PENGANTAR KEAMANAN SISTEM

INFORMASI

MULAI MATERI
 Dosen Pengasuh

Fahmi Ajismanto.S.Kom.,M.kom

Fahmi_ajismanto@palcomtech.ac.id

0823.7222.9913

MULAI MATERI
 Ketentuan Perkuliahan

Durasi Belajar
16 x Pertemuan Mematuhi Memiliki
Aktif belajar, Mengikuti
Aturan buku
2 SKS. (50 bertanya, UTS dan
Kesepakatan pegangan /
menit) / dan diskusi. UAS.
Kelas. referensi.
Pertemuan
PERTEMUAN 1

MULAI MATERI
Keamanan

Informai
• Maanfaat Keamanan
?
• Secara Umum
Contoh Keaman ?
 ANCAMAN TERHADAP KEAMANAN
SISTEM
sistem informasi yang modern selalu berada :
• Kerentanan
• penyalah gunaan.
D
I
B

D
U

IB
T
U

U
H

T
K

U
A
N

H
K
A
N
perlindungan dalam suatu sistem informasi. Sedangkan pengendalian terdiri atas :
pengamanan yang merujuk kepada 1. metode,
1. kebijakan 2. kebijakan,
2. Prosedur 3. prosedur organisasi yang menjamin
3. pengukuran teknik yang digunakan keselamatan aset-aset organisasi,
untuk mencegah akses yang tidak sah 4. ketepatan,
4. penggantian, 5. keandalan catatan rekeningnya serta
5. pencurian, kepatuhan operasional pada standar-
6. kerusakan fisik pada sistem informasi. standar manajemen.
 Pentingnya Keamanan Sistem
Informasi
• Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau
network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem
informasi sebagai komponen sangat penting (“extremely important”).
• Mereka lebih mementingkan : “reducing cost” dan “improving competitiveness”

Mekipun perbaikan sistem informasi

setelah dirusak justru dapat menelan biaya
yang lebih banyak.
terlihat sebagai besaran yang tidak dapat
langsung diukur dengan uang (intangible),

keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran

yang dapat diukur dengan uang (tangible).
 Tujuan terhadap Keamanan Sistem
Informasi
• Perusahan memiliki sederetan tujuan dengan diadakannya sistem informasi yang
berbasis komputer didalam perusahan.

Tujuan
1. integeritas,
2. kelanjutan dan kerahasian dari pengolahan data.
3. Keuntungan dengan meminimalkan resiko harus diimbangi dengan biaya yang
dikeluarkan untuk tujuan pengamanan.

• Repotasi organisasi akan dinilai masyarakat apabila dapat diyakini oleh:

1. Integeritas (Integerity) Informasi
2. Kerahasian (Confidentiality)
3. Ketersediaan (Availability) Informasi
 Aset
• Informasi adalah aset organisasi yang sangat berharga dan penting seperti aset-
aset yang lain misalnya .??????
• Sistem informasi suatu keharusan untuk melindungi aset perusahan untuk dari
berbagai ancaman.
• Katagori aset –aset sistem informasi

 PersonalSistem : Hardware
• Analis
• Programmer •CPU
• Operator •Printers
• database •Terminal/monitor
• adminstraktor •Routers
• Spesialis jaringan •Switch
• Spesialis PABX.
 Aset
Software Aplikasi System Software Data
•Sistem Debtors • Operating Sistem • Transfer File
•Creditors • Compilers • Backup File,
•Pengajian • Utilities
•GL • Database system.
•ERP

Penunjang
Fasilitas
• Tapes
• Mebel • CD,DVD,disk pack
• Ruang Kantor • Kertas
• Filing Cabinet • Printer,Tinta Printer
 Ancaman
• Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahan yang dapat
merugikan perusahan. Ancaman aktif mencakup kecurangan dan kejahatan terhadap
komputer Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam
1. Hardware : Dikarenakn kerusakan pada byar pet (listrik), kortsleting, disk crashes.
2. Software failure : Dikarenakan oleh kesalahan sistem Operasi, kesalahan program
update,tidak cukup memadainya uji coba program.
3. Kegagalan SDM : Dikarenakan sangat minimnya training atau pelatihan bagi personel.
4. Alam : Dikarenakan faktor cuaca yang tidak normal,Panas, banjir, gas, proyektil,
gempa,letusan gunung
5. Keungan : Biasanya disebabkan oleh tuntutan hukum pihak ketiga, pailit, mogok kerja,
hura-hura
6. Eksternal : Sabotase,sepionase, hura-hura
7. Internal :Dalam bentuk kecurangan, pencurian,kejahatan (virus,membangun malicius
software).
 Sangat rahasia
Inti utama dari aspek kerahasiaan adalah:

 usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
 Privacy lebih kearah data-data yang sifatnya privat.
Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang
dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi
“KRIPTOGRAFI”.
 Konfidentil (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perpeorangan, merusak
repotasi organisasi
 Ristricted
Informasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis organisasi.
 Internal Use
Informasi ini hanya boleh digunakan oelh pegawai perusahan untuk melaksanakan tugasnya.
 Public
Informasi ini dapat diperluaskan kepada umum melalui jalur yang resmi.
 PERTEMUAN 2
KEAMANAN SISTEM INFORMASI

MULAI MATERI
 Kebijakan Keamanan Sistem Informasi

Setiap organisasi akan selalu

memiliki pedoman bagi
karyawan untuk mencapai
sasaran. Kebijakan keamanan sistem
informasi biasanya disusun oleh
pimpinan operasi beserta pimpinan
ICT (Information Communication
Technology) dengan pengarahan
dari pimpinan organisasi.
 Rangkaian konsep secara garis besar dan dasar prosedur
keamanan sistem informasi :
• Tanggung jawab semua karyawan
• Penetapan pemilik sistem informasi
• Langkah keamanan harus sesuai dengan peraturan dan undang-undang
• Antisipasi terhadap kesalahan
• engaksesan kedalam sistem harus berdasarkan kebutuhan fungsi
• User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem
sesuai degan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas
pemberian akses ini.
• Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi
• Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk
dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan
dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas
pemberian pengaksesan terhadap data tersebut.
• Pekerjaan yang dilakukan oleh pihak ketiga
 Informasi
• Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non
peralatan komputer, fasilitas, data, dan informasi dari penyalah gunaan oleh orang
yang tidak bertanggung jawab.
• Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah
sistem informasi.
• Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi
yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan
untuk mencapai tiga sasaran utama yaitu:

• Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi
• Untuk menjaga kestabilan sistem informasi : pemisahan secara fungsional antara pengembang sistem,

pengoperasian sistem harian dan pemakai akhir. pihak ICT terutama bagian pengembangan sistem tidak dibenarkan

apabila ia menangani administrasi yang menyangkut keamanan sistem.

• Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan
 Lanjutan
• Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru.

• Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi

• Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer

membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta

penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai

keadaan keamanan di dalam aplikasi tersebut.

• Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID)

• Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan

terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan

kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja

terhadap pemilik user-ID ini.

 PRINSIP DASAR PERANCANGAN SISTEM YANG AMAN

• LANGKAH-LANGKAH KEAMANAN :
1. Keamanan Fisik Komputer :
• membatasi akses fisik ke mesin :
• Akses masuk ke ruangan computer, penguncian komputer secara hardware, keamanan BIOS, keamanan
Bootloader
back-up data : pemilihan piranti back-up, penjadwalan back-up, mendeteksi gangguan fisik pada saat
computer akan di- reboot,
 hal yang perlu diperiksa pada log dengan mencatat
kejanggalan yang ada
• Log pendek atau tidak lengkap, log yang berisikan waktu yang aneh, log dengan permisi atau
kepemilikan yang tidak tepat, catatan pelayanan reboot atau restart, log yang hilang, masukan
atau login dari tempat yang janggal
• mengontrol akses sumber daya dengan tool seperti system security yang dapat mengunci semua
system dari pengaksesan setelah password bios.Tapi masih ada kemungkinan seseorang
mengetahui password untuk mengakses system tersebut.
• Mengunci console dengan menggunakan xlock dan vlock yaitu program kecil untuk mengunci
agar seseorang tidak dapat mengganggu atau melihat kerja yang dilakukan dengan mengunci
tampilan yang membutuhkan password untuk membukanya. xlock dapat digunakan untuk
mengamankan desktop pada saat meninggalkan meja anda, dan vlock berfungsi untuk mengunci
beberapa atau semua console teks yang terbuka.
 2. Keamanan lokal

Berkaitan dengan user dan hak-haknya dengan memberikan account

kepada orang yang tepat sesuai kebutuhan dan tugas-tugasnya :
• Beri mereka fasilitas minimal yang diperlukan.
• Hati-hati terhadap saat/dari mana mereka login, atau tempat
seharusnya mereka login.
• Pastikan dan hapus rekening mereka ketika mereka tidak lagi
membutuhkan akses.
 3. Keamanan Root
• Jangan sekali-sekali login sebagai root, jika tidak sangat perlu.
• ika terpaksa ingin menggunakan root, loginlah sebagai user biasa kemudian gunakan perintah su
(substitute user)
• angan sekali-sekali menggunakan seperangkat utilitas, seperti rlogin/rsh/rexec (utilitas r) sebagai root.
Semua itu menjadi sasaran banyak serangan, dan sangat berbahaya bila dijalankan sebagai root.
Jangan membuat file .rhosts untuk root.
• Jangan pernah menggunakan “.”, yang berarti direktori saat ini dalam penyertaan path. Sebagai
tambahan, jangan pernah menaruh direktori yang dapat ditulis pada jalur pencarian anda, karena hal ini
memungkinkan penyerang memodifikasi atau menaruh file biner dalam jalur pencarian anda, yang
memungkinkan mereka menjadi root ketika anda menjalankan perintah tersebut.
• Batasi penggunaan konsol untuk login sebagai root
• Selalu perlahan dan berhati-hati ketika menjadi root. Tindakan anda dapat mempengaruhi banyak hal.
Pikir sebelum anda mengetik!
 4. Keamanan File dan system file
• Seorang administrator system perlu memastikan bahwa file-file pada system tidak
terbuka untuk pengeditan oleh pemakai dan grup yang tidak seharusnya melakukan
pemeliharaan system.
• Directory home user tidak boleh mengakses perintah mengubah system seperti
partisi, perubahan device dan lain-lain.
• Lakukan setting limit system file.
• Atur akses dan permission file : read (mampu melihat isi file, dan membaca
directori), write (mampu menambah dan mengubah file, menghapus atau
memindahkan file dalam sebuah direktori), execute (mampu menjalankan program
biner atau script shell, mencari sebuah directory yang dikombinasikan dengan
permisi read) bagi user maupun group.
• Selalu cek program-program yang tidak dikenal
 5. Keamanan Password dan Enkripsi

• Hati-hati terhadap bruto force attack, seperti “Crack” atau “John the
Ripper” sering digunakan untuk menerka password. Usahakan
dengan membuat password yang baik.
• Selalu mengenkripsi file yang dipertukarkan.
• kukan pengamanan pada level tampilan, seperti screen saver.
 6. Keamanan Kernel
• Kernel merupakan otak system operasi yang
mengatur pemakai banyak (multiple users) dan
proses, mengelola directory system serta melakukan
seluruh pengelolaan I/O untuk system tersebut.
• selalu update kernel system operasi.
• Ikuti review bugs dan kekurang-kekurangan pada
system operasi.
 7. Keamanan Jaringan
• Waspadai paket sniffer yang sering menyadap port
Ethernet.
• Lakukan prosedur untuk mengecek integritas data
• Verifikasi informasi DNS
• Lindungi network file system
• Gunakan firewall untuk barrier antara jaringan privat
dengan jaringan eksternal
• Dengan munculnya komputer di lingkungan organisasi,aset perusahaan akan bertambah sehingga
diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan atau
kewajiban.

integrity

Availability Confidentiality
 ISO 17799
• ISO (the International Organization for Standarization) dan IEC (the International
Electrotechnical Commission) membentuk sistem khusus untuk standardisasi
universal. Badan-badan nasional anggota ISO dan IEC berpartisipasi dalam
pengembangan standardisasi internasional melalui panitia teknis yang disepakati oleh
organisasi-organisasi yang terpercaya keahliannya dalam aktivitas-aktivitas teknis.
• Standar internasional ISO/IEC 17799 dipersiapkan oleh Institut Standar Inggris
(dikenal sebagai BS 7799) dan diadopsi di bawah “prosedur jalur cepat” khusus oleh
Panitia Teknis Gabungan ISO/IEC JTC 1, Teknologi Informasi, secara bersamaan
dengan persetujuan dari badan-badan nasional ISO dan IEC).
• Pada tahun 1994 dalam seminar yang diselenggarakan oleh ISO dan IRAM di
Argentina, salah satu wakil dari ISO mengusulkan bahwa standardisasi dan kualitas
harus didasarkan pada sedikit-dikitnya dua tonggak dasar yaitu etika dan kebudayaan.
 ISO 17799 terdiri dari
1. Business Continuity Planning
2. System Control Access
3. System Development dan Maintenance
4. Physical and Environmental Security
5. Compliance
6. Personal Security
7. Security Organization
8. Computer and Network Management
9. Asset Classification and Control
10. Security Policy
 JENIS STANDAR / SPESIFIKASI

STANDAR /
SPESIFIKASI
FISIK
DOKUMEN
DOKUMEN
(Gedung,
KEMAJUAN Lab, dll) SISTEM
IPTEK PRODUK
-- ISO
SMM9001:
ISO
- SPLN 42-3:1992 2008
9001
DOKUMEN KERAGAMAN/
SISTEM
-KOMPATIBILITAS
SNI 04-6507.1- - SML ISO
PENGUJIAN/
KOMPETENSI
(Gedung, LULUSAN/
2002
UAS/UTS/SIDANG
LULUSAN 14001
Lab, dll) -DLL
DLL - OHSAS, SMK3,
halaman 31 dari 50 halaman DLL
 STANDAR SISTEM MUTU ISO 9000
LA S
KE IA
N
DU
• ILUSTRASI
P DP D
STANDAR MUTU A CA C
PRODUK TERTENTU ISO
9001

ISO
9001 PERBAIKAN
BERKELANJUTAN
 FUNDAMENTALS OF QUALITY MANAGEMENT SYSTEM
PERBAIKAN BERKESINAMBUNGAN
SISTEM MANAJEMEN MUTU PT

M Tanggung jawab
manajemen M
A K
P e A
H e p
r Pengelolaan Ujian, analisis H
A s u
y sumber daya dan perbaikan a A
S a s
r a S
I a
Output
t Input n I
S a
Realisasi
ALUMNI
n LULUSAN S
W
W
A
Kunci: Pertambahan nilai A
Aliran Informasi

Model sistem manajemen mutu berdasarkan proses

 D OKUMENTASI S ISTEM M UTU

Struktur Dokumentasi Sistem Mutu

Level I Philosophie Menggambarkan secara garis

Pedoman Why
s and besar latar belakang, kebijakan
Mutu Policies dan sasaran perusahaan.
Level II What, When, Principles Menggambarkan mengenai
Prosedur and interaksi suatu bagian
Where &
Level III Who Strategies dengan bagian yang lain.
instruksi kerja How Menggambarkan mengenai
dan dokumen bagaimana aktivitas di suatu
pendukung lainnya (Current Practice)
bagian dilaksanakan.
RECORDS
(Proof)
Pedoman Mutu

Tujuan :
– Memberi informasi kepada karyawan dan pelanggan, tentang
tujuan dan kebijakan manajemen dalam hal mutu.
– Memberi jaminan kepada asesor atau pembaca, bahwa organisasi
telah menerapkan sistem mutu yang sesuai dengan ISO 9001

Isi :
– Menggambarkan setiap elemen dari ISO 9001 yang diterapkan
dalam perusahaan.
– Penggambaran tersebut tidak perlu sangat detail.
– Secara luas, Pedoman Mutu menyatakan apa yang dilakukan
untuk menjamin mutu produk (barang atau jasa)
Pernyataan Kebijakan Mutu

 Menyatakan komitmen manajemen puncak, sebagai

pencerminan komitmen perusahaan secara
menyeluruh
 Memberi jaminan bahwa mutu merupakan salah
satu aspek penting dalam kebijakan perusahaan
 Ditandatangani oleh top manajemen
 Harus dimengerti oleh setiap karyawan
 Penerapannya merupakan tanggung jawab
manajemen
 Pedoman Mutu

Isi Kebijakan Mutu

 Menyatakan
· Tujuan perusahaan dalam hal mutu
· Komitmen perusahaan untuk memenuhi persyaratan dan senantiasa
memperbaiki keefektifan sistem manajemen mutu.
· Kerangka kerja untuk menetapkan dan meninjau tujuan mutu.
· Kebijakan mutu akan ditinjau agar selalu sesuai.

 Menguraikan
· Bagaimana kebijakan mutu diketahui dan dimengerti oleh karyawan
· Bagaimana kebijakan mutu diterapkan dan dipelihara
 P ROSEDUR, I NSTRUKSI K
ERJA, R
EKAMAN

MAJOR BUSINESS
PROCESS QUALITY MANUAL
PROCESSES (Manual define concept)

PROCEDURE
(Process to Activities)
ACTIVITIES

TASKS
WORK INSTRUCTION
(Activities to Tasks)
 Proses pelayanan Pendidikan

Suppliers
S–P-O
Structure Proses Outcome
Customers
(MAHASISWA)

PK & IK CQI

SMM: SMM:
Kebijakan
Manual
Sistem yang menjamin
Perencanaan kualitas lulusan dan
Sasaran
proses melalui
standardisasi dan
Leadership
perbaikan yang
Management
berkesinambungan
Suppliers
S–P-O Customers

Kebijakan Qmanual BPM QI

Sasaran
Perencanaan
Prosedur QMS
Instruksi kerja
Bagaimana ISO 9000 dapat menjamin hal
tersebut?
 Dampak dari pemanfaatan Komputer
• Dampak dari penggunaan komputer yang merupakan alat bantu didunia bisnis demi meningkatkan
efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah
tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau terpikirkan.
1. Sentralisasi Data
2. Pengaksesan data
3. Pemisahan Tugas / Segregation of duties
4. Kekurangan audit trail (bukti secara fisik)
5. Tidak tersedianya prosedur dan dokumentasi yang memadai
6. Pengetahuan teknologi yang tinggi
7. Teknologi telah merubah pola berbisnis
8. Tingkat otoritas
9. Keterlibatan audit
 Kebutuhan atas Strategi Keamanan
Sistem Informasi
Strategi Keamanan sistem informasi dibutuhkan karena
 Informasi yang dihasilkan oleh komputer merupakan hal yang penting untuk mensukseskan
bisnis
 Teknologi yang baru telah mengubah pola lingkungan bisnis, termasuk ancaman dan serangan
dari luar lingkungan.
 Keamanan sistem informasi merupakan kunci keberhasilan untuk menggunakan alat bantu
baik dalam bentuk hardware maupun software dalam berbisnis dan pemerosesan.
 Penerapan kebijakan dan standar yang memadai akan menentukan arah keamanan sistem
informasi
 Bisnis secara elektronik membutuhkan kepercayaan bisnis
 Bisnis perusahan sangat tergantung dengan ICT.
 Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan untuk jangka panjang
PERTEMUAN 3
ASSESS RISK

MULAI MATERI
 Assess Risk
Keamanan informasi diperoleh dengan
menginplementasikan bermacam-macam alat kontrol
dan juga kebijakan-kebijakan atau prosedur-prosedur.
• Langkah awal organisasi harus mempelajari dan
terlebih dahullu harus mengevaluasi semua risiko
yang akan dihadapi dengan komputerisasi pada
perusahan tersebut.
 Jenis informasi
Terminologi jenis informasi paling sedikit akan menyangkut :

a. Arsip elektronik. C. Rekaman

 Software file  Rekaman Vidio
 Data files atau data base  Rekaman Audio
b. Dokumen dalam bentuk kertas D. Komunikasi
 Dokumen yang dicetak di atas kertas  Percakapan melalui telepon,HP
 Dokumen yang ditulis tangan  Percakapan tatap muka
 Foto,gambar.sketsa  Percakapan atau pesan melalui E-mail
 Pesan melalui Fax
 Pesan vidio
 Pesan instan SMS
 Risk
• Berikut jenis impact yang menyangkut pada saat menganalisa resiko :
 Kerugian atas revenue
 Kerugian atas modal organisasi
 Kerugian mengenai reputasi dipasr
 Menghilangkan kesempatan bisnis
 Kerugian dipasar modal
 Kehilangan kepercayaan pelanggan
 Kehilangan kepercayaan pemegang saham
 Melanggar regulasasi
 Melanggar hukum
 Tercemarnya nama baik organisasi
 Risk
ANCAMAN VULNERABILITY IMPACT

RISK
 Analisi Risiko
• Risk analisis merupakan cikal bakal pembuatan kebijakan keamanan
sistem dari setiap organisasi.
• Risk analisis melibatkan penentuan :
– Apa yang harus diprioritaskan dan dikontrol oleh organisasi
– Apa yang dibutuhkan untuk memproteksinya
– Bagaimana cara memproteksi dan mengontrolnya
– Prioritas
 Tujauan utama risk assesment mengedentifikasi proteksi dan kontrol terhadap
informasi. Pada saat risk assesment akan ditemukan banyak bagian abu-abu (gray
area) atau bidang yang tidak jelas jenis kontrol apa yang cocok untuk diterapkan.

• Contoh gray area :

Penggunaan multimedia massage servise (MMS). Boleh dikatakan pada saat ini
semua orang memiliki telphon genggam dengan built-in kamera yang dapat
dikatagorikan sebagai ancaman. Pemilik dapat merekam informasi rahasia terutama
rahasia manufactoring atau pertahanan informasi tersebut dapat dengan mudah
dikirim keluar organisasi melalui mobil network.
Pada saat penentuan kontrol banyak faktor yang harus dipertimbangkan, termasuk
peraturan pemerintah yang menyangkut bisnis perusahaan yang digeluti.harus disdari
juga bahwa setiap kontrol dibutuhkan persyaratan yang akan diterapkan yang akan
membutuhkan waktu dalam pelaksanaan (response time). Dan penambahan biaya.

Resiko harus dikelompokan dalam tingkat kepentingan dan dampak

kerusakan yang diakibatkanya. Faktor penentunya adalah:
 Perkiraan resiko kehilangan sumber daya (dengan sengaja atau tidak
sengaja )
 Perkiraan pentingnya sumber daya (Apa impact-nya)
 Katogori yang harus dipertimbangkan untuk
mengestimasikan ancaman terhadap keamanan sistem.
 Hardware
 Software
 Data
 Manusia
 Dokumentasi
 Persedian
 PERTEMUAN 4
TANGGUNG JAWAB PERSONAL

MULAI MATERI
 katagori Tanggung jawab pemakaian dan keamanan
sistem informasi

1. Tanggung jawab Karyawan

2. Tanggung jawab Manajer
Tanggung jawab Umum,Karyawan,Manajer

Tanggung
Perusahaan karyawan
jawab

aset
 Secara spesifik, personal yang memiliki kaitan
dengan sistem komputerisasi :
a. Personal yang telah ditunjuk sebagai pemilik sistem
b. Personal lain yang dikatagorikan sebagai pemakai
c. Pengembangan sistem (pimpinan proyek,sistem analisis,programer)
d. Spesialis database
e. Spesialis jaringan komunikasi
f. Spesialis PABX
g. Organisasi data processing (operator)
h. Auditor (EDP)
i. Administrasi sistem keamanan
j. Personal andministrasi
 Karyawan
• Karyawan
 Tanggung jawab setiap karyawan :
1. Mengetahui secara saar untuk bertindak sesuai dengan peraturan
keamanan yang berlaku.
2. Melaporkan kepada atasan apabila mengetahui kejanggalan-
kejanggalan atau kekurangan dalam hal keamanan.
3. Memasitikan agar semua informasi yang sensitif mengenai
perusahan tidak akan disebarluaskan yang mengakibatkan kerugian
perusahan.
4. Setelah menerima password, mengganti langsung dan secara teratur
sesuai dengan peraturan yang telah ditentukan.
Manajer
 Tanggung jawab Manajer :
a. Memastikan bahwa semua karyawan bawahan megetahui tanggung jawab mereka dan
peraturan keamanan sistem yang informasi yang berlaku serta monitor.
b. Memastikan agar staf bagianya memiliki sumber daya dan keahlian yang memadai untuk
melaksanakan untuk melaksanakan tanggung jawab mereka untuk keamanan informasi
c. Memastikan agar karyawan bawahanya mendapatkan akses kesistem sesuai dengan fungsi
yang mereka embang
d. Memastikan pemisahan tugas/pekerjan karyawan
e. Memastikan agar setiap peraonal mengetahui bagaimana cara pengamanan keamanan
berfungsi yang telah diintegrasikan dalam persuder kerja harian
f. Bertindak cepat dan tepat waktu
g. Memastikan agar perusahan tidak tergantung pada satu orang untuk setiap pekerjan utama
 Tanggung Jawab Secar Spesifik Keamanan Sistem
Informasi
• Pemilik Sistem
Pemilik sistem adalah mereka yang bertanggung jawab atas kebenaran desain fungsional
dari sistem komputer di perusahaan dan yang memiliki wewenang untuk menentukan
penggunanya
• Tanggung Jawab. Pemilik Sistem:
1. Mengetahui nilai dan resiko dari sistem komputer yang digunakan mengklasifikasi sistem
tersebut berdasarkan resikonya sesuai dengan kepekaannya dan mengevaluasi secara berkala.
2. Bertanggung jawab untuk keamanan sistem yang memadai harus merumuskan kebutuhan akan
keamanan sistem informasiyang di kehendaki secara umu berdasarkan kepekaan resiko
keamanan sistem.
3. Mengotorisasi pengaksesan dan penggunaan sistem serta memastikan bahwa penggunaan
otoritas diimplentasikan secara benar.
 Pemakai
• Tanggung jawan Pemakai
1. Menggunakan sistem informasi sesuai dengan tanggung jawab
2. Bertanggung jawab atas semua transaksi/tindakan yang dilakukan terhadap sistem dengan menggunakan
User-ID.
3. Mengetahui semua intruksi beserta keamanan dan mematuhinya
4. Laporan kepada atasan
5. Mengganti password secara teratur sesuai dengan peraturan yang telah ditentukan
6. Tidak diperkenakan berbagi password
7. Mengembalikan seluru hak milik perusahaan yang berkaitan dengan data pada saat memutuskan hubungan
kerja.
8. Membuat backup sendiri dari pc.
9. Menyhadari bahwa komputer dikantor hanya boleh digunakan untuk keperluan kantor atau yang berkaitan
dengan pekerjaan dan bukan untuk kebutuhan pribadi
 Pengembangan Sistem
Pengembang sistem adalah staf ICT yang
memiliki keahlian dalam bidang designing,
programing,troubleshooting sistem, dan memiliki
tanggung jawab untuk memilih,mengembangkan, dan
memilihara sistem komputer atas nama pemilik
sistem.
 Spesialist Database
• Memiliki keahlian yang luas dalam bidang
manajemen database dan memiliki tanggung
jawab untuk memilih, mengembangkan dan
memelihara sistem database atas nama pemilik
sistem.
Spesialisasi jaringan komunikasi
• Staf yang memiliki keahlian mengenai jaringan komunikasi,
LAN, WAN, VSAT, beseta penunjang baik yang berupa
hadware maupun software. dan memiliki tanggung jawab
untuk memilih, mengembangkan dan memelihara jaringan
komunikasi atas nama pemilik sistem.
 Spesialisasi PABX
• Staf yang memiliki keahlian
mengenai sistem telepon dan
memiliki tanggung jawab
untuk memilih PABX sesuai
kebutuhan perusahan dan
memeliharanya
 Organisasi dan Processing
1. Menjaga dan melaksanakan pemerosesan sistem sesuai dengan
syarat yang diberikan oleh pemilik sistem untuk melskuksn
pemonitoran, dan keamanan.
2. Memindahkan sistem ke production environmen setelah
disetujui oeleh pemilik sitem
3. Memastikan agar wewenang yang diberikan kepada pemakai
dapat dimonitori dengan baik.
4. Log off apabila meninggalkan sistem
 Auditor
• Tanggung jawab :
1. Memberikan penilaian dan rekomendasi
2. Melaporkan penemuan
3. Melakukan audit
4. Kontrak yang berkaitan dengan sistem informasi
sudah disetujui oleh unit kerja hukum.
Administrator Sistem Keamanan
• Staf yang memiliki keahlian untuk mengimplementasi dan memelihara
keamanan terhaap sistem informasi yang telah dirumuskan bersama pemilik
sistem dan kepala unit kerja yang terkait.
• Tanggung jjawab:
1. Mentrukturkan keamanan sistem informasi
2. Implementasi dan maintain
3. Administrasi dan memberikan otoritas pengaksesan sistem
4. Pengawasan software leseni asli
• Keamanan pasword administrator
 Personal Aministrasi
• Staf yang bertanggung jawab untuk urusan
administrasi berkaitan dengan sistem
informasi.
 Tanggung jawab manajemen
• 1. Komitmen manajemen:
– Manajemen puncak harus menyediakan bukti komitmennya untuk
mengembangkan dan melaksanaan SMM secara berkelanjutan,
menyempurnakan efektivitasnya dengan:
• mengkomunikasikan pentingnya memenuhi persyaratan pelanggan, perundangan
dan peraturan yang berlaku
• menetapkan kebijakan mutu
• menetapkan sasaran mutu
• melakukan tinjauan manajemen
• Memastikan ketersediaan sumber daya
• 2. Fokus pelanggan:
– Manajemen puncak harus memastikan bahwa persyaratan
pelanggan/mahasiswa ditentunkan dan dipenuhi dengan sasaran meningkatkan
kepuasan mahasiswa/pelanggan. (lihat 7.2.1. dan 8.2.1)
 Tanggung jawab manajemen
• 3. Kebijakan mutu:
• Manajemen puncak memastikan bahwa kebijakan mutu:
– Sesuai dengan tujuan organisasi
– Memuat komitmen untuk mematuhi persyaratan dan secara
berkelanjutan akan menyempurnakan efektifitas sistem manajemen
mutu
– Menyediakan kerangka kerja untuk menetapkan dan menelaah sasaran-
sasaran mutu
– Dikomunikasikan dan dipahami oleh semua dosen & karyawan
– Ditelaah untuk kesesuaian berkelanjutan
 Tanggung jawab, wewenang, dan
komunikasi
– Tanggung jawab dan wewenang:
• Manajemen puncak harus memastikan bahwa tanggung jawab dan wewenang didefinisikan
dan dikomunikasikan di dalam organisasi
– Wakil manajemen (MR):
• Manajemen pucak harus menunjuk seseorang anggota manajemennya, yang di luar
tanggung jawab yang lain harus mempunyai tanggung jawab dan wewenang meliputi:
– Memastikan bahwa proses yang diperlukan untuk SMM ditetapkan, dilaksanakan dan
dipelihara
– Melaporkan pada manajemen puncak mengenai kinerja SMM dan setiap kebutuhan
untuk penyempurnaan
– Memastikan pengembangan kesadaran mengenai persyaratan pelanggan /mahasiswa
di dalam organisasi

– Komunikasi internal:
• Manajemen puncak harus memastikan bahwa proses komunikasi yang sesuai
ditetapkan dalam organisasi dan bahwa komunikasi mengenai efektivitas SMM
berlangsung.
 6. Telaah manajemen:

– Umum
– Manajemen puncak harus menelaah SMM organisasi,
pada interval yang terencana, untuk memastikan
kesesuaian yang berkelanjutan, kecukupan, dan efektivitas
– Penelaahan harus meliputi penilaian kesempatan untuk
penyempurnaan dan kebutuhan untuk perubahan SMM
termasuk kebijakan dan sasaran mutu
 PERTEMUAN 5
LOGIKAL SCURITY DAN KONTROL
PASSWORD

MULAI MATERI
 Logikal Scurity dan Kontrol Password

 Tujuan Logical scurity dan kontrol Password

 Aplikasi Logical scurity dan kontrol Password
 Access Level
 Tanggung jawab pemberian kontrol
 Logical security
• Logical security adalah pengontrolan dengan pertolongan
software/aplikasi tertentu terhadap pengaksesan pemakai sesuai
kewenangannya untuk dapat mengakses data/informasi.
• Tujuan :
Melindungi data/informasi yang tersimpan di pusat komputer dari
perusakan atau penghancuran yang dilakukan baik sengaja atau tidak
Menghindari dan mendeteksi perubahan terhadap informasi yang
dilakukan oleh pihak yang tidak berwenang, serta menjaga informasi
agar tidak disebarkan kepihak lain.
Aplikasi Logical Security

 User ID
 Password
 Access level
 Closed menu
 User ID
Tujuan untuk mengidentifikasi pemakai yang memiliki otorisasi untuk mengakses
sistem komputer.
• Beberapa informasi yang disimpan dalam User ID
 User name
 Password
 Initial menu
 Output queue
 Special authorities
 Password change date
 Access level
 Dll
 Password
• Berhubungan dengan User ID, untuk membuktikan bahwa
pemilik memiliki wewenang untuk mengakses sistem.
• Akses ke dalam sistem dapat ditolak bila
 User ID salah, password benar
 User ID benar, password salah
 Keduanya salah
 Batasan kesalahan, dan pemblokiran
 Rekaman file log
 Access Level

• Metode pengontrolan tergantung dari peralatan dan enviroment yang

digunakan, secara umum antara lain:
 No access.?
 Execute .?
 Read.?
 Modify/update.?
 Delete.?
 Add/write.?
 Owner.?
 Closed Menu
• Menu pertama ini memberikan opsi untuk memanggil
submenu lain dan submenu yang ditetapkan
• Tanggung Jawab Pemberian Kontrol :Security
Administrator memiliki wewenang untuk
membuat, mengganti, dan menghapus User ID
berserta password dan tingkat kontrol pengaksesan
 Tolak Ukur Dalam Logical Security
 Periksa & pastikan user accounts terdaftar
 Periksa user profile yang terdaftar mengidentifikasikan pemilik user
 Setiap pemakai hanya memiliki 1 user profile
 Menyediakan user guest
 Periksa & pastikan account policy sesuai
 Memastikan pergantian password dalam kurun waktu tertentu
 Memastikan password yang sama tidak dapat digunakan lagi
 Memastikan workstation hanya digunakan sesuai jam kerja
• Ada backup file dan directory yang hanya dimiliki administrator
 PERTEMUAN 6
PHYSICAL SECURITY

MULAI MATERI
 Access Level
• Physical Security atau keamanan fisik membahas ancaman,
kerawanan dan tindakan yang dapat diambil untuk mamberi
perlindungan fisik tehadap sumber daya organisasi dan informasi
yang sensitif. Sistem keamanan fisik sering mengacu pada tindakan
yang diambil untuk melindungi sistem, gedung dan infrastruktur
pendukung yan terkait terhadap ancaman yang berhubungan dengan
lingkungan fisik.
• Secara singkat Physical Security dapat diartikan sebagai
keamanan infrastruktur teknologi informasi secara fisik
 1. Company Surroundings
• Sebuah perusahaan besar biasanya memiliki sistem keamanan yang
terstruktur dengan sangat baik. Untuk memasuki wilayah perusahaan
dibutuhkan hak akses yang sah, dan hanya orang-orang tertentu saja yang
memiliki hak tersebut.
• Beberapa cara mengamankan daerah sekitar perusahaan:
 Pagar / gerbang
 Tembok tinggi
 Penjaga
 Menggunakan alarm keamanan
 2. Reception
• Posisi seorang resepsionis harus diperhatikan, karena
orang luar perusahaan dapat dengan mudah untuk melihat
dan mengetahui segala aktivitas yang dilakukan resepsionis
terhadap komputer perusahaan. Sebaiknya:
 Posisi monitor komputer tidak menghadap keorang luar
 Tidak meninggalkan komputer dalam keadaan menyala
 2. Server
• Komputer server pada sebuah perusahaan adalah bagian yang
paling penting, karena dalam komputer tersebut tersimpan data-data
penting (rahasia) perusahaan. Perlindungan terhadap komputer server
dapat dilakukan dengan 2 cara:
1. Perlindungan data pada computer server, biasanya dari serangan virus
dan spy. Disarankan untuk menginstall antivirus dan sering-sering
untuk mengpdatenya.
2. Perlindungan fisik komputer server dari berbagai serangan, khususnya
dari serangan bencana alam.
 4.Workstation area
• Workstation area merupakan tempat yang sangat rawan untuk
keamanan data, karena orang dapat dengan mudah untuk mengambil
data dari komputer milik orang lain. Sebaiknya kita melakukan
pengamanan dengan cara:
 Tidak meninggalkan meja kerja dengan keadaan komputer menyala,
komputer harus dalam keadaan terkunci
 Gunakan kamera CCTV
 Tidak meninggalkan usb / media drives lainnya masih terhubung ke
komputer
 5. Wireless access points
• Keberadaan alat wireless access points sudah semakin
meluas dan dibutuhkan pengamanan yang lebih ketat. Untuk
mencegah akses-akses yang tidah sah, sebaiknya wireless
access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:
 Nyalakan WEP encryption
 Rubah default SSID-nya
 Access point harus menggunakan password
 Password harus cukup kuat sehingga tidak mudah untuk dicrack
 6. Access control
• Access control digunakan untuk mencegah
panggunaan akses yang tidak sah terhadap area-area
operasional sensitif perusahaan. Pengontrolan dapat
dilakukan dengan cara:
 Kartu pengenal yang dilengkapi chip
• Biometric device: retina mata, sidik jari, pengenal
suara
 7. Computer equipment maintenance
• Pemeliharaan komputer secara rutin sangat disarankan,
karena dapat membuat komputer tahan lama dan tetap stabil
untuk jangka waktu yang panjang. Sebaiknya:
 Perusahaan memiliki orang-orang yang terlatih dan
bertanggungjawab dalam bidang maintenance
 Tidak membiarkan orang luar perusahaan untuk melakukan
maintenance
 8. Wiretapping
• Wiretapping adalah tindakan secara diam-diam
mendengarkan pembicaraan orang lain melalui saluran
telepon. Biasa dikenal dengan istilah penyadapan.
Pengamanan dapat dilakukan dengan:
 Tidak membiarkan kabel berserakkan sembarangan,
susun kabel secara rapih
 Lindungi kabel dengan pelindung kabel
 9. Remote access
• Remote access dapat mempermudah pegawai
untuk mengakses komputer perusahaan dari
luar perusahaan. Namun sebaiknya
penggunaan remote access ini dihindari karena
keamanan dari remote access sangat rendah
dan rentan terhadap pencurian data.
 PERTEMUAN 7
PROSEDUR PERUBAHAN PROGRAM

MULAI MATERI
 Prosedur Perubahan Program
 Dinamis, inovasi teknologi sebagai alat pendukung.
 mengganti sistem lama. perubahan prosedur yang berlaku.
 Pemakai.
• Pengontrolan terhadap aktivitas perubahan sistem yang memiliki resiko
tinggi

Tujuan utama prosuder ini adalah melindungi agar perusahaan

tidak mengalami kerugian, kerusakan, Ketidak Akuratan yang
disebabkan oleh kesalahan atau kecurangan saat pemerosesan
perubahan program.
 Prosuder
a. Semua perubahan program harus di setujui dan direview oleh pemilik
sistem, kepala unit kerja terkait dan kepala bagian ICT.
b. Pengaksesan terhadap program harus dikontrol secara memadai.
c. Hasil program yang telah dirubah harus direview dan diverifikasi oleh
pemilik sistem, kepala unit kerja terkait, dan kepala bagian ICT.
d. Pemakai mengisi formulir “system change request”. Didalamnya pemakai
menerangkan tujuan perubahan dan syarat-syarat perubahan yang diminta.
Kepala unit kerja harus menyetujui perubahan dan menandatangani
formulir tersebut. formulir diberikan kepada kepala unit ICT
e. Kepala bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir
tersebut diteruskan kepada project leader yang menangani sistem tersebut.
f. Bersama dengan analis sistem,Project Leader akan membahas kemungkinan perubahan atau
penambahan yang diminta. Apabila permintaan ini dapat diwujudkan, akan dikalkulasikan biaya dan
waktu yang dibutuhkan dan jadwal pembuatannya.
g. Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus
menentukan apakah proyek ini berjalan terus atau ditunda dahulu. Ia harus mempertimbangkan untung
ruginya permintaan ini, mengingat biasanya biayanya tinggi. Dengan membubuhi tanda tangan,
pimpinan departemen mengembalikan formulir tesebut sebagai bukti setuju. Apabila ia membatalkan
permintaannya, tetap ia harus memberitahukan kepada pimpinan ICT , agar pimpinan ICT dapat
membatalkan permintaan proyek ini.
h. Apabila laporan keuntungan dan biaya proyek disetujui, pimpinan ICT akan menyusun prioritas dan
jadwalnya bersama dengan project leader.
i. Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan
menginformasikan secara tertulis kepada operator untuk meng-copy source program ke test environment.
j. Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah
ditentukan dan setelah itu melaksanakan peng-copy-an.
k. Analis/programmer melakukan perubahan yang diminta dan menguji coba perubahan ini sampai tidak
ada kesalahan lagi (error free/bug free).
l. Hasil tes program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila
dibutuhkan, pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada
analis/programmer untuk menguji coba lagi. Persetujuan ini harus diindikasikan di formulir change
request.
m. Sebelum source program yang baru dipindahkan ke production environment, Project leader melakukan
pengecekan terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source
code-nya
n. Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan
sempurna dan sesuai dengan prosedur, maka ia akan menyetujui perpindahan program
baru yang berisikan perubahan dari tes ke production environment.
o. Setelah dokumentasi (untuk operator, pemakai dan program)diupdate, change request
dapat di berikan kepada bagian pengoperasian.
p. Bagian pengoperasian akan meneliti dahulu kelengkapan tandatangan yang dibutuhkan
sebelum memindahkan program lama ke history file dan mengkomplasiprogram baru.
q. Analis/programer akan memverifikasi atas kebenaran penggantian program
r. Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan
perubahan telah dapat dipakai.
 Prinsip dasar pengontrolan
1. Source dan object deck/code yang digunakan produksi harus disimpan di dalamlibrary yang memiliki
perlindungan terhadap pengaksesan yang dilakukan individu yang tidak berwenang.
2. Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima surat resmi dari
pemohon beserta alasannya
3. Setalah mendapat surat perintah kerja, pelaksanaan tidak dapat dilakukan di production enviroment seperti yang
tercantum di prosedur perubahan program. Oleh karena itu, harus disediakan tes, atu development
enviroment,dimana program yang telah berjalan dapat di copy ke dalammnya untuk perubahan ini.
4. Buku registrasi yang akan berfungsi sebagai alat pengontrolan harus di maintain dimana tercantum :
 Nomor formulir change request
 Uraian singkat mengenai perubahan
 Tinggal permintaan
 Nama programmer yang melakukan perubahan
 Tanggal efektif program dengan perubahan mulai dipakai
5. Apabila perubahan ini menyangkut pengontrolan di dalam aplkasi, audit harus mereview permintaan
tambahan ini.
6. Pengontrolan terhadap source program dan object program di production envionment untuk
memastikan atas kebenarann object program. Oleh karena itu,kontrol yang baik adalah
mengkompilasi source program di production environment, yang secara otomatis akan mengganti
object yang lama
7. Pengontrolan yang memadi terhadap uji coba yang dilakukan sebelum memindahkan keproduction
environment.
8. Memastikan agar progrm yang teleh diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi
sebelum dipindahkan ke production environment. Hal ini dapat dilakukan dengan logical security.
9. Versi source program sebelumnya harus dipindahkan ke history file sebelum memindahkan program
baru ke production environment. Program versi lama harus disimpan di media tertentu (misalnya
tape, CD/DVD dan sebagainya) dan bukan hard copy.
 PERTEMUAN 8
UJAIAN TENGAH SEMESTER

MULAI MATERI
 PERTEMUAN 9
PENGEMBANGAN SISTEM

MULAI MATERI
 Pengembangan sistem
Untuk membangun sistem sesuai dengan
persyaratan bisnis penting untuk menerapkan secara sistematis
kebijakan pengembangan sistem. Metode yang
diterapkan,pengetahuan. Metode yang diterapkan dukungan
dari manajemen.
 Tanggung jawab
• Apabila telah diputuskan untuk membangun
sistem dari nol, harus menentukan terlebih
dahulu tanggung jawab masing-masing
karyawan yang terlibat dalam proses yang
akhir-akhir ini disebut system development
Life Cycle (SDLC).
 Streering Committe/Tim Pengendali
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan.
• Tugas utama pengendali :
1. Menyetujui rencana departemen ICT
2. Memonitori kemajuan proyek yang sedang berjalan, sesuai dengan gagasan ICT.

Commitment Direction

Steering
Committee

Planning Monitoring
• User Group / Tim Pemakai
User Group bertanggung jawab atas
pengimplementasian peraturan (policy) yang telah
diputuskan di steering Committee atau policy yang telah
dibuat sebelumnya. Tes Group/ Tim Uji coba.
• Tim terdiri dari tim pengembang sistem dan pemakai,
tugas utama menguji coba sistem yang baru dibangun
 Pengembangan Sistem
1. Perencanaan Sistem
• Kegiatan yang menyangkut estimasi dari kebutuhan-kebutuhan fisik, tenaga kerja &
dana yang dibutuhkan untuk mendukung pengembangan sistem serta untuk mendukung
operasinya setelah diterapkan. Waktu perencanaan sistem terdiri dari jangka pendek (1-2
tahun) dan jangka panjang (sampai dengan 5 tahun).
• Proses utama dalam perencanaan sistem :
 Merencanakan proyek sistem dilakukan oleh staff perencanaan sistem
 Menentukan proyek-proyek sistem dilakukan oleh komite pengarah
 Mendefinisikan proyek-proyek sistem dilakukan oleh sistem analis
• Pengembangan Sistem
 2. Analisis Sistem
• Tahap yang digunakan oleh analis
sistem untuk menemukan kelemahan-
kelemahan dari sistem yang ada
sehingga dapat diusulkan perbaikannya.
 3. Desain/Perancangan Sistem
• Tahap untuk membentuk sistem yang
baru berdasarkan hasil analisis.
 4. Implementasi Sistem
• Tahap untuk memilih perangkat keras dan perangkat lunak yang
dibutuhkan dan meletakkan sistem supaya siap untuk dioperasikan.
• Kegiatan yang dilakukan dalam implementasi :
• Pemilihan dan pelatihan personil
• Pemilihan tempat dan instalasi hardware dan juga software
• Pemrograman dan pengetesan program
• Pengetesan sistem
• Konversi
•
• Manajemen Sistem
 Maintenance Sistem
• Tahap setelah pengembangan sistem dilakukan
dan sistem dioperasikan. Disebut sebagai tahap
manajemen sistem karena yang melakukan proses
ini sudah bukan analis sistem tetapi manajemen.
• SDLC yang lebih lengkap dapat dilihat pada
gambar di bawah ini :
 PERTEMUAN 10
PENGAMANAN SYSTEM

MULAI MATERI
 Web Server
• Adalah suatu daemon yang berfungsi menerima
request melalui protocol http baik dari local
maupun dari internet
• Informasi yang direquest oleh web browser bisa
berupa file yang ada dalam storage atau
meminta server untuk melakukan fungsi
tertentu
 Cara kerja web browser

1. USER/Netter yang akan mengakses suatu website berupa URL melalui Web browser.
2. Kemudian Web browser tersebut mengirimkan permintaan/ request berupa HTTP
REQUEST kepada Web Browser melalui layer-layer TCP/IP,
3. Kemudian Web Server memberikan WEB FILES yang di-request jika ada.
4. Web Server memberikan respon kembali ke Web Browser melalui HTTP RESPONSE
(melalui layer-layer TCP/IP)
5. Kemudian baru di terima oleh Web browser, dan kemudian dikirimkan kepada USER
 Macam Web Server

• IIS (web server untuk html & asp ) bisa jalan

di OS Windows
• APACHE webserver (web server untuk
html,php,asp,jsp, dsb).Bisa jalan di OS
Windows dan LINUX.
 Bentuk Ancaman pada Web Browser
• Bentuk ancaman keamanan terhadap web browser berhubungan erat
dengan ancaman-ancaman terhadap internet, karena apa saja dapat
terjadi ketika kita menggunakan internet, maka akan berdampak buruk
pula pada web browser yang kita gunakan atau bahkan akan
berdampak buruk pula pada komputer.
• Ancaman tersebut terjadi karena saat ini internet dapat diakses dengan
mudah. Meskipun internet bias dipengaruhi oleh kebijakan pemerintah
dan lembaga-lembaga yang berwenang mengatur lalu lintas internet,
tetapi masyarakat pada umumnya tidak bisa mencegah orang lain
untuk mengganggu pengguna internet lainnya.
• Beberapa ancaman yang mengusik keamanan dari web browser dapat berupa :
1. Hijacking,
2. Session Hijacking,
3. Juggernaut,
4. Hunt,
5. Replay,
6. Spyware,
7. Cookies,
8. Phising,
9. Pharming, Dan Lain-lain
Metode Keamanan pada Web Browser
• Berbagai macam ancaman memang menjadi
gangguan yang cukup besar bagi para pengguna
web browser. Namun dengan semakin
berkembangnya ilmu teknologi, berbagai macam
ancaman tersebut kini sudah dapat diatasi
walaupun perkembangan ancaman-ancaman
tersebut masih kian pesat meningkat.
Beberapa cara untuk mengatasi ancaman-ancaman yang ada pada web
browser adalah:
1. Memasang anti spyware pada web browser
2. Menghapus cookies pada web browser
3. Menolak semua cookies untuk masuk
4. Untuk pencegahan phising dan pharming
5. Kenali tanda giveaway yang ada dalam email phising
6. Menginstall software anti phising dan pharming
7. Selalu mengupdate antivirus
8. Menginstall patch keamanan
9. Waspada terhadap email dan pesan instan yang tidak diminta
10.erhati-hati ketika login yang meminta hak administrator, cermati selalu
alamat URL yang ada di address bar
 Eksploitasi server WWW
• Tampilan web diubah (deface)dengan eksploitasi skrip /
previledge / OS di server
• Situs yang dideface Informasi bocor(misal laporan keuangan
semestinya hanya dapat diakses oleh orang/ bagian tertentu)
• Digunakan untuk menipu firewall (tunelling ke luar aringan)
• Port 80 digunakan untuk identifikasi server (karena biasanya
dibuka di router/firewall)
 Eksploitasi server WWW
•Penyadapan informasi
URLwatch: melihat siapa mengakses apa saja. Masalah privacy SSL memproteksi,
namun tidak semua menggunakan SSL karena komputasi yang tinggi

•DoS attack
Request dalam jumlah yang banyak (bertubi-tubi)
Request yang memblokir (lambat mengirimkan perintah GET)

•Malicious Input Attack

Bad input ke priviledge program : Code corruption attack – Buffer overflow, SQL
Injection, Cross Site Scripting
 Pengamanan Web

Membatasi Akses

• Access Control
Hanya IP tertentu yang dapat mengakses server
(konfigurasi web server atau firewall) Via userid &
password (htaccess)
Menggunakan enkripsi untuk menyandikan data-data
 htaccess di Apache
Isi berkas “.htaccess”AuthUserFile/home/budi/.passme AuthGroupFile
/dev/null AuthName “
Khusus untuk Tamu Budi”
AuthType Basic
<Limit GET>
require user tamu
</Limit>
Membatasi akses ke user “tamu” dan password Menggunakan perintah
“htpasswd“ untuk membuat password yang disimpan di “.passme”
 Secure Socket Layer (SSL)

• Menggunakan enkripsi untuk

mengamankan transmisi data
• Mulanya dikembangkan oleh Netscape
• Implementasi gratis pun tersedia
openSSL
 APACHE Web Server dengan HTTPS

• HTTPS adalah varian dari protocol HTTP dimana

user mengakses dengan https://
• Data yang dikirim ke server adalah data yang
terenkripsi.
• Enkripsi yang digunakan adalah enkripsi SSL
(Secure socket Layer).
• Menggunakan TCP port 443.
Shibu lijack
Pengamanan Web
Ilustrasi Koneksi HTTP vs HTTPS
Ilustrasi Cara Kerja SSL
 Penjelasan Blok Diagram
1. Klien membuka suatu halaman yang mendukung protokol
SSL, biasanya diawali dengan https:// pada browsernya.
2. Kemudian webserver mengirimkan kunci publiknya beserta
dengan sertifikat server.
3. Browser melakukan pemeriksaan : apakah sertifikat tersebut
dikeluarkan oleh CA(Certificate Authority) yang terpercaya?
Apakah sertifikat tersebut masih valid dan memang
berhubungan dengan alamat situs yang sedang dikunjungi?
• 4. Setelah diyakini kebenaran dari webserver tersebut,
kemudian browser menggunakan kunci public dari
webserver untuk melakukan enkripsi terhadap suatu
kunci simetri yang dibangkitkan secara random dari
pihak klien. Kunci yang dienkripsiini kemudian
dikirimkan ke webserver untuk digunakan sebagai
kunci untukmengenkripsi alamat URL (Uniform
Resource Locator) dan data http lain yang diperlukan.
• 5. Webserver melakukan dekripsi terhadap enkripsi dari klien tadi,
menggunakankunci privat server. Server kemudian menggunakan
kunci simetri dari klien tersebutuntuk mendekripsi URL dan data http
yang akan diperlukan klien.
• 6. Server mengirimkan kembali halaman dokumen HTML yang
diminta klien dan data http yang terenkripsi dengan kunci simetri tadi.
• 7. Browser melakukan dekripsi data http dan dokumen HTML
menggunakan kuncisimteri tadi dan menampilkan informasi yang
diminta.
 PERTEMUAN 11
KONTROL TERHADAP PC

MULAI MATERI
 Kontrol terhadap PC
• Persoalan kontrol
– Peraturan Pengadaan barang
• Pertimbangan yg kuat
• Standarisasi
• Supplier
• Pembelian software
• Persoalan manajemen
– Pengembangan sistem
– Integritas sistem aplikasi
• Ancaman terhadap PC
– Hacking
– Virus
• Peraturan manajemen
– Peraturan penggunaan internet dan email
– Prosedur operasi untuk bagian ICT
– Prosedur recovery
– Pemeriksaan konfigurasi
– Pemeriksaan mesin
– Pemeriksaan ekstensi file yg tersembunyi
• PC vs Mainframe
– Physical security
• Sentra pengolahan data
• Proteksi terhadap kebakaran
• Maintenance
– Software security
• Logical security
• Menggunakan software utility
• Pengontrolan terhadap aplikasi yang dibuat
• Menghilangkan file
• Persoalan administrasi
– Pembelian
– Operasional
– Saat darurat
 PERTEMUAN 12
KEAMANAN JARINGAN PC DAN LAN

MULAI MATERI
 Pegertian keamanan jaringan
Keamanan jaringan adalah suatu cara atau suatu system yang
digunakan untuk memberikan proteksi atau perlindungan pada suatu jaringan
agar terhindar dari berbagai ancaman luar yang mampu merusak jaringan.

Langkah awal untuk melindungi sumber-sumber yang sensitif adalah dengan

mengkombinasikan beberapa akses yang telah dibahas. Ada beberapa teknologi
keamanan yang paling sering digunakan. Masing-masing teknologi ini memiliki
peran khusus untuk meningkatkan keamanan jaringan anda saat didesain dan
diimplementasikan dalam desain berlapis.
 Acaman
Beberapa resiko keamanan jaringan
• Mengakses jaringan atau aplikasi oleh user yang tidak
memiliki wewenang dari terminal sendiri atau dari
nodes network yang lain
• Menggangu atau mengacau pengiriman data yang
rahasia dengan cara mencegat dan memanipulasikanya.
• Kegagalan jaringan atau putus hubungan jaringan.
• Serangan terhadap jaringan merupakan pintu gerbang untuk
menyerang sistem perusahan,dapat dalam bentuk software
(malicious software):
1. Lgical Boom. 6. Bom waktu
2. Virus 7. worm
3. Trajan Horses 8. spyware
4. Intercaption Komunikasi 9.denial of service
5 .Malicious Java/Active C 10. tunneling
 Konsep Desain Keamanan
• Keamanan jaringan dapat berdampak buruk dengan
adanya kemungkinan serangan dan ancaman pada
jaringan. Beberapa konsep penting yang harus
diperhatikan dalam mendesain jaringan :
1. Keamanan berlapis
2. Akses control
3. Keamanan peran tertentu
4. Kesadaran pengguna
5. Monitoring
6. Sistem terus diperbaharui
 Elemne pembentukan keaman jaringan

• Ada dua elemen utama pembentuk keamanan jaringan :

1. Tembok pengamanan (baik secara fisik maupun maya),
yaitu suatu cara untuk memberikan proteksi atau
perlindugan pada jarigan, baik secara fisik (kenyataan)
maupun maya (menggunakan software)
2. Rencana pengamanan, yaitu suatu rancagan yang nantinya
akan di implementasiakan uantuk melindugi jaringan agar
terhindar dari berbagai ancaman dalam jaringan
 Keaman Didalam jaringan
• Secara umum dalam hal keamanan untuk jaringan harus dengan jelas
dirumuskan/disusun terutama pada ujung terminal pengirim (misalnya
PC ) dan pada ujung penerima (misalnya server atau mesin besar).
• Apabila Koneksi telah terjadi masing-masing harus menetapkan dan
meverifikasi masing-masing identitas (autthentication). Secar teknis
jaringan juga bertanggung jawab atas integritas ata yang dikirim,
memastikan agar data yang dikirim dijamin kerahasianya an dapat
dipercaya bahwa yang menerima adalah yang berhak untuk menerima.
 Segi-segi keamanan
1. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses
oleh pihak yang memiliki wewenang.
2. b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak
yang memiliki wewenang.
3. c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang
memiliki wewenang ketika dibutuhkan.
4. d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat
diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat
tidak palsu.
5. e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima
informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.
 Serangan (gangguan) terhadap keamanan
1. Interruption Suatu aset dari suatu sistem diserang sehingga menjadi tidak tersedia atau tidak
dapat dipakai oleh yang berwenang. Contohnya adalah perusakan/modifikasi terhadap piranti
keras atau saluran jaringan.
2. Interception Suatu pihak yang tidak berwenang mendapatkan akses pada suatu aset. Pihak yang
dimaksud bisa berupa orang, program, atau sistem yang lain. Contohnya adalah penyadapan
terhadap data dalam suatu jaringan.
3. Modification Suatu pihak yang tidak berwenang dapat melakukan perubahan terhadap suatu
aset. Contohnya adalah perubahan nilai pada file data, modifikasi program sehingga berjalan
dengan tidak semestinya, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
4. Fabrication Suatu pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Contohnya adalah pengiriman pesan palsu kepada orang lain.
5. Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan : 1. diam dan
semua akan baik-baik saja. 2. sembunyi dan mereka tidak akan dapat menemukan anda 3.
teknologi yang digunakan kompleks/rumit, artinya aman.
 FIREWALL
Bagaimana seseorang melindungi sebuah website, mail server,
FTP server atau sumber informasi lain yang terhubung ke web?
Jawabannya adalah Firewall. Satu-satunya kegunaan
piranti perangkat keras ini adalah memberi keamanan bagi
jaringan anda. Firewall adalah sebuah piranti keamanan yang berada
di ujung koneksi anda dan berfungsi sebagai Internet Border Security
Officer. Secara konstan piranti ini mengawasi seluruh aliran
yang keluar dan masuk ke koneksi anda, menunggu aliran yang
dapat dihentikannya atau ditolaknya berdasarkan aturan yang sudah
ada.
 Firewall adalah Kebijakan Keamanan
firewall bekerja dengan mengikuti aturan-aturan yang diatur oleh teknisi
jaringan atau petugas keamanan informasi. Aturan-aturan ini harus sejalan
dengan versi tertulis yang ada didokumen kebijakan keamanan di rak anda.
kebijakan keamanan dan bagaimana firewall sesuai dengan kebijakan
tersebut:
• Kebijakan keamanan menjelaskan secara garis besar tindakan apa yang akan
ditempuh untuk menanggapi keadaan yang muncul
• Dokumen kebijakan keamanan secara konstan dikembangkan dan diubah untuk
memenuhi kebutuhan-kebutuhan keamanan yang baru
• Kebijakan keamanan menentukan parameter tentang apa yang dapat diterima
dan apa yang ditolak
 Tinjauan Operasional firewall
Berikut mencakup aturan-aturan dan fitur-fitur firewall yang paling umum:
• Menolak aliran jaringan yang masuk berdasarkan sumber atau tujuan, merupakan fitur yang paling
umum dan merupakan tujuan utama sebuah firewall, yaitu menolak aliran yang tidak diinginkan
memasuki jaringan.
• Menolak aliran jaringan yang keluar berdasarkan sumber atau tujuan, beberapa firewall juga dapat
menyaring aliran jaringan dari jaringan internal anda ke internet.
• Menolak aliran traffic jaringan berdasarkan isi, firewall yang lebih canggih dapat menyaring aliran
jaringan untuk isi yang tidak dapat diterima. Misalnya firewall yang terintegrasi dengan sebuah
virus scanner dapat menolak file-file berisi virus sebelum memasuki jaringan anda.
• Menyediakan sumber daya internal, anda dapat juga mengatur beberapa firewall untuk mengizinkan
akses tertentu ke sumber daya internal seperti web server public, selain tetap menghalani akses lain
dari internet ke jaringan internal anda.
• Mengizinkan koneksi ke jaringan internal, metode umum bagi karyawan untuk terhubung ke
jaringan adalah menggunakan Virtual private network (VPN). VPN memungkinkan koneksi yang
aman dari internet ke jaringan perusahaan.
 Kemanan PC dan LAN
• Secara umum ancaman PC dan LAN adalah:
• Pengakses data produksi, devertemen dan pemakai individu yang tidak
memilki kewenangan
• Pasif (membaca atau mendengar data) dan aktif (dalam memanipulasi
data ) menangkap koneksi
• Menyambung workstantion yang tidak otentik ke dalam LAN perusahan
• Menginstal program yang ilegal
• Mencuri PC dan Komponen PC
• Terkontiminasi oleh virus
 PERTEMUAN 13
ANCAMAN DARI DALAM
DISASTER RECOVERY PLAN

MULAI MATERI
DISASTER RECOVERY
 PENDAHULUAN
• Selain domain yang concern dengan pencegahan
risiko dan melindungi infrastruktur dari serangan,
keamanan sistem juga membahas satu domain
dengan asumsi bahwa kejadian terburuk telah
terjadi.
 PENDAHULUAN
• Berbagai bencana yang mungkin terjadi antara lain adalah:
– Bencana alam karena kondisi geografis dan geologis dari lokasi
– Kebakaran karena faktor lingkungan dan pengaturan sistem
elektrik yang dapat menyebabkan korsleting
– Kerusakan pada jaringan listrik karena sistem elektrik
– Serangan teroris karena lemahnya keamanan fisik dan non fisik
data center
– Sistem atau perangkat yang rusak terkait dengan kesalahan
manajemen pengawasan perangkat
– Kesalahan operasional akibat ulah manusia
– Virus yang disebabkan oleh kesalahan pemilihan anti virus
 Disaster Recovery Plan
• Disaster Recovery Plan (DRP) adalah sekumpulan aksi dan proses
yang mendefinisikan rangkaian prosedur yang harus dilakukan saat
terjadi keadaan darurat, untuk memastikan tercapainya suatu kondisi
pulih dalam waktu yang ditentukan sehingga perusahaan tersebut
mampu melanjutkan fungsinya dengan kerugian minimal.
• DRP adalah proses, kebijakan, dan prosedur yang berkaitan dengan
persiapan untuk pemulihan atau kelanjutan dari infrastruktur
teknologi yang penting bagi organisasi setelah terjadi bencana, baik
karena alam ataupun ulah manusia.
• Proses pembangunan Disaster Recovery Plan disebut Disaster
Recovery Planning.
 Disaster Recovery Plan
• Disaster Recovery Plan menyediakan operasi cadangan selama
sistem terhenti, dan mengelola proses pemulihan serta penyelamatan
sehingga mampu meminimalisir kerugian yang dialami oleh
organisasi.
• Karena bertindak sebagai pegangan saat terjadi keadaan darurat,
DRP tidak dapat disusun secara sembarangan.
• DRP yang tidak sesuai dapat berakibat lebih buruk bagi
keberlangsungan organisasi daripada bencana itu sendiri.
• Disaster Recovery Planning merupakan bagian dari rangkaian
Business Continuity Planning (BCP).
 Tujuan Disaster Recovery Plan
• Secara umum manfaat atau tujuan penyusunan DRP bagi
perusahaan adalah sebagai berikut;
– Melindungi organisasi dari kegagalan layanan
komputer utama
– Meminimalisasi risiko organisasi terhadap
penundaan (delay) dalam penyediaan layanan
– Menjamin kehandalan dari sistem yang tersedia
melalui pengetesan dan simulasi
– Meminimalisasi proses pengambilan keputusan
oleh personal/manusia selama bencana.
 Business Continuity Plan (BCP) & Disaster Recovery Plan
(DRP)

• BCP & DRP merupakan dua hal yang sangat penting dalam
proses bisnis, namun jarang menjadi prioritas karena alasan
memerlukan biaya yang mahal dan sulit penerapannya.
• Alasan : bencana adalah hal yang umumnya diyakini karena
faktor alam yang tak dapat diprediksi , tak dapat dicegah atau
pun dihindari, sehingga kalangan bisnis berkeyakinan bahwa
pelanggan mereka akan memaklumi hal ini.
• Hal terpenting bagi setiap perusahaan yang berniat membangun
BCP adalah mendapatkan dukungan dari pihak manajemen.
Business Continuity Plan (BCP) & Disaster Recovery Plan
(DRP)

• Contoh penerapan BCP :

– BCP pada perusahaan Merrill Lynch
dan Deutsch Bank di New York pada 11
September 2001.
Bencana ini menghancurkan kantor
pusat dan menewaskan ratusan
karyawannya.
Namun setelah situasi stabil, masing-
masing mampu melanjutkan operasinya
dengan mulus dari sebuah lokasi
 Komponen Disaster Recovery Planning
• Informasi kontak personil (personnel contact information)
• Back up situs (back up site)
• Pedoman perencanaan (manual plan)
• Inventaris hardware
• Inventaris software
• Vendors
• Backup Data
• Disaster Action Checklist
• Uji perencanaan (test the plan)
 Tahapan Pembangunan DRP
• Tahapan pembangunan sebuah Disaster Recovery Plan tidak
selalu sama, karena sangat bergantung pada kebutuhan dan
tujuan pembuatannya.
• Namun secara garis besar, tahapan tersebut dapat dirangkum
sebagai berikut:
1. Risk assessment
2. Priority assessment
3. Recovery strategy selection
 Tahapan Pembangunan DRP
• Risk Assessment
Risk Assessment adaLah proses identifikasi ancaman-ancaman
yang mungkin terjadi, baik yang berasal dari dalam, maupun dari
luar.
Bencana yang dianalisa termasuk bencana alam, bencana
kegagalan teknis, maupun ancaman-ancaman faktor manusia.
Risk Assessment berperan sebagai landasan awal yang akan
mempengaruhi tahapan-tahapan selanjutnya.
Risk Assessment biasanya diikuti dengan Impact Analysis, dimana
 Tahapan Pembangunan DRP
Risk Assessment........
 Tahapan Pembangunan DRP
• Priority Assessment
Mendefinisikan urutan prioritas proses dengan jelas:
– Dari segi arsitektur misalnya, server/ router manakah yang
menjadi prioritas dalam dipulihkan?
– Data mana yang harus lebih dahulu diselamatkan
– Proses mana yang harus didahulukan
Proses yang dianggap paling vital untuk keberlangsungan
sistem akan mendapatkan alokasi perhatian paling besar untuk
dipulihkan kembali sebelum proses-proses lainnya.
 Tahapan Pembangunan DRP
Priority Assessment .......
Priority Assessment untuk proses biasanya sangat relatif terhadap
waktu dan tempat terjadinya suatu bencana.
Misal kejadian pada sekolahan, jika bencana terjadi pada saat
penerimaan murid baru, proses yang pertama kali harus
dipulihkan mungkin adalah proses terkait tes masuk dan
pembayaran.
Tapi jika bencana terjadi saat liburan, dimana kebanyakan
proses akan berada dalam kondisi statis, mungkin
 Tahapan Pembangunan DRP
• Recovery Strategy Selection
Strategi pemulihan yang baik harus memenuhi beberapa kriteria,
yaitu:
1. Strategi pemulihan harus memenuhi key requirement yang
sudah didefinisikan di tahap sebelumnya.
2. Strategi pemulihan harus cost effective berbanding dengan
risiko dan prioritasnya.
3. Strategi pemulihan harus dapat diterapkan dengan kondisi
yang terdapat sekarang dan memungkinkan untuk
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan yang sudah dirancang kemudian harus
dituangkan ke dalam DRP yang terdokumentasi secara baik
sehingga dapat dengan mudah dilaksanakan jika suatu saat
terjadi bencana.
Inti dari strategi-strategi pemulihan adalah menyiapkan
sistem dan data cadangan sehingga proses yang terganggu
dapat berjalan kembali.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan tersebut diantaranya adalah:
1. Hot Site
Strategi pemulihan dengan cara mengadakan lokasi duplikat
dari lokasi asli.
Strategi ini menawarkan cara yang cepat untuk menjalankan
bisnis kembali, namun juga dapat dikatakan sebagai strategi
yang paling mahal.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan ........
2. Warm Site
Strategi ini menggunakan lokasi yang memiliki sistem
dan jaringan komunikasi yang siap digunakan, cukup
untuk menjalankan kembali proses bisnis.
Namun data dan informasi elektronis lainnya tidak ter-
update sehingga harus di restore sebelumnya.
 Tahapan Pembangunan DRP
Recovery Strategy Selection ..........
Strategi pemulihan ........
3. Cold Site / Shell Site/ Backup Site / Alternate Site
Strategi ini hanya menyediakan lokasi saja.
Perangkat dan jaringan yang tersedia sangat minim.
Keuntungan : biaya rendah dalam mengadakan dan
merawat lokasi
Kekurangan : pada saat terjadi bencana, dibutuhkan biaya
 Tahapan Pembangunan DRP
• Plan Documenting
Disaster Recovery Plan harus didokumentasikan dengan
terstruktur sehingga mudah dipahami saat dibutuhkan.
Pendokumentasian sebuah DRP harus disesuaikan dengan
standar dan pedoman-pedoman yang sudah banyak tersedia.
 PERTEMUAN 14-15
ENKRIPSI DAN DEKRIPSI

MULAI MATERI
 ALGORITMA
KRIPTOGRAFI KLASIK

TEKNIK TRANSPOSISI
STEGANOGRAFI
 TEKNIK TRANSPOSISI
• Teknik ini menggunakan permutasi karakter, yang mana dengan
menggunakan teknik ini pesan asli tidak dapat dibaca kecuali oleh
orang yang memiliki kunci untuk mengembalikan pesan tersebut
kebentuk semula.
• Sebagai contoh, ada 6 kunci untuk melakukan perutasi kode :
 Dan 6 kunci untuk inversi dari permutasi tersebut :

 Terlebih dahulu plaintext dibagi blok dan blok nya

terdiri dari 6 karakter, jika terjadi pada setiap blok
maka disispkan karakter yang disepakati sebelunya.
 TEKNIK TRANSPOSISI
• Perhatikan contoh dibawah ini :
• Plaintext : “PERHATIKAN RAKYAT KECIL”
• Cara memutasi plaintext tersebut adalah sebagai berikut :

 Maka ciphertext yang dihasilkan adalah: “RAPTHEARIANKAKKETYLXCXXI”

 Sedangkan kunci inverse berfungsi untuk mengubah ciphertext menjadi
palintext.
 Perhatikan contoh dibawah ini :
 TEKNIK TRANSPOSISI
• Selain teknik mutasi-inversi ada beberapa teknik permutasi
lainnya yaitu dengan menggunakan permutasi zigzag, segitiga,
spiral, dan diagonal.
1. Zig – zag
dengan memasukan plaintext seperti pola zig-zig. Plaintext :
“PERHATIKAN RAKYAT KECIL”

 Maka ciphertext yang dihasilkan adalah :

“HNTXRAARAKLETKAYEIPIKC”
 TEKNIK TRANSPOSISI
2. Segitiga
dengan memasukan plaintext seperti pola segitiga. Plaintext : “PERHATIKAN RAKYAT KECIL”

Maka ciphertext yang dihasilkan adalah :

“KNEARCETAIPRIKLHKYXAAXTXX”
3. Spiral
Dengan memasukan plaintext disusun seperti pola spiral. Plaintext :
“PERHATIKAN RAKYAT KECIL”

Maka ciphertext yang dihasilkan adalah : “PTAYKEKXXARREXXRH CILNATIKA”

 TEKNIK TRANSPOSISI
• Diagonal
Dengan memasukan plaintext disusun seperti pola dibawah
ini, (Plaintext : “PERHATIKAN RAKYAT KECIL”)

 Maka ciphertextnya adalah : “PTRTLEIAKXRK

KEXHAYCXANAIX”
 STEGANOGRAFI
• Steganografi adalah seni dan ilmu menulis pesan tersembunyi atau
menyembunyikan pesan dengan suatu cara sehingga selain si engirim
dan si penerima, tidak ada seorangpun yang mengetahui atau
menyadari bahwa ada suatu pesan rahasia.
• Istilah steganografi termasuk penyembunyian data digital dalam
berkas-berkas (file) komputer.
• Contohnya :
• Si pengirim mulai dengan berkas gambar biasa, lalu mengatur warna
setiap pixel ke-100 untuk menyesuaikan suatu huruf dalam alphabbet
(perubahannya begitu haslus sehingga tidak ada seorangpun yang
menyadarinya jika ia tidak benar-benar memperhatikannya).
 STEGANOGRAFI
• Pada umumnya, pesan steganografi muncul dengan rupa lain seperti gambar,
artikel, daftar belanjaan atau pesan-pesan lainnya.
• Pesan yang tertulis ini merupakan tulisan yang menyelubungi atau menutupi.
• Contohnya : suatu pesan bisa disembunyikan dengan menggnakan tinta yang
tidak terlihat dantara garis-garis yang kelihatan.
• Teknik steganografi meliputi banyak sekali metode komunikasi untuk
menyembunyikan pesan rahasia (teks atau gambar) didalam berkas-berkas
lain yang mengandung teks, image, bahkan audio tanpa menunjukan ciri
perubahan yang nyata atau terlihat dalam kualitas dan struktur dari berkas
semula.
• Metode ini termasuk tinta yang tidak tampak, microdots, pengaturan kata,
tanda tangan digital, jalur tersembunyi dan komuniksi spektrum lebar.
 STEGANOGRAFI
• Tujuan dari steganografi adalah merahasiakan atau
menyembunyikan keberadaandari sebuah pesan tersembunyi atau
sebuah informasi.
• Format yang biasas digunakan diantaranya :
– Format image : bitmap(bmp), gif, pcx, jpeg,dll
– Format audio : wav, voc, mp3, dll
– Format lain : teks file, html, pdf, dll
• Kelebihan steagnografi jika dibandingkan dengan kriptografi adalah
pesan-pesannya tidak menarik perhatian orang lain.
STEGANOGRAFI
 ALGORITMA
KRIPTOGRAFI MODERN

MACAM-MACAM ALGORITMA KRIPTOGRAFI MODERN

STANDAR ENKRIPSI DATA (DES)
ADVANCE ENCRYPTION STANDARD (AES)
 Pendahuluan
• Enkripsi modern berbeda dengan enkripsi
konvensional.
• Enkripsi modern sudah menggunakan komputer
untuk pengoperasiannya.
• Berfungsi untuk mengamankan data baik yang
ditransfer melalui jaringan komputer maupun yang
bukan.
• Hal ini sangat berguna untuk melindungi privacy, data
integrity, authentication dan non-repudiation.
 MACAM-MACAM ALGORITMA
KRIPTOGRAFI MODERN
• Pada kriptografi modern terdapat berbagai macam algoritma, secara
umum algoritma kriptografi modern dibagi tiga bagian yaitu :
1. Algoritma Simetris adalah algoritma yang menggunakan kunci
yang sama untuk melakukan enkripsi dan deskripsi. Aplikasi dari
algoritma simetris digunakan oleh beberapa algoritma :
– Data Encryption Standard (DES)
– Advance Encryption Standard (AES)
– International Data Encryption Algortma (IDEA)
– A5
– RC4
 MACAM-MACAM ALGORITMA
KRIPTOGRAFI MODERN
2. Algoritma Asimetris adalah pasangan kunci kriptografi yang salah satunya
digunakan untuk proses enkripsi dan yang satu lagi digunakan untuk
deskripsi. Beberapa contoh algoritma yang menerapkan asimetris
diantaranya :
– Digital Signature Logartihm
– RSA
– Diffie-Hellman (DH)
– Elliptic Curve Cryptiography (ECC)
– Kripto Quantum
3. Fungsi Hash juga sering disebut fungsi Hash satu arah (One-Way Function),
message digest, fingerprint, fungsi kompresi dan message authentication cod
(MAC), merupakan fungsi matematika yang mengambil masukan panjang
variabel dan mengubahnya kedalam urutan biner dengan panjang yang tetap.
 STANDAR ENKRIPSI DATA
• Standar enkripsi data (Data Encrytion Standard - DES) merupakan algoritma
enkripsi yang paling banyak dipakai didunia, yang diadopsi oleh NIST (Nasional
Institue of Standards and Technology) sebagai standar pengolahan informasi Federal
AS.
• Secara umum standar enkripsi data terbagi menjadi tiga kelompok, yaitu
pemrosesan kunci, enkripsi data 64 bit dan deskripsi data 64 bit yang mana satu
kelompok saling berinteraksi satu sama lain.
• Skema global dari algoritma DES adalah sebagai berikut :
1. Blok teks-asli dipermutasi dengan matriks permutasi awal(initial permutation
atau IP). Bisa ditulis X0 = IP (x) = L0R0, dimana L0 terdiri dari 32 bit pertama
dari X0 dan 32 bit terakhir dari R0.
2. Hasil permutasi awal kemudian di –enciphering sebanyak 16 kali (16 putaran).
Setiap putaran menggunakan kunci internal yang berbeda dengan perhitungan
LiRi
STANDAR ENKRIPSI DATA
STANDAR ENKRIPSI DATA

 Secara umum skema Data Encrytion Standard (DES)

mempunyai dua fungsi masukan, yaitu :
1. Teks-asli untuk dienkripsi dengan panjang 64 bit
2. Kunci dengan panjang 56 bit.
 STANDAR ENKRIPSI DATA
• Skema dari
pemrosesan
Data Encytion
Standard
(DES) seperti
gambar
berikut ini :
 STANDAR ENKRIPSI DATA
• Proses dari permutasi inisial (IP) teks-asli ada tiga :
1. Teks-asli 64-bit diperoses dipermutasi inisial (IP) dan
menyusun kembali bit untuk menghasilkan permutasi masukan.
2. Langkah untuk melakukan perulangan kata dari teks-asli
sebanyak 16 dengan melakukan fungsi yang sama, yang
menghasilkan fungsi permutasi subtitusi, yang mana keluaran
akhir dari hal tersebut berisi 64-Bit (fungsi dari teks-asli dan
kunci), masuk ke swap dan menghasilkan pre-output.
3. Pre-output diproses dan permutasi diiversi dari permutasi inisial
yang akan menghasilkan teks-kode 64-Bit
 STANDAR ENKRIPSI DATA
• Contoh algoritma DES seperti dibawah ini :
• Diberikan teks-asli : “COMPUTER”

 Teks-asli heksa :
43 4F 4D 50 55 54 45 52
 Teks-asli biner :
xo = 01000011 01001111 01001101 01010000 01011010 01010100 01000101
01010010
 STANDAR ENKRIPSI DATA
• Misalkan kunci heksa :
– 13 34 57 79 9B BC DF F1
Kunci biner :
K = 00010011 00110100 01010111 01111001 10011011
10111100 11011111 11110001
Dengan initial permutaion (IP) diperoleh :
x0= IP (x) = L0R0
Dimana
L0 : 11111111 10111000 01110110 01010111
R0 : 00000000 00000000 00000110 10000011
Enkripsi DES 16 putaran
 STANDAR ENKRIPSI DATA
• MODE OPERASI DES
• DES dapat dioperasikan dengan mode ECB, CBC, OFC DAN CFB.
• Namun karena kesederhanaanya, mode ECB lebih sering
digunkaan pada paket program komersial meskipun sangat
rentan terhadap serangan.
• Mode CBC lebih kompleks daripada EBC namun memberikan
tingkat keamanan yang lebih bagus.
• Mode CBC kadang- kadang saja digunakan.
• Mode EBC cocok digunakan untuk blok kode. Diberikan urutan
x1x2 … 64-bit blok teks-asli. Setiap xi adalah enkripsis dengan
kunci K.
• Secara formal initial aturan
 STANDAR ENKRIPSI DATA
• Penggunaan mode CBC dapat dilihat pada gambar
dibawah ini :
 STANDAR ENKRIPSI DATA
• Pada CFB, dimulai dari y0 = IV (64-bit vektor inisiasi) dan akan dihasilkan
elemen kunci aliran zi dari enkripsi sebelum blok teks-kode, kemudian
• Untuk lebih detailnya dapat dilihat pada gambar dibawah ini :
 ADVANCE ENCRYPTION STANDARD (AES)
• Advance Encryption Standard (AES) merupakan algoritma kriptografi
yang dapat digunakan untuk mengamankan data.
• Algoritma AES adalah blok ciphertext simetrik yang dapat mengenkripsi
dan dekripsi.
• Pada tahun 1997, National Institute of Standard and Technology (NIST) of
United States mengeluarkan Advance Encryption Standard (AES) untuk
menggantikan Data Encryption STANDARD (DES).
• AES ini dibangun dengan maksud untuk mengamankan pemerintahan
diberbagai bidang.
• Algoritma AES di design menggunakan blok cipher minimal dari blok 128
bit input dan mendukung ukuran 3 kunci (3-key-sizes), yaitu 128 bit, dan
256 bit.
 METODE ALGORITMA
•
AES
Algoritma Rijndael kemudian dikenal dengan Advanced Encryption
Standard (AES) kemudian diadopsi menjadi standard algoritma
kriptografi secara resmi pada 22 Meil 2002.
• Jenis AES terbagi 3, yaitu :
– AES-128
– AES-192
– AES-256
• Garis besar Algoritma Rijndael yang beroperasi pada blok 128-bit
dengan kunci 128-bit adalah sebagai berikut (diluarproses
pembangkitan round key):
1. AddRoundKey : melakukan XOR antara state awal (plainteks)
dengan cipher key. Tahap ini disebut juga initial round.
 METODE ALGORITMA
2.
AES
Putaran sebanyak Nr-1 kali. Proses yang dilakukan pada setiap putaran adalah :
– subBytes : subtitusi byte dengan menggunakan tabel subtitusi (S-box).
– shiftRows : pergeseran baris-baris array state secara wrapping.
– MixColumns : mengacak data dimasing-masing kolom array state.
– AddRoundKey : melakukan XOR antara state sekarang round key.
3. Final Round : proses untuk putaran terkhir.
– SubBytes
– ShiftRows
– AddRoundKey
4. AES memiliki ukuran blok yang tetap sepanjang 128 bit dan ukuran kunci
sepanjang 128, 192, atau 256.
5. Berdasarkan ukuran blok yang tetap, AES bekerja pada matriks berukuran 4x4
diaman tiap-tiap sel matriks terdiri atas 1 byte (8 bit). Sedangkan Rijndael sendiri
dapat mempunyai ukuran matriks yang lebih dari itu dengan menmbahkan kolom
sebanyak yang diperlukan.
 METODE ALGORITMA AES
• Secara umum metode yang digunakan dalam
pemrosesan enkripsi dalam algoritma ini dapat dilihat
melalui gambar berikut :
 METODE ALGORITMA AES
1. ADD ROUND KEY
Add Round Key pada dasarnya adalah mengkombinasikan cipherteks
yang sudah ada dengan cipher key yang cipher key dengan hubunga
XOR. Bagannya bisa dilihat pada gambar :
 METODE ALGORITMA
2. SUB BYTES
AES
Prinsip dari Sub Bytes adalah menukar ini matriks/tabel yang ada dengan
matriks/tabel lain yang disebut dengan Rijndael S-Box. Dibawah ini adalah
contoh Sub Bytes dan Rijndael S-Box.
 METODE ALGORITMA
AES

• Pada ilustrasi Sub Bytes diatas, disana terdapat nomor kolom dan nomor baris. Tiap isi kotak dari blok
cipher berisi informasi dalam bentuk heksadesimal yamg terdiri dari dua digit, bida angka-angka, bisa huruf,
ataupun huruf – angka yang semuanya tercantum dalam Rijndael S-Box.
• Langkahnya adalah mengambil salah satu kotak matriks, mencocokannya dengan digit kiri sebagai baris dan
digit kanan sebagai kolom. Kemudian dengan mengetahui kolom dan baris, kita dapat mengambil sebuah isi
tabel dari Rijndael S-Box. Lamgkah terkahir adalah mengubah keseluruhan blok cipher menjadi blok yang
baru yang isinya adalah hasil penukaran semua isi blok dengan isi langkah yang disebutkan sebelumnya.
 METODE ALGORITMA
3. SHIFT ROWS
AES
Shift Rows seperti namanya adalah sebuah proses yang melakukan
shift atau pergeseran pada setiap elemen blok/tabel yang diperlukan
per barisnya. Yaitu baris pertama tidak dilakukan pergeseran, baris
kedua dilakukan pergeseran 1 byte, baris ketiga dilakukan
pergeseran 2 byte, dan baris keempat dilaukan pergeseran 3 byte.
– Pergeseran tersebut dilihat dalam sebuag blok adalah sebuah
pergeseran tiap elemen kekiri tergantung berapa byte
tergesernya, tiap pergeseran 1 byte berarti begeser ke kiri
sebanyak satu kali
 METODE ALGORITMA AES
4. MIX COLUMNS
Yang terjadi saat Mix Columns adalah mengalihkan tiap elemen dari blok cipher
dengan matriks. Pengalian dilakukan seperti perkalian matriks biasa yaitu
menggunakan dot product lalu perkalian keduanya dimasukan kedalam blok
cipher baru.
 METODE ALGORITMA AES
5. DIAGRAM ALIR AES
seperti yang terlihat semua proses yang telah dijelaskan sebelumnya
terdapat pada diagram tersebut. Yang artinya adalah mulai dari ronde
kedua, dilakukan pengulangan terus menerus dengan rangkaian proses
Sub Bytes, Shift Rows, Mix Columns and Add Round Key, setelah itu
dari ronde tersebut akan digunakan pada ronde berikutnya dengan
metode yang sama. Namu pada ronde kesepuluh, proses Mix Columns
tidak dilakukan, dengan kata lain urutan proses yang dilakukan adalah
Sub Bytes, Shift Rows, and Add Round Key, hasil dari Add Round
Key ini lah yang dijadikan sebagai cipherteks dari AES.
• Seperti gambar dihalaman berkutnya :
METODE ALGORITMA AES
IMPLEMENTASI ADVANCED ENCRYPTION
STANDARD
• AES atau Algoritma Rijndael sebagai salah satu algoritma yang penting
tentu memiliki berbagai kegunaan yang sudah diaplikasikan atau
diimplementasikan dikehidupan sehari-hari yang tentu saja membutuhkan
suatu perlindungan atau penyembunyian informasi didalam prosesnya.
• Salah satu contoh penggunaan AES adalah pada kompresi 7-Zip.
• Salah satu proses didalam 7-Zip adalah mengenkripsi isi dari data dengan
menggunakan metode AES-256. Yang kunci nya dihasilkan melalui fungsi
Hash.
• Hal yang serupa digunakan pada Winzip sebagai salah satu perangkat
lunak yang digunakan untuk kompresi.
• Metode enkripsi yang ditawarkan adalah menggunakan AES-256,
Twofish, atau Serpent
TERIMAKASIH

MULAI MATERI