KEAMANAN PADA FASE PERENCANAAN

Fase ini merupakan proses utama yang pertama kali dilakukaan untuk memahami mengapa sistem informasi sebaiknya dibuat dan kelayakannya serta dimungkinkan perlunya investigasi awal untuk mengumpulkan permasalahan-permasalahan yang ada dalam sistem yang saat ini sedang berjalan. Secara umum ada 2 tahapan yakni:

  • Tahap Kelayakan

Tahap kelayakan untuk mengembangkan sistem informasi yang baru (pertama kali dibuat) atau menggantikan sistem informasi yang lama harus dikaji kelayakannya dari beberapa aspek, diantaranya:
Aspek Kelayakan Teknis
Aspek kelayakan teknis ini merupakan ketersediaan Teknologi Informasi dan tenaga ahlinya sehingga bisa menjawab “Can we build it?”
Aspek Kelayakan Ekonomi
Aspek kelayakan eknonomi diperlukan untuk dapat menjawab pertanyaan ini “Will it provide business value?” sehingga bisa meyakinkan “project sponsor” dan manajemen untuk menginvestasikan uangnya dalam pengembangan sistem informasi yang diusulkan.
Aspek Kelayakan Organisasi
Aspek kelayakan ini diperlukan untuk mendapatkan dukungan sepenuhnya dari pihak organisasi baik tingkat manajemen maupun staff operasional yang akan melakukannya. Jadi intinya adalah jawaban pertanyaan ini “If we build it, will it be used?”


  • Tahap Investigasi Awal

Jika manajemen sudah menyetujui bahwa pekerjaan ini dapat diteruskan untuk diproses lebih lanjut, maka tahapan berikutnya adalah fact finding yang bertujuan untuk mendapatkan informasi yang lebih detail dari proses tahapan kelayakan diatas diantaranya adalah:

  1. Untuk mendapatkan informasi tentang kebutuhan fungsional dari sistem yang sedang berjalan
  2. Untuk memperoleh kebutuhan-kebutuhan baru untuk sistem yang akan dikembangkan
  3. Untuk mengetahui batasan-batasan yang diminta misalnya tools yang akan dipakai
  4. Untuk mengetahui lingkup jenis data yang diperlukan dan volumenya
  5. Untuk mengetahui permasalahan-permasalahan yang ditemukan pada sistem yang sedang berjalan dan arahan-arahan yang diminta

Fakta-fakta tersebut diatas dapat diperoleh dengan beberapa cara diantaranya interview ke personal baik manajemen maupun staff operasional, penggunaan questionnaires, observasi langsung ke area aplikasi yang diinginkan, mencari dokumentasi dan contoh-contoh bentuk keluaran/laporan dan masukan untuk data entry serta proses-proses yanga tersedia.

Review Policies & Standard
Software Licensing, dalam pembuatan aplikasi nantinya harus dipastikan bahwa SELURUH entitas perangkat lunak yang terlibat dalam pembangunan aplikasi harus terjamin dan tersedia licensenya agar tidak ada kendala non teknis pada saat perangkat lunak mulai dikembangkan dan digunakan.

Business Contingency Planning, dalam perencaanaan perangkat lunak harus dapat ditentukan bagaimana desain dalam upaya menjaga realibilitas sistem aplikasi dan bagaimana rencana kontingensi jika terjadi kerusakan sehingga tidak menggangu bisnis yang sedang berjalan.

Security Policy and Procedures, Ini lebih memuat aturan yang jelas dan terdokumentasi sebagai guideline atau pegangan bagi seluruh personil yang terlibat dalam pengembangan aplikasi, seperti aturan network akses, user akses, waktu akses dan lainnya.

Ownership of Software Code and Related Intellectual Property, setelah aplikasi dapat diluncurkan, maka harus dapat ditegaskan kepemilikan dari perangkat aplikasi terutana code program dan bagian-bagian yang rumit dari program.

IT Project Management, perlu ada untuk menspesifikasikan kebutuhan-kebutuhan selama pelaksanaan project aktifitas didalamnya seperti Requirements Management, Project Planning, Project Tracking, Configuration Management, Risk Management, and Project Closeout.

Technical Architecture Compliance, aplikasi memiliki standar yang dapat diimplementasikan pada arsitektur teknis yang eksisting.


Pengembangan Pengukuran dan Kriterianya
Deliverable Sizing & Estimating, menyediakan estimasi waktu dan keakuratan untuk titik-titik kritikal dari project, mengukur ukuran sistem, kompleksitas perangkat lunak dan mengevaluasi faktor critical.

Performance Benchmarking
Benchmark performansi perlu dilakukan untuk critical success factor seperti software quality, time to market, dan cost reduction. Kriteria yang diukur yaitu seleksi project, ukuran fungsi, dan tingkat performansi.

Measurement Program Development
Metode dan cara pengukuran harus juga dikembangkan dengan tujuan dapat meningkatkan nilai bisnis dan strategis. Dengan pengukuran ini akan mendapatkan niali kualitatif dan kuantitatif dari perangkat lunak dan aplikasi yang dikembangkan. Kriteria-kriteria pengukuran :
Project Size, expressed in Function Points (FPs) or Source Lines of Code (SLOC); estimated and actual.

  • Business Value, net present value.
  • Cycle Time, project cycle time (beginning date and completion date); estimated and actual.
  • Delivery On Plan, slippage percentage.
  • Labor Cost, by categories; estimated and actual.
  • Other Costs, including training, tools, support and hardware; estimated and actual.
  • Cost Versus Value.
  • Effort, staff hours by project and phase; estimated and actual (excluding sick, vacation, comp, holidays, personal and non-project specific time, but including all overtime worked).
  • Staffing Level, headcount monthly and peak staffing periods.
  • Defects, discovered defects and their severity, state-at-delivery, phase when detected and phase when introduced.
  • Productivity Rates.
  • Estimating Accuracy.
  • Reuse, modules and artifacts reused.
  • Process Compliance.
  • Current Project SEI Level Rating, date of SEI assessment.
  • Project Success Factors, obstacles to success.
  • Customer Satisfaction.
  • Project Characteristics.
  • Canceled Projects.
  • Changes in Scope.

Pada tahap perencanaan ini diperlukan juga validasi terhadap kebijaksanaan, standard dan hal-hal lainnya yang terkait dengan keamanan dan selalu dikonfirmasikan ke stakeholdersnya (sponsor, users, customers) sampai mereka menyetujuinya.

Ada 8 prinsip untuk dapat mengembangkan piranti lunak secara aman yakni:
  1. Economy of mechanism: Lakukanlah desain sederhana dan sekecil mungkin
  2. Fail-safe defaults: Hak akses diberikan sesuai dengan permisi daripada tanpa ada pengecualian
  3. Complete mediation: Setiap akses dan obyek harus dicek otoritasnya
  4. Open design: Desain sebaiknya tidak dirahasiakan
  5. Separation of privilege: Bila memungkinkan, mekanisme proteksi memerlukan paling tidak 2 kunci untuk membukanya, hal ini akan lebih aman daripada hanya mempunyai satu kunci
  6. Least privilege: Setiap program dan setiap pemakai dari sistem sebaiknya mengoperasikan dengan menggunakan minimal hak akses yang dibutuhkan untuk menyelesaikan pekerjaannya
  7. Least common mechanism: Meminimalkan jumlah mekanisme umum untuk para pemakai
  8. Psychological acceptability: Hal ini penting bahwa human interface didesain untuk kemudahan penggunaan sehingga para pemakai secara rutin dan otomatis dapat mengaplikasikan mekanisme keamanan secara benar.



Label:

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)
 

Serba Ada Blog Copyright © 2011-2012 | Powered by Blogger