Dosen : Yusuf Kurniawan, Dr. Ir. KEAMANAN SISTEM PENGANTAR Dosen : Yusuf Kurniawan, Dr. Ir.

#Agenda Overview Kuliah Uji coba Kasus

#Overview Kuliah Tujuan yang akan dicapai SAP perkuliahan Rencana kegiatan/tugas yang akan dikerjakan

Tujuan Umum Mahasiswa dapat menyusun sebuah dokumen kebijakan keamanan TI berdasarkan standar tertentu. Mahasiswa memahami keamanan sistem dan ruang lingkupnya secara umum

Tujuan Khusus Mahasiswa dapat menjelaskan alasan kenapa sebuah organisasi perlu memiliki sebuah dokumen kebijakan keamanan yang baik. Mahasiswa dapat melakukan analisa resiko terhadap sebuah keamanan sistem. Mahasiswa dapat menurunkan sebuah dokumen kebijakan keamanan yang baik Mahasiswa dapat memahami berbagai aspek keamanan beserta contohnya

SAP Perkuliahan Pengantar Teori Keamanan Informasi Kebijakan Keamanan Overview Kuliah Uji coba Kasus Teori Keamanan Informasi Keamanan Informasi Aturan Keamanan Daur Hidup Keamanan Kebijakan Keamanan Perencanaan Kebijakan Keamanan Implementasi Kebijakan Keamanan

Manajemen Resiko Resiko Metodologi Manajemen Resiko Identifikasi Aset Analisis Resiko secara kuantitatif dan kualitatif Respon terhadap Resiko ISO 17799 sebagai standar dalam penyusunan dokumen kebijakan keamanan TI Overview ISO 17799 Point-point yang tercakup dalam ISO 17799

Metodologi Penelitian Pengembangan Kebijakan Keamanan Studi Kasus : Menyusun kebijakan keamanan perusahaan Studi Kasus : Manajemen Resiko Studi Kasus : Penyusunan Obyektif Kontrol dan Kebijakan Keamanan Informasi Studi Kasus : Evaluasi akhir dokumen kebijakan keamanan jaringan TI

Tugas Pembuatan Makalah Satu kelompok max 3 orang Yang dinilai : Makalah (bersifat kelompok) Presentasi & Tanya jawab (30 menit) bersifat individu Tingkat kesulitan + pemahaman Banyaknya materi Tidak boleh ada materi yang sama Kemungkinan masuk UAS

Agar materi tidak sama Tuliskan judul pada daftar judul Mahasiswa yang lebih akhir memasukkan judul harus memperhatikan apakah sebelumnya sudah terdapat judul tersebut

Penilaian Kehadiran mahasiswa minimal 70% dari kehadiran dosen (minimal 80 %) UTS 33% UAS 34% Tugas 33%

Penilaian (lanjutan) Perubahan cara penilaian bila : Kecurangan absen dll Keterlambatan max 20 menit, lebih dari 20 menit tidak boleh absen, tetapi masih boleh masuk kelas

#Uji Coba Kasus PT X Didirikan pada tahun 1983, PT X merupakan perusahaan yang memimpin pada solusi dan layanan TI di Indonesia. Dengan mempekerjakan lebih dari 500 tenaga profesional, PT X melayani dan mendukung pelanggan untuk melakukan perencanaan ke depan dan mencapai kesuksesan di bisnisnya. PT X memiliki komitmen untuk menyediakan solusi bisnis berbasiskan TI yang berhubungan dengan digital economy.

a. Industri, yang mencakup: Untuk menjalankan bisnisnya, PT X memiliki tujuan jauh kedepan , yaitu: “Menjadi penyedia solusi bisnis berbasis Teknologi Informasi terbaik di Indonesia.” Untuk mencapai tujuannya itu, saat ini PT X menekankan bisnisnya ke dalam dua bagian besar, yaitu: a. Industri, yang mencakup: Otomotif, manufaktur dan distribusi; Pemerintah; Finansial dan perbankan; Minyak dan gas; Telekomunikasi. b. Solusi, yang terdiri dari: SAP; Corporate Performance Monitoring; System Integration; Outsourcing.

LAYANAN DATA CENTER Data Center merupakan salah satu solusi yang dikembangkan oleh PT X untuk memberikan solusi berbasiskan TI kepada pelanggan. Layanan Data Center tersebut merupakan “fully managed web applications hosting services” yang memungkinkan pelanggan bisa fokus pada bisnis utama. Data Center dibangun dengan teknologi terdepan untuk bisa terus dikembangkan agar pelanggan bisa mendapatkan produk dan layanan dengan solusi lengkap. Layanan Data Center yang disediakan oleh PT X adalah dari managed server dengan kinerja dan ketersediaan yang tinggi, sampai dengan solusi e-business.

Layanan Data Center yang disediakan oleh PT X merupakan solusi lengkap dari layanan pengelolaan hosting mencakup administrasi, pengawasan, pelaporan, backup, dan keamanan. Layanan tersebut disediakan untuk sistem operasi, web, dan database untuk menjamin operasional layanan selama 24 jam per hari, 7 hari per minggu. Penjelasan solusi tersebut adalah sebagai berikut: Server Administration mencakup instalasi, konfigurasi, pengawasan, dan pemeliharaan perangkat keras dan lunak untuk server web dan database termasuk di dalamnya adalah perangkat jaringan.

Server Backup menyediakan backup data sampai dengan ratusan Giga Bytes (GB). Web Site Reporting memfasilitasi pelanggan untuk mengetahui efektifitas desain situs, kinerja server, dan jaringan dengan sistem pelaporan yang komprehensif. Performance Monitoring menyediakan tingkat lebih mendalam mengenai kinerja web, database, dan jaringan untuk melakukan eskalasi secara cepat dalam mengatasi masalah.

Security System menyediakan tiga tingkat perlindungan, yaitu keamanan fisik, keamanan jaringan, dan keamanan server. PT X juga menyediakan end-to-end firewall dan Intrusion Detection System mencakup perangkat keras, perangkat lunak, konfigurasi, pengawasan, dan manajemen untuk menjamin hanya trafik yang memiliki otorisasi tertentu yang dapat mengakses situs pelanggan.

Selain penyediaan solusi lengkap untuk hosting, layanan Data Center yang disediakan oleh PT X juga didukung oleh infrastruktur Data Center sebagai berikut: Fully redundant generator power supply; FM200 fire detection and suppression system; Air condition system; Secured Physical Location with smart card + PIN access; High available internet access; Penyediaan solusi lengkap serta dukungan infrastruktur Data Center merupakan bagian dari portofolio layanan Data Center PT X sebagai solusi terbaik yang ditawarkan kepada pelanggan.

Portofolio layanan Data Center yang disediakan oleh PT X diklasifikasikan menjadi tiga solusi, yaitu: 1. Hosting Hosting merupakan konsep bisnis untuk akomodasi, pelayanan, dan pemeliharaan files maupun data untuk satu atau lebih website, dimana PT X mempunyai tanggung jawab pengelolaan perangkat lunak aplikasi maupun website milik pelanggan termasuk penyediaan infrastruktur jika diperlukan.

a. Managed (Application Hosting) Untuk menjawab kebutuhan pasar, maka PT X menyediakan tiga jenis hosting, yaitu: a. Managed (Application Hosting) Application hosting merupakan perjanjian sewa antara PT X dengan pelangan dimana PT X menyediakan infrastruktur, pengembangan dan pengelolaan aplikasi, termasuk koneksi internet. Pelanggan sebagai penyewa hanya melakukan perjanjian sewa terhadap seluruh infrastruktur termasuk aplikasi yang terdapat di dalamnya. PT X bertanggung jawab terhadap availability, reliability, dan keamanan layanan yang diinginkan oleh pelanggan yang diatur dalam SLA.

b. Retail (Web Hosting) c. Co-Location Konsep web hosting hampir sama dengan application hosting, perbedaannya adalah web hosting lebih ditekankan kepada layanan web. c. Co-Location Konsep co-location merupakan perjanjian antara PT X dengan pelanggan dimana PT X menyediakan lokasi untuk penempatan infrastruktur milik pelanggan termasuk koneksi jaringan dan internet. Pengelolaan infrastruktur termasuk aplikasinya tersebut diberikan kepada PT X tergantung pada SLA yang telah disepakati.

2. Joint Operation Joint operation merupakan konsep kerja sama antara PT X dan mitra atau pelanggan untuk pengelolaan infrastruktur maupun aplikasi. Batasan-batasan kerja sama di dalam konsep bisnis ini tergantung pada SLA yang telah disepakati.

3. Customer Premises Konsep dari customer premises merupakan pengelolaan infrastruktur maupun aplikasi milik pelanggan dimana infrastruktur tersebut tetap berada di tempat pelanggan, namun PT X menyediakan tenaga-tenaga ahli untuk mengelolanya. Pengelolaan Data Center dilakukan oleh Managed Service yang merupakan salah satu departemen di PT X yang bertanggung jawab kepada pengelolaan serta pemeliharaan seluruh infrastruktur TI.

KONFIGURASI SISTEM LAYANAN DATA CENTER PT X Saat ini PT X memiliki beberapa pelanggan yang menggunakan layanan Data Center yang disediakan oleh PT X. Pelanggan tersebut terdiri dari berbagai industri dan memiliki aplikasi yang berbeda tergantung pada portofolio bisnis masing-masing pelanggan. Profil dari beberapa pelanggan yang menggunakan layanan Data Center di PT X adalah sebagai berikut:

PT A, merupakan perusahaan yang memiliki portofolio bisnis industri manufaktur kendaraan bermotor. Aplikasi yang digunakan adalah aplikasi SAP, dimana aplikasi tersebut menghubungkan bagian manufaktur, penjualan, dan finansial ke seluruh cabang perusahaan. Layanan Data Center yang disepakati oleh PT A dan PT X adalah co-location.

2. PT B, merupakan perusahaan yang memiliki portofolio bisnis distribusi obatobatan. Aplikasi yang digunakan adalah web-enabled value chain analysis yang mengintegrasikan data-data penjualan seluruh pemasok dan retail yang berhubungan dengan PT B. Layanan Data Center yang disepakati oleh PT B dan PT X adalah web hosting dan application hosting.

3. PT C, merupakan perusahaan yang memiliki portofolio bisnis portal otomotif. Layanan Data Center yang disepakati oleh PT C dan PT X adalah co-location.

Gambar 3.2 mendeskripsikan penggambaran secara logic konfigurasi infrastruktur Data Center PT X. Konfigurasi tersebut terdiri dari dua bagian, yaitu front-end servers dan back-end servers. Front-end servers merupakan infrastruktur yang terdiri dari kumpulan server web milik perusahaan-perusahaan yang merupakan pelanggan Data Center. Server tersebut diakses secara publik oleh pelanggan masing-masing perusahaan. Keamanan yang terdapat pada infrastruktur tersebut adalah masing-masing perusahaan dibatasi hanya bisa mengakses server miliknya, tanpa bisa mengakses server milik perusahaan lain. Hal ini berlaku pula bagi pelanggan perusahaan masing-masing.

Sedangkan backend servers merupakan infrastruktur yang terdiri dari kumpulan server aplikasi,database, dan lain-lain milik perusahaan-perusahaan pelanggan Data Center. Server tersebut bisa hanya bisa diakses oleh perusahaan masing-masing, baik untuk keperluan bisnis maupun pemeliharaan.

TUGAS Identifikasi hal-hal berikut: Visi Perusahaan Fokus Bisnis Penjelasan dan Grafik Portofolio Layanan Data Center Klasifikasikan dan Identifikasikan Asset yang terlibat! Untuk setiap asset yang sudah berhasil diidentifikasi, pikirkan dan tuliskan kerawanan dan ancaman yang terkait! Misal PT X punya suatu cara untuk mengelola pemakaian password, kira-kira kebijakan seperti apa yang bisa dikaitkan dengan manajemen password tersebut?

#Daftar Pustaka Rekiardi, Penerapan Kebijakan Keamanan TI untuk Layanan Data Center di PT X.