Keamanan sistem informasi Pertemuan 9 dan 10
9. Pengembangan Sistem Metode yang diterapkan tergantung dari besar perusahaan, kemampuan staf ICT, teknologi yang tersedia (development tool yang modern, biaya, pengetahuan mengenai komputer didalam organisasi dan jenis binis yang digeluti. Pengembangan sistem membutuhkan perhatian yang besar dari senior manajemen sebelum membutuhkan opsi untuk menempuh jalan ini, agar keputusan yang telah diambil tidak mubazir atau disesalkan di kemudian hari. Pengembahan sistem merupakan tanggung jawab semua yang terlibat, tidak hanya semata-mata bagian dari ICT. Tanpa input yang lengkap dan benar dari users sudah tentu ICT tidak dapat membangun sistem. Pengetahuan operasional yang dimiliki oleh pemakai, tidak dapat dimiliki ICT. Pengetahuan ICT hanya sebatas pengaplikasian informasi yang diberikan dengan menggunakan teknologi dan mencari solusi untuk menunjangnya.
9.1 Tanggungjawab Apabila telah diputuskan untuk membangun sistem dari nol/stratch, ada baiknya apabila dibahas tanggung jawab masing-masing karyawan yang terlibat di dalam proses yang akhir-akhir ini di sebutkan System Development Life Cycle (SDLC). Karyawan yang telah ditunjuk dan dilibatkan akan masuk ke salah satu tim. Tim ini juga dapat dibentuk apabila organisasi memutuskan untuk membeli paket sistem aplikasi.
9.1.1 Steering committee/Tim pengendali Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam perusahaan. Biasanya terdiri dari direktur dan para senior manager/kepala bagian yang tingkatannya lebih rendah satu tingkat dari direktur. commitment Direction Steering committee Planning Monitorng
9.1.2 User Group/Tim Pemakai User group bertanggungjawab atas pengimplementasian peraturan (policy) yang telah diputuskan di steering committee atau policy yang telah dibuat sebelumnya. Grup ini akan merinci lebih lanjut rencana ICT yang telah diajukan kepada steering comittee,mendesain dan mengimplementasikan sistem komputer.
9.1.3 Test Group / Tim Uji Coba Terdiri dari tim pengembang sistem dan pemakai (key user). Tugas utamanya adalah menguji coba sistem yang baru dibangun.
9.2 Pengembangan sistem Fokus utama pada topik ini adalah pada saat penerimaan sistem baru untuk menguji coba kontrol dan keamanan sistem. Kontrol terhadap pengembangan sistem membutuhkankerja sama dan effort antar departemen ict/tim pengembang dengan unit kerja yang lain dalam perusahaan.
9.2.1 Awal proyek Proyek pengmbangan sistem diwali selalu dengan mengidentifikasi permasalahan yang ada saat ini timbul di organisasi, persyaratan baru dan/atau kebutuhan lain yang mungkin dapat menanggulanginya dengan memanfaatkan teknologi komputer.
9.2.2 Study kelayakan/feasibility study Maksud dari feasibility study ini adalah mengidentifikasikan solusi-solusi yang dapat memecahakan permasalahan dan memberikan rekomendasi opsi mana yang paling baik beserta alasannya. Secara umum studi kelayakan terdiri dari: Fact-finding Analisis Laporan
9.2.3 Functional analysis dan desain Tahap ini akan menentukan secara spesifik bagaimana permintaan para user dapat direalisasikan dan diimplementasikan ke dalam sistem. Bisasanya tahap ini meliputi: Input Proses Output
9.2.4 Technical analysis dan desain Tujuan tahap ini adalah menerjemahkan spesifikasi fungsional ke dalam macam-macam technical requirement agar memungkinkan sistem berjalan secara efektif dan efisien. Dalam tahap ini para analis akan membahas: Struktur file dan database Spesifikasi program Keamanan dann kontrol Cara pengoperasian Kriteria uji coba
9.2.5 Programming Berdasarkan spsesifikasi yang telah dihasilkan dari tahap sebelumnya,programmer dapat mulai dengan mengkode spesifikai tersbut dengan memakai standar bahasa pemrogramannya organisasi. Apabila telah selesai menguji coba, maka programmer terkait harus membuat dokumentasi program dan menyiapkan dokumentasi untuk training.
9.2.6 Melatih pemakai Untuk memakai sistem baru udah tentu pemakai harus dilatih bagaimana caranya memakai sistem atau program yang baru.
9.2.7 Uji coba Sistem Tujuan utama adalah untuk meyakinkan bahwa sistem berjalan dengan baik sesuai dengan spesifikasi fungsional, memenuhi persyaratan pemakai, dan menerapkam pengontrolan efektif.
9.2.8 Persiapan data dan parallel run Implementasi sistem lama dan baru bisa dilakukan dengan memulai sistem baru bersamaan dengan sistem lama (parallel run). Namaun sebelum sampai ke tahap ini data utama harus dipersiapkan dulu dengan cara konversi. Data utama yang lama akan dikonversikan dulu sesuai dengan struktur database baru yang di sediakan. Cara ini adalah cara yang paling aman karena apabila timbul sesuatu yang tidak diprediksikan sebelumnya, maka sistem lama masih dapat di gunakan sehingga bisnis tidak berhenti.
9.2.9 Pengalihan dan akseptasi sistem Pemisahan antara production sistem dan development environment sistem informasi memiliki tujuan agar sistemyang sedang dibangun tidak mengganggu sistem-sistem yang sedang berjalan. Pengalihan sistem baru ke production environment merupakan pula momentum untuk membubarkan tim pengembang sistem baru dan menyerahkannya kepada tim maintenace/support.s
9.3 Kebijakan Peraturan Akseptasi Sistem baru atau perubahan yang telah dilakukan terhadap sistem yang telah berjalan,hanya dapat diimplementasikan ke dalam production environmentstelah prosedur akseptasi yang resmi telah dilakukan dengan baik.
9.4 Prinsip Pengalihan Sistem Cara berikut dapat dilakukan untuk pengalihan, akseptasi dan distribusi Pemisahan environment Lingkungan (environment) harus diamankan Pengecualian pada saat darurat untuk mengubah program.
9.5 Otorisasi Komponen sistem Pemberian wewenang harus menganut prinsip “need to know” Pemberian dan atau peerubahan otorisasi hanya dapat di alukan oleh administrator sistem keamanan berdasarkan konfirmasi pemilik sistem. Pada saat darurat hanya dengan persetujuan/atas keputusan manajemen staf ICT diperbolehkan mengubah otorisasi pemakai jika pada saat itu Administrator kemanan sistem absen.
9.6 Daftar Pertanyaan pda saat Penerimaan Sistem Langkah Pengamanan Sistem merupakan salah satu bagian yang harus di ujicoba sebelum memindahkan sistem dari development ke production environment. Uji coba khusus misalnya backup dan recovery harudilakukan secara hati-hati agar tidak mengganggu sistem yang sedang berjalan. Berikut langkah dan pengujian yang patut mendapat perhatian khusus untuk menentukan apakah sistem yang akan dipakai di produksi memiliki sistem keamanan cukup baus atau setidak- tidaknya memenuhi minimum persyaratan, namun hal ini juga tergantung dengan hardware dan software yang digunakan.
Apakah langkah pengamanan yang berkaitan dengan pengontrolan akses berjalan efektif? Apakah fungsi dari sistem keamanan diterapkan dengan benar? Apakah pengamanan terhadap resource cukup memadai? Apakah langkah backup dan recovery diperiapkan dan berjalan dengan baik? Apakah langkah untuk pengamanan pekerjaan yang bersifat rahasia telah disusun? Apakah sistem telah menerapkan screening yang memadai? Apakah isi output sesuai dengan permintaan? Apakah tersedia fasilitas untuk audit?
9.7 Kontrol setelah pengalihan dan akseptasi sistem Kontrol terhadap pengoperasian Kontrol terhadap dokumentasi Kontrol terhadap pemrosesan
9.8 Outsourcing Outsourcing adalah menyerahkan pekerjaan kepada pihak ketiga (misalnya software house), yang di kukuhkan dengan suatu kontrak tertulis. Faktor pertimbangannya : Tidak tersedianya programmer/analis untuk mengerjakannya dengan apapun alasannya, sedangkan kebutuhannya sangat mendesak Pengetahuan proses bisnis dan atau komputerisasi yang tidak memadai. Tidak/belum tersedianya bagian ICT Dalam jangka panjang organisasi menilai outsourcing lebih murah daripada merekut staf ICT yang mahal. Sangat sulit untuk merekut ahli ICT yang profesional dan loyal terhadap organisasi.
9.9 Distributed System Untuk perusahaan yang memiliki cabang di luar lokasi kantor pusat dan setelah memutuskan untuk mengembangkan sistemsendiri yang akan dibangun oleh bagian ICT, ada baiknya apabila mempertimbangkan kemungkinan penerapan distributed system. Mengapa distributed system ? Seperti yang telah disebutkan penunjang utama untuk kesuksesan bisnis dan sistem yang sangat diminati oleh semua organisasi adalah ketersediaan (availability).
Suatu distributed system dapat didesain dngan data yang sama seperti mesin utama atau sebagian darinya di beberapa lokasi dengan pertimbangan : Biaya transmisi Response time Availability Security Struktur database