1. PENGUJIAN TERHADAP SISTEM KEAMANAN
TRANSAKSI BERBASIS SOFTWARE AS
SERVICE (SaaS) MENGGUNAKAN
FRAMEWORK NIST SP800-53A
(STUDI KASUS PADA PT. X, DI BANDUNG)
Nanang Sasongko
1
2. Agenda
Latar Belakang & Profil PT X
Sekilas SaaS & Cloud System
Identifikasi Masalah
Tujuan & Batasan
Objek Penelitian
Standard NIST ( SP800-53A)
Metodologi Pengamanan & Pengujian berbasis
NIST
Proses Pengujian berbasis NIST SP800-53A
Simpulan
Nanang Sasongko
3. Pendahuluan
Berdasarkan informasi yang diperoleh dari
SDA ASIA dalam kurun waktu lima tahun ke
depan, pasar analisa bisnis software-as-a
service (SaaS), dikenal pula dengan istilah
cloud system akan tumbuh tiga kali lipat
hingga 2013. Menurut IDC, pasar SaaS di
Asia Pasifik tahun ini meningkat cukup
signifikan.
PT X sebagai penyedia jasa yang berbasis
pada software as a service.
Nanang Sasongko
5. Profil Perusahaan
PT. X mengembangkan bisnisnya sebagai
penyedia jasa yang berbasis pada software as a
service. Dalam software as a service, seluruh
bisnis proses dan data pelanggan ditempatkan di
sebuah server data centre milik service provider.
Semua proses dikelola oleh penyedia layanan,
pelanggan dapat menggunakan dan membayar
jasa sewanya setiap bulan sesuai dengan
pemakaian. Sistem software as a service bagi
perusahaan dapat menghemat pengeluaran biaya
belanja TI.
Nanang Sasongko
6. Segmentasi jaringan dilakukan pada jaringan PT.X.
Firewall yang dipasang di PT. X membagi ke dalam
4 segmen, yang terdiri dari segmen-segmen :
1. Internal network, merupakan jaringan internal dari PT.X yang
berisi komputer-komputer dari staf PT.X.
2. Eksternal network, merupakan jaringan eksternal dari PT.X
yang terhubung dengan jaringan publik atau internet.
3. DMZ (Demilitary Zone), merupakan jaringan yang berisi
server-server yang disediakan agar pengguna jaringan publik
dapat mengakses layanan yang disediakan oleh PT.X. Salah
satu layanan tersebut adalah berupa aplikasi perhotelan dan
restoran yang merupakan aplikasi berbasis web dan dapat
diakses oleh para pelanggan melalui internet.
4. Server farm, merupakan wilayah jaringan yang berisi server-
server internal PT.X, seperti mail server, database server.
Server-server ini tidak dapat diakses secara langsung
melalui wilayah eksternal.
Nanang Sasongko
7. Cloud Computing
Merupakan sebuah sistem yang
mengijinkan kita untuk mengakses semua
aplikasi dan dokumen dari manapun
membuatnya lebih mudah bagi anggota
kelompok yang berada dilokasi berbeda
untuk berkolaborasi. (Miller, 2009:12)
12
Nanang Sasongko
8. Jenis Layanan Cloud Computing
SaaS (Software as a Service)
Aplikasi & Infrastruktur
disediakan oleh provider.
PaaS (Platform as a service)
Aplikasi dibuat oleh client tetapi
di deploy ke sebuah cloud
system.
IaaS (Infrastructure as a
Service) Penyewaan
infrastuktur jaringan (storage,
server dsb)
13
Nanang Sasongko
9. Cloud Computing
Merupakan sebuah sistem
yang mengijinkan kita
untuk mengakses semua
aplikasi dan dokumen dari
manapun membuatnya
lebih mudah bagi anggota
kelompok yang berada
dilokasi berbeda untuk
berkolaborasi.
(Miller, 2009:12)
Nanang Sasongko
10. Framework NIST SP800-53A
NIST (National Institute Standards Technology)
merupakan salah satu lembaga pemerintahan
Amerika Serikat yang bekerja sama dengan
badan-badan federal lainnya untuk
meningkatkan pemahaman terhadap
pelaksanaan FISMA (Federal Information
Security Management Act) dalam melindungi
informasi dan sistem informasi serta menerbitkan
standar dan pedoman yang memberikan dasar
untuk program keamanan informasi yang kuat.
16
Nanang Sasongko
11. NIST (National Institute Standards
Technology)
NIST mengeluarkan dokumen SP800-53
(Special Publication)untuk memberikan
pedoman dalam pengelolaan kontrol
keamanan terhadap sistem informasi
federal maupun organisasi lainnya.
Rekomendasi SP800-53 dibagi ke dalam
3 kelas kontrol,
18 bagian (family)
17
Nanang Sasongko
12. 3 Kelas Kontrol
Rekomendasi SP800-53 dibagi ke dalam
3 kelompok kontrol :
Operational Control mekanisme yang
diterapkan
Management Control manajemen SI &
resiko
Technical Control kontrol keamanan yg
diterapkan
18
Nanang Sasongko
13. 18 Bagian (family)
Technical 1 Access Control
2 Audit and Accountability
3 Identification and Authentication
4 System and Communications Protection
Operational 5 Awareness and Training
6 Configuration Management
7 Contingency Planning
8 System and Information Integrity Operational
9 Incident Response
10 Maintenance
11 Media Protection
12 Physical and Environmental Protection
13 Personnel Security
Management 14 Security Assessment and Authorization Management
15 Program Management
16 Planning Management
17 Risk Assessment Management
18 System and Services Acquisition Management
19
Nanang Sasongko
14. NIST ( National Institute of Standards and
Technology )
Nanang Sasongko
15. NIST SP800-53 & SP800-53A
Pedoman dalam
pengelolaan kontrol
keamanan sistem
informasi.
Pedoman dalam
pengujian terhadap
pengelolaan kontrol
keamanan sistem
informasi.
Nanang Sasongko
16. Dalam penyediaan
sistem layanan cloud
computing memiliki
beberapa problema
dasar berkaitan
dengan :
Data availability
Security & Privacy
Integrity,
Confidentiality
22
17. Dalam melakukan pengujian terhadap
mekanisme sistem pengamanan yang
diterapkan PT.X, penulis menggunakan
standard NIST SP800-53A. Prosedur
pengujian berdasarkan standard NIST
SP800-53A, terdiri dari beberapa tahapan
sebagai berikut :
Nanang Sasongko
18. Tahapan ...
1. Persiapan untuk melakukan penilaian mekanisme
pengamanan,
2. Membuat perencanaan terhadap kegiatan penilaian
keamanan, dalam tahapan ini :
Jenis penilaian kontrol keamanan
Menentukan kontrol keamanan / perangkat kontrol
tambahan yang harus dimasukkan dalam
penilaian berdasarkan security plan dan tujuan /
lingkup penilaian.
Memilih, menyesuaikan dan mengembangkan
prosedur penilaian yang digunakan selama
penilaian.
Nanang Sasongko
19. Lanjutan...
Melakukan penilaian terhadap sistem pengamanan,
Puas (Satisfied (S)), yang mengindikasikan
bahwa tujuan kontrol keamanan telah dipenuhi.
Selain puas (Other than satisfied (O)),
menunjukkan bahwa kontrol keamanan memiliki
potensi anomali dalam operasional organisasi
atau pelaksanaan kontrol perlu ditangani oleh
organisasi.
Mendokumentasikan hasil penilaian dalam bentuk
laporan penilaian.
Melakukan analisa terhadap hasil laporan penilaian
sistem pengamanan, berdasarkan indikator dari
selain puas other than satisfied) dan puas (satisfied),
Nanang Sasongko
20. Proses penilaian dilakukan melalui tahapan-
tahapan berikut :
1. Mengkategorisasi Sistem Informasi,
2. Menentukan baseline kontrol keamanan,
3. Penerapan kontrol keamanan terhadap
sistem informasi
4. Melakukan penilaian kontrol keamanan
dengan menggunakan prosedur penilaian
yang tepat
Nanang Sasongko
21. Potensi Impact
Potensi Deskripsi
Dampak
Hilangnya kerahasiaan, integritas, atau
ketersediaan menyebabkan dampak buruk yang
Low membatasi kegiatan operasional & aset organisasi
atau individu.
Hilangnya kerahasiaan, integritas, atau
Moderate ketersediaan memiliki efek samping yang
serius pada kegiatan operasional & aset
organisasi atau individu.
Hilangnya kerahasiaan, integritas, atau
ketersediaan dapat memiliki dampak buruk
High yang parah atau bencana pada kegiatan
operasional & aset organisasi atau individu.
Nanang Sasongko
22. Hasil Pengujian
Pada objek penelitian kelas operational
controls, jumlah perolehan satisfy lebih
banyak dari other satisfy,ini artinya opertion
control sudah baik.
Pada management controls, jumlah perolehan
satisfy lebih sedikit dari other satisfy,ini
artinya opertion control sudah belum baik.
Dan pada technical controls jumlah
perolehan satisfy hampir sama banyak dari
other satisfy,ini artinya opertion control tidak
terlalu baik.
Nanang Sasongko
23. Simpulan
1. Pengujian kontrol keamanan yang menggunakan framework NIST
SP800-53A sangat mengutamakan pemeriksaan terhadap
ketersediaan dokumentasi.
2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh
PT. PT.X sudah relatif satisfied tetapi masih terdapat banyak item
kontrol keamanan yang perlu ditingkatkan.
3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST
SP800-53A terhadap aspek teknikal dan operasional sistem
informasi hotel sudah memperoleh status satisfied tetapi masih
terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan.
Pengujian terhadap aspek manajemen sistem informasi hotel
memperoleh status other than satisfied, sehingga masih banyak hal
yang perlu diperbaiki atau ditingkatkan sistem kontrol
keamanannya.
Nanang Sasongko
24. NANANG SASONGKO
Kepala Pusat Studi Ekonomi
Dosen Jurusan Akuntansi Fakultas Ekonomi
Universitas Jenderal Achmad Yani (UNJANI)
BANDUNG
Mobile : 081 320 310 160
E-Mail : nanangs@bdg.centrin.net.id
Nanang Sasongko
Editor's Notes
Salesforce.comTelkom Siap-online
PT BSS merupakan perusahaan penyedia jasa perangkat lunak, berdiri pada bulan Agustus 2009, berlokasi di Bandung. Salah satu layanan unik dari BSS adalah layanaan SaaS (Software as a Service).Layanan SaaS sistem aplikasi perhotelan dan restoran.
Reservation ManagementReservationAvailability ManagementOccupancy ManagementInternet ReservationProperty ManagementProperty ProfileRates & Deposit ManagementDoor Lock ControlHousekeepingClient Relationship Management Client Profile & Database AdministrationClient Grouping & StatusesStaff Activity & Task ManagementTime & Attendance (finger scan)PayrollClient Communication ManagementMembership ManagerTelephone Call Costing & Control AdministrationBillingReportingShopkeeper Retail Shop & Superette Point of SalesRestaurant & Bar Point of SalesService SchedullingConferencing, Events & Banqueting ManagementActivity Manager (Game Drives, Tours, Flights)Membership ManagementAsset & Maintenance Management RegisterMaintenanceFinancial Management General LedgerCashbookAccount Receivable & Account Payable ManagementTransaction ProcessingInventory Management (Stock, Recipes, F & B)Procurement & PurchasingCashieringCommission Handling Payment ProcessingPayment ActivityReports Manager
Istilahcloudmengacupadailustrasi Internet yang menggambarkanremote environmentdanpenyembunyiankompleksitas.
NIST mengeluarkan dokumen SP800-53 untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi pemerintah maupun organisasi swasta lainnya.
Low matinya layanan wirelessMod session lock salah password 3 kali terkunciHigh harddisk rusak