METODOLOGI

KEAMANAN

PRODI SISTEM INFORMASI

 Tujuan
• Setelah perkuliahan ini selesai mahasiswa dapat :
– Menjelaskan siklus pengembangan sistem dan
keamanannya
– Menerapakan tindakan kewaspadaan pengamanan
data / informasi
– Metodologi pengembangan sistem dan keamanan
sistem
 Prinsip dalam sekuriti
• Repetition with recursion (pengulangan dengan
mengulang kejadian yang pernah terjadi)
– Sistem memerlukan sifat dinamis  menjalan proses
sekuriti secara kontinu (berkesinambungan)
• Lakukan selalu control dan monitoring
• Antisipasi resiko
 Siklus hidup pengembangan sistem
SDLC (System Development Life Cycle)
• Siklus pengembangan perangkat lunak
– Diantaranya yang digunakan oleh developer dan programer
– Model yang sering digunakan
• Water fall
• Linear / sequential
• Spiral
– Langkah diantaranya:
• System planning
• System analysis
• System design
• System selection
• System implementation
• System maintenance
 Contoh untuk sistem keamanan
• Inisiasi
– Pendefenisian konseptual
– Penentuan kebutuhan
– Pengembangan spesifikasi
– Review disain
• Pengembangan dan akuisisi
– Review komponen dan kode
– Review pengujian sistem
– Sertifikasi
• Implementasi
• Maintenance
• Pembuangan
 Inisiasi
• Awal sebuah proses keamanan
• Diintegrasikan dan diimplementasikan dengan
sistem TI secara penuh
 Defenisi konseptual
• Memahami ruang lingkup proses keamanan 
tanggung jawab sistem keamanan
• Tujuan:
– Tanggung jawab dan ruang lingkup individu yang
terlibat didalam sistem keamanan
– Contoh
• sistem akedemik di STMIK MDP membedakan tanggung
jawab dan ruang lingkup admin , dosen, manejer dll
 Penentuan kebutuhan
• Menspesifikasikan secara detail sebuah objek
• Aktivitas:
– Interview
• Mengklarifikasikan dan mengidentifikasi secara spesifik yang perlu
diproteksi  data maupun pemrosesan data
– Review ekstrenal
• Mengacu kearah enviroment (lingkungan sekuritas)
• Ancaman dan dukungan enviroment  kemampuan teknologi
– Analisis Gap
• Gabungan review internal dan eksternal dan mencocokkan dengan objek
• Apa yang harus dilakukan  wilayah teknologi, proses bisnis, budaya
organisasi, pengetahuan end user, dll
 Pengembangan spesifikasi proteksi
• Sistem dimodelkan dan dibandingkan dengan
objektif dan resiko yang didefenisikan;
– meliputi teknologi tertentu, konfigurasi, prosedur dan
perubahan yang diizinkan
 Review disain
• Pemeriksaan secara realita
• Kesempatan untuk mempresentasikan disain dan
implikasi terhadap pengambil keputusan
 Pengembangan dan akuisi
• Menyusun dan menciptakan tool, prototipe,
sistem pengujian dan verifikasi bahwa konfigurasi
telah benar dan tepat
– melakukan review terhadap kode atau aplikasi yang
akan diinstalkan, dan
– menguji sistem sekuriti didalam konteks jaringan
secara holistik
 Review komponen dan kode
• Mengembangkan tool sekuriti, program atau komponen spesifik
– mengevaluasinya didalam sebuah enviroment lab atao prototipe untuk mencari
perilaku atau akibat yang tidak diharapkan
• Yang diperhatikan
– Fungsionalitas komponen
• teknologi sekuriti bekerja sesuai harapan dan sesuai dengan kebutuhan sekuriti
– Konfigurasi komponen
• menguji konfigurasi yang bervariasi untuk sebuah komponen  untuk memastikan
konfigurasi bekerja sesuai harapan
– Pemeliharaan komponen
• menyiapkan individu / kelompok yang bertanggung jawab untuk memelihara
komponen
• menetapkan prosedur operasional dan metode pemeliharaan, updating, trouble
shooting terhadap komponen
– Mereview terhadap kode
• mengekplorasi bagian sensitif / kritis dari kode program  mencari bug dan masalah
fundamental disain program
 Review pengujian sistem
• Fungsional sistem
– diasumsikan setiap komponen berfungsi secara
individu
– verifikasi dilakukan untuk menngungkapkan efek
negatif yang belum diperkirakan sebelumnya
• Konfigurasi sistem
– mengubah konfigurasi konfigurasi komponen ketika
berinteraksi dengan sistem  menemukanproblem dan
kelemahan tersembunyi
 Review pengujian sistem
• Pemeliharaan sistem
– implikasi dari interaksi komponen  membantu
untuk pemeliharaan, upgrade, trouble shooting
• Training sistem
– meningkatkan kemampuan individu untuk
berinteraksi dengan sistem
• Implementasi sistem
– prototipe sistem sekuriti untuk mempelajari
kendala yang mungkin dapat ditemui saat
implementasi sebenarnya
– membuat dokumentasi problem implementasi
 Metode Plan Do Check Act
• PDCA adalah singkatan dari PLAN, DO, CHECK dan ACT yaitu siklus
peningkatan proses (Process Improvement) yang
berkesinambungan atau secara terus menerus seperti lingkaran
yang tidak ada akhirnya. Konsep siklus PDCA (Plan, Do, Check dan
Act) ini pertama kali diperkenalkan oleh seorang ahli manajemen
kualitas dari Amerika Serikat yang bernama Dr. William Edwards
Deming.
 Plan (Merencakan)
• Tahap PLAN adalah tahap untuk menetapkan Target atau Sasaran yang ingin
dicapai dalam peningkatan proses ataupun permasalahan yang ingin
dipecahkan, kemudian menentukan Metode yang akan digunakan untuk
mencapai Target atau Sasaran yang telah ditetapkan tersebut.
• Dalam Tahap PLAN ini juga meliputi pembentukan Tim Peningkatan Proses
(Process Improvement Team) dan melakukan pelatihan-pelatihan terhadap
sumber daya manusia yang berada di dalam Tim tersebut serta batas-batas
waktu (Jadwal) yang diperlukan untuk melakukan perencanaan-perencanaan
yang telah ditentukan. Perencanaan terhadap penggunaan sumber daya lainnya
seperti Biaya dan Mesin juga perlukan dipertimbangkan dalam Tahap PLAN ini.
 DO (Menerapkan)
• Tahap DO adalah tahap penerapan atau
melaksanakan semua yang telah direncanakan di
Tahap PLAN termasuk menjalankan proses-nya,
memproduksi serta melakukan pengumpulan data
(data collection) yang kemudian akan digunakan
untuk tahap CHECK dan ACT.
 Check (Memeriksa)
• Tahap CHECK adalah tahap pemeriksaan dan
peninjauan ulang serta mempelajari hasil-hasil
dari penerapan di tahap DO. Melakukan
perbandingan antara hasil aktual yang telah
dicapai dengan Target yang ditetapkan dan juga
ketepatan jadwal yang telah ditentukan.
 Act (Menindak)
• Tahap ACT adalah tahap untuk mengambil tindakan yang seperlunya terhadap
hasil-hasil dari tahap CHECK. Terdapat 2 jenis Tindakan yang harus dilakukan
berdasarkan hasil yang dicapainya, antara lain :
1.Tindakan Perbaikan (Corrective Action) yang berupa solusi terhadap masalah
yang dihadapi dalam pencapaian Target, Tindakan Perbaikan ini perlu
diambil jika hasilnya tidak mencapai apa yang telah ditargetkan.
2.Tindakan Standarisasi (Standardization Action) yaitu tindakan untuk men-
standarisasi-kan cara ataupun praktek terbaik yang telah dilakukan ,
Tindakan Standarisasi ini dilakukan jika hasilnya mencapai Target yang telah
ditetapkan.
Terima Kasih