1

PENGUJIAN TERHADAP SISTEM KEAMANAN TRANSAKSI BERBASIS SOFTWARE AS SERVICE (SaaS) MENGGUNAKAN FRAMEWORK NIST SP800-53A(STUDI KASUS PADA PT. X, DI BANDUNG)

Nanang Sasongko

Latar Belakang & Profil PT X Sekilas SaaS & Cloud System Identifikasi Masalah Tujuan & Batasan Objek Penelitian Standard NIST ( SP800-53A) Metodologi Pengamanan & Pengujian berbasis

NIST Proses Pengujian berbasis NIST SP800-53A Simpulan

Agenda

Nanang Sasongko

Berdasarkan informasi yang diperoleh dari SDA ASIA dalam kurun waktu lima tahun ke depan, pasar analisa bisnis software-as-a service (SaaS), dikenal pula dengan istilah cloud system akan tumbuh tiga kali lipat hingga 2013. Menurut IDC, pasar SaaS di Asia Pasifik tahun ini meningkat cukup signifikan.

PT X sebagai penyedia jasa yang berbasis pada software as a service.

Pendahuluan

Nanang Sasongko

Tujuan

Tujuan penelitin ini adalah menguji masalah keamanan data pelanggan, disebabkan karena adanya kekhawatiran gangguan server atau koneksi mengalami gangguan jaringan dan kemanan data, yang merupakan salah satu hal yang perlu menjadi perhatian dalam menerapkan bisnis berbasis konsep software as a service(SaaS)

Nanang Sasongko

Profil Perusahaan

PT. X mengembangkan bisnisnya sebagai penyedia jasa yang berbasis pada software as a service. Dalam software as a service, seluruh bisnis proses dan data pelanggan ditempatkan di sebuah server data centre milik service provider.

Semua proses dikelola oleh penyedia layanan, pelanggan dapat menggunakan dan membayar jasa sewanya setiap bulan sesuai dengan pemakaian. Sistem software as a service bagi perusahaan dapat menghemat pengeluaran biaya belanja TI.

Nanang Sasongko

Segmentasi jaringan dilakukan pada jaringan PT.X. Firewall yang dipasang di PT. X membagi ke dalam 4

segmen, yang terdiri dari segmen-segmen :1. Internal network, merupakan jaringan internal dari PT.X yang

berisi komputer-komputer dari staf PT.X.

2. Eksternal network, merupakan jaringan eksternal dari PT.X yang terhubung dengan jaringan publik atau internet.

3. DMZ (Demilitary Zone), merupakan jaringan yang berisi server-server yang disediakan agar pengguna jaringan publik dapat mengakses layanan yang disediakan oleh PT.X. Salah satu layanan tersebut adalah berupa aplikasi perhotelan dan restoran yang merupakan aplikasi berbasis web dan dapat diakses oleh para pelanggan melalui internet.

4. Server farm, merupakan wilayah jaringan yang berisi server-server internal PT.X, seperti mail server, database server. Server-server ini tidak dapat diakses secara langsung melalui wilayah eksternal.

Nanang Sasongko

12

Cloud Computing

Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi. (Miller, 2009:12)

Nanang Sasongko

13

Jenis Layanan Cloud Computing

SaaS (Software as a Service) Aplikasi & Infrastruktur disediakan oleh provider.

PaaS (Platform as a service) Aplikasi dibuat oleh client tetapi di deploy ke sebuah cloud system.

IaaS (Infrastructure as a Service) Penyewaan infrastuktur jaringan (storage, server dsb)

Nanang Sasongko

Cloud Computing

Merupakan sebuah sistem yang mengijinkan kita untuk mengakses semua aplikasi dan dokumen dari

manapun membuatnya lebih mudah bagi anggota kelompok yang berada dilokasi berbeda untuk berkolaborasi.

(Miller, 2009:12)

Nanang Sasongko

16

Framework NIST SP800-53A

NIST (National Institute Standards Technology) merupakan salah satu lembaga pemerintahan Amerika Serikat yang bekerja sama dengan badan-badan federal lainnya untuk meningkatkan pemahaman terhadap pelaksanaan FISMA (Federal Information Security Management Act) dalam melindungi informasi dan sistem informasi serta menerbitkan standar dan pedoman yang memberikan dasar untuk program keamanan informasi yang kuat.

Nanang Sasongko

17

NIST (National Institute Standards Technology)

NIST mengeluarkan dokumen SP800-53 (Special Publication)untuk memberikan pedoman dalam pengelolaan kontrol keamanan terhadap sistem informasi federal maupun organisasi lainnya. Rekomendasi SP800-53 dibagi ke dalam

3 kelas kontrol, 18 bagian (family)

Nanang Sasongko

18

3 Kelas Kontrol

Rekomendasi SP800-53 dibagi ke dalam 3 kelompok kontrol :

Operational Control mekanisme yang diterapkan

Management Control manajemen SI & resiko

Technical Control kontrol keamanan yg diterapkan

Nanang Sasongko

19

Technical 1 Access Control 2 Audit and Accountability 3 Identification and Authentication 4 System and Communications Protection

Operational 5 Awareness and Training 6 Configuration Management 7 Contingency Planning 8 System and Information Integrity Operational9 Incident Response 10 Maintenance 11 Media Protection 12 Physical and Environmental Protection 13 Personnel Security

Management 14 Security Assessment and Authorization Management

15 Program Management 16 Planning Management17 Risk Assessment Management18 System and Services Acquisition Management

18 Bagian (family)

Nanang Sasongko

NIST ( National Institute of Standards and Technology )

NIST bertanggung jawab untuk mengembangkan standar-standar

dan panduan, termasuk persyaratan minimum, yang

menyediakan keamanan informasi yang cukup untuk semua kegiatan

lembaga-lembaga di US.

Nanang Sasongko

NIST SP800-53 & SP800-53A

Pedoman dalam pengelolaan kontrol keamanan sistem

informasi.

Pedoman dalam pengujian terhadap pengelolaan kontrol keamanan sistem

informasi.

SP80053

SP80053A

Nanang Sasongko

22

Dalam penyediaan sistem layanan cloud computing memiliki beberapa problema dasar berkaitan dengan :

Data availability Security & Privacy

Integrity, Confidentiality

Metode Penelitian

Dalam melakukan pengujian terhadap mekanisme sistem pengamanan yang diterapkan PT.X, penulis menggunakan standard NIST SP800-53A. Prosedur pengujian berdasarkan standard NIST SP800-53A, terdiri dari beberapa tahapan sebagai berikut :

Nanang Sasongko

Tahapan ...

1. Persiapan untuk melakukan penilaian mekanisme pengamanan,

2. Membuat perencanaan terhadap kegiatan penilaian keamanan, dalam tahapan ini : Jenis penilaian kontrol keamanan Menentukan kontrol keamanan / perangkat kontrol

tambahan yang harus dimasukkan dalam penilaian berdasarkan security plan dan tujuan / lingkup penilaian.

Memilih, menyesuaikan dan mengembangkan prosedur penilaian yang digunakan selama penilaian.

Nanang Sasongko

Lanjutan...

Melakukan penilaian terhadap sistem pengamanan, Puas (Satisfied (S)), yang mengindikasikan bahwa

tujuan kontrol keamanan telah dipenuhi. Selain puas (Other than satisfied (O)), menunjukkan

bahwa kontrol keamanan memiliki potensi anomali dalam operasional organisasi atau pelaksanaan kontrol perlu ditangani oleh organisasi.

Mendokumentasikan hasil penilaian dalam bentuk laporan penilaian.

Melakukan analisa terhadap hasil laporan penilaian sistem pengamanan, berdasarkan indikator dari selain puas other than satisfied) dan puas (satisfied),

Nanang Sasongko

Proses penilaian dilakukan melalui tahapan-tahapan berikut :

1. Mengkategorisasi Sistem Informasi,

2. Menentukan baseline kontrol keamanan,

3. Penerapan kontrol keamanan terhadap sistem informasi

4. Melakukan penilaian kontrol keamanan dengan menggunakan prosedur penilaian yang tepat

Nanang Sasongko

Potensi Dampak

Deskripsi

Low

Hilangnya kerahasiaan, integritas, atau ketersediaan menyebabkan dampak buruk yang membatasi kegiatan operasional & aset organisasi atau individu.

ModerateHilangnya kerahasiaan, integritas, atau ketersediaan memiliki efek samping yang serius pada kegiatan operasional & aset organisasi atau individu.

High

Hilangnya kerahasiaan, integritas, atau ketersediaan dapat memiliki dampak buruk yang parah atau bencana pada kegiatan operasional & aset organisasi atau individu.

Potensi Impact

Nanang Sasongko

Hasil Pengujian

Pada objek penelitian kelas operational controls, jumlah perolehan satisfy lebih banyak dari other satisfy,ini artinya opertion control sudah baik.

Pada management controls, jumlah perolehan satisfy lebih sedikit dari other satisfy,ini artinya opertion control sudah belum baik.

Dan pada technical controls jumlah perolehan satisfy hampir sama banyak dari other satisfy,ini artinya opertion control tidak terlalu baik.

Nanang Sasongko

Simpulan

1. Pengujian kontrol keamanan yang menggunakan framework NIST SP800-53A sangat mengutamakan pemeriksaan terhadap ketersediaan dokumentasi.

2. Secara keseluruhan sistem kontrol keamanan yang dibangun oleh PT. PT.X sudah relatif satisfied tetapi masih terdapat banyak item kontrol keamanan yang perlu ditingkatkan.

3. Hasil pengujian yang dilakukan berdasarkan pada framework NIST SP800-53A terhadap aspek teknikal dan operasional sistem informasi hotel sudah memperoleh status satisfied tetapi masih terdapat beberapa hal yang perlu diperbaiki atau ditingkatkan.

Pengujian terhadap aspek manajemen sistem informasi hotel memperoleh status other than satisfied, sehingga masih banyak hal yang perlu diperbaiki atau ditingkatkan sistem kontrol keamanannya.

  Nanang Sasongko

NANANG SASONGKO

Kepala Pusat Studi Ekonomi

Dosen Jurusan Akuntansi Fakultas Ekonomi

Universitas Jenderal Achmad Yani (UNJANI)

BANDUNG

Mobile : 081 320 310 160

E-Mail : nanangs@bdg.centrin.net.id

Nanang Sasongko