KAJIAN PENINGKATAN MUTU KEAMANAN PERANGKAT LUNAK
PADA PENGEMBANGAN APLIKASI SISTEM INFORMASI PELAYANAN PELANGGAN (CIS/CRM)

 

Oleh Agung Trika Yoosnanto

Pendahuluan

Perkembangan ICT (Information and Communication Technology) di Indonesia sangat meningkat pesat saat ini. Pemerintah juga mendorong perkembangannya ICT di Indonesia hingga membentuk Departemen Komunikasi dan Informatika untuk memberikan arahan kebijakan ICT secara nasional.

Seiriring perkembangan ICT, maka Teknologi Informasi berkembang pesat ditandai dengan marak dan banyaknya proyek Teknologi Informasi di berbagai institusi di negeri ini termasuk institusi milik pemerintah baik itu Departemen, Pemerintah Daerah maupun perusahaan BUMN. Proyek Teknologi informasi yang disukai untuk dikembangkan adalah proyek pengembangan Sistem Informasi Pelayanan, misalnya Pemda mengembangkan Sistem Informasi Pelayanan Perijinan, Departemen Perhubungan mengembangkan Sistem Informasi Pelayanan Transportasi, Perusahaan Listrik Negara dan Gas Negara juga mengembangkan Sistem Informasi Pelayanan Pelanggan dan masih banyak Sistem Informasi lain.

Segala jenis Sistem Informasi Pelayanan Pelanggan tersebut sebenarnya turunan dari konsep CRM (Customer Relationship Management – terkadang disebut dengan CIS – Customer Information System) yang bertujuan untuk mengkoleksi, merekam, mengolah dan memelihara Data Pelanggan serta membagi informasi pelanggan tersebut sehingga dapat diakses oleh seluruh elemen institusi sesuai dengan kebutuhan dan kewenangan masing-masing. Dengan informasi yang lengkap di dalam CRM, maka diharapkan penanganan pelanggan akan lebih mudah, cepat, transparan dan akurat serta hubungan informatif lebih baik yang pada gilirannya dapat meningkatkan loyalitas, meningkatkan kepuasan dan meningkatkan nama baik institusi. Penerapan CRM/CIS merupakan solusi end-to-end bagi institusi yang banyak mengelola pelanggan. Bagi institusi pemerintah maupun institusi swasta, hal ini meningkatkan pelayanan bagi masyarakat dan mengangkat nama baik institusi pemerintah/swasta tersebut serta meningkatkan akuntabilitas yang pada gilirannya meningkat kredibilitas institusi tersebut bagi pelanggannya. Bagi institusi pemerintah, hal tersebut meningkatkan martabat pemerintah.
Dewasa ini banyak vendor TI yang sudah membuat Aplikasi CRM/CIS yang sudah jadi, tinggal dipakai berdasarkan proses bisnis best practice di dunia. Namun di Indonesia, aplikasi CRM/CIS yang sudah jadi tersebut belum tentu dapat dipakai karena faktor peraturan perundangan yang berlaku di Indonesia. Hal ini terjadi di banyak Institusi pelat merah, karena proses bisnisnya terikat langsung terhadap peraturan perundangan. Institusi swasta memiliki lebih banyak kebebasan karena proses bisnisnya lebih fleksibel. Oleh karena itu, banyak institusi pelat merah yang membangun sendiri Aplikasi CRM/CIS-nya.
Namun disadari bahwa kemampuan Sumber Daya Manusia di lingkungan institusi pemerintah masih belum memenuhi syarat dan banyak pejabat pelat merah yang belum paham benar terhadap pengembangan aplikasi Teknologi Informasi. Untuk mengatasi hal tersebut, maka banyak proyek pengembangan Aplikasi CRM/CIS banyak dilakukan outsourcing. Tak pelak lagi faktor pengawasan yang lemah karena kemampuan dan pengetahuan SDM yang kurang maka dapat berakibat Aplikasi CRM/CIS lemah di banyak sisi.

Tujuan

Banyak berita di media massa yang memberitakan kegagalan Aplikasi Sistem Informasi berbasis manajemen pelanggan dan hubungannya, yang dibangun sendiri tersebut terutama di Institusi Pelat Merah. Banyak faktor yang menyebabkan kegagalan itu yaitu antara lain :

1. Proses survey dan assesment yang tidak mendalam dan lengkap.
2. Kurangnya tingkat pemahaman vendor terhadap proses bisnis.
3. Lemahnya tingkat pengawasan proyek (banyak diantaranya tidak menggunakan metode PM (Project Management)) yang benar.
4. Lemahnya Transfer of Knowledge SDM vendor kepada SDM internal.
5. Lemahnya Sosialisasi dan Change Management.
6. Lemahnya kualitas perangkat lunak Aplikasi misalnya perhitungan tagihan yang salah, kesalahan desain database, aliran proses bisnis Aplikasi yang tidak cocok dengan peraturan dan lain-lain.
7. Lemahnya kualitas keamanan Aplikasi, misalnya application bugs, Aplikasi membuat hang PC Client, username/password dibuat hardcode di Client Application, keamanan database yang payah dan lain-lain.

Begitu banyak Aplikasi Sistem Informasi yang bertipe CIS/CRM yang dibangun oleh institusi dalam negeri. Kebanyakan dalam proyek membangun aplikasi perangkat lunak CRM yang dikerjakan sendiri atau outsourcing. Pembangunan dan pengembangannya juga dilakukan dengan building from scratch.

Pengembangan perangkat lunak dengan cara building from scratch memang memberikan keuntungan yaitu perangkat lunak yang dihasilkan sesuai dengan proses bisnis yang dijalankan, institusi di Indonesia lebih banyak fokus disini, dan dapat memberikan fungsi pengendalian yang ketat terhadap perangkat lunak selama fase operasional dan dukungan pemeliharaan

Namun masih banya level pejabat teras dan atas menganggap dengan menyewa sekelompok tenaga ahli pemrograman dan kemudian dilakukan proses survey dan assesment maka suatu aplikasi CRM akan selesai dibangun. Namun bila dilihat dari sisi secure software engineering, sebenarnya tidak semudah yang dibayangkan, banyak faktor yang harus dipertimbangkan.

Bila ditinjau lebih lanjut tentang konsep Software Security dalam pengembangan Aplikasi Sistem Informasi tersebut maka dapat dianggap “jauh panggang dari api”. Oleh karena itu kajian ini bertujuan menyusun penerjemahan konsep Software Security yang praktis dan mudah digunakan bagi suatu institusi. Institusi yang akan disoroti disini adalah institusi pemerintah, baik BUMN, BUMD, Departemen, Pemerintah Daerah dan lain-lain yang notabene belum berpengalaman mengembangkan dan menggunakan Aplikasi berbasis Teknologi Informasi

Dasar Teori

Customer Relationship Management

Customer relationship management (CRM) atau kadang-kadang disebut dengan Customer Information System (CIS) merupakan wujud usaha manajemen untuk memperoleh, mengolah dan memelihara data pelanggan yang memberikan nilai bagi institusi. Fokus CRM adalah hubungan yang saling menguntungkan antara pelanggan dan institusi yang bersifat jangka panjang.

CRM merupakan pendekatan bisnis yang menyatakan bahwa pelanggan merupakan inti dari urusan suatu institusi, pelanggan adalah pusat bisnis dan memberikan daya hidup bagi institusi tersebut. Oleh karena itu keberhasilan institusi dapat tercapai apabila dapat mengelola pelanggan dengan baik.

CRM juga bukan hanya berarti pada penjualan dan pemasaran, namun juga menjelaskan tentang produk dan jasa yang dihasilkan oleh institusi tersebut dapat dikirimkan kepada pelanggannya.
CRM juga merupakan alat komunikasi bagi institusi kepada pelanggannya. Pelanggan dapat mengetahui dan memahami bagaimana produk dan jasa institusi dirasakan dan dinikmati oleh pelanggan serta pelanggan mengetahui dengan jelas bagaimana dengan biaya yang harus dibayarkan.
CRM juga meningkat transparansi institusi bagi seluruh pemegang saham atau pemilik dari institusi tersebut. Transparansi akan membuat proses bisnis institusi menjadi lebih efisien, efektif, hemat dan ramping sehingga dapat membantu level manajemen intitusi memimpin institusi tersebut sesuai standar peraturan perundangan yang berlaku.
Di masa lampau, kebanyakan institusi masih bersikap masa bodoh dan tidak peduli dengan lingkungan sekitarnya, pegawai – sumber daya manusia dan pelanggan serta lebih menitik beratkan pada urusan internal institusi. Institusi lebih bersikap bahwa pelanggan yang membutuhkan institusi tersebut. Namun pada masa sekarang sikap tersebut harus ditinggalkan dan tidak laku lagi, karena tuntutan keterbukaan dan pelanggan terhadap institusi akan semakin meningkat dan perlu disadari bahwa pendapatan atau nilai atau keuntungan institusi berasal dari pelanggannya. Penerapan CRM akan membantu institusi berkomunikasi langsung dengan pelanggan, umpan balik dari pelanggan akan sangat membantu suatu institusi untuk melakukan perbaikan produk dan jasanya.
Manajemen Pelayanan Pelanggan (selanjutnya disebut Customer Relationship Management atau CRM) merupakan suatu model pendekatan manajemen yang fokus pada memperoleh, mengembangkan dan merekam data pelanggan melalui koleksi data pelanggan dan membagi data (information sharing) tersebut, agar dapat diakses oleh seluruh komponen perusahaan. CRM menggabungkan aplikasi perangkat lunak dan strategi bisnis yang dapat mengantisipasi, menerjemahkan dan menanggapi kebutuhan pelanggan sesuai dengan kemampuan perusahaan. Dengan kemudahan penanganan kebutuhan pelanggan maka akan dengan mudah meningkatkan kepuasan pelanggan, yang menghasilkan loyalitas pelanggan dan pada akhirnya memelihara pelanggan agar tidak lari dari perusahaan
Manajemen suatu organisasi yang ingin kemajuan di segala lini usahanya, harus menggunakan strategi yang cerdik untuk mengelola rumah organisasi tersebut sehingga lebih efektif dari sisi biaya, peningkatan kualitas jasa dan produk, memelihara pelanggan dan menarik pelanggan baru. Oleh karena itu model CRM adalah model yang paling cocok untuk suatu organisasi agar tetap bertahan berdiri dan berkembang di masa depan.
Sebagai perangkat lunak, maka CRM harus didukung dengan desain basis data yang baik dan komprehensif. Dengan basis data yang baik, maka proses perolehan dan perekaman pasien dan segala jenis peristiwa yang terkait dengan pasien dapat dilakukan dengan baik. Selain itu sharing informasi dapat dilaksanakan dengan mudah, cepat dan sesuai kebutuhan
CRM dengan menyediakan fungsi information-sharing bagi seluruh elemen institusi – transparansi, database pelanggan, manajemen kontak dan sistem untuk koordinasi dan identifikasi penerimaan pendapatan serta revenue protection sehingga mengurangi lemahnya manajemen pendapatan di institusi, CRM dapat menekan biaya dan mengamankan pendapatan. Contohnya adalah terbuka kemungkinan institusi untuk kerjasama dengan sistem asuransi, kartu kredit, kartu debet dan lain-lain.

Untuk mencapai tujuan dari CRM maka dalam perangkat lunak Aplikasi CRM terdiri dari 3 (tiga) aspek dapat dikembangkan secara terpisah maupun terintegrasi yaitu :

• Aspek Operasional : Otomatisasi proses bagi pelanggan yang menunjang perwakilan perusahaan di bidang penjualan ataupun service. CRM memberikan dukungan untuk proses bisnis “front office”, termasuk di dalamnya adalah bagian penjualan, pemasaran dan service. Semua interaksi bagian-bagian tersebut dengan pelanggan akan menambah informasi berkaitan dengan pelanggan yang bersangkutan dan dapat diakses dari basis data jika diperlukan.
• Aspek Kolaborasi : Pelanggan dapat berinteraksi langsung (self service) dengan perusahaan melalui media komunikasi seperti web atau sistem IVR. Fungsi utama Collaborative CRM adalah menyatukan semua bagian layanan dan pendukung bagi pelanggan dan membentuk infrastruktur untuk dukungan pelanggan yang efektif dan responsif atas semua pertanyaan, komplain dan keluhan pelanggan.
• Aspek Analisis : Menganalisa informasi pelanggan untuk banyak kebutuhan, untuk itu dibutuhkan perangkat lunak yang mendukung bussiness inteligence.

Arsitektur basis teknologi informasi yang digunakan di perangkat lunak di CRM meliputi :

• Basis data untuk merekam semua data dan kegiatan pelanggan.
• Customer Agent Support Software untuk operasional pelayanan pelanggan.
• Aplikasi yang user interactive untuk mendukung komunikasi institusi dengan pelanggan.
• Analytical Software untuk analisa pelanggan dan proses bisnis.

Berikut adalah arsitektur CRM ( sumber dari wikipedia )

 

 

 

 

 

 

 

 

 

 

Gambar 1. Diagram Arsitektur CRM

CRM meningkatkan mekanisme pengukuran kinerja institusi, terutama faktor terpenting yaitu adalah kepuasan pelanggan.
Dalam pengukuran kepuasan pelanggan maka dapat diukur antara lain 3 (tiga) faktor yaitu :

• Efisiensi proses bisnis.
  CRM harus mampu memberikan solusi bisnis end-to-end kepada perusahaan sehingga pelanggan mampu dikelola dari sejak pelanggan tersebut diperoleh, baik dengan sengaja maupun tidak sengaja, hingga status pelanggan tersebut berakhir.
• Efektivitas pelayanan.
  CRM harus mampu menjadi alat pelayanan yang efektif bagi perusahaan untuk pelanggan. Misalnya proses keluhan pelanggan karena kegagalan layanan harus dapat ditangkap dan direkam ke dalam sistem CRM.
  Selanjutnya sistem harus otomatis menghitung kompensasi bagi pelanggan dalam bentuk tertentu sesuai bisnis perusahaan.
• Pertumbuhan Pasar dan Pendapatan,
  Peningkatan pendapatan institusi dengan mempercepat aliran uang masuk, kemudahan pembayaran, kemudahan akses informasi, diferensiasi pelayanan, penjualan-silang (cross selling) dan lain-lain.

Software Security

Keamanan Perangkat lunak atau Software Security, mendengar istilah tersebut maka yang terbayang dalam benak kita adalah suatu model atau sistem yang dapat menjamin suatu perangkat lunak adalah aman (secure – dapat dipercaya).
Kemudian ada istilah “Secure Software”, mendengar istilah tersebut maka yang terbayang dalam benak kita adalah suatu perangkat lunak yang aman. Sebelum lebih jauh membahasnya maka berikut ini adalah definisi-definisinya :
Secure Software atau perangkat lunak yang aman, adalah suatu perangkat lunak yang dapat bertahan dan menanggulangi segala jenis serangan dan mampu recovery dari kerusakan akibat serangan tersebut.
Keamanan dalam daur hidup suatu perangkat lunak menyatakan bahwa Secure Software dibangun, dikembangkan, diimplementasikan, dikonfigurasi dan didukung sedemikian rupa sehingga sebagai berikut :

• Perangkat lunak tersebut tetap bertahan beroperasi meskipun dalam kondisi diserang terus menerus atau perangkat lunak tersebut mampu memberikan toleransi kesalahan dan kesalahan yang terjadi akibat serangan tersebut.
• Perangkat lunak tersebut mampu mengisolasikan dan membatasi bahaya atau akibat jelek yang terjadi akibat serangan tersebut bila ternyata perangkat lunak tersebut tidak mampu bertahan atau toleransi terhadap serangan.

Sebagai pengguna perangkat lunak, tentu diinginkan suatu perangkat lunak yang secure atau teramankan. Oleh karena itu perlu suatu model sistem
yang menjamin bahwa perangkat lunak tersebut aman, sesuai dengan definisi diatas. Sistem tersebut seolah-olah adalah suatu dasar atau suatu
jaminan dalam taraf kepercayaan yang dapat diterima penggunabahwa suatu perangkat lunak akan secara konsisten berperilaku sesuai yang diharapkan,
meskipun telah terjadi usaha serangan yang bertujuan menggagalkan operasi perangkat lunak tersebut. Dari sini timbul istilah
Software Security Assurance, dengan definisi umum adalah tingkat kepercayaan yang menjamin bahwa perangkat lunak terbebas dari kelemahan
(vulnerability), baik disengaja sejak awal perangkat lunak tersebut dibangun maupun tidak sengaja, dan fungsi-fungsi perangkat lunak tersebut
adalah sesuai yang diharapkan (Definisi dari Committee on National Security Systems, Amerika Serikat).

Dari definisi diatas maka dapat diambil kesimpulan bahwa paling tidak ada 3 (tiga) tujuan serangan terhadap suatu perangkat lunak :

• Serangan tersebut mencoba melakukan sabotase terhadap perangkat lunak sehingga perangkat lunak tersebut mengalami kegagalan atau tidak dapat berfungsi
• Serangat tersebut melakukan penyusupan (subversi) terhadap perangkat lunak dengan cara merubah cara operasional perangkat lunak tersebut ( dengan melakukan modifikasi atau eksekusi terhadap proses logik di dalam perangkat lunak itu)
• Serangan tersebut mempelajari operasional perangkat lunak dan lingkungannya dengan harapan bahwa proses bisnis dan model operasi perangkat lunak tersebut tersebut dapat diketahui lebih jauh

Resiko Perangkat Lunak

Keamanan di dalam konteks pembahasan perangkat lunak atau sistem yang berbasis perangkat lunak teknologi informasi biasanya terkait dengan
fungsi perangkat lunak tersebut dalam menyimpan, mengolah dan memelihara informasi yang diperolehnya. Ketika suatu perangkat lunak sudah
digunakan menyimpan data dan informasi yang penting dan harus dilindungi maka Risk Management harus terlibat untuk mengantisipasi kemungkinan
timbulnya resiko terkait hal tersebut.

Di masa lampau, target serangan perangkat lunak adalah pada sistem operasi (OS) dan perangkat lunak yang terkait dengan fungsi kritikal keamanan,
misalnya autentikasi pengguna atau enkripsi data atau informasi yang rahasia. Namun sekarang ini, targetnya meluas karena seiring dengan
perkembangan web dan teknologi internet.

Laporan statistik dan berita di media massa menunjukkan bahwa target serangan terhadap keamanan sistem selalu meningkat, misalnya saja produk
perangkat lunak yang dihasilkan oleh Microsoft, selalu saja ada service pack, patching, updating dan lain-lain.

Terdapat 3 (tiga) hal yang menyebabkan perangkat lunak mudah diserang (vulnerable) yaitu :

• Lemahnya Motivasi pengembang :
  Pengembang lebih suka menambah fitur atau fungsionalitas sehingga mengabaikan reward/penghargaan terhadap programernya yang serius terhadap keamanan perangkat lunak.
• Lemahnya Pengetahuan pengembang
  Perangkat lunak dewasa ini menjadi kompleks, karena banyak pilihan dan teknologi. Tidak mungkin satu atau dua orang saja dapat menguasai semuanya.
• Lemahnya teknologi
  Kondisi peralatan untuk membantu pengembang menghasilkan perangkat lunak yang aman masih sangat sedikit atau membantu menilai bahwa perangkat
  lunak yang sudah diproduksi berada dalam posisi cukup aman.

Ancaman Perangkat Lunak

Ancaman terhadap perangkat lunak biasanya dilakukan oleh orang atau sekelompok orang yang dengan sengaja melakukan segala cara untuk membongkar
kelemahan perangkat lunak tersebut. Motivasinya bisa segala macam, antara lain masalah ego, keinginan mencuri data atau uang dan lain-lain.
Perusahaan pembuat perangkat lunak pun menanganinya dengan mengeluarkan serangkaian perbaikan, misalnya mengeluarkan patch, update software dan
lain-lain. Hal seperti ini memang tidak banyak menyelesaikan masalah namun memang hanya itu yang dapat dilakukan. Hal yang bagi orang awam atau
non – IT kadang-kadang menjadi membingungkan, misalnya suatu perusahaan sudah membeli sistem operasi tertentu yang katanya aman dan handal namun
ternyata harus juga membeli perangkat lunak lain untuk pelindungnya misalnya antivirus, anti spyware, firewall tambahan dan lain-lain.

Sumber dari ancaman terhadap sistem informasi pada suatu organisasi dapat dikatagorikan menjadi 3 (tiga) yaitu :

• Penyerang dari luar (external factor).
• Penyerang dari dalam (internal factor) yang ingin menyalahgunakan pekerjaan atau fungsi perangkat lunak tersebut.
• Orang dalam yang sengaja mencoba-coba menyalahgunakan perangkat lunak karena frustasi atau bosan dengan batasan-batasan yang dibuat perangkat
  lunak yang digunakan dalam pekerjaannya.

Keamanan pada Custom Developed Software

Pengembangan perangkat lunak dengan cara build from scratch memang memberikan keuntungan yaitu perangkat lunak yang dihasilkan sesuai dengan
proses bisnis yang dijalankan, institusi di Indonesia lebih banyak fokus disini, dan dapat memberikan fungsi pengendalian yang ketat terhadap
perangkat lunak selama fase operasional dan dukungan pemeliharaan.

Pada proses awal SDLC, harus dibuat penilaian resiko inisial (awal) yang menitik beratkan pada asset bisnis, ancaman, lingkungan disekitarnya
dan resiko yang harus dihadapi serta definisi terhadap implikasi bisnis. Hal-hal ini merupakan masukan untuk spesifikasi kebutuhan sistem dan
juga mendefinisikan konteks aspek keamanan dari arsitektur dan desain perangkat lunak.

Penilaian resiko arsitektur perangkat lunak kemudian akan memberikan penilaian resiko sistem dengan menganalisa bagaimana perangkat lunak yang
direncanakan dapat mengatasi resiko, bagaimana mitigasi resikonya dan mengidentifikasikan resiko tambahan yang muncul karena arsitektur
perangkat lunak.

Beberapa metodologi penilaian resiko perangkat lunak telah tersedia dan digunakan oleh industri perangkat lunak dunia. Sebagai tambahan terhadap
pemodelan ancaman dan analisa resiko keamanan, tersedia juga piranti perangkat lunak untuk pengujian khusus keamanan.
Pada fase implementasi SDLC, banyak institusi yang mengadopsi penggunaan bahasa pemrograman, piranti pengembangan dan perlindungan terhadap lingkungan eksekusi perangkat lunak ( misalnya perlindungan PC dan Sistem Operasi PC ).

Dalam mengembangkan Aplikasi Sistem Informasi maka paling tidak ada 6 (enam) aspek keamanan yang menjadi pusat perhatian yaitu :

• Kerahasiaan – Privacy and Confidentiality :
  Data dan informasi hanya boleh diakses oleh pengguna atau sekelompok pengguna yang berhak atas data tersebut.
  Kebanyakan penyerang mencari data-data yang bersifat rahasia ini. Bukan tidak mungkin bahwa penyerang adalah orang dalam (insider) yang berniat
  untuk mendapat keuntungan pribadi terhadap data tersebut.
• Integrity :
  Data dan informasi harus dijaga integritas oleh Aplikasi Sistem Informasi, tidak boleh dirubah tanpa alasan atau prosedur yang dipenuhi.
• Authentication :
  Keyakinan dan keterpercayaan terhadap keaslian data, sumber data, pengakses data dan server yang digunakan.
• Availability :
  Prinsip ini mewajibkan bahwa Aplikasi Sistem Informasi harus tersedia selama digunakan dan diperasikan.
  Serangan terhadap ketersediaan Aplikasi Sistem Informasi cukup beragam dan biasanya bertujuan untuk menghancurkan nama baik dan
  martabat institusi atau bahkan pejabat tertentu.
• Non-Repudiation :
  Prinsip “tidak dapat menyangkal” menyatakan bahwa bila transaksi digital dilakukan dan terbukti ada jejak digitalnya maka
  si pengguna tidak dapat menyangkalnya, meskipun si pengguna merasa tidak menggunakannya.
• Access Control :
  Pengendalian akses terhadap data dan informasi di dalam Aplikasi Sistem Informasi, terkait dengan aspek kerahasiaan, integritas dan authentication.

Manajemen Resiko

Istilah manajemen resiko perangkat lunak mengacu pada resiko manajemen proyek perangkat lunak atau pada kualitas perangkat lunak. Resiko
terhadap perangkat lunak adalah juga berarti resiko pada informasi yang akan dikandung di dalam perangkat lunak tersebut. Oleh karena itu
dalam menyusun manajemen resikonya, harus ditandemkan antara manajemen resiko manajemen proyek pengembangan perangkat lunak dengan manajemen
resiko terhadap data dan informasi serta proses bisnis yang dijalankannya.

Salah satu perangkat aktivitas manajemen resiko yang langsung harus digunakan dan diperhatikan adalah :

• Kebutuhan sistem :
  Menentukan kebutuhan keamanan sistem secara keseluruhan dengan melihat pada peraturan (compliance) dan standar industri atau teknik dan pemodelan ancaman dan pengukuran tingkat keamanan yang paling tidak ingin dicapai.
• Arsitektur dan Desain :
  Pembuatan pola keamanan, perencanaan pengujian dan pengukuran keamanan dan tinjauan terhadap arsitektur dan desain.
• Pengembangan :
  Tinjauan source code, penggunaan pola keamanan, mitigasi resiko bila terjadi flaw dan bugs perangkat lunak, pengukuran keamanan unit aplikasi, pembaharuan model ancaman dan pengukuran keamanan.
• Pengujian :
  Pengujian pola keamanan, pengujian dengan cara black box atau white box , pen testing, system cracking dan malicious usage.
• Penerapan di lapangan :
  Pengukuran keamanan pada saat implementasi, manajemen perbaikan dan pemeliharaan, manajemen kecelakaan perangkat lunak dan pembaharuan model ancaman berikut cara penanganannya.

Dalam menyusun manajemen resiko maka perlu juga menggunakan kerangka kerja Manajemen Resiko (risk management framework) untuk membantu kerja dan tugas pejabat atau manajemen institusi untuk menghadapi dan melakukan mitigasi resiko.

Analisa

Perencanaan Konsep Security Software

Sebagaimana sistem informasi lainnya, maka pengembangan Aplikasi Sistem Informasi CRM juga harus dimulai dari tahap perencanaan. Metode yang
jamak digunakan adalah metode SDLC (software development life cycle) dengan memasukkan konsep keamanan perangkat lunak di dalamnya.

Secara garis besar, metode formal SDLC dengan konsep keamanan dapat diilustrasikan melalui gambar berikut ini :
 

 

 

 

 

 

 

 

 

 

 

 

Gambar 2. Metode Formal SDLC

Metode formal ini akan menjadi panduan sekaligus pemaksaan bagi tim proyek pengembangan tentang langkah-langkah dan metodologi proyek yang harus dikerjakan dalam mengerjakan Aplikasi Sistem Informasi yang diharapkan.

Penerapan Software Security

Dari perencanaan berbasis SDLC dengan konsep keamanan perangkat lunak maka dapat diturunkan menjadi beberapa pekerjaan yang harus
diperhatikan oleh institusi pemilik Aplikasi Sistem Informasi yaitu :

• Pekerjaan Pengamanan Fisik.
• Pekerjaan Pengamanan terhadap personel proyek Aplikasi.
• Pekerjaan Pengamanan terhadap media, data, teknik dan komunikasi selama proyek aplikasi.

Bila diklasifikasikan berdasarkan elemen penyusun suatu sistem teknologi informasi maka pekerjaan diatas akan menyangkut pada 3 (tiga) hal yaitu :

• Network Security : Fokus pada media pembawa komunikasi data, misalnya LAN, WAN.
• Computer Security : Fokus pada perangkat lunak sistem operasi dan perangkat keras komputer.
• Application Security : Fokus pada perangkat lunak Aplikasi, yaitu perangkat lunak yang digunakan untuk pekerjaan institusi.

Selama proses pekerjaan pengembangan aplikasi tersebut maka berikut ini adalah hal-hal yang harus diperhatikan oleh tim imbangan proyek yang berasal dari Institusi pemilik Aplikasi yaitu :

1. Kerahasiaan – Privacy and Confidentiality : Data dan Informasi pelanggan harus dirahasiakan by default , kecuali untuk personel yang berhak. Pada beberapa Aplikasi Sistem Informasi seperti Aplikasi Sistem Informasi Rumah Sakit, Aplikasi Sistem Informasi STNK maka data pelanggan menjadi sangat kritikal karena menyangkut nyawa dan harta benda seseorang yang harus dilindungi.
2. Integrity : Data dan Informasi pelanggan tidak boleh dirubah tanpa prosedur yang ditentukan dalam peraturan dan perundangan yang berlaku bagi institusi tersebut. Pada tahap arsitektur dan desain, aspek integrity sudah wajib dimasukkan hingga tahap implementasi. Pada tinjauan desain dan arsitektur hingga pekerjaan pengetesan di implementasi harus menunjukkan bukti bahwa aspek integrity sudah terjamin.
3. Authentication : Misalnya sebagai berikut,
   • what you have (identity card)
   • what you know (password, PIN)
   • what you are (biometric identity)

Bagaimana mengenali pembayar pajak pada servis Online Tax Payment? Padahal tidak ada atau sangat sedikit kontak terhadap si pembayar pajak. Dalam hal ini akan digunakan :

4. Availability : pada tahap desain sistem, harus dimasukkan tentang bagaimana availability sistem terjamin, dengan memasukkan berbagai kemungkinan yang terjadi yang dapat menghilangkan kemampuan availability Aplikasi Sistem Informasi. Pada tahap pengetesan, kemampuan availability tersebut harus diuji dan harus dapat dibuktikan bahwa pada kondisi apa saja aplikasi dapat tersedia, pada kondisi apa saja aplikasi tidak tersedia dan bagaimana bila aplikasi tersebut dalam keadaan running tiba-tiba terjadi kondisi yang seharusnya tidak terjadi.
5. Non-Repudiation : aplikasi Sistem Informasi membutuhkan hal ini, apalagi bila aplikasi tersebut sudah online internet. Keamanan dari sisi aspek ini harus menjamin bahwa data jejak digital tersebut tidak dirubah dengan sengaja maupun tidak sengaja. Pada beberapa sistem database, biasanya tersedia transaction log , fasilitas ini dapat dimanfaatkan untuk penjejakan user.
6. Access Control : aplikasi Sistem Informasi harus mengatur aspek access control , agar dijamin bahwa proses bisnis dan data dijalankan oleh orang atau personel yang mempunyai wewenang. Biasanya pada institusi, dikenal istilah Tupoksi singkatan dari tugas pokok dan fungsi, Tupoksi ini dapat digunakan untuk menyusun Access Control Aplikasi Sistem Informasi.

Bila ditinjau dari sisi arsitektur CRM yang telah digambarkan sebelumnya maka elemen berikut ini adalah elemen yang harus diperhatikan oleh tim imbangan proyek yang berasal dari Institusi pemilik Aplikasi, antara lain adalah

1. Database

Terdapat 3 (tiga) fungsionalitas database dalam arsitektur CRM yaitu Product Data , Customer Activity Data dan Customer Data .

Sebelum membangun Aplikasi Sistem Informasi, institusi harus menetapkan tipe CRM yang akan dibangun, apakah termasuk dalam katagori Operational CRM, Collaborative CRM atau Analytic CRM.

Setelah menetapkan katagori CRM, maka selanjutnya dilanjutkan pekerjaan analisa terhadap data dan informasi di dalam proses bisnis. Proses analisa ini menentukan kewenangan dan aksesbilitas data dan informasi tersebut.

Dalam proses analisa ini perlu dimasukkan konsideran struktur organisasi dan tugas pokok masing-masing bidang atau bagian. Dari analisa tersebut, kemudian diturunkan dalam database role pada desain database Aplikasi Sistem Informasi.

Logika proses bisnis sebaiknya dituangkan dalam desain database, sehingga pada aplikasi lebih difokuskan pada fungsi interfacing dengan pengguna. Tujuannya adalah memudahkan dalam membuat perangkat lunak yang lebih aman dan interaktif bagi pengguna. Seandainya developer tools tersebut ternyata ditemukan faktor vulnerability maka yang diganti adalah Aplikasinya saja, tidak perlu membongkar total keseluruhan sistem informasi.

Dalam pemilihan perangkat lunak system database, perlu dipertimbangkan dukungan dari penyedia perangkat lunak tersebut, terutama tersedianya dukungan teknis di Indonesia.

2. Application Security

Dalam desain pengamanan aplikasi, perlu diperhatikan tentang Jaminan keamanan komponen perangkat lunak yang digunakan. Dewasa ini, pengembagan aplikasi tidak dapat dilakukan sendiri, dibutuhkan komponen perangkat lunak yang mendukung Aplikasi Sistem Informasi yang dibangun.

Komponen perangkat lunak berfungsi menyediakan fungsional yang khusus dan pengembang tinggal menggunakannya dengan pendekatan black box.

Komponen tersebut memudahkan dan mempercepat pembangunan aplikasi daripada membuat coding sendiri untuk menyediakan fungsi yang dibutuhkan.

Misalnya : Reporting software component , digunakan membuat laporan dengan model yang lebih canggih dan enak dilihat. Pengembang cukup memberikan masukan berupa data yang akan dibuat laporan, selanjutnya yang mengolah dan menampilkan laporan tersebut adalah komponen, dengan hasil keluaran yang berbagai jenis, dapat dalam bentuk file acrobat (.pdf), file HTML dan lain-lain.

Keamanan komponen perangkat lunak merupakan hal yang perlu dipertimbangkan. Bila komponen perangkat lunak yang digunakan, sudah termasuk dalam secure software maka dapat diharapkan bahwa keseluruhan sistem juga akan aman. Serangkaian pengujian individual terhadap komponen perangkat lunak harus dilakukan. Bila komponen perangkat lunak tersebut sudah dalam bentuk jadi (tidak ada source code ) maka pengujiannya dilakukan dengan pendekatan black box , namun bila komponen perangkat lunak tersebut menyediakan source code maka perlu juga dilakukan code review security .

 

Pengendalian Pengembangan (Development Control)

Dalam pelaksanaan penerapan konsep keamanan perangkat lunak pada pengembangan aplikasi berbasis CRM maka dibutuhkan kiat-kiat yang
sekiranya dapat membantu bagi tim proyek untuk memonitor dan mengendalikan proyek dari sisi keamanan sehingga didapatkan hasil akhir yang
optimal. Berikut ini akan dibahas kiat tersebut.

Manajemen Pengendalian Keamanan

Aplikasi Sistem Informasi yang berbasis CRM, yang bertujuan untuk pelayanan pelanggan dan nantinya akan menyimpan dan mengelola serta memelihara data pelanggan akan membutuhkan bahwa perangkat lunak tersebut terjamin keamannya. Dibutuhkan Manajemen Pengendalian Keamanan (security control management) yang mengatur pengembangan Aplikasi Sistem Informasi untuk mencegah bagi orang-orang yang berniat jahat untuk menyadap spesifikasi atau source code aplikasi, dan berpotensi untuk memasukkan kode-kode berbahaya (malicious code) ke source code atau file executable sejak awal aplikasi tersebut mulai dibangun.

Artifak pengembangan Aplikasi Sistem Informasi harus diawasi dalam suatu sistem manajemen pengendalian. Sistem manajemen pengendalian menambahkan sistem kendali terhadap proyek, terutama memisahkan role (peranan) untuk pengembang dan penguji sehingga penguji tidak bisa sembarangan melihat source code .

Adapun kegiatan peningkatan keamanan (security enhancement) dalam Manajemen Pengendalian Keamanan antara lain, yaitu :

1. Access Control untuk artifak pengembangan perangkat lunak.
2. Time Stamping dan Digital Signature untuk semua item konfigurasi sistem.
3. Baselining semua item konfigurasi sistem sebelum dikeluarkan untuk proses pengujian perangkat lunak.
4. Penyimpanan digital signed copy dari konfigurasi sistem dengan keterangannya berikut progress verification report .
5. Penetapan role/access previledge untuk sistem SCM.
6. Pemisahan tugas dan wewenang di dalam software development team , misalnya ada kelompok programer, analis dan tester.
7. Proses audit terhadap sistem SCM, proses check-in, check-out, perubahan konfigurasi, penjejakan perubahan (traceability) pada komponen-komponen sistem yang berubah pada selama proses pengembangan perangkat lunak, termasuk juga pekerjaan-pekerjan terkait lainnya.

Saat ini tersedia banyak perangkat lunak untuk SCM, ada yang bersifat open source dan ada pula yang proprietary .
Pemilihan perangkat lunak SCM bebas, namun yang penting ada 2 (dua) fitur yang perlu dilihat yaitu :

1. Kemampuan mengalokasikan access permission untuk pengguna dan membatasi akses ke lokasi penyimpanan artifak perangkat lunak berdasarkan access permission .
2. Kemampuan membatasi akses baca dan tulis (read and write access – check in or check out) ke direktori tunggal, lokasi penyimpanan artifak perangkat lunak.

Penjaminan Kualitas

Aplikasi Sistem Informasi yang berbasis CRM, yang bertujuan untuk pelayanan pelanggan, juga harus melewati proses penjaminan kualitas
(Quality Assurance). Aplikasi CRM banyak terkait dengan data transaksional karena akan banyak data pelanggan berikut data aktivitasnya
yang akan dimasukkan ke sistem.

1. Pada sub Bagian Operasional CRM, banyak data account , contact, catalog, alert, asset, document dan lain-lain yang masuk dan keluar sistem.
   1. User Autentication dan Authorization .

   Pegawai atau staf pelayanan harus memberikan username dan password sebelum menggunakan aplikasi. Dari sisi desain dan pengujian, maka application role dan user role harus didesain dan juga diuji sebelum diimplementasikan. Bila application role dan user role tersebut payah, maka dapat dipastikan bahwa data yang tersimpan di Aplikasi Sistem Informasi juga berkualitas buruk dan berpotensi menimbulkan fraud terhadap keamanan sistem.

   2. Data Validation

   Saat krusial dan rawan adalah dalam pelaksanaan data entry , bila pengguna sedang memasukkan data ke dalam aplikasi maka harus dilakukan validasi terhadap data tersebut, terutama tipe dan volume data. Bila tidak ada validasi, maka data yang masuk dan disimpan dalam sistem database dapat menyebabkan masalah di aplikasi maupun di proses bisnis.

   3. Data Verification

   Pengecekan terhadap data yang dimasukkan harus dilakukan untuk mencegah terjadinya ketidakkonsistenan proses aplikasi. Tujuannya adalah agar jangan sampai data jatuh ke tangan yang tidak berhak hanya karena kelemahan verifikasi.

   4. Buffer Overflow

   Buffer overflow dapat terjadi bila ternyata data yang akan masuk atau yang sudah terlanjur ke sistem menyebabkan terjadinya anomali atau bahkan kegagalan aplikasi. Atau dapat juga karena ada serangan dari malicious software yang sengaja atau tidak sengaja ter- install di komputer yang menyebabkan aplikasi tersebut menjadi berperilaku anomali.

   Pencegahan Buffer Overflow harus diperhatikan sejak awal Aplikasi Sistem Informasi tersebut dalam tahap desain.

   5. Race Condition

   Bila terjadi kegagalan fungsi aplikasi baik disengaja maupun tidak sengaja, maka perilaku aplikasi harus dapat ditentukan dengan baik, untuk menghindari kemungkinan penyalahgunaan.

   Fase pengujian pada pengembangan Aplikasi Sistem Informasi sangat berperan mencegah terjadinya race condition yang tidak diinginkan.

Aplikasi Sistem Informasi yang termasuk dalam operational CRM harus mampu menangani data entry yang cepat dan akurat.

Pengamanan aplikasi pada tipe ini antara lain adalah :

2. Pada sub Bagian Collaborative CRM atau Customer Interactive System , banyak tipe data yang digunakan, misalnya data dari web interaction dengan pelanggan, data email pelanggan, mobile alerting , Voice (interactive voice response atau Automatic Call Distribution).

Aplikasi Sistem Informasi yang termasuk dalam Collaborative CRM harus mampu menangani interaksi dengan pelanggan yang sangat intensive.

Perkembangan tipe serangan dan jumlah serangan untuk aplikasi yang menggunakan layanan berbasis web sangat bervariasi. Namun paling banyak terjadi adalah pencurian data dan informasi dengan beragam caranya, mengganti tampilan dan membajak koneksi.

Tips :

Bagi institusi yang tidak bergerak di bidang TI, disarankan agar menggunakan jasa outsourcing perusahaan TI untuk mengelola bagian ini karena perkembangan teknologinya yang pesat.

3. Pada sub Bagian Analytic CRM atau Intelligent CRM , lebih mengarah pada fungsi bussiness intelligence atau bussiness analysis .

Dari sisi aksesbilitas, bagian ini lebih banyak dipakai oleh orang dalam atau level pejabat manajerial. Karena faktor ini, maka perlindungan keamanannya lebih mudah asalkan jaringan komputer di internal perusahaan juga terjamin keamanannya. Model pengamanan dengan pembatasan di perimeter (perbatasan).

Tips :

Saat ini tersedia banyak application tools yang sudah jadi dan proven baik dari sisi fungsional, fitur dan keamanan sehingga lebih baik menggunakannya daripada mengembangkan sendiri.

Langkah Sederhana Dan Strategis

Pada bab sebelumnya telah banyak dibahas dan analisa tentang keamanan pada perangkat lunak khususnya pada Aplikasi Sistem Informasi berbasis CRM yang sekarang sedang nge- trend dan booming di Indonesia.

Tentunya bagi sebagian besar institusi, memenuhi semua aspek terkait Software Security tersebut tidak mudah, bahkan mungkin dianggap sebagian besar orang bahwa prinsip dan aspek Software Security akan memperlama proyek dan menambah biaya. Namun di sisi lain, aspek informasi yang terkandung di dalam Aplikasi Sistem Informasi juga harus dilindungi dengan sebaik-baiknya karena menyangkut informasi rahasia, bahkan mungkin juga rahasia negara.

Oleh karena itu berikut ini adalah langkah sederhana yang langsung dapat diterapkan pada tim pengembang institusi. Langkah ini disusun sedemikian rupa sehingga masih mungkin dilakukan oleh institusi di Indonesia dalam memenuhi aspek keamanan perangkat lunak. Langkah-langkah berikut ini diharapkan menjadi tahap awal. Langkah-langkah tersebut adalah :

1. Menetapkan Kebijakan Institusi tentang Keamanan Informasi.

Masih belum banyak institusi di Indonesia yang mempunyai Kebijakan Keamanan Informasi. Oleh karena itu level pejabat atas yang membawahi Aplikasi Sistem Informasi tersebut harus membuat semacam Keputusan yang isinya ketentuan tentang jenis informasi dan penanggungjawabnya.
Misalnya pada Sistem Informasi STNK, data nomor dan pemilik kendaraan hanya boleh diketahui level pejabat tertentu dan tidak boleh ditampilkan umum atau pada Sistem Informasi Pengadaan Barang dan Jasa, informasi Harga Perkiraan Sendiri (HPS) tidak boleh diakses oleh siapapun kecuali personel anggota tim pengadaan atau pejabat pengadaan.

2. Memasukkan Keputusan Keamanan Informasi ke dalam proyek.
   1. Analysis

   Dalam tahap siklus ini, kebijakan keamanan informasi harus dimasukkan dalam perhitungan dan analisanya. Harus dijelaskan tentang keuntungan yang diperoleh dan resiko yang harus ditangani dan dikelola oleh Aplikasi Sistem Informasi.
   Analisa perangkat lunak harus memasukkan tentang konsep pengamanan terhadap data yang disimpan di dalam Aplikasi Sistem Informasi. Aliran proses (process flow) dan Data Flow Diagram harus memuat bagaimana data dan informasi diperoleh dan direkam serta diamankan.
   Apabila Aplikasi Sistem Informasi akan diintegrasikan dengan aplikasi eksternal maka harus dilakukan assesment terhadap proses integrasinya.

   2. Design .
      1. Database Design :
      2. Desain Entity Relationship Diagram dan Database Role harus memperhatikan keamanan informasi. Data yang disimpan pada tabel tertentu, siapa yang akses, role apa yang digunakan harus didefinisikan dengan jelas dan tegas
      3. Application Design :
      4. System requirement dan interface design harus memperhatikan keamanan informasi. Harus diperhatikan tentang kemungkinan buffer overflow , subversion dan lain-lain.

   Paling tidak ada 2 (dua) aspek yang harus diperhatikan :

Keterangan tentang ketentuan keamanan informasi harus dimasukkan ke dalam siklus SDLC, yaitu pada tahap :

3. Special Room .

Dalam rangka memenuhi aspek Manajemen Pengendalian Keamanan dan keamanan fisik, maka ruangan khusus untuk ruang bekerja tim proyek yang terpisah akan membantu konsentrasi tim dalam melakukan coding dan mengurangi resiko data dan informasi Aplikasi Sistem Informasi (misalnya dokumen Desain, ERD, Cetak biru aplikasi) diakses oleh orang yang tidak berhak.
Untuk Aplikasi Sistem Informasi yang terkait dengan keamanan publik atau negara, dokumen proyek yang bocor akan menjadi bahan bagi para penyerang.

4. Data Communication Isolation.

Dalam rangka Manajemen Pengendalian Keamanan maka isolasi terhadap komunikasi data digital dari akses dari dan ke eksternal tim proyek. Data desain dan cetak biru Aplikasi Sistem Informasi yang masih dalam bentuk softcopy akan menimbulkan masalah bila sampai keluar dari institusi.
Secara ekstrim, jaringan komputer (LAN) di ruangan khusus tersebut tidak boleh terkoneksi dengan eksternal. Atau bila ternyata harus berhubungan dengan eksternal, maka harus dipasang firewall dengan policy yang ketat.
Bila dimungkinkan, aplikasi email tidak boleh menggunakan dari eksternal (misalnya dari mail yahoo.com), sehingga disediakan akses email yang khusus dengan filterisasi email yang ketat.
Untuk Aplikasi Sistem Informasi yang terkait dengan keamanan publik atau negara, softcopy yang bocor akan menjadi bahan bagi para penyerang.

5. Membentuk security task force di dalam tim Project Management .
   1. Mengkampanyekan kebijakan keamanan informasi terhadap seluruh tim proyek baik dari internal maupun eksternal.
   2. Menyusun kebijakan dan peraturan yang terkait dengan proses pengembangan yang aman. Misalnya cetak biru Aplikasi Sistem Informasi tidak boleh ditinggalkan di sembarang tempat, hasil notulen rapat proyek dan dokumen-dokumen yang terkait dengan desain sistem harus disimpan rapat-rapat dan hanya bisa diakses bila ada autorisasi dari pejabat proyek.
   3. Mengawasi anggota tim proyek terutama yang berasal dari pihak eksternal atau outsourcer, misalnya :
      • Programer dari outsourcer harus didata identitasnya
      • Kewajiban menggunakan ID Card di ruang proyek.
      • Tidak boleh membawa flash disk dari luar atau membawa flash disk ke luar ruang khusus.

Dengan membentuk task force khusus maka diharapkan akan meningkatkan kesadaran keamanan dalam keseluruhan pembangunan aplikasi. Tugas task force ini antara lain :

6. Menggunakan software tools SCM. Piranti perangkat lunak ini digunakan untuk melakukan penjejakan dan monitoring pekerjaan pengembangan perangkat lunak. Sebaiknya semua data digital yang terkait dengan manajemen proyek dikelola dengan sistem SCM ini.
   Contohnya adalah dokumen desain sistem yang setiap saat berubah, maka piranti SCM digunakan untuk mencatat dan merekam kapan dokumen pertama kali dibuat, dirubah kapan, oleh siapa, pada tanggal dan jam berapa dan seterusnya.
7. Melakukan code review terhadap source code. Telah tersedia software tools yang dapat melakukan tinjauan source code aplikasi kemudian dapat memberikan warning dan alert bila ditemukan pengkodean program yang berpotensi menimbulkan masalah keamanan.
   Pekerjaan code review dapat di-outsource-kan ke pihak luar, tentunya perusahaan yang berbeda dengan perusahaan pengembang Aplikasi Sistem Informasi untuk menjaga aspek independensi.
8. Melakukan penetration testing . Pelaksanaan penetration testing dilakukan pada 2 (dua) tahapan :
   1. Prototype penetration testing : dilakukan pada saat modul atau sub sistem di dalam Aplikasi Sistem Informasi sudah selesai diprogram.
   2. Complete penetration testing : dilakukan pada saat seluruh Aplikasi Sistem Informasi sudah jadi, seluruh modul atau sub sistemnya sudah jadi dan membentuk suatu sistem yang komplete.
   3. Tersedia banyak metode termasuk software tools untuk melakukannya.
   4. Pekerjaan penetration testing dapat di-outsource-kan ke pihak luar, tentunya perusahaan yang berbeda dengan perusahaan pengembang Aplikasi Sistem Informasi untuk menjaga aspek independensi.
   5. Menerapkan Manajemen Resiko.
   6. Manajemen Resiko harus mencatat dan merekam semua kegiatan pengujian perangkat lunak dan kegiatan yang sudah dilakukan. Selain itu juga harus memuat resiko terburuk yang terjadi bila Aplikasi Sistem Informasi tidak beroperasi terutama keberlangsungan bisnis institusi tersebut.
   7. Tersedia banyak kerangka kerja manajemen resiko yang dapat dipergunakan untuk menyusunnya.

Kesimpulan

1. Perkembangan ICT di Indonesia membawa booming proyek pengembangan Aplikasi Sistem Informasi berbasis CRM, yang digunakan untuk melayani dan mengelola pelanggan.
2. Pendekatan konsep keamanan perangkat lunak yang mudah digunakan dan dipahami oleh Pejabat Institusi di Indonesia perlu dibuat agar konsep tersebut mulai digunakan.
3. Pengembangan Aplikasi Sistem Informasi berbasis CRM juga harus dimulai dari tahap perencanaan. Metode yang jamak digunakan adalah metode SDLC (software development life cycle) dengan memasukkan konsep keamanan perangkat lunak di dalamnya.
4. Penerapan konsep keamanan perangkat lunak pada pengembangan CRM dengan memperhatikan pada titik aspek, elemen dan prinsip keamanan dengan dibantu manajemen pengendalian keamanan dan pengendalian kualitas untuk menjamin hasil perangkat lunak yang baik.
5. Usulan 9 (sembilan) langkah sederhana dan strategis adalah suatu tahap awal bagi institusi di Indonesia untuk memahami dan
   menerapkan konsep keamanan perangkat lunak. Langkah tersebut adalah :
   1. Menetapkan Kebijakan Institusi tentang Keamanan Informasi
   2. Memasukkan Keputusan Keamanan Informasi ke proyek.
   3. Membuat Special Room .
   4. MelaksanakanData Communication Isolation .
   5. Membentuk security task force di dalam tim Project Management.
   6. Menggunakan software tools SCM.
   7. Melakukan code review terhadap source code .
   8. Melakukan penetration testing.
   9. Menerapkan Manajemen Resiko.

 

Keywords :

CRM – Customer Relationship Management, CIS – Customer Information System, Software Security

Daftar Pustaka

1. Budi Rahardjo; Prinsip Keamanan – Presentasi Kuliah EI 7010 STEI ITB; 2007
2. Budi Rahardjo; Application, Software & Database Security– Presentasi Kuliah EI 7010 STEI ITB, 2007
3. DACS : Thomas McGibbon, Elaine Fedchak, Robert Vienneau, IATAC : Karen Mercedes Goertzel, Theodore Winograd, Holly Lynne McKinley, Lyndon Oh, Michael Colon; Software Security Assurance, State-Of-The-Art Report; 2007; IATAC, Herndon, VA, 2007
4. Information Technology For Management Transformation Organization Into Digital Economy; Efraim Turban, Dorothy Leidner, Ephraim Mclean, James Wetherbe; 2007; John Wiley And Son Co.

Riwayat Penulis

Agung Trika Yoosnanto, dilahirkan di kota Surakarta Jawa Tengah, tahun 1978. Pendidikan terakhir pada Magister Teknik Elektro ITB Bandung. Mendalami bidang :

• Pengadaan Barang dan Jasa,
• Manajemen Pengembangan Karir dan SDM
• Manajemen Teknologi Informasi terutama pada Arsitektur TI dan Manajemen Sumber Daya TI serta Business Continuity Planning.

Dari perencanaan berbasis SDLC dengan konsep keamanan perangkat lunak maka dapat diturunkan menjadi beberapa pekerjaan yang harus diperhatikan oleh institusi pemilik Aplikasi Sistem Informasi yaitu :

1. Pekerjaan Pengamanan Fisik
2. Pekerjaan Pengamanan terhadap personel proyek Aplikasi
3. Pekerjaan Pengamanan terhadap media, data, teknik dan komunikasi

selama proyek aplikasi. Bila diklasifikasikan berdasarkan elemen penyusun suatu sistem teknologi

informasi maka pekerjaan diatas akan menyangkut pada 3 (tiga) hal yaitu :

1. Network Security, Fokus pada media pembawa komunikasi data, misalnya LAN, WAN.
2. Computer Security. Fokus pada perangkat lunak sistem operasi dan perangkat keras komputer
3. Application Security, Fokus pada perangkat lunak Aplikasi, yaitu perangkat lunak yang digunakan untuk pekerjaan institusi.

 

Selama proses pekerjaan pengembangan aplikasi tersebut maka berikut ini

adalah hal-hal yang harus diperhatikan oleh tim imbangan proyek yang berasal dari Institusi pemilik Aplikasi yaitu :

1. Kerahasiaan – Privacy and Confidentiality

Data dan Informasi pelanggan harus dirahasiakan by default, kecuali untuk

personel yang berhak. Pada beberapa Aplikasi Sistem Informasi seperti

Aplikasi Sistem Informasi Rumah Sakit, Aplikasi Sistem Informasi STNK

maka data pelanggan menjadi sangat kritikal karena menyangkut nyawa

dan harta benda seseorang yang harus dilindungi.

1. Integrity

Data dan Informasi pelanggan tidak boleh dirubah tanpa prosedur yang ditentukan dalam peraturan dan perundangan yang berlaku bagi institusi tersebut.

Pada tahap arsitektur dan desain, aspek integrity sudah wajib dimasukkan hingga tahap implementasi. Pada tinjauan desain dan arsitektur hingga pekerjaan pengetesan di implementasi harus menunjukkan bukti bahwa aspek integrity sudah terjamin.

1. Authentication
   • Bagaimana mengenali pembayar pajak pada servis Online Tax Payment? Padahal tidak ada atau sangat sedikit kontak terhadap si pembayar pajak

·         Menggunakan:

1.     what you have (identity card)

2.     what you know (password, PIN)

3.     what you are (biometric identity)

1. Availability

Pada tahap desain sistem, harus dimasukkan tentang bagaimana availability sistem terjamin, dengan memasukkan berbagai kemungkinan yang terjadi yang dapat menghilangkan kemampuan availability Aplikasi Sistem Informasi. Pada tahap pengetesan, kemampuan availability tersebut harus diuji dan harus dapat dibuktikan bahwa pada kondisi apa saja aplikasi dapat tersedia, pada kondisi apa saja aplikasi tidak tersedia dan bagaimana bila aplikasi tersebut dalam keadaan running tiba-tiba terjadi kondisi yang seharusnya tidak terjadi.

1. Non-Repudiation

Aplikasi Sistem Informasi membutuhkan hal ini, apalagi bila aplikasi

tersebut sudah online internet. Keamanan dari sisi aspek ini harus

menjamin bahwa data jejak digital tersebut tidak dirubah dengan sengaja maupun tidak sengaja.

Pada beberapa sistem database, biasanya tersedia transaction log , fasilitas ini dapat dimanfaatkan untuk penjejakan user.

1. Access Control

Aplikasi Sistem Informasi harus mengatur aspek access control, agar dijamin bahwa proses bisnis dan data dijalankan oleh orang atau personel yang mempunyai wewenang.

Biasanya pada institusi, dikenal istilah Tupoksi singkatan dari tugas pokok dan fungsi, Tupoksi ini dapat digunakan untuk menyusun Access Control Aplikasi Sistem Informasi.