Everything can do it :p

Blog

Tugas Manajemen Proyek : Analisis Peningkatan Keamanan Layanan EED

Posted by in Tugas on

Tugas Mata Kuliah Manajemen Proyek :

===================================================================

Proyek Analisis Peningkatan Keamanan Layanan EED Pusat Kebijakan Ekonomi Makro Badan Kebijakan Fiskal

1.  Pendahuluan

1.1.    Latar Belakang

Sistem Teknologi Informasi  semakin menjadi bagian yang penting untuk kelancaran sebuah organisasi. Untuk menjamin kelancaran operasional organisasi yang bergantung pada layanan sistem teknologi informasi, adalah penting untuk memastikan kesinambungan operasional sistem. Apabila terjadi gangguan dan kondisi darurat, maka harus ada jaminan bahwa pemulihan sistem teknologi informasi bisa dilaksanakan dengan cepat dan akurat.

Sudah selayaknya apabila layanan Economic Executive Dashboard  – yang didalamnya termasuk database ekonomi makro- memiliki sebuah prosedur keamanan yang dapat diandalkan. Layanan Economic Executive Dashboard dan Database Ekonomi Makro tidak dapat dilepaskan dari penggunaan teknologi informasi, namun sampai saat ini belum memiliki sistem keamanan yang terpadu. Untuk itu, dipandang perlu untuk menyusun upaya peningkatan keamanan layanan Economic Executive Dashboard . Sehingga diharapkan layanan Economic Executive Dashboard  dapat mempertahankan kesinambungan penyediaan akses informasi ekonomi makro yang sangat penting dalam setiap pengambilan kebijakan di lingkungan Badan Kebijakan Fiskal serta Kementerian Keuangan.

1.2.    Tujuan dan Sasaran

Penyelenggaraan kegiatan ini dimaksudkan untuk membangun sistem keamanan sistem Economic Executive Dashboard , dengan tujuan menciptakan  sebuah sistem informasi yang tidak hanya handal namun memiliki standard dan prosedur keamanan data dan aplikasi yang tangguh. Sasaran kegiatan ini adalah sebagai berikut:

  1. Meningkatkan efisiensi layanan sistem EED;
  2. Meningkatkan tingkat ketersediaan layanan EED dan meminimalisir waktu downtime;

Mewujudkan standarisasi dalam sistem dan prosedur pengelolaan sistem tersebut di lingkungan PKEM.

1.3.    Ruang Lingkup Pekerjaan

Lingkup pekerjaan Jasa Konsultasi  Peningkatan Kemananan Layanan Economic Executive Dashboard  adalah sebagai berikut:

  1. Pemeriksaan dan penilaian ulang terhadap sistem keamanan teknologi informasi khususnya yang menyangkut sistem layanan Economic Executive Dashboard secara menyeluruh
  2. Penilaian dan pengidentifikasian seluruh instrumen keamanan yang tepat dan sesuai dengan kondisi organisasi
  3. Penyusunan sebuah kesimpulan, rekomendasi serta laporan mengenai kondisi dan pemanfaatan teknologi informasi dalam peningkatan pengelolaan keamanan layanan Economic Executive Dashboard
  4. Pembangunan sistem support dan monitoring keamanan Economic Executive Dashboard berbasis web
  5. Penyusunan manual dan dokumentasi sistem keamanan layanan Economic Executive Dashboard
  6. Pengadaan sarana pendukung untuk menunjang kegiatan pembangunan sistem support dan monitoring keamanan Economic Executive Dashboard serta pelaporan kegiatan

1.4.    Spesifikasi Teknis Jasa Konsultansi

Penyedia Jasa diberikan kewenangan seluas-luasnya untuk memperoleh informasi yang terkait dengan materi pengembangan sistem. Segala sesuatu yang dilaksanakan oleh Penyedia Jasa diluar lingkup yang dikerjakan, Penyedia Jasa harus menyampaikan/melaporkan terlebih dahulu kepada Pemberi Kerja.

 

Rincian umum kegiatan adalah sebagai berikut:

  1. Menyusun kerangka acuan kerja (KAK) kegiatan untuk peningkatan keamanan layanan EED dan Data Ekonomi Makro yang meliputi:
  • Keamanan fisik
  • Keamanan jaringan
  • Keamanan data
  1. Menyusun rancangan sistem otentifikasi tanpa menggunakan sistem login untuk layanan EED dan aplikasi ekonomi makro.
  2. Pembangunan purwarupa sistem disaster recovery termasuk simulasinya.
  3. Pembangunan sistem support dan monitoring keamanan berbasis web
  • Memiliki fasilitas remote akses dengan bandwith minimal
  • Memiliki tampilan yang menekankan kecepatan
  • Berbasis open-source
  • Memiliki fasilitas pelaporan secara rutin baik digital maupun cetak
  • Laporan mencakup log keamanan dan log akses terhadap layanan EED
  • Memiliki fasilitas pelaporan secara realtime melalui wall mounted display
  1. Pengadaan sarana pendukung dalam pekerjaan pembuatan sistem support dan monitoring keamanan berbasis web dan presentasi pelaporan
  • Dua buah desktop pengolah laporan dengan spesifikasi minimum

ü  Intel Core 2 Duo 2.4GHz, 2GB DDR3 memory, 320GB HDD, GbE NIC, Wi-Fi, Built-in Bluetooth 2.1 + EDR (Enhanced Data Rate), VGA NVIDIA GeForce 320M 256MB, 1 FireWire 800 port (up to 800Mbps), 4 USB 2.0 ports (up to 480Mbps), HDMI to DVI adapter, built-in power supply

ü  Desktop memiliki fasilitas server dan client SSH secara built-in tanpa instalasi aplikasi tambahan

  • Dua buah laptop administrator aplikasi web dan remote akses dengan spesifikasi minimum

ü  Intel dual-core i5 2.3GHz, 4GB Kit (2x 2GB) DDR3, 320GB HDD, DVD±RW, GbE NIC, Wi-Fi, Bluetooth, VGA Intel HD Graphics 3000 384MB DDR3, Camera, 13.3″ LED.

ü  Laptop harus memiliki fasilitas server SSH dan server web secara out-of the box (tidak perlu instalasi software tambahan)

  • Satu buah Portable Server

ü  Processor minimal Intel Core 2 Duo 2.66GHz, Hard disk minimal 500GB, continuous maximum power consumption 85w, 4GB DDR3 memory, GbE NIC, Wi-Fi, Bluetooth, VGA NVIDIA GeForce 320M 256MB, USB 2.0, SD slot, HDMI

ü  Server memiliki fasilitas server ssh dan server web secara out-of the box  (tidak memerlukan installasi software tambahan)

ü  Server memiliki fasilitas Wi-Fi dan dapat berperan sebagai penyedia akses data dan printer secara wireless untuk tiga perangkat atau lebih

  • Satu buah network attached storage dengan spesifikasi minimum

ü  Storage 2 TB, 4 x SATA 3, TCP/IP File Sharing CIFS/SMB, AFP, HTTP/HTTPS, FTP/SFTP, Power Consumption Average 43 W, Maximum 90 W, Stand-by mode 0.85 W Power Supply AC 100-240V 50/60 Hz. Client OS Support : Windows® 7 (32-bit/64-bit), Windows Vista® (32-bit/64-bit), Windows® XP, Windows® 2000, Windows Server® 2003, Windows Server® 2003 R2, Windows Server® 2008, Windows Server® 2008 R2, Mac OS® X 10.3.9 or later

ü  Network storage harus memiliki fasilitas server ftp, server ssh dan server web secara out-of the box (tidak perlu instalasi software tambahan)

  • Perangkat penyaji status keamanan real-time

ü  Dua buah LCD monitor 15.6 Inch VA-1601-LED 1366×768, 20001:1.8ms, Wall Mounting, Black

ü  Dua buah smartphone untuk monitoring dan akses remote dengan spesifikasi minimum 800MHz Processor, Quad Band, 3.7″ TFT Capacitive Touchscreen, 16M Colors, GPRS, HSDPA, Bluetooth, 2GB storage, 512MB RAM, microSD slot. Memiliki kemampuan untuk melakukan remote akses dengan menggunakan SSH.

  1. Pembuatan Manual dan Dokumentasi
  2. Pelatihan Keamanan Teknologi Informasi
  • Pelatihan dan pengenalan best practice pengelolaan keamanan teknologi informasi untuk sektor pemerintah selama 3 hari.

1.5.    Pendekatan dan Metodologi

1.5.1.         Metodologi Audit Sistem Keamanan

Audit planning (perencanaan audit) menerangkan tentang tujuan audit, kewenangan auditor, adanya persetujuan managemen tinggi, dan metode audit.

 

Metodologi audit:

  1. Audit subject. Menentukan apa yang akan diaudit
  2. Audit objective. Menentukan tujuan dari audit
  3. Audit Scope. Menentukan sistem, fungsi, dan bagian dari organisasi yang secara spesifik/khusus akan diaudit
  4. Preaudit Planning. Mengidentifikasi sumber daya dan SDM yang dibutuhkan, menentukan dokumen-dokumen apa yang diperlukan untuk menunjang audit, menentukan lokasi audit
  5. Audit procedures and steps for data gathering. Menentukan cara melakukan audit untuk memeriksa dan menguji kendali, menentukan siapa yang akan diwawancara
  6. Evaluasi hasil pengujian dan pemeriksaan. Spesifik pada tiap organisasi.
  7. Prosedur komunikasi dengan pihak manajemen. Spesifik pada tiap organisasi
  8. Audit Report Preparation. Menentukan bagaimana cara memeriksa hasil audit, yaitu evaluasi kesahihan dari dokumen-dokumen, prosedur, dan kebijakan dari organisasi yang diaudit

 

Tujuh langkah proses audit:

  1. Implementasi strategi audit berbasis manajemen risiko serta control practice yang dapat disepakati semua pihak
  2. Menetapkan langkah-langkah audit secara terinci
  3. Gunakan fakta / bahan bukti yang cukup, handal, relevan, serta bermanfaat
  4. Buatlah laporan beserta kesimpulannya berdasarkan fakta yang dikumpulkan
  5. Penelaahan tujuan audit tercapai
  6. Penyusunan laporan

1.5.2.         Metodologi Pengembangan Perangkat Lunak

Ada beberapa metodologi pengembangan perangkat lunak yang umum dipakai. Perkembangan yang pesat di bidang teknologi informasi baik di bidang analisa dan desain maupun di bidang teknik pemrogramannya menyebabkan metodologi pengembangan perangkat lunak juga harus ikut menyesuaikan diri. Metodologi yang lebih baru telah mengadopsi metode analisa, desain, dan pemrograman yang berorientasi objek. Metodologi berorientasi objek yang paling populer saat ini adalah Unified Process.

 

Unified Process dikembangkan sebagai metodologi yang bersifat use-case driven, berpusat pada arsitektur, iteratif, dan inkremental didasarkan pada UML (Unified Modeling Language) yaitu bahasa model standar untuk desain berorientasi objek. Unified Process dikembangkan oleh Rational Software (yang sekarang bagian dari IBM) semenjak tahun 1999. Unified Process mendeskripsikan pemberian dan pengelolaan tugas serta tanggung jawab dalam sebuah organisasi pengembang perangkat lunak. Unified Process yang dilaksanakan dengan produk-produk bantu yang dibuat oleh Rational Software (IBM) disebut Rational Unified Process (RUP).

 

Unified Process mendefinisikan tahap pelaksanaan, kegiatan, peran pelaksana, hasil pekerjaan, dan prinsip yang harus diikuti. Namun Unified Process tidak dapat diterapkan secara langsung karena memang dimaksudkan sebagai kerangka proses kerja yang harus diadaptasikan. Unified Process menyediakan berbagai ‘pustaka’ proses kerja yang harus dipilih untuk disesuaikan dengan tim pelaksana dan jenis perangkat lunak yang dikembangkan.

 

Prinsip-prinsip Unified Process adalah:

  1. Pengembangan perangkat lunak secara iteratif
  2. Pengelolaan kebutuhan
  3. Penggunaan arsitektur yang berbasis komponen
  4. Pemodelan perangkat lunak secara visual (diagram UML)
  5. Verifikasi kualitas perangkat lunak
  6. Perubahan pada perangkat lunak yang terkendali

 

Agile Unified Process adalah adaptasi-adaptasi Unified Process yang menekankan pada kecepatan pengembangan dan fleksibilitas kebutuhan. Umumnya Agile Unified Process memilih set aktivitas dan artifak UP yang sesederhana mungkin dan menggunakan perencanaan tingkat tinggi untuk keseluruhan proyek (phase plan) dengan menyusun perencanaan detil (iteration plan) pada setiap awal iterasi.

 

Deskripsi Unified Process selanjutnya adalah Unified Process yang diadaptasikan dengan prinsip-prinsip Agile.


1.5.3.         Fase Pelaksanaan

Fase pengembangan dalam Unified Process ada 4 buah, ditambah dengan 1 fase penggunaan.

Fase

 

Figure 1 Sistematika Unified Process

 

  1. Insepsi

Tahap insepsi adalah tahap persiapan. Hal-hal yang perlu ditentukan dalam tahap insepsi ini adalah jadwal kerja, pembentukan tim, dan ruang lingkup perangkat lunak yang akan dikembangkan.

  1. Elaborasi

Tahap elaborasi adalah tahap perencanaan di mana penekanan dilakukan pada terselesaikannya deskripsi kebutuhan perangkat lunak (termasuk survei), analisa dan desain arsitektur, serta pembangunan kerangka dasar aplikasi dan metode pengujiannya.

  1. Konstruksi

Tahap konstruksi adalah tahap pembangunan di mana penekanan dilakukan pada desain teknis, pemrograman, dan pengujian perangkat lunak.

  1. Transisi

Tahap transisi adalah tahap penerapan di mana dilakukan uji coba oleh calon pengguna, pelatihan, persiapan pemakaian dan diakhiri dengan pemakaian sistem oleh pengguna.

  1. Produksi

Tahap produksi adalah tahap operasional di mana kegiatan utama adalah perawatan sistem termasuk melakukan backup data.

1.5.4.         Metodologi Pelaksanaan Pekerjaan

Berdasarkan dasar metodologi pengembangan perangkat lunak di atas dan disesuaikan dengan kebutuhan dan persyaratan pekerjaan yang tertuang di dalam KAK, maka disusunlah metodologi yang sesuai untuk kegiatan ini.

 

Persyaratan metodologi yang disampaikan di dalam dokumen KAK, yaitu Perencanaan Audit, pelaksanaan Audit, dan Pelaporan Audit sudah tertuang di dalam metodologi Unified Process yang dipaparkan, yaitu:

  1. Laporan Pendahuluan

Berisi mengenai laporan hasil pekerjaan penyusunan Rencana Pelaksanaan Pekerjaan

  1. Laporan Kemajuan

Berisi mengenai laporan perkembangan terhadap hasil pekerjaan yang sedang dijalankan

  1. Laporan Akhir

Berisi mengenai laporan keseluruhan dari semua hasil pekerjaan

 


2.  Konsep Standar Keamanan Informasi

2.1.            Konsep Penanggulangan Bencana

2.1.1.         Disaster Recovery

Disaster (bencana) didefinisikan sebagai kejadian yang waktu terjadinya tidak dapat diprediksi dan bersifat sangat merusak. Pengertian ini mengidentifikasikan sebuah kejadian yang tiba-tiba, tidak diharapkan, bersifat sangat merusak, dan kurang perencanaan. Bencana terjadi dengan frekuensi yang tidak menentu dan akibat yang ditimbulkannya meningkat bagi mereka yang tidak mempersiapkan diri terhadap kemungkinan-kemungkinan timbulnya bencana.

Disaster Recovery Planning

Disaster Recovery Planning (DRP) adalah rencana yang fokus pada sistem teknologi informasi yang diterapkan pada data center untuk memperbaiki operabilitas sistem target, aplikasi, dan fasilitas komputer dilokasi alternatif dalam kondisi darurat.

Business Continuity Plan

Business Continuity Plan (BCP) adalah rencana yang fokus untuk mempertahankan kelangsungan fungsi bisnis saat gangguan terjadi dan sesudahnya sehingga dapat meminimalisasi kerugian yang diakibatkan oleh bencana.

2.1.2.         Aktivasi dan Deaktivasi Rencana Pemulihan Bencana

Penyedia layanan harus menetapkan dengan kondisi organisasi dan prosedur untuk menyerukan dan menonaktifkan layanan pemulihan bencana. Organisasi, bersama-sama dengan penyedia layanan mereka (tunduk pada kewajiban penyedia layanan kontrak dengan organisasi), harus mempertahankan duplikat salinan rencana, prosedur bencana kegagalan / dan informasi penting lainnya (seperti daftar kontak dan ‘pohon panggilan’) untuk mengelola bencana dan kegagalan.

 

2.2.            Konsep Quality of Service

Quality of Service (disingkat menjadi QoS) merupakan mekanisme jaringan yang memungkinkan aplikasi-aplikasi atau layanan dapat beroperasi sesuai dengan yang diharapkan.

 

Kinerja jaringan komputer dapat bervariasi akibat beberapa masalah, seperti halnya masalah bandwidth, latency dan jitter, yang dapat membuat efek yang cukup besar bagi banyak aplikasi. Sebagai contoh, komunikasi suara (seperti VoIP atau IP Telephony) serta video streaming dapat membuat pengguna frustrasi ketika paket data aplikasi tersebut dialirkan di atas jaringan dengan bandwidth yang tidak cukup, dengan latency yang tidak dapat diprediksi, atau jitter yang berlebih. Fitur Quality of Service (QoS) ini dapat menjadikan bandwidth, latency, dan jitter dapat diprediksi dan dicocokkan dengan kebutuhan aplikasi yang digunakan di dalam jaringan tersebut yang ada.

2.3.            Konsep Network Monitoring System (NMS)

Konsep Network Monitoring System (NMS) sebenarnya sederhana yaitu system ekstra atau kumpulan system yang memiliki tugas mengamati/memonitor system-system terhadap kemungkinan terjadinya masalah-masalah pada system tersebut untuk dapat dideteksi secara dini. Sebagai contoh, suatu monitoring system dapat secara periodic menghubungi suatu web server untuk menjamin adanya respon dari web server, jika tidak ada respon maka monitoring system kemudian mengirimkan pesan atau notifikasi ke administrator. NMS bagian dari network management. Jika NMS diterapkan dengan tepat dan benar maka NMS dapat menjadi keuntungan  bagi seorang administrator, namun jika sebaliknya maka NMS akan menjadi ‘malapetaka’ bagi admin. Misalkan, NMS tentunya akan mengirimkan pesan/notifikasi email atau mengirimkan pesan SMS ke HP ke admin ketika terjadi suatu masalah atau ketika terjadi krisis pada suatu system yang dimonitor. Jika admin tidak tepat dalam menentukan kriteria krisis dari suatu system yang dimonitor  maka bisa jadi seorang admin akan mendapatkan email atau pesan SMS terus menerus dari NMS.

 

Hal-hal yang bakal dimonitoring dalam network  tentunya akan sangat kompleks, dan sistem monitoring yang baik seharusnya menyediakan history dan log yang memungkinkan kita membuat laporan, statistik dan graph dari masing-masing object yang dimonitoring sehingga sistem NMS yang digunakan memberikan kontribusi penuh dalam pendeteksian secara dini terhadap kemungkinan masalah-masalah yang timbul.

2.4.            Single Sign-On

Teknologi Single-sign-on (sering disingkat menjadi SSO) adalah teknologi yang mengizinkan pengguna jaringan agar dapat mengakses sumber daya dalam jaringan hanya dengan menggunakan satu akun pengguna saja. Teknologi ini sangat diminati, khususnya dalam jaringan yang sangat besar dan bersifat heterogen (di saat sistem operasi serta aplikasi yang digunakan oleh komputer adalah berasal dari banyak vendor, dan pengguna dimintai untuk mengisi informasi dirinya ke dalam setiap platform yang berbeda tersebut yang hendak diakses oleh pengguna). Dengan menggunakan SSO, seorang pengguna hanya cukup melakukan proses autentikasi sekali saja untuk mendapatkan izin akses terhadap semua layanan yang terdapat di dalam jaringan. Singkatnya once register multiple access; cukup sekali registrasi banyak akses, layanan dan fitur didapat.

 

Keuntungan dan Kerugian SSO:

  • Keuntungan SSO

ü  Meningkatkan produktivitas pengguna. Pengguna tidak lagi terhambat atau membuang waktu otentikasi yang berulang-ulang, dan mereka tidak diwajibkan untuk mengingat beberapa ID dan kata kunci; cukup satu saja.

ü  Meningkatkan produktivitas pengembang. Pengembang cukup memikirkan skenario untuk otentikasi umum saja; bahwa sekali permintaan untuk  aplikasi disertai dengan nama pengguna, maka otentikasi telah terjadi.

ü  Menyederhanakan administrasi dan pemeliharaan. Karena terpusatnya data pengguna, secara teknis hal-hal yang berkaitan dengan administrasi dan pemeliharaan pengguna akan lebih mudah. Cukup memikirkan hal-hal yang berkenaan dengan hak akses untuk masing-masing layanan, aplikasi atau fitur tertentu; jika dibutuhkan.

  • Kerugian SSO

ü  Sulit untuk menggabungkan. Sebuah SSO akan sangat sulit untuk menggabungkan aplikasi, layanan atau fitur yang sudah ada; memakan waktu yang cukup lama dan membutuhkan biaya yang tidak murah.

ü  Sistem berpotensi lebih rentan. Menerapkan SSO mengurangi beberapa risiko keamanan, tetapi orang lain meningkat. Misalnya, pengguna yang jahat bisa mendapatkan akses ke sumber daya pengguna jika pengguna keluar (bepergian) dengan membiarkan tetap dalam kondisi login. Meskipun ini adalah masalah keamanan secara umum, adalah lebih buruk dengan SSO karena semua sumber daya pengguna yang berwenang bocor. Setidaknya dengan banyak login, pengguna hanya dapat login ke satu sistem pada saat itu dan sehingga hanya satu sumber daya yang bocor.

ü  SSO lebih menarik perhatian hacker/cracker. Dengan SSO, satu pusat layanan otentikasi digunakan oleh semua aplikasi. Ini merupakan target yang menarik bagi hacker/cracker yang mungkin memutuskan untuk melakukan serangan; Denial of Service dan semacamnya.

2.5.            Pengadaan Perangkat Keras Pendukung

  • Dua buah Desktop pengolah data yaitu LENOVO IdeaCentre K330 848
  • Dua buah laptop administrator dan remote akses yaitu APPLE MacBook Pro MC700ZA/A New
  • Satu buah network attached storage yaitu Buffalo Linkstation Pro Quad 2TB (500GBx4) Mini Tower
  • Dua buah monitor penyaji status keamanan yaitu ViewSonic VA1601w LED
  • Dua buah smartphone yaitu Motorola Defy

2.6.            Infrastruktur Teknologi Perangkat Lunak

Pemilihan teknologi yang digunakan dalam pembangunan sebuah sistem informasi adalah sebuah kegiatan yang amat menentukan secara jangka panjang sehingga perlu dilakukan secara cermat. Faktor-faktor yang menjadi pertimbangan utama dalam melakukan pemilihan teknologi adalah:

  • Keandalan dan stabilitas
  • Keamanan
  • Kinerja
  • Kemudahan penggunaan
  • Kemudahan perawatan dan modifikasi
  • Berbasis open source agar biaya support dan upgrade di masa mendatang dapat ditekan

Faktor-faktor nomor 1 sampai dengan 5 ditentukan oleh kualitas metodologi pengembangan perangkat lunak yang digunakan, yang harus mengikuti kaidah-kaidah dalam ilmu rekayasa perangkat lunak. Sedangkan faktor nomor 6 bergantung pada pemilihan komponen yang akan digunakan.

Dengan mengingat faktor-faktor di atas maka teknologi dan bahasa pemrograman yang dipilih adalah:

  1. Server database: MySQL
  2. Web server: Apache
  3. Server-side script: PHP
  4. Framework aplikasi: Yii Framework
  5. Antar muka browser: AJAX

Leave a Reply

Tweets