MULAI MATERI

MULAI MATERI
 Ketentuan Perkuliahan

Durasi Belajar 16 Mematuhi Memiliki

x Pertemuan Aturan Aktif belajar, buku Mengikuti
Kesepakatan bertanya, pegangan / UTS dan
2 SKS. (50 menit) dan diskusi. UAS.
/ Pertemuan Kelas. referensi.
MULAI MATERI
 ANCAMAN TERHADAP KEAMANAN
SISTEM
sistem informasi yang modern selalu berada :
• Kerentanan
• penyalah gunaan.

perlindungan dalam suatu sistem informasi. Sedangkan pengendalian terdiri atas :

pengamanan yang merujuk kepada
1. kebijakan
2. Prosedur
3. pengukuran teknik yang digunakan
untuk mencegah akses yang tidak sah
4. penggantian,
5. pencurian,
6. kerusakan fisik pada sistem informasi.
1. metode,
2. kebijakan,
3. prosedur organisasi yang menjamin
keselamatan aset-aset organisasi,
4. ketepatan,
5. keandalan catatan rekeningnya serta
kepatuhan operasional pada standar-
standar manajemen.
 • Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau
network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem
informasi sebagai komponen sangat penting (“extremely important”).
• Mereka lebih mementingkan : “reducing cost” dan “improving competitiveness”

Mekipun perbaikan sistem informasi

setelah dirusak justru dapat menelan biaya
yang lebih banyak.
terlihat sebagai besaran yang tidak dapat
langsung diukur dengan uang (intangible),

keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang
dapat diukur dengan uang (tangible).
• Perusahan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer didalam perusahan.

Tujuan
1. integeritas,
2. kelanjutan dan kerahasian dari pengolahan data.
3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang
dikeluarkan untuk tujuan pengamanan.

• Repotasi organisasi akan dinilai masyarakat apabila dapat diyakini oleh:

1. Integeritas (Integerity) Informasi
2. Kerahasian (Confidentiality)
3. Ketersediaan (Availability) Informasi
 • Informasi adalah aset organisasi yang sangat berharga dan
penting seperti aset-aset yang lain misalnya .??????
• Sistem informasi suatu keharusan untuk melindungi aset
perusahan untuk dari berbagai ancaman.
• Katagori aset –aset sistem informasi

 PersonalSistem :
Hardware
• Analis
• Programmer •CPU
• Operator •Printers
• database •Terminal/monitor
• adminstraktor •Routers
• Spesialis jaringan •Switch
• Spesialis PABX.
Software Aplikasi System Software Data
•Sistem Debtors • Operating Sistem • Transfer File
•Creditors • Compilers • Backup File,
•Pengajian • Utilities
•GL • Database system.
•ERP

Penunjang
Fasilitas
• Tapes
• Mebel • CD,DVD,disk pack
• Ruang Kantor • Kertas
• Filing Cabinet • Printer,Tinta Printer
 Ancaman
• Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat
merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer
Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes.
2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program update,tidak
cukup memadainya uji coba program.
3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel.
4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil, gempa,letusan
gunung
5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja, hura-
hura
6. Eksternal : Sabotase,sepionase, hura-hura
7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius software).
 Sangat rahasia
Inti utama dari aspek kerahasiaan adalah:

 usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
 Privacy lebih kearah data-data yang sifatnya privat.
Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang
dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi
“KRIPTOGRAFI”.
 Konfidentil (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak
repotasi organisasi
 Ristricted
Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.
 Internal Use
Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.
 Public
Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi.
MULAI MATERI
Kebijakan Keamanan Sistem Informasi

Kebijakan keamanan sistem

informasi biasanya disusun oleh
pimpinan operasi beserta pimpinan
ICT (Information Communication
Technology) dengan pengarahan
dari pimpinan organisasi.
 Rangkaian konsep secara garis besar dan dasar
prosedur keamanan sistem informasi :
• Tanggung jawab semua karyawan
• Penetapan pemilik sistem informasi
• Langkah keamanan harus sesuai dengan peraturan dan undang-undang
• Antisipasi terhadap kesalahan
• engaksesan kedalam sistem harus berdasarkan kebutuhan fungsi
• User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem
sesuai degan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas
pemberian akses ini.
• Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi
• Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk
dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan
dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas
pemberian pengaksesan terhadap data tersebut.
• Pekerjaan yang dilakukan oleh pihak ketiga
 Informasi
• Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non
peralatan komputer, fasilitas, data, dan informasi dari penyalah gunaan oleh orang
yang tidak bertanggung jawab.
• Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah
sistem informasi.
• Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi
yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan
untuk mencapai tiga sasaran utama yaitu:

• Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem
informasi
• Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang
sistem, pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan
sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem.
• Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus
melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan
(change request)
 Lanjutan
• Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan
implementasi sistem baru.
• Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban
oleh organisasi
• Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan
apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua
risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik
sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut.
• Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya
(user-ID)
• Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan
ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan
fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan
peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini.
 PRINSIP DASAR PERANCANGAN SISTEM YANG AMAN

• LANGKAH-LANGKAH KEAMANAN :
1. Keamanan Fisik Komputer :
• membatasi akses fisik ke mesin :
• Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS,
keamanan Bootloader
back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat
computer akan di- reboot,
 hal yang perlu diperiksa pada log dengan mencatat
kejanggalan yang ada
• Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi
atau kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang,
masukan atau login dari tempat yang janggal
• mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci
semua system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan
seseorang mengetahui password untuk mengakses system tersebut.
• Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk
mengunci agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan
dengan mengunci tampilan yang membutuhkan password untuk membukanya. xlock dapat
digunakan untuk mengamankan desktop pada saat meninggalkan meja anda, dan vlock
berfungsi untuk mengunci beberapa atau semua console teks yang terbuka.
 2. Keamanan lokal

Berkaitan dengan user dan hak-haknya dengan memberikan account

kepada orang yang tepat sesuai kebutuhan dan tugas-tugasnya :
• Beri mereka fasilitas minimal yang diperlukan.
• Hati-hati terhadap saat/dari mana mereka login, atau tempat
seharusnya mereka login.
• Pastikan dan hapus rekening mereka ketika mereka tidak lagi
membutuhkan akses.
 3. Keamanan Root
• Jangan sekali-sekali login sebagai root, jika tidak sangat perlu.
• ika terpaksa ingin menggunakan root, loginlah sebagai user biasa kemudian gunakan perintah su
(substitute user)
• angan sekali-sekali menggunakan seperangkat utilitas, seperti rlogin/rsh/rexec (utilitas r) sebagai root.
Semua itu menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai
root. Jangan membuat file .rhosts untuk root.
• Jangan pernah menggunakan “.”, yang berarti direktori saat ini dalam penyertaan path. Sebagai
tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini
memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang
memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut.
• Batasi penggunaan konsol untuk login sebagai root
• Selalu perlahan dan berhati-hati ketika menjadi root. Tindakan anda dapat mempengaruhi banyak hal.
Pikir sebelum anda mengetik!
 4. Keamanan File dan system file
• Seorang administrator system perlu memastikan bahwa file-file pada system tidak terbuka untuk
pengeditan oleh pemakai dan grup yang tidak seharusnya melakukan pemeliharaan system.
• Directory home user tidak boleh mengakses perintah mengubah system seperti partisi, perubahan device
dan lain-lain.
• Lakukan setting limit system file.
• Atur akses dan permission file : read (mampu melihat isi file, dan membaca directori), write (mampu
menambah dan mengubah file, menghapus atau memindahkan file dalam sebuah direktori), execute
(mampu menjalankan program biner atau script shell, mencari sebuah directory yang dikombinasikan
dengan permisi read) bagi user maupun group.
• Selalu cek program-program yang tidak dikenal
5. Keamanan Password dan Enkripsi

• Hati-hati terhadap bruto force attack,

seperti “Crack” atau “John the Ripper”
sering digunakan untuk menerka
password. Usahakan dengan membuat
password yang baik.
• Selalu mengenkripsi file yang
dipertukarkan.
 6. Keamanan Kernel
• Kernel merupakan otak system operasi yang mengatur pemakai
banyak (multiple users) dan proses, mengelola directory
system serta melakukan seluruh pengelolaan I/O untuk system
tersebut.
• selalu update kernel system operasi.
• Ikuti review bugs dan kekurang-kekurangan pada system
operasi.
 7. Keamanan Jaringan
• Waspadai paket sniffer yang sering menyadap port Ethernet.
• Lakukan prosedur untuk mengecek integritas data
• Verifikasi informasi DNS
• Lindungi network file system
• Gunakan firewall untuk barrier antara jaringan privat dengan
jaringan eksternal
• Dengan munculnya komputer di lingkungan organisasi,aset perusahaan akan bertambah sehingga
diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan atau
kewajiban.

integrity

Availability Confidentiality
 ISO 17799
• ISO (the International Organization for Standarization) dan IEC (the International
Electrotechnical Commission) membentuk sistem khusus untuk standardisasi universal. Badan-
badan nasional anggota ISO dan IEC berpartisipasi dalam pengembangan standardisasi
internasional melalui panitia teknis yang disepakati oleh organisasi-organisasi yang terpercaya
keahliannya dalam aktivitas-aktivitas teknis.
• Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris (dikenal sebagai
BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh Panitia Teknis Gabungan
ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan dengan persetujuan dari badan-badan
nasional ISO dan IEC).
• Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di Argentina, salah
satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas harus didasarkan pada
sedikit-dikitnya dua tonggak dasar yaitu etika dan kebudayaan.
 ISO 17799 terdiri dari
1. Business Continuity Planning
2. System Control Access
3. System Development dan Maintenance
4. Physical and Environmental Security
5. Compliance
6. Personal Security
7. Security Organization
8. Computer and Network Management
9. Asset Classification and Control
10.Security Policy
 JENIS STANDAR / SPESIFIKASI

STANDAR /
SPESIFIKASI
FISIK
DOKUMEN
DOKUMEN
(Gedung, Lab,
KEMAJUAN dll) SISTEM
IPTEK PRODUK
--ISO
SMM9001:
ISO
-SPLN 42-3:1992 2008
9001
DOKUMEN KERAGAMAN/
SISTEM
KOMPATIBILITAS
- SNI 04-6507.1- - SML ISO
PENGUJIAN/
KOMPETENSI
(Gedung, Lab, LULUSAN/
2002
UAS/UTS/SIDANG 14001
LULUSAN
dll) DLL
- DLL
halaman 31 dari 50 - OHSAS,
halaman SMK3, DLL
 STANDAR SISTEM MUTU ISO 9000

• ILUSTRASI
P DP D
STANDAR MUTU A CA C
PRODUK TERTENTU ISO
9001

ISO
9001 PERBAIKAN
BERKELANJUTAN
 FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM
PERBAIKAN BERKESINAMBUNGAN
SISTEM MANAJEMEN MUTU PT

M Tanggung jawab
manajemen M
A P K
e e A
H r p
s H
A y
Pengelolaan Ujian, analisis
u
a
sumber daya dan perbaikan a A
S r s
a a S
I t
Output
a
Input n I
S Realisasi
ALUMNI
n S
W LULUSAN
W
A
Kunci: Pertambahan nilai A
Aliran Informasi

Model sistem manajemen mutu berdasarkan proses

 D OKUMENTASI S ISTEM M UTU

Struktur Dokumentasi Sistem Mutu

Level I Philosophie Menggambarkan secara garis

Pedoman Why
s and besar latar belakang, kebijakan
Mutu Policies dan sasaran perusahaan.
Level II What, When, Principles Menggambarkan mengenai
Prosedur and interaksi suatu bagian
Where & Who
Level III Strategies dengan bagian yang lain.
instruksi kerja How Menggambarkan mengenai
dan dokumen bagaimana aktivitas di suatu
pendukung lainnya (Current Practice)
bagian dilaksanakan.
RECORDS
(Proof)
Pedoman Mutu

Tujuan :
– Memberi informasi kepada karyawan dan pelanggan,
tentang tujuan dan kebijakan manajemen dalam hal mutu.
– Memberi jaminan kepada asesor atau pembaca, bahwa
organisasi telah menerapkan sistem mutu yang sesuai
dengan ISO 9001

Isi :
– Menggambarkan setiap elemen dari ISO 9001 yang
diterapkan dalam perusahaan.
– Penggambaran tersebut tidak perlu sangat detail.
– Secara luas, Pedoman Mutu menyatakan apa yang dilakukan
untuk menjamin mutu produk (barang atau jasa)
Pernyataan Kebijakan Mutu

 Menyatakan komitmen manajemen puncak, sebagai

pencerminan komitmen perusahaan secara
menyeluruh
 Memberi jaminan bahwa mutu merupakan salah
satu aspek penting dalam kebijakan perusahaan
 Ditandatangani oleh top manajemen
 Harus dimengerti oleh setiap karyawan
 Penerapannya merupakan tanggung jawab
manajemen
 Pedoman Mutu

Isi Kebijakan Mutu

 Menyatakan
 Tujuan perusahaan dalam hal mutu
 Komitmen perusahaan untuk memenuhi persyaratan dan senantiasa
memperbaiki keefektifan sistem manajemen mutu.
 Kerangka kerja untuk menetapkan dan meninjau tujuan mutu.
 Kebijakan mutu akan ditinjau agar selalu sesuai.

 Menguraikan
 Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan
 Bagaimana kebijakan mutu diterapkan dan dipelihara
 P ROSEDUR, I NSTRUKSI K ERJA, R EKAMAN

MAJOR BUSINESS
PROCESS QUALITY MANUAL
(Manual define concept)
PROCESSES

PROCEDURE
(Process to Activities)
ACTIVITIES

WORK INSTRUCTION
(Activities to Tasks)
TASKS
 Proses pelayanan Pendidikan

Suppliers
S–P-O
Structure Proses Outcome
Customers
(MAHASISWA)

PK & IK CQI

SMM: SMM:
Kebijakan
Manual
Sistem yang menjamin
Perencanaan kualitas lulusan dan
Sasaran
proses melalui
standardisasi dan
Leadership
perbaikan yang
Management
berkesinambungan
Suppliers
S–P-O Customers

Kebijakan Qmanual BPM QI

Sasaran
Perencanaan
Prosedur QMS
Instruksi kerja
Bagaimana ISO 9000 dapat
menjamin hal tersebut?
 Dampak dari pemanfaatan
Komputer
• Dampak dari penggunaan komputer yang merupakan alat bantu didunia bisnis demi meningkatkan
efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah
tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau
terpikirkan.
1. Sentralisasi Data
2. Pengaksesan data
3. Pemisahan Tugas / Segregation of duties
4. Kekurangan audit trail (bukti secara fisik)
5. Tidak tersedianya prosedur dan dokumentasi yang memadai
6. Pengetahuan teknologi yang tinggi
7. Teknologi telah merubah pola berbisnis
8. Tingkat otoritas
9. Keterlibatan audit
 Kebutuhan atas Strategi Keamanan
Sistem Informasi
Strategi Keamanan sistem informasi dibutuhkan karena

 Informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk mensukseskan
bisnis
 Teknologi yang baru telah mengubah pola lingkungan bisnis, termasuk ancaman dan serangan
dari luar lingkungan.
 Keamanan sistem informasi merupakan kunci keberhasilan untuk menggunakan alat bantu
baik dalam bentuk hardware maupun software dalam berbisnis dan pemerosesan.
 Penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem
informasi
 Bisnis secara elektronik membutuhkan kepercayaan bisnis
 Bisnis perusahan sangat tergantung dengan ICT.
 Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan untuk jangka panjang
MULAI MATERI
 Assess Risk
Keamanan informasi diperoleh dengan
menginplementasikan bermacam-macam alat
kontrol dan juga kebijakan-kebijakan atau
prosedur-prosedur.
• Langkah awal organisasi harus mempelajari dan
terlebih dahullu harus mengevaluasi semua risiko
yang akan dihadapi dengan komputerisasi pada
perusahan tersebut.
 Jenis informasi
Terminologi jenis informasi paling sedikit akan menyangkut :

a. Arsip elektronik. C. Rekaman

 Software file  Rekaman Vidio
 Data files atau data base  Rekaman Audio
b. Dokumen dalam bentuk kertas D. Komunikasi
 Dokumen yang dicetak di atas kertas  Percakapan melalui telepon,HP
 Dokumen yang ditulis tangan  Percakapan tatap muka
 Foto,gambar.sketsa  Percakapan atau pesan melalui E-mail
 Pesan melalui Fax
 Pesan vidio
 Pesan instan SMS
 Risk
• Berikut jenis impact yang menyangkut pada saat menganalisa resiko :

 Kerugian atas revenue

 Kerugian atas modal organisasi
 Kerugian mengenai reputasi dipasr
 Menghilangkan kesempatan bisnis
 Kerugian dipasar modal
 Kehilangan kepercayaan pelanggan
 Kehilangan kepercayaan pemegang saham
 Melanggar regulasasi
 Melanggar hukum
 Tercemarnya nama baik organisasi
Risk
 Analisi Risiko
• Risk analisis merupakan cikal bakal
pembuatan kebijakan keamanan sistem dari
setiap organisasi.
• Risk analisis melibatkan penentuan :
– Apa yang harus diprioritaskan dan dikontrol oleh
organisasi
– Apa yang dibutuhkan untuk memproteksinya
– Bagaimana cara memproteksi dan mengontrolnya
– Prioritas
 Tujauan utama risk assesment mengedentifikasi proteksi dan kontrol terhadap
informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu (gray
area) atau bidang yang tidak jelas jenis kontrol apa yang cocok untuk diterapkan.

• Contoh gray area :

Penggunaan multimedia massage servise (MMS). Boleh dikatakan pada saat
ini semua orang memiliki telphon genggam dengan built-in kamera yang dapat
dikatagorikan sebagai ancaman. Pemilik dapat merekam informasi rahasia terutama
rahasia manufactoring atau pertahanan informasi tersebut dapat dengan mudah
dikirim keluar organisasi melalui mobil network.
Pada saat penentuan kontrol banyak faktor yang harus dipertimbangkan, termasuk
peraturan pemerintah yang menyangkut bisnis perusahaan yang digeluti.harus disdari
juga bahwa setiap kontrol dibutuhkan persyaratan yang akan diterapkan yang akan
membutuhkan waktu dalam pelaksanaan (response time). Dan penambahan biaya.

Resiko harus dikelompokan dalam tingkat kepentingan dan dampak

kerusakan yang diakibatkanya. Faktor penentunya adalah:
 Perkiraan resiko kehilangan sumber daya (dengan sengaja atau tidak
sengaja )
 Perkiraan pentingnya sumber daya (Apa impact-nya)
 Katogori yang harus dipertimbangkan untuk
mengestimasikan ancaman terhadap keamanan sistem.
 Hardware
 Software
 Data
 Manusia
 Dokumentasi
 Persedian
MULAI MATERI
 katagori Tanggung jawab pemakaian dan keamanan
sistem informasi

1. Tanggung jawab Karyawan

2. Tanggung jawab Manajer
Tanggung jawab Umum,Karyawan,Manajer

Tanggung
Perusahaan karyawan
jawab

aset
 Secara spesifik, personal yang memiliki kaitan
dengan sistem komputerisasi :
a. Personal yang telah ditunjuk sebagai pemilik sistem
b. Personal lain yang dikatagorikan sebagai pemakai
c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer)
d. Spesialis database
e. Spesialis jaringan komunikasi
f. Spesialis PABX
g. Organisasi data processing (operator)
h. Auditor (EDP)
i. Administrasi sistem keamanan
j. Personal andministrasi
 Karyawan
• Karyawan
Tanggung jawab setiap karyawan :
1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan
keamanan yang berlaku.
2. Melaporkan kepada atasan apabila mengetahui kejanggalan-
kejanggalan atau kekurangan dalam hal keamanan.
3. Memasitikan agar semua informasi yang sensitif mengenai
perusahan tidak akan disebarluaskan yang mengakibatkan kerugian
perusahan.
4. Setelah menerima password, mengganti langsung dan secara teratur
sesuai dengan peraturan yang telah ditentukan.
Manajer
 Tanggung jawab Manajer :
a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan peraturan
keamanan sistem yang informasi yang berlaku serta monitor.
b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk
melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi
c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi yang
mereka embang
d. Memastikan pemisahan tugas/pekerjan karyawan
e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan berfungsi yang
telah diintegrasikan dalam persuder kerja harian
f. Bertindak cepat dan tepat waktu
g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama
 Tanggung Jawab Secar Spesifik Keamanan Sistem
Informasi
• Pemilik Sistem
Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional dari
sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan penggunanya
• Tanggung Jawab. Pemilik Sistem:
1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem tersebut
berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala.
2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan
keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko keamanan
sistem.
3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan otoritas
diimplentasikan secara benar.
 Pemakai
• Tanggung jawan Pemakai
1. Menggunakan sistem informasi sesuai dengan tanggung jawab
2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan
menggunakan User-ID.
3. Mengetahui semua intruksi beserta keamanan dan mematuhinya
4. Laporan kepada atasan
5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan
6. Tidak diperkenakan berbagi password
7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan
hubungan kerja.
8. Membuat backup sendiri dari pc.
9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang
berkaitan dengan pekerjaan dan bukan untuk kebutuhan pribadi
 Pengembangan Sistem
Pengembang sistem adalah staf ICT yang
memiliki keahlian dalam bidang designing,
programing,troubleshooting sistem, dan memiliki
tanggung jawab untuk memilih,mengembangkan, dan
memilihara sistem komputer atas nama pemilik
sistem.
 Spesialist Database
• Memiliki keahlian yang luas dalam bidang
manajemen database dan memiliki tanggung
jawab untuk memilih, mengembangkan dan
memelihara sistem database atas nama pemilik
sistem.
Spesialisasi jaringan komunikasi
• Staf yang memiliki keahlian mengenai jaringan komunikasi,
LAN, WAN, VSAT, beseta penunjang baik yang berupa
hadware maupun software. dan memiliki tanggung jawab
untuk memilih, mengembangkan dan memelihara jaringan
komunikasi atas nama pemilik sistem.
 Spesialisasi PABX
• Staf yang memiliki keahlian
mengenai sistem telepon dan
memiliki tanggung jawab
untuk memilih PABX sesuai
kebutuhan perusahan dan
memeliharanya
 Organisasi dan Processing
1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan syarat
yang diberikan oleh pemilik sistem untuk melskuksn pemonitoran, dan
keamanan.
2. Memindahkan sistem ke production environmen setelah disetujui oeleh
pemilik sitem
3. Memastikan agar wewenang yang diberikan kepada pemakai dapat
dimonitori dengan baik.
4. Log off apabila meninggalkan sistem
 Auditor
• Tanggung jawab :
1. Memberikan penilaian dan rekomendasi
2. Melaporkan penemuan
3. Melakukan audit
4. Kontrak yang berkaitan dengan sistem informasi
sudah disetujui oleh unit kerja hukum.
Administrator Sistem Keamanan
• Staf yang memiliki keahlian untuk mengimplementasi dan memelihara
keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik
sistem dan kepala unit kerja yang terkait.
• Tanggung jjawab:
1. Mentrukturkan keamanan sistem informasi
2. Implementasi dan maintain
3. Administrasi dan memberikan otoritas pengaksesan sistem
4. Pengawasan software leseni asli
• Keamanan pasword administrator
 Personal Aministrasi
• Staf yang bertanggung jawab untuk urusan
administrasi berkaitan dengan sistem
informasi.
 Tanggung jawab manajemen
• 1. Komitmen manajemen:
– Manajemen puncak harus menyediakan bukti komitmennya untuk mengembangkan dan
melaksanaan SMM secara berkelanjutan, menyempurnakan efektivitasnya dengan:
• mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan dan peraturan yang
berlaku
• menetapkan kebijakan mutu
• menetapkan sasaran mutu
• melakukan tinjauan manajemen
• Memastikan ketersediaan sumber daya
• 2. Fokus pelanggan:
– Manajemen puncak harus memastikan bahwa persyaratan pelanggan/mahasiswa ditentunkan
dan dipenuhi dengan sasaran meningkatkan kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan
8.2.1)
 Tanggung jawab manajemen
• 3. Kebijakan mutu:
• Manajemen puncak memastikan bahwa kebijakan mutu:
– Sesuai dengan tujuan organisasi
– Memuat komitmen untuk mematuhi persyaratan dan secara berkelanjutan akan
menyempurnakan efektifitas sistem manajemen mutu
– Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-sasaran mutu
– Dikomunikasikan dan dipahami oleh semua dosen & karyawan
– Ditelaah untuk kesesuaian berkelanjutan
 Tanggung jawab, wewenang, dan
komunikasi
– Tanggung jawab dan wewenang:
• Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan dan
dikomunikasikan di dalam organisasi
– Wakil manajemen (MR):
• Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar tanggung jawab yang lain
harus mempunyai tanggung jawab dan wewenang meliputi:
– Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan dipelihara
– Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan untuk
penyempurnaan
– Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa di dalam
organisasi

– Komunikasi internal:
• Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai ditetapkan dalam
organisasi dan bahwa komunikasi mengenai efektivitas SMM berlangsung.
 6. Telaah manajemen:

– Umum
– Manajemen puncak harus menelaah SMM organisasi, pada interval yang
terencana, untuk memastikan kesesuaian yang berkelanjutan, kecukupan,
dan efektivitas
– Penelaahan harus meliputi penilaian kesempatan untuk penyempurnaan
dan kebutuhan untuk perubahan SMM termasuk kebijakan dan sasaran
mutu
MULAI MATERI
 Logikal Scurity dan Kontrol Password

 Tujuan Logical scurity dan kontrol Password

 Aplikasi Logical scurity dan kontrol Password

 Access Level
 Tanggung jawab pemberian kontrol
 Logical security
• Logical security adalah pengontrolan dengan pertolongan
software/aplikasi tertentu terhadap pengaksesan pemakai sesuai
kewenangannya untuk dapat mengakses data/informasi.
• Tujuan :
Melindungi data/informasi yang tersimpan di pusat komputer
dari perusakan atau penghancuran yang dilakukan baik sengaja atau
tidak Menghindari dan mendeteksi perubahan terhadap informasi
yang dilakukan oleh pihak yang tidak berwenang, serta menjaga
informasi agar tidak disebarkan kepihak lain.
Aplikasi Logical Security

 User ID
 Password
 Access level
 Closed menu
 User ID
Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses sistem
komputer.
• Beberapa informasi yang disimpan dalam User ID
 User name
 Password
 Initial menu
 Output queue
 Special authorities
 Password change date
 Access level
 Dll
 Password
• Berhubungan dengan User ID, untuk membuktikan bahwa
pemilik memiliki wewenang untuk mengakses sistem.
• Akses ke dalam sistem dapat ditolak bila
 User ID salah, password benar
 User ID benar, password salah
 Keduanya salah
 Batasan kesalahan, dan pemblokiran
 Rekaman file log
 Access Level

• Metode pengontrolan tergantung dari peralatan dan enviroment

yang digunakan, secara umum antara lain:
 No access.?
 Execute .?
 Read.?
 Modify/update.?
 Delete.?
 Add/write.?
 Owner.?
 Closed Menu
• Menu pertama ini memberikan opsi untuk memanggil
submenu lain dan submenu yang ditetapkan
• Tanggung Jawab Pemberian Kontrol :Security
Administrator memiliki wewenang untuk
membuat, mengganti, dan menghapus User ID
berserta password dan tingkat kontrol
pengaksesan
 Tolak Ukur Dalam Logical Security
 Periksa & pastikan user accounts terdaftar
 Periksa user profile yang terdaftar mengidentifikasikan pemilik user
 Setiap pemakai hanya memiliki 1 user profile
 Menyediakan user guest
 Periksa & pastikan account policy sesuai
 Memastikan pergantian password dalam kurun waktu tertentu
 Memastikan password yang sama tidak dapat digunakan lagi
 Memastikan workstation hanya digunakan sesuai jam kerja
• Ada backup file dan directory yang hanya dimiliki administrator
MULAI MATERI
 Access Level
• Physical Security atau keamanan fisik membahas ancaman,
kerawanan dan tindakan yang dapat diambil untuk mamberi
perlindungan fisik tehadap sumber daya organisasi dan informasi
yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan
yang diambil untuk melindungi sistem, gedung dan infrastruktur
pendukung yan terkait terhadap ancaman yang berhubungan dengan
lingkungan fisik.
• Secara singkat Physical Security dapat diartikan sebagai
keamanan infrastruktur teknologi informasi secara fisik
 1. Company Surroundings
• Sebuah perusahaan besar biasanya memiliki sistem keamanan
yang terstruktur dengan sangat baik. Untuk memasuki wilayah
perusahaan dibutuhkan hak akses yang sah, dan hanya orang-orang
tertentu saja yang memiliki hak tersebut.
• Beberapa cara mengamankan daerah sekitar perusahaan:
 Pagar / gerbang
 Tembok tinggi
 Penjaga
 Menggunakan alarm keamanan
 2. Reception
• Posisi seorang resepsionis harus diperhatikan,
karena orang luar perusahaan dapat dengan mudah
untuk melihat dan mengetahui segala aktivitas yang
dilakukan resepsionis terhadap komputer perusahaan.
Sebaiknya:
 Posisi monitor komputer tidak menghadap keorang luar
 Tidak meninggalkan komputer dalam keadaan menyala
 2. Server
• Komputer server pada sebuah perusahaan adalah bagian yang
paling penting, karena dalam komputer tersebut tersimpan data-data
penting (rahasia) perusahaan. Perlindungan terhadap komputer
server dapat dilakukan dengan 2 cara:
1. Perlindungan data pada computer server, biasanya dari serangan
virus dan spy. Disarankan untuk menginstall antivirus dan sering-
sering untuk mengpdatenya.
2. Perlindungan fisik komputer server dari berbagai serangan,
khususnya dari serangan bencana alam.
 4.Workstation area
• Workstation area merupakan tempat yang sangat rawan untuk
keamanan data, karena orang dapat dengan mudah untuk mengambil
data dari komputer milik orang lain. Sebaiknya kita melakukan
pengamanan dengan cara:
 Tidak meninggalkan meja kerja dengan keadaan komputer menyala,
komputer harus dalam keadaan terkunci
 Gunakan kamera CCTV
 Tidak meninggalkan usb / media drives lainnya masih terhubung ke
komputer
 5. Wireless access points
• Keberadaan alat wireless access points sudah semakin meluas
dan dibutuhkan pengamanan yang lebih ketat. Untuk mencegah
akses-akses yang tidah sah, sebaiknya wireless access harus lebih
terjaga/ terjamin. Lakukanlah hal-hal berikut:
 Nyalakan WEP encryption
 Rubah default SSID-nya
 Access point harus menggunakan password
 Password harus cukup kuat sehingga tidak mudah untuk dicrack
 6. Access control
• Access control digunakan untuk mencegah
panggunaan akses yang tidak sah terhadap area-
area operasional sensitif perusahaan.
Pengontrolan dapat dilakukan dengan cara:
Kartu pengenal yang dilengkapi chip
• Biometric device: retina mata, sidik jari, pengenal
suara
7. Computer equipment maintenance
• Pemeliharaan komputer secara rutin sangat
disarankan, karena dapat membuat komputer tahan
lama dan tetap stabil untuk jangka waktu yang panjang.
Sebaiknya:
 Perusahaan memiliki orang-orang yang terlatih dan
bertanggungjawab dalam bidang maintenance
 Tidak membiarkan orang luar perusahaan untuk
melakukan maintenance
 8. Wiretapping
• Wiretapping adalah tindakan secara diam-diam
mendengarkan pembicaraan orang lain melalui saluran
telepon. Biasa dikenal dengan istilah penyadapan.
Pengamanan dapat dilakukan dengan:
 Tidak membiarkan kabel berserakkan sembarangan,
susun kabel secara rapih
 Lindungi kabel dengan pelindung kabel
 9. Remote access
• Remote access dapat mempermudah pegawai
untuk mengakses komputer perusahaan dari
luar perusahaan. Namun sebaiknya
penggunaan remote access ini dihindari karena
keamanan dari remote access sangat rendah
dan rentan terhadap pencurian data.
MULAI MATERI
Prosedur Perubahan Program
 Dinamis, inovasi teknologi sebagai alat pendukung.
 mengganti sistem lama. perubahan prosedur yang berlaku.
 Pemakai.
• Pengontrolan terhadap aktivitas perubahan sistem yang memiliki
resiko tinggi

Tujuan utama prosuder ini adalah melindungi agar perusahaan

tidak mengalami kerugian, kerusakan, Ketidak Akuratan yang
disebabkan oleh kesalahan atau kecurangan saat pemerosesan
perubahan program.
 Prosuder
a. Semua perubahan program harus di setujui dan direview oleh pemilik
sistem, kepala unit kerja terkait dan kepala bagian ICT.
b. Pengaksesan terhadap program harus dikontrol secara memadai.
c. Hasil program yang telah dirubah harus direview dan diverifikasi oleh
pemilik sistem, kepala unit kerja terkait, dan kepala bagian ICT.
d. Pemakai mengisi formulir “system change request”. Didalamnya pemakai
menerangkan tujuan perubahan dan syarat-syarat perubahan yang diminta.
Kepala unit kerja harus menyetujui perubahan dan menandatangani
formulir tersebut. formulir diberikan kepada kepala unit ICT
e. Kepala bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir
tersebut diteruskan kepada project leader yang menangani sistem tersebut.
f. Bersama dengan analis sistem,Project Leader akan membahas kemungkinan perubahan atau
penambahan yang diminta. Apabila permintaan ini dapat diwujudkan, akan dikalkulasikan biaya
dan waktu yang dibutuhkan dan jadwal pembuatannya.
g. Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus
menentukan apakah proyek ini berjalan terus atau ditunda dahulu. Ia harus mempertimbangkan
untung ruginya permintaan ini, mengingat biasanya biayanya tinggi. Dengan membubuhi tanda
tangan, pimpinan departemen mengembalikan formulir tesebut sebagai bukti setuju. Apabila ia
membatalkan permintaannya, tetap ia harus memberitahukan kepada pimpinan ICT , agar
pimpinan ICT dapat membatalkan permintaan proyek ini.
h. Apabila laporan keuntungan dan biaya proyek disetujui, pimpinan ICT akan menyusun prioritas
dan jadwalnya bersama dengan project leader.
i. Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan menginformasikan
secara tertulis kepada operator untuk meng-copy source program ke test environment.
j. Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah ditentukan dan
setelah itu melaksanakan peng-copy-an.
k. Analis/programmer melakukan perubahan yang diminta dan menguji coba perubahan ini sampai tidak ada
kesalahan lagi (error free/bug free).
l. Hasil tes program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila dibutuhkan,
pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada analis/programmer untuk menguji coba
lagi. Persetujuan ini harus diindikasikan di formulir change request.
m. Sebelum source program yang baru dipindahkan ke production environment, Project leader melakukan
pengecekan terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source code-nya
n. Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan
sempurna dan sesuai dengan prosedur, maka ia akan menyetujui perpindahan
program baru yang berisikan perubahan dari tes ke production environment.
o. Setelah dokumentasi (untuk operator, pemakai dan program)diupdate, change
request dapat di berikan kepada bagian pengoperasian.
p. Bagian pengoperasian akan meneliti dahulu kelengkapan tandatangan yang
dibutuhkan sebelum memindahkan program lama ke history file dan
mengkomplasiprogram baru.
q. Analis/programer akan memverifikasi atas kebenaran penggantian program
r. Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan
perubahan telah dapat dipakai.
 Prinsip dasar pengontrolan
1. Source dan object deck/code yang digunakan produksi harus disimpan di dalamlibrary yang memiliki perlindungan
terhadap pengaksesan yang dilakukan individu yang tidak berwenang.
2. Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima surat resmi dari
pemohon beserta alasannya
3. Setalah mendapat surat perintah kerja, pelaksanaan tidak dapat dilakukan di production enviroment seperti yang
tercantum di prosedur perubahan program. Oleh karena itu, harus disediakan tes, atu development
enviroment,dimana program yang telah berjalan dapat di copy ke dalammnya untuk perubahan ini.
4. Buku registrasi yang akan berfungsi sebagai alat pengontrolan harus di maintain dimana tercantum :
 Nomor formulir change request
 Uraian singkat mengenai perubahan
 Tinggal permintaan
 Nama programmer yang melakukan perubahan
 Tanggal efektif program dengan perubahan mulai dipakai
5. Apabila perubahan ini menyangkut pengontrolan di dalam aplkasi, audit harus mereview permintaan
tambahan ini.
6. Pengontrolan terhadap source program dan object program di production envionment untuk
memastikan atas kebenarann object program. Oleh karena itu,kontrol yang baik adalah
mengkompilasi source program di production environment, yang secara otomatis akan mengganti
object yang lama
7. Pengontrolan yang memadi terhadap uji coba yang dilakukan sebelum memindahkan keproduction
environment.
8. Memastikan agar progrm yang teleh diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi
sebelum dipindahkan ke production environment. Hal ini dapat dilakukan dengan logical security.
9. Versi source program sebelumnya harus dipindahkan ke history file sebelum memindahkan program
baru ke production environment. Program versi lama harus disimpan di media tertentu (misalnya
tape, CD/DVD dan sebagainya) dan bukan hard copy.
MULAI MATERI
MULAI MATERI
 Pengembangan sistem
Untuk membangun sistem sesuai dengan persyaratan
bisnis penting untuk menerapkan secara sistematis kebijakan
pengembangan sistem. Metode yang diterapkan,pengetahuan.
Metode yang diterapkan dukungan dari manajemen.
 Tanggung jawab
• Apabila telah diputuskan untuk membangun
sistem dari nol, harus menentukan terlebih
dahulu tanggung jawab masing-masing
karyawan yang terlibat dalam proses yang
akhir-akhir ini disebut system development
Life Cycle (SDLC).
 Streering Committe/Tim
Pengendali
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan.

• Tugas utama pengendali :

1. Menyetujui rencana departemen ICT

2. Memonitori kemajuan proyek yang sedang berjalan, sesuai dengan gagasan ICT.

Commitment Direction

Steering
Committee

Planning Monitoring
• User Group / Tim Pemakai
User Group bertanggung jawab atas
pengimplementasian peraturan (policy) yang telah
diputuskan di steering Committee atau policy yang
telah dibuat sebelumnya. Tes Group/ Tim Uji coba.
• Tim terdiri dari tim pengembang sistem dan
pemakai, tugas utama menguji coba sistem yang baru
dibangun
 Pengembangan Sistem
1. Perencanaan Sistem
• Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja & dana yang
dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung operasinya setelah
diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2 tahun) dan jangka panjang
(sampai dengan 5 tahun).
• Proses utama dalam perencanaan sistem :
 Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem
 Menentukan proyek-proyek sistem dilakukan oleh komite pengarah
 Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis
• Pengembangan Sistem
 2. Analisis Sistem
• Tahap yang digunakan oleh analis
sistem untuk menemukan kelemahan-
kelemahan dari sistem yang ada
sehingga dapat diusulkan
perbaikannya.
 3. Desain/Perancangan Sistem
• Tahap untuk membentuk sistem yang baru berdasarkan
hasil analisis.
 4. Implementasi Sistem
• Tahap untuk memilih perangkat keras dan perangkat lunak yang dibutuhkan dan
meletakkan sistem supaya siap untuk dioperasikan.
• Kegiatan yang dilakukan dalam implementasi :
• Pemilihan dan pelatihan personil
• Pemilihan tempat dan instalasi hardware dan juga software
• Pemrograman dan pengetesan program
• Pengetesan sistem
• Konversi
•
• Manajemen Sistem
 Maintenance Sistem
• Tahap setelah pengembangan sistem dilakukan
dan sistem dioperasikan. Disebut sebagai tahap
manajemen sistem karena yang melakukan proses
ini sudah bukan analis sistem tetapi manajemen.
• SDLC yang lebih lengkap dapat dilihat pada
gambar di bawah ini :
MULAI MATERI
 Web Server
• Adalah suatu daemon yang berfungsi menerima request
melalui protocol http baik dari local maupun dari internet
• Informasi yang direquest oleh web browser bisa berupa
file yang ada dalam storage atau meminta server untuk
melakukan fungsi tertentu
 Cara kerja web browser

1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser.
2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP REQUEST kepada Web Browser
melalui layer-layer TCP/IP,
3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.
4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE (melalui layer-layer TCP/IP)
5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER berupa DISPLAY.
 Macam Web Server

• IIS (web server untuk html & asp ) bisa jalan di OS Windows
• APACHE webserver (web server untuk html,php,asp,jsp,
dsb).Bisa jalan di OS Windows dan LINUX.
 Bentuk Ancaman pada Web
Browser
• Bentuk ancaman keamanan terhadap web browser berhubungan erat dengan
ancaman-ancaman terhadap internet, karena apa saja dapat terjadi ketika
kita menggunakan internet, maka akan berdampak buruk pula pada web
browser yang kita gunakan atau bahkan akan berdampak buruk pula pada
komputer.
• Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan
mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah dan
lembaga-lembaga yang berwenang mengatur lalu lintas internet, tetapi
masyarakat pada umumnya tidak bisa mencegah orang lain untuk
mengganggu pengguna internet lainnya.
• Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa :
1. Hijacking,
2. Session Hijacking,
3. Juggernaut,
4. Hunt,
5. Replay,
6. Spyware,
7. Cookies,
8. Phising,
9. Pharming, Dan Lain-lain
 Metode Keamanan pada Web
Browser
• Berbagai macam ancaman memang menjadi gangguan yang
cukup besar bagi para pengguna web browser. Namun
dengan semakin berkembangnya ilmu teknologi, berbagai
macam ancaman tersebut kini sudah dapat diatasi walaupun
perkembangan ancaman-ancaman tersebut masih kian
pesat meningkat.
Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web browser adalah:
1. Memasang anti spyware pada web browser
2. Menghapus cookies pada web browser
3. Menolak semua cookies untuk masuk
4. Untuk pencegahan phising dan pharming
5. Kenali tanda giveaway yang ada dalam email phising
6. Menginstall software anti phising dan pharming
7. Selalu mengupdate antivirus
8. Menginstall patch keamanan
9. Waspada terhadap email dan pesan instan yang tidak diminta
10. erhati-hati ketika login yang meminta hak administrator, cermati selalu alamat URL yang ada di
address bar
 Eksploitasi server WWW
• Tampilan web diubah (deface)dengan eksploitasi skrip /
previledge / OS di server
• Situs yang dideface Informasi bocor(misal laporan keuangan
semestinya hanya dapat diakses oleh orang/ bagian tertentu)
• Digunakan untuk menipu firewall (tunelling ke luar aringan)
• Port 80 digunakan untuk identifikasi server (karena biasanya
dibuka di router/firewall)
 Eksploitasi server WWW
•Penyadapan informasi
URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi, namun
tidak semua menggunakan SSL karena komputasi yang tinggi

•DoS attack
Request dalam jumlah yang banyak (bertubi-tubi)
Request yang memblokir (lambat mengirimkan perintah GET)

•Malicious Input Attack

Bad input ke priviledge program : Code corruption attack – Buffer overflow, SQL Injection,
Cross Site Scripting
 Pengamanan Web

Membatasi Akses

• Access Control
Hanya IP tertentu yang dapat mengakses server
(konfigurasi web server atau firewall) Via userid & password
(htaccess)
Menggunakan enkripsi untuk menyandikan data-data
 htaccess di Apache
Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile
/dev/null AuthName “
Khusus untuk Tamu Budi”
AuthType Basic
<Limit GET>
require user tamu
</Limit>
Membatasi akses ke user “tamu” dan password Menggunakan perintah
“htpasswd“ untuk membuat password yang disimpan di “.passme”
 Secure Socket Layer (SSL)

• Menggunakan enkripsi untuk

mengamankan transmisi data
• Mulanya dikembangkan oleh Netscape
• Implementasi gratis pun tersedia
openSSL
 APACHE Web Server dengan HTTPS

• HTTPS adalah varian dari protocol HTTP dimana user

mengakses dengan https://
• Data yang dikirim ke server adalah data yang terenkripsi.
• Enkripsi yang digunakan adalah enkripsi SSL (Secure socket
Layer).
• Menggunakan TCP port 443.
Shibu lijack
Pengamanan Web
Ilustrasi Koneksi HTTP vs HTTPS
Ilustrasi Cara Kerja SSL
 Penjelasan Blok Diagram
1. Klien membuka suatu halaman yang mendukung protokol SSL,
biasanya diawali dengan https:// pada browsernya.
2. Kemudian webserver mengirimkan kunci publiknya beserta
dengan sertifikat server.
3. Browser melakukan pemeriksaan : apakah sertifikat tersebut
dikeluarkan oleh CA(Certificate Authority) yang terpercaya?
Apakah sertifikat tersebut masih valid dan memang berhubungan
dengan alamat situs yang sedang dikunjungi?
• 4. Setelah diyakini kebenaran dari webserver tersebut,
kemudian browser menggunakan kunci public dari webserver
untuk melakukan enkripsi terhadap suatu kunci simetri yang
dibangkitkan secara random dari pihak klien. Kunci yang
dienkripsiini kemudian dikirimkan ke webserver untuk digunakan
sebagai kunci untukmengenkripsi alamat URL (Uniform
Resource Locator) dan data http lain yang diperlukan.
• 5. Webserver melakukan dekripsi terhadap enkripsi dari klien tadi,
menggunakankunci privat server. Server kemudian menggunakan kunci
simetri dari klien tersebutuntuk mendekripsi URL dan data http yang
akan diperlukan klien.
• 6. Server mengirimkan kembali halaman dokumen HTML yang diminta
klien dan data http yang terenkripsi dengan kunci simetri tadi.
• 7. Browser melakukan dekripsi data http dan dokumen HTML
menggunakan kuncisimteri tadi dan menampilkan informasi yang
diminta.
MULAI MATERI
 Kontrol terhadap PC
• Persoalan kontrol
– Peraturan Pengadaan barang
• Pertimbangan yg kuat
• Standarisasi
• Supplier
• Pembelian software
• Persoalan manajemen
– Pengembangan sistem
– Integritas sistem aplikasi
• Ancaman terhadap PC
– Hacking
– Virus
• Peraturan manajemen
– Peraturan penggunaan internet dan email
– Prosedur operasi untuk bagian ICT
– Prosedur recovery
– Pemeriksaan konfigurasi
– Pemeriksaan mesin
– Pemeriksaan ekstensi file yg tersembunyi
• PC vs Mainframe
– Physical security
• Sentra pengolahan data
• Proteksi terhadap kebakaran
• Maintenance
– Software security
• Logical security
• Menggunakan software utility
• Pengontrolan terhadap aplikasi yang dibuat
• Menghilangkan file
• Persoalan administrasi
– Pembelian
– Operasional
– Saat darurat
MULAI MATERI
 Pegertian keamanan jaringan
Keamanan jaringan adalah suatu cara atau suatu system yang digunakan untuk
memberikan proteksi atau perlindungan pada suatu jaringan agar terhindar dari berbagai ancaman
luar yang mampu merusak jaringan.

Langkah awal untuk melindungi sumber-sumber yang sensitif adalah dengan mengkombinasikan beberapa
akses yang telah dibahas. Ada beberapa teknologi keamanan yang paling sering digunakan. Masing-masing
teknologi ini memiliki peran khusus untuk meningkatkan keamanan jaringan anda saat didesain dan
diimplementasikan dalam desain berlapis.
 Acaman
Beberapa resiko keamanan jaringan
• Mengakses jaringan atau aplikasi oleh user yang tidak memiliki
wewenang dari terminal sendiri atau dari nodes network yang
lain
• Menggangu atau mengacau pengiriman data yang rahasia
dengan cara mencegat dan memanipulasikanya.
• Kegagalan jaringan atau putus hubungan jaringan.
• Serangan terhadap jaringan merupakan pintu gerbang untuk
menyerang sistem perusahan,dapat dalam bentuk software (malicious
software):
1. Lgical Boom. 6. Bom waktu
2. Virus 7. worm
3. Trajan Horses 8. spyware
4. Intercaption Komunikasi 9.denial of service
5 .Malicious Java/Active C 10. tunneling
 Konsep Desain Keamanan
• Keamanan jaringan dapat berdampak buruk dengan adanya
kemungkinan serangan dan ancaman pada jaringan. Beberapa
konsep penting yang harus diperhatikan dalam mendesain
jaringan :
1. Keamanan berlapis
2. Akses control
3. Keamanan peran tertentu
4. Kesadaran pengguna
5. Monitoring
6. Sistem terus diperbaharui
 Elemne pembentukan keaman jaringan

• Ada dua elemen utama pembentuk keamanan jaringan :

1. Tembok pengamanan (baik secara fisik maupun maya), yaitu
suatu cara untuk memberikan proteksi atau perlindugan pada
jarigan, baik secara fisik (kenyataan) maupun maya
(menggunakan software)
2. Rencana pengamanan, yaitu suatu rancagan yang nantinya
akan di implementasiakan uantuk melindugi jaringan agar
terhindar dari berbagai ancaman dalam jaringan
 Keaman Didalam jaringan
• Secara umum dalam hal keamanan untuk jaringan harus dengan jelas
dirumuskan/disusun terutama pada ujung terminal pengirim (misalnya
PC ) dan pada ujung penerima (misalnya server atau mesin besar).
• Apabila Koneksi telah terjadi masing-masing harus menetapkan dan
meverifikasi masing-masing identitas (autthentication). Secar teknis
jaringan juga bertanggung jawab atas integritas ata yang dikirim,
memastikan agar data yang dikirim dijamin kerahasianya an dapat
dipercaya bahwa yang menerima adalah yang berhak untuk menerima.
 Segi-segi keamanan
1. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak
yang memiliki wewenang.
2. b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang
memiliki wewenang.
3. c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki
wewenang ketika dibutuhkan.
4. d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi
dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.
5. e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi
tidak dapat menyangkal pengiriman dan penerimaan pesan.
 Serangan (gangguan) terhadap keamanan
1. Interruption Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak dapat
dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti keras atau
saluran jaringan.
2. Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang
dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan terhadap
data dalam suatu jaringan.
3. Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu aset.
Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan dengan tidak
semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
4. Fabrication Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya
adalah pengiriman pesan palsu kepada orang lain.
5. Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan : 1. diam dan semua akan
baik-baik saja. 2. sembunyi dan mereka tidak akan dapat menemukan anda 3. teknologi yang digunakan
kompleks/rumit, artinya aman.
 FIREWALL
Bagaimana seseorang melindungi sebuah website, mail server, FTP
server atau sumber informasi lain yang terhubung ke web? Jawabannya
adalah Firewall. Satu-satunya kegunaan
piranti perangkat keras ini adalah memberi keamanan bagi jaringan
anda. Firewall adalah sebuah piranti keamanan yang berada di ujung koneksi
anda dan berfungsi sebagai Internet Border Security Officer. Secara
konstan piranti ini mengawasi seluruh aliran
yang keluar dan masuk ke koneksi anda, menunggu aliran yang dapat
dihentikannya atau ditolaknya berdasarkan aturan yang sudah ada.
 Firewall adalah Kebijakan
Keamanan
firewall bekerja dengan mengikuti aturan-aturan yang diatur oleh teknisi
jaringan atau petugas keamanan informasi. Aturan-aturan ini harus sejalan dengan
versi tertulis yang ada didokumen kebijakan keamanan di rak anda.
kebijakan keamanan dan bagaimana firewall sesuai dengan kebijakan tersebut:
• Kebijakan keamanan menjelaskan secara garis besar tindakan apa yang akan ditempuh
untuk menanggapi keadaan yang muncul
• Dokumen kebijakan keamanan secara konstan dikembangkan dan diubah untuk
memenuhi kebutuhan-kebutuhan keamanan yang baru
• Kebijakan keamanan menentukan parameter tentang apa yang dapat diterima dan apa
yang ditolak
 Tinjauan Operasional firewall
Berikut mencakup aturan-aturan dan fitur-fitur firewall yang paling umum:
• Menolak aliran jaringan yang masuk berdasarkan sumber atau tujuan, merupakan fitur yang paling umum dan merupakan tujuan
utama sebuah firewall, yaitu menolak aliran yang tidak diinginkan memasuki jaringan.
• Menolak aliran jaringan yang keluar berdasarkan sumber atau tujuan, beberapa firewall juga dapat menyaring aliran jaringan
dari jaringan internal anda ke internet.
• Menolak aliran traffic jaringan berdasarkan isi, firewall yang lebih canggih dapat menyaring aliran jaringan untuk isi yang tidak
dapat diterima. Misalnya firewall yang terintegrasi dengan sebuah virus scanner dapat menolak file-file berisi virus sebelum
memasuki jaringan anda.
• Menyediakan sumber daya internal, anda dapat juga mengatur beberapa firewall untuk mengizinkan akses tertentu ke sumber
daya internal seperti web server public, selain tetap menghalani akses lain dari internet ke jaringan internal anda.
• Mengizinkan koneksi ke jaringan internal, metode umum bagi karyawan untuk terhubung ke jaringan adalah menggunakan Virtual
private network (VPN). VPN memungkinkan koneksi yang aman dari internet ke jaringan perusahaan.
• Melaporkan aliran jaringan dan kegiatan firewall, saat menyaring aliran jaringan menuju dan dari internet, penting juga untuk
memahami apa yang dikerjakan firewall anda, siapa yang akan memasuki jaringan anda dan siapa yang berusaha mengakses
materi yang tidak sopan di internet.
 Kemanan PC dan LAN
• Secara umum ancaman PC dan LAN adalah:
• Pengakses data produksi, devertemen dan pemakai individu yang tidak
memilki kewenangan
• Pasif (membaca atau mendengar data) dan aktif (dalam memanipulasi data )
menangkap koneksi
• Menyambung workstantion yang tidak otentik ke dalam LAN perusahan
• Menginstal program yang ilegal
• Mencuri PC dan Komponen PC
• Terkontiminasi oleh virus
MULAI MATERI
DISASTER RECOVERY
 PENDAHULUAN
• Selain domain yang concern dengan pencegahan
risiko dan melindungi infrastruktur dari serangan,
keamanan sistem juga membahas satu domain
dengan asumsi bahwa kejadian terburuk telah
terjadi.
 PENDAHULUAN
• Berbagai bencana yang mungkin terjadi antara lain adalah:
– Bencana alam karena kondisi geografis dan geologis dari lokasi
– Kebakaran karena faktor lingkungan dan pengaturan sistem elektrik
yang dapat menyebabkan korsleting
– Kerusakan pada jaringan listrik karena sistem elektrik
– Serangan teroris karena lemahnya keamanan fisik dan non fisik data
center
– Sistem atau perangkat yang rusak terkait dengan kesalahan
manajemen pengawasan perangkat
– Kesalahan operasional akibat ulah manusia
– Virus yang disebabkan oleh kesalahan pemilihan anti virus
 Disaster Recovery Plan
• Disaster Recovery Plan (DRP) adalah sekumpulan aksi dan proses yang
mendefinisikan rangkaian prosedur yang harus dilakukan saat terjadi keadaan
darurat, untuk memastikan tercapainya suatu kondisi pulih dalam waktu yang
ditentukan sehingga perusahaan tersebut mampu melanjutkan fungsinya dengan
kerugian minimal.
• DRP adalah proses, kebijakan, dan prosedur yang berkaitan dengan persiapan
untuk pemulihan atau kelanjutan dari infrastruktur teknologi yang penting bagi
organisasi setelah terjadi bencana, baik karena alam ataupun ulah manusia.
• Proses pembangunan Disaster Recovery Plan disebut Disaster Recovery
Planning.
 Disaster Recovery Plan
• Disaster Recovery Plan menyediakan operasi cadangan selama sistem terhenti, dan
mengelola proses pemulihan serta penyelamatan sehingga mampu meminimalisir
kerugian yang dialami oleh organisasi.
• Karena bertindak sebagai pegangan saat terjadi keadaan darurat, DRP tidak dapat
disusun secara sembarangan.
• DRP yang tidak sesuai dapat berakibat lebih buruk bagi keberlangsungan organisasi
daripada bencana itu sendiri.
• Disaster Recovery Planning merupakan bagian dari rangkaian Business Continuity
Planning (BCP).
 Tujuan Disaster Recovery Plan
• Secara umum manfaat atau tujuan penyusunan DRP bagi
perusahaan adalah sebagai berikut;
– Melindungi organisasi dari kegagalan layanan
komputer utama
– Meminimalisasi risiko organisasi terhadap
penundaan (delay) dalam penyediaan layanan
– Menjamin kehandalan dari sistem yang tersedia
melalui pengetesan dan simulasi
– Meminimalisasi proses pengambilan keputusan
oleh personal/manusia selama bencana.
 Business Continuity Plan (BCP) & Disaster
Recovery Plan (DRP)
• BCP & DRP merupakan dua hal yang sangat penting dalam proses bisnis, namun
jarang menjadi prioritas karena alasan memerlukan biaya yang mahal dan sulit
penerapannya.
• Alasan : bencana adalah hal yang umumnya diyakini karena faktor alam yang tak
dapat diprediksi , tak dapat dicegah atau pun dihindari, sehingga kalangan bisnis
berkeyakinan bahwa pelanggan mereka akan memaklumi hal ini.
• Hal terpenting bagi setiap perusahaan yang berniat membangun BCP adalah
mendapatkan dukungan dari pihak manajemen.
Business Continuity Plan (BCP) & Disaster
Recovery Plan (DRP)
• Contoh penerapan BCP :
– BCP pada perusahaan Merrill Lynch dan Deutsch
Bank di New York pada 11 September 2001.
Bencana ini menghancurkan kantor pusat dan
menewaskan ratusan karyawannya.
Namun setelah situasi stabil, masing-masing
mampu melanjutkan operasinya dengan mulus dari
sebuah lokasi alternatif tanpa hilangnya data-data
yang kritis.
 Komponen Disaster Recovery Planning

• Informasi kontak personil (personnel contact information)

• Back up situs (back up site)
• Pedoman perencanaan (manual plan)
• Inventaris hardware
• Inventaris software
• Vendors
• Backup Data
• Disaster Action Checklist
• Uji perencanaan (test the plan)
 Tahapan Pembangunan DRP
• Tahapan pembangunan sebuah Disaster Recovery Plan tidak selalu sama, karena
sangat bergantung pada kebutuhan dan tujuan pembuatannya.
• Namun secara garis besar, tahapan tersebut dapat dirangkum sebagai berikut:
1. Risk assessment
2. Priority assessment
3. Recovery strategy selection
4. Plan documenting
 Tahapan Pembangunan DRP
• Risk Assessment
Risk Assessment adaLah proses identifikasi ancaman-ancaman yang mungkin terjadi,
baik yang berasal dari dalam, maupun dari luar.
Bencana yang dianalisa termasuk bencana alam, bencana kegagalan teknis, maupun
ancaman-ancaman faktor manusia.
Risk Assessment berperan sebagai landasan awal yang akan mempengaruhi tahapan-
tahapan selanjutnya.
Risk Assessment biasanya diikuti dengan Impact Analysis, dimana kemungkinan-
kemungkinan bencana yang sudah teridentifikasi kemudian dianalisis dampaknya.
 Tahapan Pembangunan DRP
Risk Assessment........
 Tahapan Pembangunan DRP
• Priority Assessment
Mendefinisikan urutan prioritas proses dengan jelas:
– Dari segi arsitektur misalnya, server/ router manakah yang menjadi
prioritas dalam dipulihkan?
– Data mana yang harus lebih dahulu diselamatkan
– Proses mana yang harus didahulukan
Proses yang dianggap paling vital untuk keberlangsungan sistem akan
mendapatkan alokasi perhatian paling besar untuk dipulihkan kembali sebelum
proses-proses lainnya.
 Tahapan Pembangunan DRP
Priority Assessment .......
Priority Assessment untuk proses biasanya sangat relatif terhadap waktu dan
tempat terjadinya suatu bencana.
Misal kejadian pada sekolahan, jika bencana terjadi pada saat penerimaan murid
baru, proses yang pertama kali harus dipulihkan mungkin adalah proses terkait tes
masuk dan pembayaran.
Tapi jika bencana terjadi saat liburan, dimana kebanyakan proses akan berada
dalam kondisi statis, mungkin penyelamatan hanya akan berfokus pada
penyelamatan data saja.
 Tahapan Pembangunan DRP
• Recovery Strategy Selection
Strategi pemulihan yang baik harus memenuhi beberapa kriteria, yaitu:
1. Strategi pemulihan harus memenuhi key requirement yang sudah
didefinisikan di tahap sebelumnya.
2. Strategi pemulihan harus cost effective berbanding dengan risiko dan
prioritasnya.
3. Strategi pemulihan harus dapat diterapkan dengan kondisi yang terdapat
sekarang dan memungkinkan untuk ditingkatkan jika teknologi atau bisnis yang
terkait berkembang di masa depan.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan yang sudah dirancang kemudian harus dituangkan ke dalam
DRP yang terdokumentasi secara baik sehingga dapat dengan mudah
dilaksanakan jika suatu saat terjadi bencana.
Inti dari strategi-strategi pemulihan adalah menyiapkan sistem dan data
cadangan sehingga proses yang terganggu dapat berjalan kembali.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan tersebut diantaranya adalah:
1. Hot Site
Strategi pemulihan dengan cara mengadakan lokasi duplikat dari lokasi asli.
Strategi ini menawarkan cara yang cepat untuk menjalankan bisnis kembali,
namun juga dapat dikatakan sebagai strategi yang paling mahal.
Biaya tinggi karena perangkat-perangkat yang dimiliki oleh lokasi asli juga
harus diadakan di lokasi cadangan, begitu juga dengan lalu lintas data yang
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan ........
2. Warm Site
Strategi ini menggunakan lokasi yang memiliki sistem dan jaringan
komunikasi yang siap digunakan, cukup untuk menjalankan kembali proses
bisnis.
Namun data dan informasi elektronis lainnya tidak ter-update sehingga
harus di restore sebelumnya.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan ........
3. Cold Site / Shell Site/ Backup Site / Alternate Site
Strategi ini hanya menyediakan lokasi saja.
Perangkat dan jaringan yang tersedia sangat minim.
Keuntungan : biaya rendah dalam mengadakan dan merawat lokasi
Kekurangan : pada saat terjadi bencana, dibutuhkan biaya yang cukup
besar karena harus mengadakan berbagai perangkat, sistem, dan jaringan
 Tahapan Pembangunan DRP
• Plan Documenting
Disaster Recovery Plan harus didokumentasikan dengan terstruktur sehingga
mudah dipahami saat dibutuhkan.
Pendokumentasian sebuah DRP harus disesuaikan dengan standar dan
pedoman-pedoman yang sudah banyak tersedia.
MULAI MATERI
 ALGORITMA
KRIPTOGRAFI KLASIK
TEKNIK TRANSPOSISI
STEGANOGRAFI
 TEKNIK TRANSPOSISI
• Teknik ini menggunakan permutasi karakter, yang mana dengan menggunakan teknik ini
pesan asli tidak dapat dibaca kecuali oleh orang yang memiliki kunci untuk
mengembalikan pesan tersebut kebentuk semula.
• Sebagai contoh, ada 6 kunci untuk melakukan perutasi kode :

 Dan 6 kunci untuk inversi dari permutasi tersebut :

 Terlebih dahulu plaintext dibagi blok dan blok nya

terdiri dari 6 karakter, jika terjadi pada setiap blok
maka disispkan karakter yang disepakati sebelunya.
 TEKNIK TRANSPOSISI
• Perhatikan contoh dibawah ini :
• Plaintext : “PERHATIKAN RAKYAT KECIL”
• Cara memutasi plaintext tersebut adalah sebagai berikut :

 Maka ciphertext yang dihasilkan adalah: “RAPTHEARIANKAKKETYLXCXXI”

 Sedangkan kunci inverse berfungsi untuk mengubah ciphertext menjadi
palintext.
 Perhatikan contoh dibawah ini :
 TEKNIK TRANSPOSISI
• Selain teknik mutasi-inversi ada beberapa teknik
permutasi lainnya yaitu dengan menggunakan permutasi
zigzag, segitiga, spiral, dan diagonal.
1. Zig – zag
dengan memasukan plaintext seperti pola zig-zig.
Plaintext : “PERHATIKAN RAKYAT KECIL”

 Maka ciphertext yang dihasilkan adalah :

“HNTXRAARAKLETKAYEIPIKC”
 TEKNIK TRANSPOSISI
2. Segitiga
dengan memasukan plaintext seperti pola segitiga. Plaintext : “PERHATIKAN RAKYAT KECIL”

Maka ciphertext yang dihasilkan adalah :

“KNEARCETAIPRIKLHKYXAAXTXX”
3. Spiral
Dengan memasukan plaintext disusun seperti pola spiral.
Plaintext : “PERHATIKAN RAKYAT KECIL”

Maka ciphertext yang dihasilkan adalah : “PTAYKEKXXARREXXRH

CILNATIKA”
 TEKNIK TRANSPOSISI
• Diagonal
Dengan memasukan plaintext disusun seperti pola
dibawah ini, (Plaintext : “PERHATIKAN RAKYAT KECIL”)

 Maka ciphertextnya adalah : “PTRTLEIAKXRK

KEXHAYCXANAIX”
 STEGANOGRAFI
• Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau menyembunyikan
pesan dengan suatu cara sehingga selain si engirim dan si penerima, tidak ada
seorangpun yang mengetahui atau menyadari bahwa ada suatu pesan rahasia.
• Istilah steganografi termasuk penyembunyian data digital dalam berkas-berkas (file)
komputer.
• Contohnya :
• Si pengirim mulai dengan berkas gambar biasa, lalu mengatur warna setiap pixel ke-
100 untuk menyesuaikan suatu huruf dalam alphabbet (perubahannya begitu haslus
sehingga tidak ada seorangpun yang menyadarinya jika ia tidak benar-benar
memperhatikannya).
 STEGANOGRAFI
• Pada umumnya, pesan steganografi muncul dengan rupa lain seperti gambar, artikel,
daftar belanjaan atau pesan-pesan lainnya.
• Pesan yang tertulis ini merupakan tulisan yang menyelubungi atau menutupi.
• Contohnya : suatu pesan bisa disembunyikan dengan menggnakan tinta yang tidak
terlihat dantara garis-garis yang kelihatan.
• Teknik steganografi meliputi banyak sekali metode komunikasi untuk menyembunyikan
pesan rahasia (teks atau gambar) didalam berkas-berkas lain yang mengandung teks,
image, bahkan audio tanpa menunjukan ciri perubahan yang nyata atau terlihat dalam
kualitas dan struktur dari berkas semula.
• Metode ini termasuk tinta yang tidak tampak, microdots, pengaturan kata, tanda tangan
digital, jalur tersembunyi dan komuniksi spektrum lebar.
 STEGANOGRAFI
• Tujuan dari steganografi adalah merahasiakan atau menyembunyikan keberadaandari
sebuah pesan tersembunyi atau sebuah informasi.
• Format yang biasas digunakan diantaranya :
– Format image : bitmap(bmp), gif, pcx, jpeg,dll
– Format audio : wav, voc, mp3, dll
– Format lain : teks file, html, pdf, dll
• Kelebihan steagnografi jika dibandingkan dengan kriptografi adalah pesan-pesannya
tidak menarik perhatian orang lain.
STEGANOGRAFI
 ALGORITMA
KRIPTOGRAFI MODERN

MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN

STANDAR ENKRIPSI DATA (DES)
ADVANCE ENCRYPTION STANDARD (AES)
 Pendahuluan
• Enkripsi modern berbeda dengan enkripsi
konvensional.
• Enkripsi modern sudah menggunakan komputer untuk
pengoperasiannya.
• Berfungsi untuk mengamankan data baik yang
ditransfer melalui jaringan komputer maupun yang
bukan.
• Hal ini sangat berguna untuk melindungi privacy, data
integrity, authentication dan non-repudiation.
 MACAM-MACAM ALGORITMA
KRIPTOGRAFI MODERN
• Pada kriptografi modern terdapat berbagai macam algoritma, secara umum algoritma
kriptografi modern dibagi tiga bagian yaitu :
1. Algoritma Simetris adalah algoritma yang menggunakan kunci yang sama untuk
melakukan enkripsi dan deskripsi. Aplikasi dari algoritma simetris digunakan oleh
beberapa algoritma :
– Data Encryption Standard (DES)
– Advance Encryption Standard (AES)
– International Data Encryption Algortma (IDEA)
– A5
– RC4
 MACAM-MACAM ALGORITMA
KRIPTOGRAFI MODERN
2. Algoritma Asimetris adalah pasangan kunci kriptografi yang salah satunya
digunakan untuk proses enkripsi dan yang satu lagi digunakan untuk deskripsi.
Beberapa contoh algoritma yang menerapkan asimetris diantaranya :
– Digital Signature Logartihm
– RSA
– Diffie-Hellman (DH)
– Elliptic Curve Cryptiography (ECC)
– Kripto Quantum
3. Fungsi Hash juga sering disebut fungsi Hash satu arah (One-Way Function),
message digest, fingerprint, fungsi kompresi dan message authentication cod
(MAC), merupakan fungsi matematika yang mengambil masukan panjang variabel
dan mengubahnya kedalam urutan biner dengan panjang yang tetap.
 STANDAR ENKRIPSI DATA
• Standar enkripsi data (Data Encrytion Standard - DES) merupakan algoritma enkripsi
yang paling banyak dipakai didunia, yang diadopsi oleh NIST (Nasional Institue of Standards
and Technology) sebagai standar pengolahan informasi Federal AS.
• Secara umum standar enkripsi data terbagi menjadi tiga kelompok, yaitu pemrosesan
kunci, enkripsi data 64 bit dan deskripsi data 64 bit yang mana satu kelompok saling
berinteraksi satu sama lain.
• Skema global dari algoritma DES adalah sebagai berikut :
1. Blok teks-asli dipermutasi dengan matriks permutasi awal(initial permutation atau
IP). Bisa ditulis X0 = IP (x) = L0R0, dimana L0 terdiri dari 32 bit pertama dari X0 dan 32
bit terakhir dari R0.
2. Hasil permutasi awal kemudian di –enciphering sebanyak 16 kali (16 putaran). Setiap
putaran menggunakan kunci internal yang berbeda dengan perhitungan LiRi
STANDAR ENKRIPSI DATA
 STANDAR ENKRIPSI DATA

 Secara umum skema Data Encrytion Standard (DES)

mempunyai dua fungsi masukan, yaitu :
1. Teks-asli untuk dienkripsi dengan panjang 64 bit
2. Kunci dengan panjang 56 bit.
 STANDAR ENKRIPSI DATA
• Skema dari
pemrosesan
Data Encytion
Standard (DES)
seperti gambar
berikut ini :
 STANDAR ENKRIPSI DATA
• Proses dari permutasi inisial (IP) teks-asli ada tiga :
1. Teks-asli 64-bit diperoses dipermutasi inisial (IP) dan menyusun kembali bit
untuk menghasilkan permutasi masukan.
2. Langkah untuk melakukan perulangan kata dari teks-asli sebanyak 16 dengan
melakukan fungsi yang sama, yang menghasilkan fungsi permutasi subtitusi, yang
mana keluaran akhir dari hal tersebut berisi 64-Bit (fungsi dari teks-asli dan
kunci), masuk ke swap dan menghasilkan pre-output.
3. Pre-output diproses dan permutasi diiversi dari permutasi inisial yang akan
menghasilkan teks-kode 64-Bit
 STANDAR ENKRIPSI DATA
• Contoh algoritma DES seperti dibawah ini :
• Diberikan teks-asli : “COMPUTER”

 Teks-asli heksa :
43 4F 4D 50 55 54 45 52
 Teks-asli biner :
xo = 01000011 01001111 01001101 01010000 01011010 01010100
01000101 01010010
 STANDAR ENKRIPSI DATA
• Misalkan kunci heksa :
– 13 34 57 79 9B BC DF F1
Kunci biner :
K = 00010011 00110100 01010111 01111001 10011011
10111100 11011111 11110001
Dengan initial permutaion (IP) diperoleh :
x0= IP (x) = L0R0
Dimana
L0 : 11111111 10111000 01110110 01010111
R0 : 00000000 00000000 00000110 10000011
Enkripsi DES 16 putaran
 STANDAR ENKRIPSI DATA
• MODE OPERASI DES
• DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN
CFB.
• Namun karena kesederhanaanya, mode ECB lebih sering
digunkaan pada paket program komersial meskipun sangat
rentan terhadap serangan.
• Mode CBC lebih kompleks daripada EBC namun
memberikan tingkat keamanan yang lebih bagus.
• Mode CBC kadang- kadang saja digunakan.
• Mode EBC cocok digunakan untuk blok kode. Diberikan
urutan x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis
dengan kunci K.
• Secara formal initial aturan
 STANDAR ENKRIPSI DATA
• Penggunaan mode CBC dapat dilihat pada gambar
dibawah ini :
 STANDAR ENKRIPSI DATA
• Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan
elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian
• Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
 ADVANCE ENCRYPTION
•
STANDARD (AES)
Advance Encryption Standard (AES) merupakan algoritma kriptografi yang dapat
digunakan untuk mengamankan data.
• Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi dan dekripsi.
• Pada tahun 1997, National Institute of Standard and Technology (NIST) of United States
mengeluarkan Advance Encryption Standard (AES) untuk menggantikan Data Encryption
STANDARD (DES).
• AES ini dibangun dengan maksud untuk mengamankan pemerintahan diberbagai bidang.
• Algoritma AES di design menggunakan blok cipher minimal dari blok 128 bit input dan
mendukung ukuran 3 kunci (3-key-sizes), yaitu 128 bit, dan 256 bit.
 METODE ALGORITMA AES
• Algoritma Rijndael kemudian dikenal dengan Advanced Encryption Standard (AES)
kemudian diadopsi menjadi standard algoritma kriptografi secara resmi pada 22 Meil
2002.
• Jenis AES terbagi 3, yaitu :
– AES-128
– AES-192
– AES-256
• Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit dengan kunci 128-bit
adalah sebagai berikut (diluarproses pembangkitan round key):
1. AddRoundKey : melakukan XOR antara state awal (plainteks) dengan cipher key.
Tahap ini disebut juga initial round.
 METODE ALGORITMA AES
2. Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah :
– subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box).
– shiftRows : pergeseran baris-baris array state secara wrapping.
– MixColumns : mengacak data dimasing-masing kolom array state.
– AddRoundKey : melakukan XOR antara state sekarang round key.
3. Final Round : proses untuk putaran terkhir.
– SubBytes
– ShiftRows
– AddRoundKey
4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci sepanjang 128, 192, atau
256.
5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4 diaman tiap-tiap sel
matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri dapat mempunyai ukuran matriks
yang lebih dari itu dengan menmbahkan kolom sebanyak yang diperlukan.
 METODE ALGORITMA AES
• Secara umum metode yang digunakan dalam
pemrosesan enkripsi dalam algoritma ini dapat dilihat
melalui gambar berikut :
 METODE ALGORITMA AES
1. ADD ROUND KEY
Add Round Key pada dasarnya adalah mengkombinasikan cipherteks yang sudah ada
dengan cipher key yang cipher key dengan hubunga XOR. Bagannya bisa dilihat pada
gambar :
 METODE ALGORITMA AES
2. SUB BYTES
Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan matriks/tabel lain
yang disebut dengan Rijndael S-Box. Dibawah ini adalah contoh Sub Bytes dan Rijndael S-Box.
 METODE ALGORITMA AES

• Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok cipher berisi
informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf, ataupun huruf –
angka yang semuanya tercantum dalam Rijndael S-Box.
• Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan digit
kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi tabel dari
Rijndael S-Box. Lamgkah terkahir adalah mengubah keseluruhan blok cipher menjadi blok yang baru yang isinya
adalah hasil penukaran semua isi blok dengan isi langkah yang disebutkan sebelumnya.
 METODE ALGORITMA AES
3. SHIFT ROWS
Shift Rows seperti namanya adalah sebuah proses yang melakukan shift atau
pergeseran pada setiap elemen blok/tabel yang diperlukan per barisnya. Yaitu baris
pertama tidak dilakukan pergeseran, baris kedua dilakukan pergeseran 1 byte, baris
ketiga dilakukan pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte.
– Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah pergeseran tiap
elemen kekiri tergantung berapa byte tergesernya, tiap pergeseran 1 byte berarti
begeser ke kiri sebanyak satu kali
 METODE ALGORITMA AES
4. MIX COLUMNS
Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher dengan
matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu menggunakan dot
product lalu perkalian keduanya dimasukan kedalam blok cipher baru.
 METODE ALGORITMA AES
5. DIAGRAM ALIR AES
seperti yang terlihat semua proses yang telah dijelaskan sebelumnya terdapat pada
diagram tersebut. Yang artinya adalah mulai dari ronde kedua, dilakukan pengulangan
terus menerus dengan rangkaian proses Sub Bytes, Shift Rows, Mix Columns and Add
Round Key, setelah itu dari ronde tersebut akan digunakan pada ronde berikutnya
dengan metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns tidak
dilakukan, dengan kata lain urutan proses yang dilakukan adalah Sub Bytes, Shift Rows,
and Add Round Key, hasil dari Add Round Key ini lah yang dijadikan sebagai cipherteks
dari AES.
• Seperti gambar dihalaman berkutnya :
METODE ALGORITMA AES
 IMPLEMENTASI ADVANCED ENCRYPTION
STANDARD
• AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting tentu memiliki
berbagai kegunaan yang sudah diaplikasikan atau diimplementasikan dikehidupan
sehari-hari yang tentu saja membutuhkan suatu perlindungan atau penyembunyian
informasi didalam prosesnya.
• Salah satu contoh penggunaan AES adalah pada kompresi 7-Zip.
• Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan
menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi Hash.
• Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat lunak yang
digunakan untuk kompresi.
• Metode enkripsi yang ditawarkan adalah menggunakan AES-256, Twofish, atau
Serpent
MULAI MATERI