Sistem Informasi dan Komunikasi Perusahaan
Sistem informasi yang dimiliki perusahaan ini adalah sebagai berikut :
ü Komputer di kantor pusat dan kantor cabang menggunakan LAN 10/100 Mbps – TCP/IP
ü Setiap kantor cabang mengirimkan data-data properti (update) ke kantor pusat melalui internet dengan koneksi dial-up
ü Di kantor pusat terdapat Server untuk web dan database property dari seluruh kantor cabang
ü Jumlah perangkat keras dan sambungan telekomunikasi:
Ø Kantor Pusat
v Komputer : 8 unit
v Server : 2 unit
v Printer Laser : 1 unit
v Printer Inkjet : 1 unit (Scanner, Copier, Fax)
v Router : 1 unit
v Switch : 1 unit
v UPS : 10 unit
v PABX : 16 Line
v Telepon : 5 Line
v Fax : 1 Line
Ø Masing-masing Kantor Cabang
v Komputer : 3 unit
v Modem 56Kbps : 1 unit (External)
v Printer Inkjet : 1 unit
v Hub : 1 unit
v UPS : 3 unit
v PABX : 8 Line
v Telepon : 3 Line
v Fax : 1 Line
ü Aplikasi yang dipakai :
v Sistem Operasi Server : Windows 2000 Server
v Sistem Operasi Client : Windows XP Profesional
v Aplikasi perkantoran : Microsoft Office 2000
v Aplikasi keuangan : Zahir Accounting Standar Edition
Beberapa tindakan perusahaan untuk menjaga aset informasi:
ü Memberikan akses komputer kepada orang yang benar-benar berhak menggunakan komputer dengan cara memberikan ID dan password kepada masing-masing anggota departemen kecuali satpam.
ü Apabila terdapat data-data tentang properti, keuangan, dsb dikertas yang tidak terpakai akan dihancurkan dengan mesin shredder atau disobek/dipotong-potong hingga tidak bisa terbaca.
ü Data tentang penjual properti tidak ditampilkan di web melainkan hanya diketahui oleh agen yang bersangkutan dan coordinator kantor. akses control bisa anda baca di bawah ini..
2.4 Access Control Systems and Methodology
ü Tujuan:
v Mengetahui mekanisme dan metode yang dipergunakan para administrator/manager untuk mengontrol apa yang boleh diakses pengguna termasuk yang boleh dilakukan setelah otentifikasi dan otorisasi serta pemantauannya
ü Pembahasan:
Access Control didefinisikan sebagai:
v Kemampuan untuk membolehkan pemakai/user yang berhak untuk menjalankan program atau memproses sistem atau mengakses sumber daya/resource.
Terdapat beberapa mekanisme untuk pengontrolan yang harus dijalankan oleh para stafnya dalam mengakses / menjalankan / memproses sesuatu yang berkaitan dengan pekerjaan yang ditanganinya. Mekanisme tersebut terdiri atas 3 hal yang penting yaitu:
1. Identifikasi
Merupakan suatu proses atau aksi yang dilakukan oleh user untuk membuktikan siapa (identitas) dirinya kepada sistem.
2. Otentikasi
Sistem melakukan verifikasi terhadap identitas yang diberikan oleh user.
3. Otorisasi
Sistem memberikan hak/kemampuan kepada user setelah mendapat otentikasi
Untuk menggunakan komputer yang ada di perusahaan, tiap staf mendapatkan user id dan password dari Kepala Bagian TI yang bersifat rahasia. Hal ini dimaksudkan agar tiap staf hanya bisa mengakses komputer sesuai dengan bagian/haknya masing-masing. Misalnya bahwa staf marketing tidak bisa mengakses data keuangan yang dibuat oleh bagian keuangan, bagian umum tidak bisa melihat data properti yang ada didalam komputer kecuali yang sudah dicetak, dan sebagainya. Untuk lebih jelasnya dapat melihat tabel di bawah ini yang menunjukkan kewenangan masing-masing staf dalam menjalankan computer
Untuk penggunaan internet, terdapat kebijakan dari perusahaan bahwa tidak semua staf mempunyai hak mengaksesnya. Hal ini disebabkan untuk menghindari resiko masuknya virus, worm dan sebagainya yang dapat merusak sistem komputer perusahaan. Akses internet hanya dapat dilakukan di level manager, kepala bagian, dan koordinator kantor.
2.5 Telecommunications and Network Security
ü Tujuan:
v Mengetahui berbagai aspek keamanan yang terkait dengan berbagai jenis jaringan komputer/telekomunikasi.
ü Pembahasan:
Jaringan telekomunikasi dan jaringan komputer disetipa kantor. Untuk telekomunikasi, digunakan system PABX yaitu di kantor pusat mempunyai 4 line telpon yang masuk kedalam sistem PABX berkapasitas 16 saluran dan di kantor cabang 3 line dengan PABX kapasitas 8 saluran. Semua nomor telpon yang dipakai bersifat hunting artinya hanya menggunakan satu nomor telpon untuk semua line dan nomor telepon tersebut dipilih angka yang mudah diingat oleh setiap orang atau calon customer. Di kantor pusat dan kantor cabang digunakan jaringan computer (LAN) yang menggunakan protokol TCP/IP. Untuk merawat / mengoperasikan jaringan komputer dimasing-masing kantor, perusahaan menugaskan staf TI untuk melakukan pemeriksaan secara berkala serta memberikan tip-tip penggunaan dan perbaikan seputar LAN kepada Koordinator Kantor. Tiap 3 bulan sekali diadakan pemeriksaan jaringan di kantor pusat dan kantor cabang. Apabila ada gangguan atau kerusakan pada jaringan komputer yang tidak dapat diatasi oleh Koordinator Kantor, kantor cabang dapat meminta bantuan kantor pusat untuk mengirimkan staf TI guna memperbaiki gangguan atau kerusakan tersebut. Karena jaringan komputer di kantor pusat terhubung dengan internet serta adanya jaringan internal dan web server maka dibuatlah suatu zona yang disebut De-Militarized Zone (DMZ). Di dalam DMZdipasang Firewall yang berfungsi untuk keamanan jaringan yaitu mencegah akses dari luar masuk kedalam jaringan internal perusahaan. Firewall membuang paket IP dengan address tertentu (source,destination) atau TCP port number (services yang dibatasi). Firewall yang dipakai berupa Router yang diprogram khusus untuk membatasi “site” dan external network. Di kantor cabang tidak terdapat Firewall yang dipasang karena hanya komputer Kepala Cabang dan Koordinator Kantor saja yang terhubung ke internet melalui modem external dan menggunakan koneksi dial-up. Internet disini dipakai untuk mengirimkan data properti dan data keuangan melalui email ke kantor pusat tiap bulannya. Untuk memeriksa data properti yang telah dikirimkan ke kantor pusat telah diterima dan diproses, koordinator kantor dapat melihat di website perusahaan yaitu dibagian properti yang dijual. Disitu akan terlihat data-data properti yang dijual dari masing-masing kantor cabang.
2.6 Cryptography
ü Tujuan:
v Mengetahui berbagai metode dan teknik penyembunyian data dengan menggunakan kriptografi.
ü Pembahasan:
Cryptography adalah suatu teknik penyandian yang dilakukan dalam mengirim data melalui internet guna menyembunyikan informasi tersebut dari pihak lain. Biasanya data yang akan dikirim tersebut dienkripsi terlebih dahulu dan kemudian sesampainya dipenerima akan didekripsi dan baru bisa dibaca kemudian. Data-data yang dikirim melalui teknik tersebut diatas adalah data yang bersifat sangat rahasia dan sering merupakan data transaksi keuangan seperti pembayaran via internet, nomor kartu kredit, dan sebagainya. data yang dikirim melalui internet adalah data data dari kantor cabang yang melaporkan kegiatannya selama satu bulan secara periodik. Data yang dikirim adalah data properti dan data keuangan.
Data properti adalah data tentang properti yang baru saja diterima dari client untuk dipasarkan, dan properti yang telah laku terjual pada bulan tersebut. Data keuangan adalah data tentang pendapatan perusahaan selama satu bulan itu serta biaya operasional kantor cabang termasuk gaji staf tidak termasuk staf marketing. Data properti dikirim melaui email oleh Koordinator Kantor Cabang dan ditujukan ke Manager Marketing untuk ditampilkan di website melalui bantuan staf TI. Apabila ada customer yang tertarik untuk mengetahui properti tersebut lebih lanjut, mereka dapat menelpon langsung ke staf marketing yang bersangkutan atau kantor cabang dimana property tersebut dipasarkan (nomor telepon ditampilkan di website).
Data keuangan dikirim ke kantor pusat juga melalui email oleh Koordinator Kantor dan ditujukan ke Kepala Bagian Keuangan untuk didownload dan dimasukkan ke dalam aplikasi keuangan guna pembuatan laporan keuangan perbulannya. Data keuangan menampilkan data pendapatan dan pengeluaran kantor cabang semata tanpa terdapat kegiatan atau transaksi pembayaran properti melalui internet.
Demi menjaga kerahasiaan dan keamanan data maka dalam pengiriman data keuangan dan data properti melalui email tersebut diharuskan memakai sistem kriptografi. Metode kriptografi yang digunakan masih sederhana, yaitu : Symmetric Key Cryptography, dimana pada metode ini antara pengirim dan penerima memiliki private key yang sama. Alasan pemakaian metode ini yaitu karena pada masing – masing cabang tidak terdapat staf IT, sehingga proses pengiriman data secara enkripsi harus lebih mudah untuk dipahami dan dilakukan oleh koordinator kantor yang bertugas untuk mengirimkan data ke kantor pusat, selain itu data yang dikirim hanya berupa data transaksi, petugas tidak perlu melakukan konfigurasi private key dan setting ulang setiap kali akan melakukan pengiriman data. Sistem akan secara otomatis menyertakan private key yang baku bersama dengan data yang dikirim. Metode ini tentu saja mengandung resiko, dimana bisa saja staf membocorkan informasi user id dan private key, sehingga data bias daikses oleh orang luar. Oleh sebab itu salah satu kebijakan yang diambil perusahaan adalah baik user name , password, maupun private key harus diganti dalam periode 1 bulan sekali.
2.7 Security Architecture and Models
ü Tujuan:
v Mengetahui berbagai konsep, prinsip dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan system yang aman.
ü Pembahasan:
Dalam mengelola sistem informasi perusahaan, PT. Griya Media menerapkan sistem terbuka khusus untuk sub sistem Properti, dimana daftar properti yang dipasarkan dan telah terjual dapat diakses oleh siapa saja melalui web site, hal ini ditujukan untuk mendukung aktivitas marketing. Sedangkan untuk sub sistem lainnya, diterapkan sistem tertutup, dimana hanya pihak intern perusahaan saja yang berhak untuk mengakses masing – masing sistem. Guna melakukan tindakan preventif supaya data perusahaan tidak dibaca oleh orang – orang yang tidak berwenang dan dipergunakan untuk hal – hal yang merugikan perusahaan, maka masing-masing bagian memperoleh hak akses yang berbeda – beda sesuai dengan fungsi dan job description-nya.
Pengecualian diberikan kepada karyawan pada level Kepala Bagian atau yang lebih tinggi, dimana mereka memiliki wewenang untuk untuk mengakses semua sistem yang ada, namun hanya sebatas membaca data. Data selengkapnya mengenai wewenang masing-masing staf dapat dilihat pada tabel matrix dibawah ini.
2.8 Operations Security
ü Tujuan:
v Mengetahui berbagai konsep, prinsip, dan standar untuk merancang dan mengimplementasikan aplikasi, sistem operasi, dan sistem yang aman.
ü Pembahasan:
Tindakan yang akan dilakukan oleh PT. Griya Media pada dasarnya dibagi menjadi 3 kategori yaitu :
a. Preventive control: kontrol atau pengendalian yang dilakukan untuk memperkecil sejumlah akibat dari error dan mencegah perusak/penyerang yang tidak berwenang Yaitu dengan menerapkan aturan – aturan baku untuk operasional, misalnya :
ü Pembatas wewenang untuk akses sistem sesuai dengan masing-masing fungsi dan job description dengan menggunakan autentifikasi user name dan password untuk masuk ke dalam sustem.
ü Yang berhak masuk ke ruangan server adalah Kepala Bagian TI dan stafnya.
ü Komputer hanya boleh dipakai pada jam kantor.
ü Yang diperbolehkan menggunakan internat hanya level kepala bagian atau yang lebih tinggi
b. Detective control: merupakan kontrol atau pengendalian yang dilakukan untuk mendeteksi error pada saat kesalahan itu terjadi Hanya dapat dilakukan di kantor pusat, sebab tidak ada staf TI yang ditempatkan di kantor cabang. Apabila terjadi eror pada kantor pusat, staf IT dapat langsung mendeteksi sumber dari permasalahann tersebut.
c. Corrective (recovery) control: merupakan kontrol atau pengendalian yang dilakukan untuk membantu mengurangi pengaruh dari kerusakan/kehilangan data Apabila terjadi eror pada kantor cabang, maka staf TI akan didatangkan ke tempat tersebut guna melakukan recovery sistem dan melakukan setting ulang sesuai dengan kondisi sebelum terjadi eror.
2.9 Applications and Systems Development
ü Tujuan:
v Mengetahui berbagai aspek keamanan dan kendali yang terkait pada pengembangan sistem informasi.
ü Pembahasan:
Menerapkan domain ini dalam bentuk kewajiban setiap pegawai harus menandatangani surat pernyataan bahwa mereka diwajibkan menjaga dan melindungi data – data rahasia perusahaan Sedangkan terkait dengan aspek kontrol terhadap pengembangan dan gangguan terhadap sistem, gangguan pada software yang sering terjadi disebabkan oleh virus, meskipun sudah dilakukan update antivirus secara berkala, hal tersebut terkadang tidak dapat mencegah serangan virus. Jika ruang lingkup kerusakan tidak terlalu bersar staf TI, berikut dengan teknisi akan membantu memperbaiki dan melakukan setting ulang. Namun jika kerusakan yang terjadi terlalu besar, maka perlu didatangkan teknisi dari luar atau dibawa ke perbaikan computer.
Keamanan data pada server diserahkan pada administrator baik database ataupun jaringan. Keamanan database dibuat dengan memberikan spesifikasi file yang berbeda-beda. File-file yang bersifat rahasia seperti data keuangan, data personalia, dan keuangan diberikan password dan pemberian hak akses yang berbeda untuk setiap pengguna.
Secara berkala administrator melakukan backup dalam bentuk penyimpanan CD. Hal ini dilakukan jika sewaktu-waktu terjadi kerusakan sistem, data-data masih dapat digunakan kembali.
Tidak ada komentar:
Posting Komentar