Pesan Tiket Mudah Murah

Rabu, 21 Desember 2011

DATABASE AND DATA SECURITY - STUDI KASUS PT. SIERAD PRODUCE TBK

Aspek keamanan data merupakan hal penting yang harus diperhatikan dalam manajemen data. Keamanan data telah menjadi bagian dari pengembangan teknologi informasi mengingat bahwa berjuta-juta bit informasi telah dipertukarkan dalam jaringan komputer terutama di internet. Akib (2009) menuliskan bahwa masalah keamanan data dapat diklassifikasi kedalam beberapa dimensi

Definisi basis data (database) sangatlah bervariasi. Basis data dapat dianggap sebagai kumpulan data yang terkomputerisasi, diatur dan disimpan menurut salah satu cara yang memudahkan pengambilan kembali. Menurut Conolly and Carolyn (2002), basis data adalah sekumpulan data yang saling berhubungan, yang dirancang agar dapat memenuhi kebutuhan informasi dari suatu organisasi.

Basis data dan lemari arsip dapat dikatakan tempat penyimpanan data. Prinsip utama basis data dan lemari arsip adalah pengaturan data atau arsip, sedangkan tujuan utamanya adalah kemudahan dan kecepatan dalam pengambilan kembali data atau arsip. Namun perbedaan antara keduanya hanya terletak pada media penyimpanan yang digunakan. Jika lemari arsip menggunakan lemari sebagai media penyimpanannya, maka basis data mnenggunakan media penyimpanan elektronis seperti disk (flash disk, harddisk).

Bentuk penyimpanan data secara elektronis tidak semuanya dapat disebut sebagai basis data. Hal yang sangat ditonjolkan dalam basis data adalah pengaturan atau pemilahan atau pengelompokkan atau pengorganisasian data yang akan disimpan sesuai fungsi atau jenisnya. Pemilahan atau pengelompokan ini dapat berbentuk sejumlah file atau tabel terpisah atau dalam bentuk pendefinisian kolom-kolom (field-field) data dalam setiap file atau tabel.

Dari berbagai definisi dan konsep yang diungkapkan diatas maka secara sederhana basis data dapat dikatakan sebagai suatu pengorganisasian data dengan bantuan komputer yang memungkinkan data dapat diakses dengan mudah dan cepat.

Database di komputer biasanya ditangani oleh bagian khusus dari perangkat lunak yang disebut Database Management Sistem (DBMS) yang juga digunakan untuk memanipulasi suatu basis data. Adapun dua fungsi utama DBMS adalah untuk memandu pemakai memanipulasi basis data dan melindungi basis data dari pemakai juga. Relational Database Management System (RDBMS) adalah perangkat lunak untuk membuat basis data relasional dan menyaring informasi didalamnya. (William, 1994).

Selain fungsi utamanya, DBMS juga dituntut untuk memiliki kemampuan mengamankan data dari user yang tidak berkepentingan, perbaikan bagi kegagalan sistem, concurrency sehingga user yang banyak jumlahnya tersebut dapat mengakses database pada waktu yang bersamaan, dan melakukan pengecekan integritas sehingga data pada bagian yang berbeda dari suatu database dapat tetap konsisten secara logika terhadap keseluruhan database. Sehingga dapat di tarik definisi umum bahwa DBMS adalah kumpulan program-program (software) yang memperbolehkan user untuk membuat dan memelihara database.

Menurut Winantu (2006), model basis data adalah suatu konsep yang terintegrasi dalam menggambarkan hubungan (relationships) antar data dan batasan-batasan (constraint) data dalam suatu sistem basis data.

Sebuah sistem dibagi secara fungsional dan behavioral. Analisis sistem terstruktur merupakan aktivitas pembangunan model. Model diciptakan untuk menggambarkan muatan aliran informasi (data dan kontrol). Analisis struktur bukan metode tunggal yang diaplikasikan secara konsisten oleh semua yang menggunakannya.

Penganalisaan sistem berfungsi untuk menemukan kelemahan suatu sistem, sehingga dapat diusulkan perbaikannya. Analisa sistem dilakukan setelah tahap perencanaan sistem dan sebelum tahap perancangan sistem. Tahap analisa merupakan tahap yang sangat penting karena kesalahan pada tahap ini akan menyebabkan kesalahan pada tahap selanjutnya.

Aspek keamanan data merupakan hal penting yang harus diperhatikan dalam manajemen data. Keamanan data telah menjadi bagian dari pengembangan teknologi informasi mengingat bahwa berjuta-juta bit informasi telah dipertukarkan dalam jaringan komputer terutama di internet. Akib (2009) menuliskan bahwa masalah keamanan data dapat diklassifikasi kedalam beberapa dimensi.

Informasi sebuah perusahaan mengandung nilai ekonomis maupun strategis, agar obyek kepemilikan dapat dijaga dengan baik, maka dibutuhkan metoda pengamanan. Keamanan data sangat dibutuhkan untuk mencegah dampak negatif yang dihasilkan oleh perkembangan teknologi. Sistem informasi sangatlah rentan terhadap berbagai gangguan keamanan yang dapat mengancam kelangsungan suatu organisasi atau perusahaan. Pentingnya keamanan sistem dapat dikarenakan beberapa hal yaitu: (1) Sistem dirancang untuk bersifat “terbuka”, seperti Internet (tidak ada batas fisik dan kontrol terpusat, perkembangan jaringan (internetworking) yang amat cepat; (2) aspek keamanan yang belum banyak dimengerti oleh pengguna dan menempatkan keamanan sistem pada prioritas yang rendah; dan (3) kurangnya keterampilan pengamanan.

SBU Kemitraan PT Sierad Produce Tbk menjalankan bisnis utama di bidang agroindustri dengan sistem kemitraan pembesaran ayam broiler (contract farming), dimana SBU Kemitraan adalah inti sedangkan peternak-peternak yang bekerja sama disebut dengan mitra atau plasma. Masing-masing pihak dalam kerjasama ini memiliki modal, inti berupa sarana produksi peternakan (sapronak) sedangkan mitra berupa kandang dan tenaga kerja.

Aktivitas bisnis yang dilakukan oleh SBU Kemitraan adalah sebagai berikut:

1. Melakukan rekrutmen para peternak yang akan dijadikan mitra dengan dasar kondisi dan kelayakan kandang.

2. Untuk mitra yang telah bekerja sama, SBU Kemitraan menerapkan pemilihan mitra untuk dilakukan chick-in day old chick (DOC) berdasarkan performance produksi mitra sebelumnya.

3. Sapronak yang terdiri dari DOC, feed, obat vaksin dan kimia (OVK) diperoleh SBU Kemitraan dari para pemasok baik dari group Sierad, yaitu SBU Feemill dan SBU Breeding ataupun dari pemasok luar.

4. Sapronak ini dikirimkan ke mitra, dan kemudian dilakukan aktivitas pembesaran DOC Broiler oleh mitra selama 35 hari. Di dalam proses produksi yang dilakukan oleh mitra, SBU Kemitraan juga memberikan panduan teknik oleh para PPL yang dimilikinya.

5. Monitoring performance produksi ayam yang dibesarkan oleh mitra, yang dilakukan oleh PPL adalah terkait dengan mortalitas (kematian), feed intake (pemakaian pakan), bodyweight (bobot ayam), feed consumption ratio (rasio pemakaian pakan dengan bobot ayam atau disebut juga dengan average daily gain), pemakaian obat dan kondisi ayam broiler.

6. Setelah melalui proses pembesaran selama 35 hari, DOC broiler akan menjadi livebird yang siap dijual kepada konsumen (broker, rumah potong ayam, bakul, dan individu).

7. Proses selanjutnya adalah proses barter antara piutang sapronak yang dibeli oleh mitra dengan utang livebird SBU Kemitraan kepada mitra. Hasil dari proses barter ini adalah pembayaran laba ke mitra melalui transfer bank.

8. SBU Kemitraan menerima pembayaran dari pelanggan livebird dalam 4-5 hari setelah penjualan yang ditransfer ke bank. Demikian juga melakukan pembayaran utang ke pemasok sapronak.

Dari nature aktivitas bisnis yang dipaparkan diatas menjelaskan bahwa SBU Kemitraan PT Sierad Produce memiliki database yang saling terkait satu dengan yang lain, terdiri dari data-data sebagai berikut:

- Data Mitra.

- Data Pemasok dan Pembelian.

- Data Pelanggan dan Penjualan.

- Data PPL.

- Data Cash Management (Collection dan Payment).

- Data Produksi.

Identifikasi kerawaan data pada SBU Kemitraan PT Sierad Produce dan acaman yang ditimbulkan adalah sebagai berikut:

No

Kerawanan

Keterangan

Ancaman yang Ditimbulkan

1.

Pengaksesan data yang terlarang.

Kerawanan data yang sering terjadi adalah pengaksesan data yang bukan menjadi hak dari karyawan bersangkutan. Hal ini terjadi karena pemakaian user name dan password oleh karyawan yang lainnya. Misalnya, karyawan bagian kredit kontrol dapat mengakses modul sales dengan akses full control, yang memungkinkan melakukan editing data penjualan ke konsumen.

Perubahan data yang dilakukan baik dengan sengaja ataupun tidak sengaja dapat menimbulkan perubahan atas data.

2.

Serangan virus.

Sistem operasi rentan dengan gangguan virus dan meningkatnya penyebaran virus melalui email dan USB yang dapat menimbulkan kerusakan file, dan kehilangan file data.

Sistem operasi yang rentan dengan penyebaran virus, dapat berpotensi merusak informasi dan mengganggu

jaringan komputer perusahaan.

3.

Gangguan jaringan.

Untuk jaringan ke cabang-cabang menggunakan Telkom VPN-IP dimana menggantungkan kecepatan transfer data pada layanan Telkom.

Terhambatnya input data, sehingga menghambat transaksi yang lainnya.

4.

Disaster recovery system belum terimplementasi.

Perusahaan belum memiliki standar terrencana penanggulangan bencana, sehingga tidak ada jaminan bahwa akses data ke server atau jaringan dapat berjalan secara cepat, setelah terjadi bencana. Termasuk recovery data yang ada di server.

Tidak memilki alternatif cara agar bisnis dapat terus berjalan, sehingga yang terjadi bisnis terhenti dan perusahaan mengalami kerugian.

5.

Perangkat data recovery center yang masih berada pada ruang yang sama dengan server.

Data back-up disimpan di ruang yang sama dengan server.

Jika terjadi bencana pada ruang server maka data recovery center dan file backup mengalami bencana yang sama sehingga tidak mampu mengembalikan informasi dan sistem beroperasi kembali.

6.

Tidak terklasifikasikannya informasi dengan baik.

Informasi yang berada didalam perusahaan, tidak terklasifikasi dengan baik berdasarkan aspek kerahasiaannya, maka dapat berpotensi informasi rahasia dapat terbuka.

Jika informasi atau data tidak terklasifikasi dan terproteksi berdasarkan sensitifitas dengan baik, maka dapat menyebabkan hilangnya kerahasiaan informasi perusahaan.

7.

Kurangnya pengamanan fisik (kehilangan data).

Untuk server yang ada di kantor pusat sudah terlindungi dari beberapa bahaya fisik, misalnya air, suhu, kebakaran, pencurian dan aksi illegal lainnya. Akan tetapi belum punya peralatan anti petir dan grounding yang memadai.

Server terancam rusak dan terbakar, disebabkan terkena petir sehingga data hilang.

8.

Tidak diaktifkannya pemakaian firewall.

Penggunaan firewall hanya pada sisi luar DMZ (Demilitarized Zone) saja, sehingga berpotensi terbukanya wilayah server dari gangguan yang berasal dari dalam jaringan lokal, karena area dalam DMZ tidak dilindungi firewall.

Penyusupan dan gangguan yang berasal dari jaringan lokal dapat langsung masuk ke area DMZ dimana server berada, dan mengakses informasi dan sistem yang sensitif dan kritikal

9.

Data tidak valid (obsolete or invalid data).

Masih belum dilakukan pengujian terhadap file hasil backup sistem dan data.

Jika terjadi kehilangan data pada sistem utama, maka hasil backup tidak dapat dipakai karena data tidak valid dan akhirnya terjadi kehilangan informasi.

10.

Turn-over karyawan IT yang tinggi.

Karyawan di divisi TI yang cenderung bergant-ganti karena berstatus pegawai kontrak, sehingga dengan teknologi yang digunakan oleh perusahaan, membutuhkan keterampilan dan pengetahuan yang cukup, agar dapat melakukan monitoring dan pemeliharaan terhadap sistem yang ada.

Karyawan pengganti atau baru tidak mampu menguasai teknologi perusahaan secara cepat, sehingga proses monitoring dan pemeliharaaan sistem menjadi lambat dan terhambat.

11.

Kesalahan input data.

Terjadi kesalahan input data pada aplikasi di lapangan, dan verifikasi kesalahan tersebut dilakukan secara manual.

Kesalahan input data tersebut jika tidak diverifikasi dan dikoreksi secara cepat, menyebabkan waktu layanan

menjadi lama, dan akan menurunkan kepercayaan konsumen terhadap perusahaan.

12.

Unrecorded system failures.

Tidak dilakukannya pencatatan yang sistematis terhadap kejadian-kejadian gangguan keamanan yang terjadi terutama pada aplikasi yang berhubungan dengan database atau server.

Perusahaan tidak mengetahui kelemahan/kerawanan yang dimiliki. Kelemahan ini, yang bila diketahui oleh orang lain dapat menyebabkan gangguan keamanan informasi dan database.

13.

Penyalinan data (data copying).

Modifikasi informasi dan pencurian informasi melalui komputer yang tidak mengaktifkan keamanan dekstop, saat pemiliknya tidak berada ditempat.

Terjadinya pengambilan, modifikasi dan kehilangan informasi/data yang sensitif dan kritikal melalui PC tersebut.

14.

Kerusakan damage (data damage).

Tidak dilakukan pemeliharaan terhadap perangkat pendukung yang kritikal secara rutin dan berkala, seperti pendingin ruangan pada ruang server dan listrik dengan gensetnya. Sering adanya gangguan listrik menyebabkan kerusakan peralatan dan bisa menyebabkan kerusakan pada data.

Pemeliharaan yang tidak dilakukan secara rutin dan berkala terhadap perangkat pendukung akan mengganggu terutama ruang yang kritikal seperti data center dan ruang server.

16

Tidak diaktifkannya firewall.

Tidak adanya kebijakan khusus yang mewajibkan karyawan

untuk mengaktifkan firewall pada komputernya masing-masing.

Tidak diaktifkannya PC firewall, dapat memudahkan masuknya akses yang tidak terotorisasi, sehingga dapat menyebabkan hilangnya informasi, atau modifikasi dan kerusahakan sistem dan informasi.

17.

Penyalahgunaan data (data abuse).

Penyalahgunaan data kebanyakan selama ini yang melakukan adalah bagian produksi dan penjualan terkait dengan data mitra dan data konsumen. Data ini biasanya diambil saat karyawan bersangkutan pindah ke kompetitor.

Penggunaan data dan informasi yang disalahgunakan dapat merugikan perusahaan karena kebocorannya, terutama jika berhubungan dengan data bisnis.

18.

Replika data yang tidak konsisten.

Saat ini terdapat proses back-up data yang dilakukan secara otomatis dengan menempatkan program pada SQL server, tetapi konsistensi proses back-up data sangat rendah.

Data tidak terback-up dengan baik, sehingga menyebabkan ketersediaan data yang rendah.

Didalam menghadapi dan meminimalkan kerawanan data, perusahaan menggunakan beberapa metoda pengamanan data yang terkait dengan electronically safe, physically safe dan procedurally safe.

· Access right assignment.

Metoda ini dibuat berdasarkan segregation of duties atas job description user pengguna ERP. Penerapannya dilakukan pada security level yang terdapat pada software ERP Microsoft Dynamic Axapta.

Terdapat lima (5) pembagian akses security level yang dilakukan di Microsoft Dynamic Axapta , yaitu:

Ø No Access

User tidak diberikan akses atas suatu modul atau aplikasi yang ada dalam software ERP.

Ø View

User hanya dapat melihat saja (read only), tanpa dapat melakukan editing ataupun create.

Ø Edit

User memiliki akses untuk melakukan editing atas data yang telah diinput sebelumnya melalui software ERP.

Ø Create

User diberikan akses untuk melakukan create atas suatu transaksi.

Ø Full Control

User yang memiliki full control dapat melakukan view, edit dan create.

· Authentication.

Authentication dilakukan melalui dua layer. Yang pertama ketika user log-on ke Windows, dimana setiap user memiliki user name dan password.

Kedua ketika user log-on ke software ERP Microsoft Dynamics Axapta, dimana setiap user memiliki user name dan password juga. Setiap user harus terdaftar dalam active directory (domain) di server.

· Virus prevention, detection and removal.

Untuk metode pengamanan yang berhubungan dengan virus, perusahaan menggunakan software antivirus ESET NOD32 Ver. 4. Antivirus ini juga digunakan pada server dan data center, sama seperti yang digunakan pada PC dalam jaringan perusahaan.

Proteksi yang diberikan oleh software antivirus ini meliputi:

Ø Real-time file system protection.

Untuk melindungi sistem dan file dari virus yang masuk, baik dari luar jaringan maupun dikarenakan akses external storage ke PC bersangkutan, misanya pemakain USB dan external hardisk.

Ø Email client protection.

Digunakan untuk melindungi virus yang masuk melalui email user.

Ø Web access protection.

Perlindungan yang diberikan saat pengguna melakukan atau menggunakan akses internet.

Ø Antispyware protection.

Spyware merupakan tipe malware yang dinstal pada computer, digunakan untuk mengambil informasi tanpa sepengetahuan user. Program anti-spyware digunakan untuk melawan spyware dengan memberikan real-time protection dan deteksi spyware yang terinstal dalam komputer.

· Network Protection and security.

SBU Kemitraan seperti dijelaskan di atas menggunakan Telkom VPN-IP untuk jaringan ke cabang-cabangnya. Sedangkan jaringan di dalam menggunakan LAN.

Pengamanan network dilakan dengan memberikan IP kepada setiap PC user. Selain digunakan sebagai kontrol penggunaan IP dan aktivitas user, pengamanan ini cukup efektif untuk memproteksi user eksternal masuk ke dalam jaringan perusahaan.

· Periodical Data Backup,

Data back-up dilakukan secara langsung melalui program otomatis di SQL server. Hasil back-up data juga disimpan pada external data storage yang lainnya. Back-up dilakukan setiap hari setiap jam 11 malam, sedangkan penggandaan ke external data storage dilakukan 1 minggu sekali.

· Recovery System.

Saat ini perusahaan belum memiliki data recovery center yang terpisah dengan kantor pusat. Bahkan DRC yang dimiliki menjadi satu dengan data center dan server.

· Monitoring System.

Sistem monitoring yang dilakukan pada ruang server dan data center masih ditujukan kepada pengamanan fisik peralatan database. Beberapa diantaranya adalah, pengaturan suhu ruangan dengan air conditioner dan kontrol log, security system sehingga membatasi hanya karyawan yang berkepentingan saja yang masuk ke dalam ruangan dengan memasang finger detection, selain itu juga terdapat sprinkle dan tabung pemadam andaikata terjadi kebakaran. Untuk menghindari kerusakan data yang diakibatkan oleh adanya naik atau turunnya arus listrik, digunakan stabilizer dan UPS.

· Establishment of IT Organization.

Perusahaan telah memiliki organisasi dan sumber daya IT yang mencukupi, sehingga penanganan masalah yang terjadi dapat dilakukan dengan cepat. Meskipun pada kenyataannya turn-over karyawan masih cukup tinggi.

· Establishment of SOP and Training.

Training sudah dilakukan kebanyakan untuk karyawan IT saja, sedangkan untuk user software ERP training biasanya dilakukan oleh SBU Kemitraan sendiri. Standard operating procedure sudah dimiliki tetapi masih mengatur hal-hal yang umum dan bersifat sederhana.

· Standardized Software.

Untuk meminimalisasi kerawanan data, perusahaan menerapkan kebijakan instalasi software standar pada setiap user. Disamping itu hal ini ditujukan untuk memaksimalkan kerja sistem komputer, kerja karyawan bersangkutan dan menghindarkan dari pemakaian software bajakan.

· Firewall Installation.

Perusahaan menggunakan firewall, yaitu suatu dara atau mekanisme yang diterapkan baik terhadap hardware, software ataupun sistem dengan tujuan untuk melindungi. Perlindungan yang dilakukan adalah dengan menyaring, membatasi dan menolak semua kegiatan dari luar (Demilitarized Zone) segmen perusahaan yang tidak memiliki hak melakukan akses (unauthorized access). Segmen yang dimaksud di sini adalah server, router dan LAN.

· Information Technology (IT) Audit.

Sekarang mulai dilakukan IT audit yang mencakup ketaatan aktivitas yang dilakukan oleh user dan IT terhadap SOP dan melakukan test data dan informasi yang dihasilkan dengan menggunakan CAATs (Computer Assisted Audit Tools and Techniques). Hasil yang didapatkan dari proses audit kemudian dijadikan masukkan kepada IT departemen untuk memperbaiki dan menyempurnakan SOP yang telah ada.

Kesimpulan :

1. SBU Kemitraan PT Sierad Produce Tbk dalam menjalankan bisnis utama di bidang agroindustri dengan sistem kemitraan pembesaran ayam broiler (contract farming) telah menggunakan sistem informasi yang menggunakan database dengan software ERP Microsoft Dynamics Axapta dengan menggunakan jaringan Telkom VPN-IP dan server Microsoft SQL.

2. Data-data yang terdapat dalam database terkait dengan data mitra, pemasok dan pembelian, pelanggan dan penjualan, petugas penyuluh lapangan, cash management dan data produksi.

3. SBU Kemitraan juga memiliki kerawanan atas database yang dimilikinya. Beberapa kerawanan tertinggi yang perlu mendapatkan perhatian antara lain pengaksesan data yang terlarang, serangan virus, disaster recovery systemdan perangkat data recovery center yang masih berada pada ruang yang sama dengan server, turn-over karyawan IT yang tinggi serta, replika data yang tidak konsisten.

4. Untuk menangani kerawanan database yang pada akhirnya menimbulkan ancaman, SBU Kemitraan menerapkan metode pengamanan data yang terkait dengan electronically safe, physically safe dan procedurally safe.yang telah dilakukan adalah seperti access right assignment, authentication, virus prevention, detection and removal, network protection and security, periodical data backup, monitoring system, establishment of IT organization, establishment of SOP and Training, standardized software, firewall installation, dan information Technology (IT) Audit. Khusus untuk database recovery system dan database recovery center, SBU Kemitraan harus mulai membuat perencanaan yang sistematis, sehingga meminimalisasi ancaman yang ditimbulkan.

5. Terkait dengan isu kode etik, Indonesia sudah memiliki piranti-piranti pengendali dalam bentuk undang-undang dan peraturan terkait dengan ICT. Last but not least, piranti-piranti ini akan maksimal jika didukung dengan adanya komitmen masyarakat dan pemerintah dalam bentuk law enforcement yang kuat.

GO GO GO!

Ohchan

Ohchan