microsoft Windows 2000 (Server), Windows 98
dan XP untuk klien
• Server : 1 buah untuk DC dan juga application server
• Client : 12 orang (Finance 2, Sales 4, Logistik 4, Lain –
lain 2)
• Jaringan : LAN 10/100 MBps – TCP/IP
• Network devices : Hub 10/100. Modem external
• Jaringan internet : Dial up – Telkomnet instant
• Email : Yahoo! Mail – free
11
1.2 Modal Disetor
Jumlah modal disetor pada awal pendirian perusahaan tahun 1990 adalah sebesar
Rp 300.000.000,00 perusahaan terus mengalami perkembangan sejak saat itu sehingga
besarnya kapital pada tahun 2004 ini adalah sebesar Rp 600.000.000,00
1.3 Struktur Organisasi
Ini adalah gambar struktur organisasi PT. Adiperkasa Distribusindo
Gambar 1. 1 Struktur Organisasi
1.4 Divisi
Ada beberapa divisi di PT. Adiperkasa Distribusindo ini yang dibagi berdasarkan
fungsi kerjanya. Adapun divisi ini adalah sebagai berikut :
12
a. Marketing & Sales
Divisi ini merupakan tulang punggung bagi perusahaan. Hal ini dikarenakan
divisi inilah yang menghasilkan penjualan (cash in) bagi perusahaan. Selain
melakukan penjualan divisi ini juga merangkap tugas untuk marketing dan promosi.
Divisi ini secara umum bertugas untuk :

- Merencanakan, melaksanakan dan mengevaluasi kegiatan promosi yang
berkenaan dengan produk – produk yang dijual baik di Outlet nasional,
channel moderen maupun channel tradisional.
- Memantau penempatan produk (display) di setiap outlet untuk menghasilkan
tingkat penjualan yang optimal
- Melakukan order taking di setiap outlet yang menjadi pelanggan PT.
Adiperkasa Distribusindo sesuai dengan target perusahaan
- Mengembangkan cakupan pasar dari PT. Adiperkasa Distribusindo dengan
menambah pelanggan – pelanggan baru sesuai dengan target perusahaan
- Membuat perencanaan penjualan (forecast) dan secara berkala meninjaunya
- Mengevaluasi dan membuat laporan pencapaian penjualan
Jumlah orang dalam divisi ini ada sekitar 30 orang yang terdiri dari 1
supervisor, 25 orang salesman (dan merangkap juga petugas promosi dan marketing
di lapangan) dan 4 orang petugas data entry / administrasi.
b. Logistik
Divisi ini bertanggung jawab atas penerimaan, penyimpanan dan pengiriman barang.
Divisi ini juga sangat penting karena tanpa adanya delivery maka tidak akan ada
penjualan barang juga. Selain itu kredibilitas perusahaan juga sangat bergantung pada
ketepatan pengiriman divisi ini.
Adapun tugas – tugas divisi ini adalah diantaranya sebagai berikut :
13
- Melakukan administrasi atas penerimaan barang dari prinsipal ataupun dari
pelanggan (retur)
- Melakukan administrasi atas pengiriman barang kepada prinsipal (retur prinsipal)
ataupun dari pelanggan
- Melakukan pencatatan atas keluar masuknya barang dan melakukan stock opname
secara berkala
- Menjaga ketersediaan barang dengan membuat forecast bersama – sama dengan
divisi Marketing / sales.
- Melakukan pelaporan stok barang secara berkala
Ada sekitar 5 orang petugas di divisi ini, termasuk dengan supervisornya.
c. Finance
Divisi ini merupakan tulang punggung kedua bagi perusahaan. Divisi inilah yang
mengatur cash flow dari perusahaan. Tanpa adanya proses yang baik pada divisi ini
dalam perusahaan maka cash flow dari perusahaan dapat terganggu yang pada
akhirnya dapat mengganggu keberadaan bisnis perusahaan.
Adapun pekerjaan dari divisi ini diantaranya adalah sebagai berikut :

- Menerbitkan faktur penjualan yang akan digunakan untuk melakukan penagihan
pada pelanggan.
- Melakukan administrasi pembayaran dan keuangan lainnya dalam perusahaan.
- Memantau cash flow dari perusahaan dan membuat laporan keuangan yang
dibutuhkan secara berkala
Bagian finance dibawahi langsung oleh wakil pemilik perusahaan, dan

memiliki 2 staff administrasi.
d. General affair / lain - lain

Divisi ini pada intinya bertanggung jawab atas sarana – prasarana pendukung bisnis,
misalnya kebersihan, telepon, listrik, air dan lain lain. Selain itu mereka juga
14
membantu divisi lain dalam berbagai hal, misalnya saat stock opname dan loading
barang mereka membantu divisi logistik, atau membantu divisi marketing saat
penyiapan promosi di suatu outlet. Ada 15 orang yang ada di divisi ini.
1.5 Aplikasi yang digunakan
Aplikasi untuk keperluan distribusi mereka menggunakan suatu aplikasi custom-made

lokal. Program ini dibangun diatas bahasa pemrograman clipper dan sudah digunakan
sejak tahun 1995. Aplikasi ini adalah aplikasi yang diberikan oleh distributor pusat
kepada seluruh distributor daerah. Aplikasi ini mencakup modul berikut :
- Penjualan (Sales)
o Pembuatan Sales order
o Cetak Sales order
o Pembuatan Sales order retur
o Cetak Sales order retur
o Posting harian
o Pembuatan report penjualan
o Cetak faktur
- Pembelian (Purchase)
o Pembuatan purchase order
o Cetak purchase order
o Pembuatan purchase order retur
o Cetak purchase order retur
o Posting harian
o Pembuatan report pembelian
- Persediaan barang (Inventory)
o Pencetakan delivery order
o Stock opname
- Keuangan (Finance)
o General Ledger
o Account Payable
o Account Receivable
15
o Laporan keuangan
1.6 Proses Bisnis PT. Adiperkasa Distribusindo
Secara umum proses bisnis yang terjadi pada PT. Adiperkasa Distribusindo
16
Gambar 1. 2 Alur Proses Bisnis
17
BAB 2
Tujuan dan Lingkup
Tujuan tulisan ini adalah untuk memberikan gambaran kondisi, kekurangan dan
rekomendasi keamanan sistem informasi dalam penerapan Teknologi Informasi
(teknologi informasi) di PT. Adiperkasa Distribusindo. Dalam penerapannya
rekomendasi sistem keamanan teknologi informasi ini di bagi menjadi 11 domain yaitu:
1. Access Control System.

2. Telecommunication and Network Security.
3. Security Management Practices
4. Application and System Development Security
5. Cryptography
6. Security Architecture and Models
7. Operations Security
8. Disaster Recovery and Business Continuity Planning.
9. Laws, Investigation, and Ethics
10. Physical Security
11. Audit and Assurance
18
BAB 3
Keamanan Sistem Informasi
3.1 Access Control System & Methodology
Tujuan dari pembagian domain ini adalah adanya mekanisme dan metode yang
digunakan oleh para administrator/manajer untuk mengontrol apa yang boleh diakses
pengguna, termasuk apa yang boleh dilakukan setelah otentikasi dan otorisasi, termasuk
pemantauannya.
Secara umum acess control system & methodology di bagi ke dalam tiga cara.
1. Identification: melakukan identifikasi terhadap pengguna yang akan memasuki
resource, dengan menanyakan apa yang diketahui oleh pengguna tersebut.
Misalnya: Password.
2. Authentication: melakukan autentifikasi terhadap pengguna yang akan memasuki
resource, dengan menanyakan apa yang dimiliki oleh pengguna tersebut.
Misalnya: smart card
3. Authorization: melakukan autorisasi terhadap pengguna yang akan memasuki
resource dengan melakukan pengecekan terhadap daftar orang yang memiliki
autorisasi.
3.1.1 Kondisi saat ini di PT. Adiperkasa Distribusindo
Saat ini pada PT. Adiperkasa Distribusindo terdapat 4 aplikasi yang dibatasi
penggunaannya, yaitu aplikasi gudang, aplikasi keuangan, aplikasi penjualan dan aplikasi
pembelian. Akses terhadap aplikasi-aplikasi tersebut dibatasi hanya pada divisi yang
menggunakan aplikasi tersebut. Cara yang digunakan adalah sebelum menggunakan
aplikasi tersebut pengguna harus melakukan identifikasi dengan memasukan login dan
password yang tepat.
19
3.1.2 Kelemahan dalam Sistem yang diterapkan saat ini
Saat ini login dan password hanya dilakukan berdasarkan divisi, sehingga semua
pegawai dalam satu divisi menggunakan login dan password yang sama. Selain itu setiap
orang yang telah masuk ke dalam aplikasi dapat melakukan seluruh kegiatan akses seperti
read, write, create, update dan delete tanpa pembatasan.
3.1.3 Rekomendasi bagi PT. Adiperkasa Distribusindo
Sistem identifikasi dan pembatasan akses terhadap aplikasi adalah cara yang
tepat. Kekurangan yang ada di sini adalah identifikasi akses yang masih berdasarkan
divisi, seharusnya setiap pegawai mempunyai akses masing-masing untuk mengakses
aplikasi, sehingga aplikasi dapat mencatat secara tepat siapa pengguna aplikasi tersebut
dan bukan hanya divisi penggunanya. Hal ini dibutuhkan karena jika terjadi kesalahan
dapat di lihat secara lebih tepat di mana kesalahannya dan siapa yang harus bertanggung
jawab atas kesalahan tersebut.
Selain itu diperlukan juga adanya pembatasan terhadap akses pada aplikasi, jadi
tidak seluruh pengguna dapat melakukan semua kegiatan akses, terutama untuk akses
update dan delete, dibatasi hanya pada level supervisor dan manajer saja. Ini memberikan
kontrol penggunaan yang lebih baik, sehingga pada akhirnya menjamin keakuratan data
yang dimiliki.
Perusahaan PT. Adiperkasa Distribusindo saat ini hanya melakukan identification
dalam access control system & methodology hal ini dirasakan mencukupi karena
terbatasnya ruang lingkup perusahaan dan data yang dimiliki perusahaan. Penambahan
autentification dan authorization dirasakan belum diperlukan pada kondisi perusahaan
saat ini, karena hanya akan menambah ketidaknyamanan pengguna.
20
3.2 Telecommunications and Network Security
Domain ini adalah penjabaran bagaimana penerapan aspek keamanan yang terkait
dengan jaringan komputer atau telekomunikasi pada PT. Adiperkasa Distribusindo .
Pada domain ini dibahas bagaimana penerapan keamanan yang memadai untuk
infrastruktur jaringan dan telekomunikasi yang ada, ancaman dan kelemahan yang
dimiliki dan cara terbaik untuk melindungi jaringan komputer perusahaan.
PT. Adiperkasa Distribusindo mempunyai jaringan komputer dan telekomunikasi

pada kantornya. Masing-masing jaringan ini berdiri sendiri, jaringan telekomunikasi
memanfaatkan PABX. Jaringan komputer yang ada merupakan jaringan Local Domain
Network (LAN), hubungan dengan jaringan telekomunikasi hanya pada titik tertentu
yaitu pada bagian administrasi dan bagian manajemen yang memiliki modem dial-up
untuk berkomunikasi dengan internet memanfaatkan jaringan telekomunikasi. Jarignan
ini dimanfaatkan oleh perusahaan untuk melakukan kegiatan perusahaan, seluruh divisi
terhubung secara langsung ke server perusahaan dan dapat menggunakan aplikasi-
aplikasi yang terdapat pada server perusahaan. Seluruh aplikasi perusahaan disimpan
pada server perusahaan yang disimpan pada satu ruangan khusus server. Topologi
jaringan LAN perusahaan menggunakan TCP/IP yang sudah digunakan secara luas, dan
mudah dikelola serta di dukung oleh Windows yang digunakan sebagai sistem operasi
pada perusahaan.
Akses keluar perusahaan hanya dapat dilakukan oleh bagian administrasi dan
manajemen dengan memanfaatkan modem dial-up. Akses pada bagian administrasi ini
digunakan khusus hanya untuk mengirimkan dan menerima email dari perusahaan
distributor pusat.
Perusahaan belum memiliki metode dan cara untuk mengamankan telekomunikasi

dan network yang dimiliki.
21
3.2.3 Rekomendasi bagi PT. Adiperkasa Distribusindo
Pengamanan jaringan telekomunikasi dapat dilakukan dengan menyediakan

saluran komunikasi alternatif menggunakan handphone untuk mencegah terputusnya
komunikasi secara total jika terjadi kerusakan jaringan telekomunikasi.
Untuk perlindungan internal jaringan perusahaan dari akses yang tidak berhak,
dapat digunakan virtual local domain network (VLANs), sehingga setiap divisi
mempunyai jaringan virtual domain networknya masing-masing. Hal ini dapat
mengurangi resiko pencurian data dari dalam perusahaan karena terbatasnya akses
komputer masing-masing divisi.
Selama ini komputer perusahaan tidak terlindungi atas akses dari luar.
Perlindungan terhadap komputer perusahaan atas akses dari luar dapat diterapkan dengan
pemanfaatan firewall. Pemanfaatan firewall pada PT. Adiperkasa Distribusindo ini cukup
yang berupa software, misalnya Zona Alarm, software ini dapat diperoleh secara gratis
dan dianggap cukup memadai untuk melindungi komputer di PT. Adiperkasa
Distribusindo karena hubungan komputer perusahaan dengan jaringan internet sangat
terbatas. Perusahaan selama ini hanya memanfaatkan internet untuk mengirimkan data
hasil penjualan harian kepada distributor pusat. Selain itu dapat juga ditambahkan
intrusion detection software yang dapat melindungi jaringan komputer perusahaan dari
serangan dari luar.
3.3 Security Management Practices
Domain ini menjabarkan cara untuk menerapkan cara identifikasi aset perusahaan
yang berupa informasi berikut cara terbaik untuk menentukan tingkat keamanannya, serta
anggaran yang patut untuk implementasi keamanannya.
Manajemen keamanan yang dilakukan adalah bagaimana penerapan proses
manajemen dalam lingkup tingkat keamanan dan IT services. Faktor penting nilai dari
informasi adalah kerahasiaan, intergritas dan ketersediaan informasi. Faktor-faktor
penting inilah yang harus dijaga dan dikelola agar tidak merugikan nilai dari informasi
baik karena hal yang disengaja atau tidak disengaja. Keamanan informasi adalah
22
gabungan dari teknologi dan metode yang digunakan untuk mengamankan kerahasiaan,
intergritas dan ketersediaan infomasi dan komputer, sistem dan jaringan yang membuat
memproses, menyimpan dan mengkomunikasikan informasi tersebut.
Identifikasi Aset pada PT. Adiperkasa Distribusindo

a. Aset tangible
1. Server Komputer
2. Komputer Desktop
3. Perangkat keras lainnya.
4. Pegawai
5. Ruangan
b. Aset intangible (Software dan data)

1. Aplikasi-aplikasi perusahaan
2. Informasi data inventori
3. Informasi data penjualan
4. Informasi data keuangan
Information Asset valuation pada restoran PT. Adiperkasa Distribusindo
Tabel 3. 1 Information asset valuation
Information Asset valuation

Data Data
keuangan penjualan Data inventori
Confidentiality X X
Integrity X X X
Availability X X X
Ini adalah penilaian aset informasi PT. Adiperkasa Distribusindo .

1. Data Keuangan : Kerahasiaan harus terjaga karena data ini tidak boleh diketahui
semua orang, berapa margin yang diperoleh dari setiap item dan sebagainya
23
adalah rahasia perusahaan. Intergritas data juga harus tinggi karena hal ini
berkaitan dengan penagihan kepada klien, jika hal ini salah dilakukan dapat
mengancam kelangsungan perusahaan. Ketersediaan data juga penting karena
penagihan harus dilakukan tepat waktunya untuk menjaga arus cash flow
perusahaan.
2. Data Penjualan : Kerahasiaan data penjualan harus dilakukan terutama dari pihak
pesaing perusahaan. Integritas data sangat penting karena kesalahan dalam data
bisa berakibat biaya tinggi, misalnya kesalahan pengiriman pesanan sehingga
pesanan harus di kirim ulang dapat membebani perusahaan. Ketersediaan data
penjualan juga sangat penting, sebab data ini yang digunakan bagian keuangan
untuk membuat penagihan.
3. Data Inventori : Kerahasiaan data inventori tidak terlalu penting walau sebaiknya
tetap di jaga untuk strategi perusahaan menghadapi persaingan. Integritas data
sangat penting, karena ini berkaitan langsung dengan persediaan barang yang ada
di gudang. Data ini diperlukan untuk mengecek persediaan saat ada pesanan dari
klien. Ketersediaan data sangat penting, karena data ini yang digunakan untuk
memutuskan apakah suatu pesanan dapat dipenuhi atau tidak.
Jenis-jenis ancaman terhadap PT. Adiperkasa Distribusindo
1. Kehilangan data.
Kehilangan data ini dapat terjadi karena berbagai hal, mulai dari kerusakan data
itu sendiri, kerusakan hardware, kesalahan pengguna, hal-hal ini dapat terjadi
baik secara sengaja maupun tidak sengaja.
2. Pemutusan akses
Pemutusan akses ini dapat terjadi pada akses telekomunikasi dan jaringan
komputer ke luar. Pemutusan telekomunikasi berarti hilangnya komunikasi
dengan pelanggan yang dapat menyebabkan hilangnya pendapatan yang cukup
besar, sebab seluruh komunikasi dengan pelangga tetap biasanya dilakukan
dengan telepon atau pengiriman fax barang yang di pesan. Pemutusan akses
internet dapat berakibat fatal sebab distributor pusat melakukan pengiriman
barang berdasarkan data penjualan harian yang dikirimkan PT. Adiperkasa
24
Distribusindo sehingga dengan terputusnya akses internet dapat terjadi
kesalahan pengiriman barang karena tidak adanya data yang realiable.
3. Pencurian
Pencurian data dapat dilakukan oleh pegawai pada perusahaan yang ingin
menjual data tersebut pada perusahaan pesaing, atau karena ketidakpuasan
pegawai tersebut pada perusahaan.
4. Pengubahan data.
Ancaman ini terjadi karena berbedanya data yang dimasukkan dengan
kenyataan yang ada di lapangan. Hal ini juga dapat terjadi dengan sengaja
maupun tidak sengaja.
Tidak ada prosedur secara khusus yang ditetapkan untuk mengatasi kemungkinan
ancaman-ancaman yang terjadi.
3.3.3 Rekomendasi untuk PT. Adiperkasa Distribusindo
Untuk menghindari ancaman-ancaman tersebut perlu adanya prosedur-prosedur

pengamanan yang dilakukan oleh perusahaan.
Penerapan pengawasan dan kontrol pada PT. Adiperkasa Distribusindo.
a. Pencegahan
Tindakan pencegahan dilakukan dengan cara:
1. Informasi hanya dapat dibuat oleh orang yang berwenang.
2. Pengiriman informasi laporan harian dibatasi dan harus disetujui oleh manajer.
3. Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.
4. Melakukan enkripsi semua data yang bersifat rahasia
5. Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall
secara rutin.
6. Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan
memerlukannya.
25
7. Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk
dibawa keluar dari perusahaan.
8. Dibuat prosedur keamanan yang berlaku di dalam perusahaan.
9. Melakukan backup secara rutin dan dengan menggunakan prosedur back up yang
benar.
10. Penerapan Business Continuity Plan
b. Deteksi
Tindakan deteksi dilakukan dengan cara:
1. Pengecekan ulang pada secara berkala oleh bagian administrasi terhadap data
yang ada pada komputer dengan data di lapangan.
2. Melakukan pengecekan kondisi fisik perangkat keras secara rutin untuk
menghindari terjadinya kegagalan perangkat keras.
3. Melakukan pengecekan komputer secara rutin terhadap virus, spyware, backdoor
dll.
4. Melakukan pengecekan terhadap backup yang dihasilkan apakah dapat digunakan
dengan baik atau tidak.
c. Represi
Tindakan Represi dilakukan dengan cara:
1. Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan
Virtual LAN.
2. Melakukan pembatasan akses internet hanya untuk bagian administasi yang
memang harus berhubungan dengan pihak di luar perusahaan dengan
menggunakan e-mail dan manajemen.
d. Perbaikan
Tindakan perbaikan dilakukan dengan cara:
1. Melakukan prosedur backup yang benar.
26
e. Evaluasi
Tindakan Evaluasi dilakukan dengan cara:
Melakukan evaluasi tahunan atas keamanan sistem teknologi informasi yang
dimiliki, melihat ulang segala masalah yang terjadi dalam setahun terakhir, dan
bagaimana cara penanganannya agar masalah tersebut tidak terulang kembali.
3.4 Application & System Development Security
Pada domain ini ditentukan bagaimana aspek keamanan dan kontrol-kontrol yang
terkait pengembangan sistem informasi.
Tujuan dari penerapan applicaton & system development security adalah
menjamin keamanan operasi aplikasi, mecegah serangan yang mungkin dan timbul dan
mencegah kerusakan dan kehilangan data.
Sistem operasi yang digunakan PT. Adiperkasa Distribusindo adalah sistem

operasi yang berbasis windows. Aplikasi yang diterapkan di PT. Adiperkasa
Distribusindo adalah aplikasi custom-made berupa terpadu yang menggabungkan
inventori, penjualan, keuangan dan pembelian.
Aplikasi ini sendiri adalah aplikasi yang diberikan oleh perusahaan distributor
pusat untuk digunakan di PT. Adiperkasa Distribusindo. Jadi seluruh pengembangan
aplikasi dan sistem yang menjadi inti pada PT. Adiperkasa Distribusindo di suplai oleh
distributor pusat.
Keamanan yang diterapkan pada database juga telah diterapkan PT. Adiperkasa
Distribusindo akses ke database hanya dapat dilakukan melalui aplikasi yang telah
ditentukan, dan database tidak dapat di akses langsung dari luar.
27
Sistem operasi dan aplikasi dibiarkan apa adanya, tidak pernah dilakukan patch
pada aplikasi dan penerapan-penerapan sistem keamanan yang dilakukan hanya dari segi
fisik saja. Tidak ada penerapan keamanan dari sisi teknologi pada sistem teknologi
informasi perusahaan.
Software antivirus yang dipasang tidak pernah dilakukan update signature
databasenya, dan tidak pernah ada pengecekan virus secara rutin terhadap komputer
perusahaan.
Melakukan patch untuk seluruh komputer perusahaan secara terus-menerus untuk

sistem operasi dan aplikasi-aplikasi yang digunakan. Melakukan pemasangan antivirus
dan melakukan update secara rutin pada antivirus untuk mencegah serangan yang
mungkin timbul pada aplikasi dan melakukan pengecekan komputer secara rutin terhadap
serangan virus.
Melaporkan segala kesalahan yang ditemukan pada aplikasi pada distributor pusat
agar memperoleh perbaikan. Sebaiknya PT. Adiperkasa Distribusindo mempunyai tenaga
teknologi informasi tersendiri yang dapat mengatasi seluruh masalah teknologi informasi
yang terjadi di dalam perusahaan. Selama ini jika ada masalah yang terjadi pada aplikasi
dan sistem maka harus melapor ke distibutor pusat dan menunggu bantuan dari
distributor pusat.
PT. Adiperkasa Distribusindo selama ini masih menerapkan sistem manual
bersama-sama dengan Teknologi Informasi, sistem manual ini masih dapat dimanfaatkan
untuk melakukan pengecekan pengerjaan yang menggunakan sistem teknologi informasi.
3.5 Cryptography
Domain ini mempelajari berbagai metode dan teknik penyembunyian data

menggunakan kriptografi. Kriptografi ini sangat penting untuk melindungi data
perusahaan dari orang-orang yang tidak berhak.
28
Tujuan dari kriptografi adalah sebagai sarana untuk menjaga kerahasiaan,
melacak intergritas data dan melakukan otentifikasi data. Jadi walaupun misalnya karena
satu dan lain hal data perusahaan dapat diperoleh oleh orang yang tidak berhak, mereka
tidak dapat membaca data tersebut karena data tersebut telah dienkripsi.
Kriptografi pada PT. Adiperkasa Distribusindo selama ini baru dilakukan pada
email laporan penjualan harian, mingguan dan bulanan yang dikirimkan ke distributor
pusat.
Kriptografi hanya diterapkan pada laporan yang dikirimkan ke distributor pusat,

hal ini pun dilakukan karena adanya perintah dari distributor pusat. Perusahaan tidak
pernah berusahan mengamankan data yang dimiliki pada server perusahaan dengan
melakukan kriptografi data.
Selain melakukan enkripsi pada data yang dikirim ke distributor pusat maka
sebaiknya ditambahkan juga digital signature pada emai tersebut.
Enkripsi tidak hanya dilakukan pada pengirimin laporan penjualan harian saja,
tetapi data yang berada di dalam server perusahaan pun harus dienkripsi untuk
melindunginya dari orang-orang yang tidak berhak. Enkripsi yang digunakan dapat
menggunakan software Pretty Good Privacy yang dapat diperoleh secara gratis.
3.6 Security Architecture and Model
Tujuan dari domain ini adalah untuk mempelajari konsep, prinsip dan standar
untuk merancang dan mengimplementasikan aplikasi, sistem operasi dan sistem yang
aman. Penerapan security architecture dan model yang baik akan sangat membantu
keamanan sistem perusahaan secara keseluruhan.
29
Model jaringan komputer di PT. Adiperkasa Distribusindo yang tidak terhubung

terus menerus dengan internet mengurangi resiko diakses dari luar dan hanya dua titik
yang dapat mengakses internet sudah cukup baik dalam prinsip keamanan. Tetapi akses
yang masih terbuka untuk setiap orang dalam satu divisi tidak cukup baik diterapkan.
Akses terhadap aplikasi masih berdasarkan divisi dan bukannya perseorangan. Ini
merupakan resiko keamanan yang cukup tinggi, walaupun sifatnya berupa resiko
keamanan internal.
Setiap orang di dalam perusahaan yang berhak menggunakan komputer

mempunyai aksesnya masing-masing. Akses ini hanya berlaku untuk pegawai tersebut
menjalankan pekerjaannya, dan tidak dapat digunakan untuk memasuki aplikasi yang
tidak berhubungan dengan pekerjaannya.
Selain itu semua orang di dalam perusahaan harus diberi pengetahuan tentang
keamanan perusahaan, sehingga setiap orang akan ikut berpartisipasi dalam menjaga
keamanan perusahaan.
Pengamanan arsitektur untuk data, dengan membatasi akses pegawai terhadap
peralatan komputer secara langsung. Sistem komputer dibuat tertutup, segala peralatan
input/output dibatasi dengan ketat penggunaannya. Sehingga pegawai tidak memiliki
akses untuk memasukkan atau mengeluarkan data secara mudah dari lingkungan
perusahaan.
3.7 Operation Security
Pada domain ini ditentukan bagaimana aspek pengamanan sistem informasi yang
terkait dengan SDM, perangkat keras/lunak, termasuk teknik auditing dan
30
pemantauannya. Tujuan dari operation security adalah tindakan apa yang diperlukan
untuk menjadikan sistem beroperasi secara aman, terkendali dan terlindung.
Tidak ada tindakan khusus melakukan pengamanan di PT. Adiperkasa

Distribusindo , tindakan pengamanan yang diambil masih tergantung individu-individu
yang menggunakan sistem itu.
Belum adanya prosedur yang diterapkan dalam sistem pengamanan

telekomunikasi dan informasi perusahaan.
Dalam mendukung operation security di PT. Adiperkasa Distribusindo maka perlu di

adakannya tindakan-tindakan yang harus dilakukan dalam melakukan pengamanan sistem
telekomunikasi dan informasi perusahaan.
1. Least Privileged.
Adanya pembatasan penggunaan aplikasi oleh pengguna. Pengguna dapat
menggunakan aplikasi hanya sesuai dengan kebutuhan pekerjaannya. Tidak
semua pengguna dapat mengubah data. Hal ini dilakukan dengan melakukan
penerapan akses kontrol.
2. Separation of duties
Terjadinya pemisahan-pemisahan tugas yang dilakukan oleh masing-
masing divisi. Hal ini selama ini dilakukan dengan memberikan login dan
password berdasarkan divisi. Penerapan ini dapat ditingkatkan dengan melakukan
akses kontrol dan penerapan VLAN pada sistem perusahaan.
3. Categories of Control
Melakukan tindakan-tindakan pencegahan, deteksi dan perbaikan terhadap
sistem teknologi informasi perusahaan.
4. Change Management Control
31
Tindakan perbaikan atau perubahan dalam sistem teknologi informasi
perusahaan harus atas seijin dan sepengetahuan manajer. Seluruh perbaikan dan
perubahan ini harus dites dan diuji coba dahulu sebelum diterapkan pada sistem
perusahaan. Hal ini untuk menghindari hilangnya keamanan sistem secara tidak
sengaja karena adanya perbaikan dan perubahan tersebut.
5. Adminstrative Control
Untuk melakukan pemasangan software baru dan perawatan sistem
dilakukan oleh satu orang yang bertanggung jawab secara khusus. Untuk PT.
Adiperkasa Distribusindo yang tidak memiliki bagian teknologi informasi secara
terpisah dapat mengangkat satu orang pegawai khusus untuk mengatasi segala
permasalahan teknologi informasi yang ada atau jika hal ini tidak dimungkinkan
pekerjaan ini dapat di rangkap oleh salah seorang pegawai yang memiliki
pengetahuan komputer yang memadai.
6. Record Retention
Menerapkan berapa lama data akan disimpan dalam database perusahaan.
Data-data yang sudah tidak diperlukan dapat dihapus dan di simpan dalam media
backup di luar sistem jaringan perusahaan. Penyimpanan data dalam media yang
dapat dihapus harus dengan prinsip kehati-hatian, karena data ini dapat saja
dimunculkan kembali dengan forensik.
7. Media Security Control
Menerapakan akses kontrol dan metode logging pada server untuk
mengetahui siapa saja yang menggunakan dan memanfaatkan aplikasi. Akses
kontrol ini juga bermanfaat mencegah akses oleh orang yang tidak berhak. Selain
itu media-media penyimpanan data yang sudah tidak dipergunakan lagi harus
dibuang dan dihancurkan dengan cara yang tepat, agar data yang terdapat di
media itu tidak dapat di akses lagi oleh orang yang tidak berhak.
3.8 Disaster Recovery & Business Continuity Plan
Pada domain ini dibahas bagaimana agar bisnis tetap beroperasi meskipun ada
gangguan, dan bagaimana agar sistem informasi selamat dari bencana.
32
Seluruh sistem selain dijalankan secara teknologi informasi juga dijalankan secara
manual dengan menggunakan kertas. Sehingga jika terjadi bencana pada sistem teknologi
informasi maka seluruh informasi masih dapat diperoleh dari dokumen yang ada.
3.8.2 Kekurangan sistem yang diterapkan saat ini
Sistem teknologi informasi yang ada saat ini tidak mempunyai perencanaan
skenario terjadinya bencana yang mungkin timbul dan cara mengatasi bahaya tersebut.
Seluruh sistem difungsikan secara manual saja jika terjadi bencana.
Harus dirancang bagaimana mengatasi masalah yang mungkin timbul jika terjadi
bencana pada sistem teknologi informasi. Sistem tidak dapat hanya bergantung pada
sistem manual, sebab cara ini memakan waktu yang lebih lama dan mempunyai
kemungkinan kesalahan yang cukup besar.
Jika terjadi bencana pada sistem teknologi informasi perusahaan yang harus
dipastikan selamat pertama kali adalah data perusahaan. Data ini dapat diperoleh dari
backup yang dilakukan secara rutin dengan prosedur back-up data yang benar.
3.9 Laws, Investigations and Ethics
Pada domain ini dibahas berbagai aturan yang terkait dengan kejahatan komputer
dan legalitas transaksi elektronik, serta membahas masalah etika dalam dunia komputer.
Perusahaan menggunakan software windows sebagai sistem operasi, microsoft

office sebagai penunjang office automation, dan software aplikasi distribusi dari
distributor pusat. Seluruh software yang digunakan adalah legal dan PT. Adiperkasa
Distribusindo memiliki lisensi penggunaannya.
33
3.9.2 Kekurangan sistem yang diterapkan saat ini
PT. Adiperkasa Distribusindo tidak mempunyai rencana yang jelas untuk

pengembangan sistem teknologi informasinya, sehingga kebijakan pengadaan software
tidak mempunyai arah. Kadang-kadang para pegawai menginstall begitu saja software-
software yang ingin mereka gunakan (software bajakan) tanpa memikirikan dampaknya
pada perusahaan.
PT. Adiperkasa Distribusindo memberlakukan beberapa kebijakan-kebijakan

sehubungan dengan legalitas transaksi elektronik dan copy right sbb:
1. Semua software yang dipakai adalah software asli dan bukan bajakan.
2. Semua pengguna komputer dilarang menginstall software yang tidak berasal dari
perusahaan.
3. Semua kebutuhan diusahakan dipenuhi dari aplikasi yang sudah ada. Jika aplikasi
yang dibutuhkan tidak tersedia maka diusahakan mencari aplikasi yang gratis dan
terbukti kehandalannya.
3.10 Physical Security
Pada domain ini diterapkan sistem kontrol untuk menghadapi berbagai ancaman
terhadap fasilitas sistem informasi. Lingkup mencakup : Physical access control (Guards,
fences, keys and locks, badges, escorts, monitoring / detection system), environmental
protection ( power protection, water protection, fire detection, fire suppression,
evacuation, environment monitoring/detection).
PT. Adiperkasa Distribusindo adalah perusahaan skala kecil – menengah,

sehingga perangkat teknologi informasi yang mereka gunakan juga masih sederhana.
34
Demikian pula dengan informasi yang mereka miliki masih terpusat di satu lokasi dan
dengan ukuran yang cenderung kecil. Walapun demikian physical security sangat
diperlukan.
1. Desain pemilihan tempat & konfigurasinya

Pada perusahaan skala kecil – menengah umumnya lokasi server adalah lokasi
perusahaan itu sendiri. Oleh karena itu selain memikirkan aspek bisnis sebaiknya
pemilihan tempat usaha juga memikirkan aspek keamanan teknologi informasi. Hal –
hal yang perlu diperhatikan diantaranya :
- Tingkat keamanan di lingkungan tersebut. PT. Adiperkasa Distribusindo saat
ini memilih lokasi di daerah bisnis dengan tingkat keamanan yang cukup baik.
Lokasi ini terletak di domain bisnis dengan beberapa pintu masuk yang dijaga
petugas keamanan. Selain itu perusahaan lain yang ada di samping lokasi
usaha PT. Adiperkasa Distribusindo cukup dapat dipercaya.
- Lokasi usaha yang dipilih PT. Adiperkasa Distribusindo sudah memiliki

emergency exit yang dapat digunakan saat terjadi bencana.
- Power supply di lokasi yang dipilih PT. Adiperkasa Distribusindo memang

masih kurang stabil. Oleh karena itu PT. Adiperkasa Distribusindo memiliki
UPS yang cukup untuk semua server dan komputer mereka. Selain itu PT.
Adiperkasa Distribusindo memiliki generator kecil yang dapat digunakan
apabila listrik padam dalam waktu yang cukup lama. Generator ini digunakan
untuk server dan komputer yang berhubungan langsung dengan penjualan. Ini
penting agar penjualan tidak terganggu dengan padamnya listrik. Hanya saja
memang saat ini belum ada jadwal pemeriksaan rutin terhadap kondisi UPS
dan generator yang ada. Sebaiknya ini perlu dilakukan untuk memastikan
bahwa perangkat tersebut dalam kondisi baik saat dibutuhkan.
35
2. Lokasi dan desain ruang server
- Lokasi ruang server PT. Adiperkasa Distribusindo sendiri ada dalam satu
ruangan yang terkunci sehingga hanya orang tertentu yang bisa masuk ke
sana. Ruangan ini memiliki kaca yang dapat digunakan untuk melihat kondisi
server dari luar ruangan tersebut.
- Di dalam lokasi tersebut diletakkan tabung pemadam kebakaran. Hal ini

penting untuk menjaga jika terjadi kebakaran di dalam ruangan.
- Selain UPS dan generator yang disiapkan untuk mengatasi permasalahan

dengan listrik yang umum (misalnya : blackout, brownout, sag, spike, dll.)
maka disiapkan suatu alat untuk penangkal petir. Penangkal petir yang
digunakan bukanlah yang dipasang diatas gedung karena manajemen lokasi
tidak mengijinkan pemasangan tersebut dan lokasi ini terletak di daerah yang
jarang terkena petir. Alat penangkal petir yang digunakan dipasang antara
power outlet dengan UPS / perangkat. Alat ini mampu memutuskan aliran
listrik apabila ada lonjakan yang sangat tinggi dikarenakan petir.
- Lokasi server juga dilengkapi dengan alat pendingin ruangan. Hal ini sangat
penting mengingat lokasi usaha adalah di kota yang dekat garis katulistiwa
yang umumnya memiliki suhu agak tinggi. Sehingga perlu disesuaikan suhu
di ruangan servernya. AC yang digunakan berdaya sekitar 0,5 PK untuk
ruangan sebesar 2,5 X 2,5 m. Ini diperlukan untuk menjaga suhu ruangan di
bawah 23o C.
3.10.2 Kekurangan Sistem yang diterapkan saat ini
Saat ini tidak ada prosedur dan kebijakan keamanan yang baku di PT. Adiperkasa
Distribusindo, sehingga jika terjadi bencana maka yang dilakukan adalah yang menurut
masing-masing pegawai terbaik. Juga masih dapat ditingkatkannya pengamanan secara
fisikal terhadap lokasi dari perangkat keras.
36
- Yang paling penting bagi PT. Adiperkasa Distribusindo adalah untuk

menyiapkan prosedur dan policy keamanan yang saat ini belum ada. Prosedur
ini mencakup misalnya : prosedur penanganan kebakaran, serangan petir,
kerusakan server, dsb. Sedangkan policy yang diperlukan adalah untuk
mengatur akses ke ruang server, dll. Hal ini penting karena tanpa prosedur
yang jelas maka physical security yang sudah ada tidak akan berguna.
- Penting untuk PT. Adiperkasa Distribusindo menganggarkan dana untuk

meningkatkan physical security dari lokasinya secara gradual sesuai dengan
berkembangnya bisnisnya. Misalnya dengan kunci yang lebih baik untuk
ruang servernya, alarm kebakaran / smoke detector, dll.
3.11 Audit and Assurance
Pada domain ini ditetapkan bagaimana menerapkan auditing sistem informasi

terkait dengan masalah keamanan sistem informasi.
Pengauditan dilakukan dengan mengimplementasikan strategi audit berbasis risk

manajemen serta control practice yang dapat disepakati semua pihak.
Belum ada audit and assurance yang dilakukan
3.11.2 Kekurangan Sistem yang diterapkan saat ini
Belum ada audit and assurance yang dilakukan
37
Secara periodik diadakan pengecekan terhadap aspek aspek keamanan sistem

informasi di PT. Adiperkasa Distribusindo . Pegawai yang melakukan pengecekan adalah
manajer PT. Adiperkasa Distribusindo menggunakan tahapan-tahapan sebagai berikut:
1. Audit Subject
Menentukan apa yang akan di audit. Sebelum audit dilakukan telah
ditentukan hal-hal apa saja yang termasuk ke dalam audit kali ini dan apa yang
tidak termasuk didalamnya. Hal ini untuk mencegah audit tidak fokus dan
menyimpang dari tujuannya.
2. Audit Objective
Menentukan tujuan dari pelaksanaan audit. Ditentukan tujuan-tujuan dari
pelaksanaan audit ini, hal-hal apa saja yang menjadi tujuan pelaksanaan audit.
Masing-masing tujuan itu harus dinyatakan dengan jelas agar dapat diketahui
dengan pasti tujuan dari pelaksanaan audit.
3. Audit Scope (ruang lingkup)
Menentukan sistem, fungsi dan bagian dari organisasi yang secara
spesifik/khusus akan diaudit. Setiap audit yang dilakukan harus mempunyai
batasan ruang lingkup yang jelas.
4. Preaudit Planning
Mengidentifikasi sumber daya dan sumber daya manusia yang dibutuhkan
dalam pelaksanaan audit. Menentukan dokumen-dokumen apa yang diperlukan
untuk menunjang audit. Menentukan tempat dilaksanakannya audit.
5. Audit Procedures & Steps for data Gatehring
Menentukan cara melakukan audit untuk memeriksa dan menguji kontrol.
Menentukan orang-orang yang berhubungan dengan permasalahan untuk
diwawacanrai.
6. Evaluasi Hasil Pengujian dan Pemeriksaan
Evaluasi dilakukan kembali setelah hasil pengujian dan pemeriksaan
dikeluarkan, apakah hal ini sudah sesuai dengan keadaaan di lapangan atau masih
ada faktor-faktor lain yang harus dipertimbangkan.
7. Prosedur Komunikasi dengan Pihak Manajemen
38
Setelah dilaksanakan audit maka pihak yang mengaudit harus
mengkomunikasikan hasilnya dengan pihak manajemen. Selama pelaksanaan
audit pun pihak yang mengaudit harus mengkomunikasikan diri dengan pihak
manajemen, agar audit dapat berjalan dengan lancar.
8. Audit Report Preperation
Menentukan bagaimana cara mereview hasil audit yang diperoleh.
Evaluasi kesahihan dari dokumen-dokumen, prosedur dan kebijakan dari
organisasi yang diaudit.
Tujuan dari audit bisa sangat beragam pada PT. Adiperkasa Distribusindo adalah
untuk evaluasi terhadap sistem teknologi informasi yang digunakan baik dari sisi internal
control, keamanan maupun kepastian kehandalan software yang digunakan.
Sebaiknya audit ini dilakukan secara rutin minimal setahun sekali, dan setelah
pergantian atau perbaikan sistem audit ini juga perlu dilakukan.
39

78 M AdiperkasaDistribusindo

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

78 M AdiperkasaDistribusindo

Diunggah oleh

Hak Cipta:

Format Tersedia

Tugas

Proteksi dan Teknik Keamanan

Sistem Informasi pada PT Adiperkasa Distribusindo

Copyright (c) 2004

Edo Kurniawan - 7203010138

1.1 PROFIL PERUSAHAAN................................................................................................... 11

BAB 2 TUJUAN DAN LINGKUP .............................................................................................. 18

BAB 3 KEAMANAN SISTEM INFORMASI ........................................................................... 19

3.1 ACCESS CONTROL SYSTEM & METHODOLOGY .................................................................... 19

Version 1.1, March 2000

Copyright (C) 2000 Free Software Foundation, Inc.

The purpose of this License is to make a manual, textbook, or other

This License is a kind of "copyleft", which means that derivative

1. APPLICABILITY AND DEFINITIONS

This License applies to any manual or other work that contains a

A "Modified Version" of the Document means any work containing the

A "Secondary Section" is a named appendix or a front-matter section of

The "Invariant Sections" are certain Secondary Sections whose titles

A "Transparent" copy of the Document means a machine-readable copy,

Examples of suitable formats for Transparent copies include plain

If you publish or distribute Opaque copies of the Document numbering

If the Modified Version includes new front-matter sections or

You may add a section entitled "Endorsements", provided it contains

The author(s) and publisher(s) of the Document do not by this License

In the combination, you must combine any sections entitled "History"

You may make a collection consisting of the Document and other

You may extract a single document from such a collection, and

A compilation of the Document or its derivatives with other separate

If the Cover Text requirement of section 3 is applicable to these

Translation is considered a kind of modification, so you may

10. FUTURE REVISIONS OF THIS LICENSE

The Free Software Foundation may publish new, revised versions

Each version of the License is given a distinguishing version number.

1.1 Profil Perusahaan

Perusahaan PT. Adiperkasa Distribusindo adalah perusahaan distribusi makanan

1.3 Struktur Organisasi

Ini adalah gambar struktur organisasi PT. Adiperkasa Distribusindo

Gambar 1. 1 Struktur Organisasi

Divisi ini secara umum bertugas untuk :

Adapun tugas – tugas divisi ini adalah diantaranya sebagai berikut :

Ada sekitar 5 orang petugas di divisi ini, termasuk dengan supervisornya.

Adapun pekerjaan dari divisi ini diantaranya adalah sebagai berikut :

Bagian finance dibawahi langsung oleh wakil pemilik perusahaan, dan

d. General affair / lain - lain

1.5 Aplikasi yang digunakan

Aplikasi untuk keperluan distribusi mereka menggunakan suatu aplikasi custom-made

1.6 Proses Bisnis PT. Adiperkasa Distribusindo

1. Access Control System.

3.1 Access Control System & Methodology

3.1.1 Kondisi saat ini di PT. Adiperkasa Distribusindo

3.1.3 Rekomendasi bagi PT. Adiperkasa Distribusindo

3.2.1 Kondisi saat ini di PT. Adiperkasa Distribusindo

PT. Adiperkasa Distribusindo mempunyai jaringan komputer dan telekomunikasi

3.2.2 Kelemahan dalam Sistem yang diterapkan saat ini

Perusahaan belum memiliki metode dan cara untuk mengamankan telekomunikasi

Pengamanan jaringan telekomunikasi dapat dilakukan dengan menyediakan

3.3 Security Management Practices

3.3.1 Kondisi saat ini di PT. Adiperkasa Distribusindo

Identifikasi Aset pada PT. Adiperkasa Distribusindo

b. Aset intangible (Software dan data)

Information Asset valuation pada restoran PT. Adiperkasa Distribusindo

Tabel 3. 1 Information asset valuation

Information Asset valuation