1

RESUME MATA KULIAH SISTEM INFORMASI AKUNTANSI

PENGAMANAN SISTEM PENDUKUNG PEMROSESAN TRANSAKSI/INFORMASI

KELOMPOK 4 Amrulloh I Komang Agus Julianto Kadek Fajar Andika Karma A.A, Made Bayu Wirama Nyoman Triyadi Agustiawan (1391661020) (1391661004) (1391661026) (1391661017) (1391661030)

PROGRAM PASCASARJANA MAGISTER AKUNTANSI UNIVERSITAS UDAYANA DENPASAR 2014

A. PENDAHULUAN 1. Pentingnya Pengamanan Definisi Keamanan (Security) adalah melindungi aset-aset dari ancaman. Asetaset dapat berupa informasi, (peripheral perangkat supplies), keras, orang perangkat (people), lunak, media

perangkat pendukung

komunikasi, kemampuan pemrosesan (processing capabilities), atau uang (dinyatakan dalam bentuk dari informasi tersebut bila dijual). (Cooper,

James Arlin, Computer and Communication Security Strategies for the 1990s, McGraw-Hill 1989, page 11) Sumber daya perusahaan kas, surat berharga, persediaan barang dagang, fasilitas, data, dan sumber daya manusia (modal intelektual) rentan akan risiko keamanan, mulai dari pencurian, akses oleh pihak yang tidak berwenang, maupun bencana alam. Pengamanan komputer menjadi perhatian perusahaan dalam berbagai ukuran, baik publik maupun privat. Risiko keamanan meningkat karena kian kompleksnya sistem komputer dan jaringan. Kerugian yang ditimbulkannya membuat perusahaan mengambil tindakan yang lebih efektif untuk meningkatkan keamanan sistem komputer dan sumber daya lainnya yang mereka miliki.

2. Berbagai Instrumen Keamanan Untuk melindungi asetnya, perusahaan seharusnya menerapkan berbagai macam instrumen keamanan. Instrumen keamanan yang memadai memungkinkan perusahaan untuk memberi perlindungan bagi fasilitas komputer dan fasilitas fisik lainnya, menjaga integritas dan privasi file data, dan mencegah kerusakan yang serius atau bencana yang merusak. Instrumen keamanan ini ada yang sifatnya melindungi dari bencana alam, ada yang melindungi dari tindakan manusia. Ada yang menggunakan teknologi tinggi, terutama jika berhubungan dengan pengamanan database dan jaringan. Ada yang bersifat preventif (misalnya sistem ber-password), detektif (misalnya CCTV), maupun korektif (misalnya back-up file). Karena perusahaan memiliki keterbatasan dalam menanggung risiko, maka penutupan asuransi juga disarankan.

B. PENGAMANAN TERHADAP SUMBERDAYA FISIK NONKOMPUTER 1. Proteksi dari Akses Pihak yang Tidak Berwenang Pengamanan ini dikenal dengan access control, yang terdiri dari security guards, receptionist, fenced-in areas, grounds lighting, burglar and fire exit alarms, motion detection alarms, locked doors, CCTV monitors, safes, locked cash registers, locked file cabinets, dan lockboxes in post offices. Semakin besar perusahaan, semakin banyak instrumen keamanan yang dibutuhkan. Instrumen lain yang cukup bermanfaat yakni pemberian label nonremovable pada fasilitas seperti peralatan kantor, microcomputers, dan mesin produksi. Perlu diperhatikan juga karyawan yang memiliki akses terhadap kas atau fasilitas berharga lainnya. 2. Proteksi dari Bencana Dalam hal ini perusahaan dapat menerapkan sprinkler systems (misalnya dengan memasang alat pemadam kebakaran) dan menggunakan fireproof vault (brankas tahan api) untuk melindungi kas dan dokumen penting lainnya. 3. Proteksi dari Breakdown dan Interupsi Perusahaan dapat menerapkan preventive maintenance terhadap

kendaraan, mesin perkantoran, atau mesin produksi untuk mencegah breakdown. Tersedianya peralatan back-up juga akan bermanfaat dalam mengatasi kondisi breakdown. 4. Pemantauan Pengukuran Keamanan Perusahaan dapat menerapkan corporatewide security program untuk menjamin tujuan pengendalian telah dicapai oleh seluruh bagian dalam organisasi dengan cara yang paling efektif dan efisien. Kebijakan pengamanan tertulis juga dibutuhkan.

C. PENGAMANAN TERHADAP FASILITAS HARDWARE KOMPUTER 1. Proteksi dari Akses Pihak yang Tidak Berwenang Security guards dan receptionist ditempatkan pada entry points yang strategis E-scanning devices untuk mencegah karyawan menghapus disket dan pita magnetik, atau membawa logam seperti magnet, ke pusat penyimpanan hardware. Motion detectors untuk mewaspadai kehadiran orang yang tidak berwenang Locked doors ke ruang komputer atau pintu masuk lainnya, yang hanya bisa dibuka dengan kartu magnetik CCTV monitor yang dapat dipantau dari sentral Lencana identifikasi dengan kode warna yang harus digunakan setiap saat Log-in/log-out bagi seluruh visitor Pengawalan bagi seluruh visitor Alarm yang berbunyi jika terjadi potensi gangguan

Jika suatu terminal digunakan dalam SIA, maka prosedur pengamanan diatas dapat dimodifikasi. Akses ke sistem via terminal atau microcomputer diperkenankan namun dengan pembatasan aktivitas, terminal yang dituju, serta periode waktu. Terminal yang terhubung dengan microcomputer atau terminal lainnya juga dapat dibatasi. Terminal seharusnya di-disconnect dan dikunci tiap akhir hari untuk mencegah pencurian di malam hari. Terminal dapat ditempatkan di belakang counters atau locked-doors agar sulit dijangkau visitors atau karyawan yang tidak berwenang. Terminal juga dapat dikontrol software yang mampu mendeteksi tiap upaya untuk mengakses sistem dan mengunci terminal jika kode yang dimasukkan salah. Untuk perusahaan yang ukurannya relatif lebih kecil, instrumen keamanan yang dapat diterapkan yakni aktivitas pengawasan, mengunci microcomputer dalam wadah/kabinet khusus jika tidak digunakan, mengunci keyboard, menggunakan card activated locks, dan mengamankan disket serta CD penyimpanan.

2. Proteksi dari Bencana Ruang penyimpanan microcomputer seharusnya dipasangi AC sehingga terjaga tingkat kelembabannya Untuk mencegah perusakan oleh air, dapat dilakukan dengan menggunakan material lantai, dinding, dan atap yang tahan air, adanya fasilitas drainase yang memadai, serta penempatan fasilitas komputer pada ketinggian tertentu. Untuk mencegah kebakaran, dapat dilakukan dengan menggunakan material bangunan yang tahan api, brankas tahan api, alat pendeteksi asap, alarm kebakaran, serta alat pemadam kebakaran Uninterrruptible power system juga dibutuhkan untuk menjaga ketersediaan listrik, misalnya dengan penggunaan generator diesel Untuk mencegah gangguan manusia seperti sabotase, dapat dilakukan dengan menempatkan fasilitas komputer di tempat yang tersembunyi yang mungkin sulit ditebak sabotasor, penggunaan antimagnetic storage holders, serta men-deny access bagi karyawan yang sudah berhenti. Langkah-langkah proteksi diatas dapat direncanakan dengan efektif melalui disaster contingency and recovery plan (DCRP), yang (1) mengidentifikasi seluruh potensi ancaman pada sistem komputer, (2) menunjukkan instrumen pengamanan preventif yang dibutuhkan, dan (3) menjabarkan langkah-langkah yang harus diambil jika menghadapi bencana. 3. Proteksi dari Breakdown dan Interupsi Dapat dilakukan dengan mekanisme back-up.

D. PENGAMANAN TERHADAP DATA DAN INFORMASI Sumber data dan informasi mencakup (1) data yang terkumpul pada data files dan data sets, baik on-line maupun off-line, (2) program aplikasi, baik dalam magnetic tapes pada data library maupun dalam magnetic disc dibawah kendali O/S, dan (3) informasi, baik laporan hard copy maupun dalam format komputer. Data-base system juga membentuk data library.

1. Proteksi dari Akses Pihak yang Tidak Berwenang ke Data dan Informasi Pembatasan akses dibutuhkan karena (1) pihak yang tidak berwenang mencakup karyawan perusahaan hingga pihak luar seperti supplier dan matamata perindustrian, dan (2) teknik penetrasi semakin beragam dan canggih. Dua faktor turut memperumit perancangan instrumen pembatasan akses, yakni (1) sebagian besar orang mendapatkan akses hanya pada sebagian porsi dari data base, misalnya nasabah bank hanya dapat mengakses data simpanannya sendiri, namun tidak dapat mengakses data deposan lainnya, dan (2) beberapa tipe akses yang harus dijalankan. Tipe akses tersebut meliputi membaca record atau laporan, mengubah data dalam record, menambahkan record baru atau menghapus suatu record. Misalnya, teller suatu bank dapat mengubah data record nasabah jika terdapat transaksi setoran atau penarikan, namun tidak dapat menghapus record nasabah. Dengan demikian, pembatasan akses dibutuhkan untuk (1) mencegah akses data dan informasi oleh pihak yang tidak berwenang, dan (2) membatasi derajat akses oleh orang yang haknya terbatas pada data atau informasi tertentu saja.

a. Isolasi Data dan informasi yang sifatnya rahasia dan penting bagi operasional perusahaan harus diisolasi secara fisik untuk mencegah akses pihak yang tidak berwenang. Karena itu, key reference file, program, dan dokumetasi program harus disimpan pada baik on-line maupun off-line library ketika tidak digunakan. Print-out program dapat disimpan pada lock-file cabinet ataupun brankas. Pada on-line procesing system, master files dan data sets berbagai user yang terpisah-pisah harus di-maintain pada direct-access storage media dan diberi boundary protection. Pada sistem data-base, data dictionary harus di-maintain dibawah pengawasan DBA, dan tetap tidak dapat diakses kecuali oleh high level system manager atau auditor. Program yang sedang dieksekusi dalam primary storage harus diisolasi dari program lainnya untuk mencegah modifikasi yang tidak disengaja maupun yang disengaja. Program isolasi dapat dijalankan dengan fitur memory-protect

pada multiprogramming. Program yang sedang diuji harus diisolasi dari program dan data-base yang saat ini aktif. Isolasi ini dapat dijalankan, tanpa mengganggu efektivitas pengujian dengan menghasilkan kopi data base pengujian program secara terpisah. b. Autentikasi dan Otorisasi Pengguna Autentifikasi berfokus pada identifikasi dan pengesahan keotentikan user selama prosedur log-on. Sekali seseorang didentifikasi sebagai user yang dilegitimasi atau dipercaya sistem, ia akan diberi authorization privilege untuk mengakses sumber data tertentu. Access control lists (ACLs) merupakan tabel daftar pengguna sistem yang diotorisasi dan

kewenangannya masing-masing. The principle of least privilege access harus ditekankan. Otorisasi harus diverifikasi dengan teknik identifikasi yang baik. Ketika me-request akses data dan informasi via on-line terminal, user seharusnya diminta memasukkan password, badges, magnetic-stripped cards, atau smart (e.g.chip or scannable cards. Security module, yang dilekatkan dalam O/S, dapat memverifikasi apakah orang yang me-request akses adalah orang yang berwenang. Password Password adalah kode otorisasi user. Password memiliki dua tujuan, yakni (1) memberi akses bagi user yang telah diotorisasi, dan (2) membatasi akses data atau informasi dan program hanya sebatas area yang menjadi tanggung jawabnya. Biasanya, password diawali dengan user identification number, diikuti dengan password pada file atau program tertentu. Password akan lebih efektif bila menggunakan pendekatan berlapis, yakni dengan menambah jumlah level akses yang diberi password. Untuk data yang sifatnya lebih strategik, biasanya diperlukan identifier tambahan. Dua metode yang digunakan yakni handshaking method dan math method. Dengan handshaking method, security software akan memunculkan kotak monolog yang menanyakan sejumlah pertanyaan acak yang sebelumnya telah diinput ke sistem. Sedangkan dengan math

method, komputer akan menyajikan sekumpulan angka, taruhlah 5 angka, agar dimanipulasi oleh user untuk mendapatkan kode akses yang tepat, misalnya dengan menjumlahkan, mengalikan, atau dengan operasi matematika lainnya. Password rentan disalahgunakan. Seorang karyawan dapat terlihat sedang mengetikkan password oleh rekan kerjanya, dapat meminjamkan password, dan dapat membuang kertas berisikan password ke tempat sampah, sehingga dapat diketahui hacker. Untuk itu, password harus diganti secara berkala, misalnya setiap 30 atau 60 hari. Metode identifikasi user lainnya yakni sidik jari, gelombang suara, retina, atau sarana biometrikal lainnya. Automatic Lockout Fitur automatic lockup memungkinkan penguncian terminal setelah 3 kali salah memasukkan password. Ia juga dapat me-log off user secara otomatis setelah periode tertentu (misalnya 10 menit) jika terminal dibiarkan idle. Callback Procedures Dalam prosedur ini, security module secara otomatis akan memutuskan koneksi dan menghubungi balik untuk memverifikasi bahwa orang yang mengakses sistem dari terminal adalah pihak yang berwenang Keyboard Locks Ketika tidak digunakan, fitur ini dapat mengunci tombol-tombol keyboard. Hanya dengan menyalakan tombol tertentu barulah keyboard dapat diaktivasi kembali. c. Pembatasan Penggunaan Terminal bisa dikunci setelah jam kerja. Terminal juga dapat ditempatkan pada area yang sulit dijangkau pihak yang tidak berwenang. Melaui internal security software control, tiap terminal dapat diotorisasi hanya untuk mengakses data tertentu, untuk meng-entry tipe transaksi tertentu untuk diproses, hanya membaca namun tidak dapat meng-update, dsb. Pembatasan semacam ini dapat diterapkan dengan (1) memberi nomor

pada setiap devices dan (2) menempatkan device authorization table pada on-line storage. Apabila digunakan bersamaan, device authorization table dan user authorization table akan bermanfaat untuk meningkatkan keamanan data. d. Enkripsi Untuk mencegah wiretapping pada lini komunikasi, data yang sifatnya sensitif dan rahasia dapat dilindungi dengan enkripsi. Dalam hal ini, data yang di-enter pada satu poin dalam untrusted system dikodifikasi, ditransmisi dalam bentuk kode, kemudian dikode ketika sampai di receiving point. Dalam bentuk kode, data tersebut dianggap tidak berguna bagi wiretapper, kecuali ia dapat memecahkan kodenya. Berikut dua macam enkripsi. Private Key Encription Pengirim menggunakan private key untuk mengkode pesan sebelum ditransmisi ke penerima. Karena penerima juga memiliki private key, private key tersebut juga digunakan untuk membuka pesan Public Key Encription Penerima pesan me-maintain dua kunci kode, private key dan public key. Komputer tersentralisasi me-maintain keamanan public key. Sebelum pesan ditransmisi, pesan akan dikode oleh pengirimnya dengan public key penerima. Penerima hanya dapat membuka pesan dengan private key. e. Destruksi Data yang sifatnya rahasia seharusnya dirusak setelah tidak dibutuhkan lagi. Contohnya, kertas-kertas dokumen dapat dihancurkan pada mesin penghancur kertas kemudian ditempatkan pada lock box trash container. Confidential data yang disimpan pada magnetic media harus dihapus setelah hasilnya disimpan di tempat lain. Teknik dekstruksi lainnya yakni zero disking. Pada pen-delete-an data tradisional, yang dihapus hanyalah reference data, bukan data itu sendiri. Dengan fitur file recovery, data tersebut dapat ditemukan lagi. Zero disking akan mencegah fitur file recovery untuk menemukan data.

10

2. Proteksi dari Tidak Terdeteksinya Akses Data dan Informasi a. Access Log Access log merupakan komponen O/S security module, yang merekam segala upaya untuk mengakses data, termasuk di dalamnya waktu, tanggal, kode orang yang berusaha mengakses, tipe inquiry atau mode akses yang diminta dan data yang diakses. Karena itu, log ini akan menghasilkan audit trail, yang harus di-review oleh internal auditor atau security administrator jika terdapat kemungkinan ancaman bagi system security. b. Console Log Console log atau internal run log sesuai diterapkan pada mainframe computer yang melakukan batch processing. Log ini mencatat seluruh tindakan O/S dan operator komputer, seperti request dan respons yang dibuat selama berlangsungnya pemrosesan. c. Access Control Software Beberapa contoh software-nya yakni Access Control Facility 2 (ACF 2) dan Resources Access Control Facility (RACF 2) d. System and Program Change Log Log ini dapat memonitor perubahan terhadap program, file, maupun kontrol. 3. Proteksi dari Kehilangan atau Pengubahan Data dan Informasi a. Library Log Log ini mencatat pergerakan data file, program, dan dokumentasi yang digunakan dalam pemrosesan, termasuk di dalamnya orang yang terlibat, misalnya operator komputer, siapa yang me-request suatu item, waktu check-out dan return, serta identifikasi item-item yang terlibat. b. Transaction Log Log ini mencatat tiap transaksi yang di-enter ke on-line system untuk diproses. Ini sangat krusial, terutama jika dokumen sumber tidak disiapkan sebelumnya. Termasuk dalam catatan log ini yakni nomor terminal tempat meng-enter data, waktu dan data yang di-enter, identifikasi orang yang meng-enter data, kode transaksi, dan jumlahnya. System sotware juga

11

memberi nomor bagi tiap transaksi. Catatan transaction log ini harus dicetak secara periodik. c. Write-Protect Tab Hal ini dapat dilakukan dengan software khusus. d. File Labels External file label adalah kertas berperekat yang ditempelkan pada physical storage unit, misalnya CD, untuk mengidentifikasi isinya. Internal file label adalah pesan yang disimpan pada physical storage medium pada form yang dapat dibaca komputer. Internal header label, catatan pertama dalam file yang disimpan dalam magnetic media, berisikan nama dan nomor file, kapan dibuatnya, dan data pengidentifikasi lainnya. Sebelum mengizinkan program komputer menggunakan data dari file tersebut, O/S akan mengecek header label untuk memastikan apakah file memang ditujukan bagi program tersebut. Jika tidak, O/S akan memberi peringatan pada operator komputer melaui computer console. Internal trailer label, catatan terakhir dalam file, berisikan end-of-file code plus control total dan record count terkait data dalam file. Control total dan record count dapat dicek oleh program untuk memastikan seluruh data telah diproses dan tidak ada yang hilang. e. Read-Only Memory Merupakan tipe storage dimana data dapat dibaca namun tidak dapat diubah, sehingga memberikan keamanan bagi O/S, key program, dan sekumpulan data yang penting. f. Lockout Jika suatu program dapat diakses oleh multiple user dalam waktu yang bersamaan, maka akan terdapat kemungkinan terhapusnya data atau hilangnya data. Mekanisme lockout mencegah hal tersebut dengan menghold salah satu program hingga salah satu program telah selesai mengakses data tersebut.

12

4. Pemulihan dan Rekonstruksi Data yang Hilang a. Vital Records Program Program ini dapat dikembangkan untuk mengidentifikasi dan melindungi catatan komputer maupun non komputer yang krusial bagi operasional perusahaan, misalnya catatan pemegang saham, karyawan, pelanggan, perpajakan dan pasar modal, serta persediaan.

b. Backup and Reconstruction Procedures Backup merupakan duplikat dokumen, file, data sets, program, serta dokumentasi lainnya yang vital. Backup document seharusnya

mencerminkan seluruh perubahan yang dibuat dalam program dan dokumentasi (up-to-the moment status of data files). Setidaknya satu set backup ditempatkan pada brankas tahan api. Seharusnya ada kebijakan yang jelas mengenai berapa lama backup data dan program disimpan. Prosedur rekonstruksi meliputi penggunaan backup untuk menghasilkan kembali data atau program yang hilang. Periodic dump procedure dibutuhkan apabila data files dan program disimpan dalam magnetic disk. Activity log berisikan tampilan (snapshot) elemen dalam database yang berubah pada tiap transaksi, sebgaimana halnya waktu transaksi, file yang terpengaruh, serta informasi lainnya. Bagi tiap elemen yang mengalami perubahan, activity log akan menunjukkan baik value sebelum perubahan maupun value setelah perubahan. Jika sebagian atau keseluruhan data base hilang, termasuk dalam tahap pemulihan yakni rollforward procedure. Rollback terdiri dari menghapus efek dari transaksi yang salah diproses dari file yang terpengaruh. Checkpoints merupakan poin dalam batch processing program dimana snapshots diambil bagi value atas seluruh elemen data dan indikator program. Fault tolerance merupakan prosedur untuk meyakinkan bahwa operasional sistem berjalan tanpa interupsi, dengan sejumlah sarana seperti control unit

13

servers, communication channels, dan duplicate computer system dalam suatu remote location yang secara otomatis akan mengambil alih pemrosesan jika terdeteksi kesalahan. Teknik yang digunakan dalam fault tolerance yakni disk mirroring dan disk duplexing.

E. PENGAMANAN DAN KONTROL TERHADAP KEAMANAN JARINGAN DAN WEB Tindakan keamanan yang dimaksud berupa mengatasi dan meminimalisasi resiko pengoperasian jaringan dan web (hilangnya kemampuan transmisi karena kerusakan, virus, pencurian, bencana alam, dan lain-lain, penyusupan akses data oleh hacker dan karyawan yang memata-matai, kesalahan data entri karena penghapusan yang tidak sengaja atau masuknya data yang tidak terverifikasi, serta fraud dan error akibat lemahnya pengawasan jaringan). Tindakan keamanan yang dapat dilakukan yaitu dengan cara : 1. Penunjukan administrator, 2. Melakukan enskripsi dan otentifikasi pesan, 3. Menggunakan sarana dan prasarana yang handal, 4. Memastikan backup data yang terus-menerus, 5. Menggunakan peralatan pengendali transmisi, 6. Menempatkan server jaringan di lokasi yang terproteksi baik, 7. Menggunakan perangkat lunak yang terproteksi, 8. Penggunaan kata sandi, 9. Melakukan validasi input data, 10. Menyediakan pelatihan kepada user, 11. Melakukan pengawasan ketat pada server jaringan di lokasi yang jauh, dan Membatasi akses ke server jaringan Berikut beberapa eksposur risiko yang signifikan yang harus dinilai secara periodik: 1. Kehilangan kapabilitas transmisi dan pemrosesan data karena rusaknya peralatan dan software, termasuk kegagalan bridge/router, permasalahan kabel, atau kegagalan network O/S.

14

2. Kehilangan kapabilitas transmisi dan pemrosesan data karena power outages, virus, pencurian, kehilangan personil kunci, dan bencana alam. 3. Akses data yang tidak sah melalui tapping of communicaton line oleh mantan karyawan yang mendendam atau oleh hacker. 4. Akses data oleh karyawan yang tidak berwenang via terminal atau microcomputer pada area yang terbuka dan tidak terlindungi. 5. Berbagai macam error dalam data entry, seperti penghapusan file dengan tidak sengaja. 6. Error pada main data base karena meng-upload data yang belum diverifikasi dari terminal atau microcomputer ke host computer. 7. Fraud dan error sebagai hasil dari lemahnya kontrol pada berbagai remote location dalam network. Sekali penilaian risiko diselesaikan, aktivitas kontrol dan pengamanan spesifik yang telah dipertimbangkan harus dinilai, dievaluasi, diimplementasikan, dan diuji. Berikut contoh pengamanan atas network/web servers.: 1. Menggunakan part-time atau full time administrator yang bertanggungjawab mengembangkan network/web server security plan 2. Meng-enkripsi dan mengautentikkan pesan yang mengandung data rahasia, atau menggunakan kabel khusus untuk transmisinya, sehingga data tidak dapat diintercept dan/atau diubah dalam perjalanannya ke penerima dan dibaca oleh pihak yang tidak berwenang. Karena pengkodean data sangat rumit, proses ini dapat dilakukan secara otomatis oleh kombinasi sistem hardware-software seperti Network Security System. 3. Menggunakan channels dan devices yang reliabel dan kompatibel, termasuk juga penggunaan error-detecting and correcting devices, sehingga error dan malfungsi bisa diminimalkan. 4. Meyakinkan ketersediaan data dengan menyiapkan jadwal backup secara regular dan berkesinambungan. 5. Menggunakan transmission control seperti echo checks, dual transmission of messages, dan protocol yang tersandarisasi. 6. Menempatkan network/web server devices dalam lokasi yang terlindung dan dibatasi, sehingga mengurangi risiko kerusakan atau pencurian.

15

7. Menggunakan system software yang write-protected dan yang melakukan parity checks, echo check, atau cek verifikasi lainnya untuk meyakinkan bahwa network/web server software tidak diubah dan data ditransmisi secara akurat. 8. Menggunakan password untuk menjaga keamanan data yang sensitive dari akses dan pengubahan oleh pihak yang tidak berwenang. Penggunaan security software utility seperti Kerberos juga akan membantu. 9. Menggunakan network audit system (NAS) atau network management system (NMS) software untuk memonitor network/web server resources,

mengkompilasi laporan performa network/web server, mendeteksi kerusakan sistem, memonitor network/web server administrator, dan memberikan nomor pesan untuk menghasilkan audit trail dan web server log. 10. Memvalidasi input data untuk mendeteksi dan mencegah transmisi error. 11. Me-maintain dokumentasi dan prosedur yang terstandarisasi (spt. standar konektivitas) melalui network/web server site. 12. Memberikan pelatihan yang tepat dari centralized system group pada users melalui network/web server site. 13. Melakukan supervisi di setiap network/web server site. 14. Membatasi akses pada network/web server entry point yang rentan. Firewall dapat mengamankan akses ke entry point ini. Router dapat digunakan sebagai firewall karena dapat dikonfigurasi untuk mengisolasi dia atau lebih network dari akses oleh pihak yang tidak berwenang. Aktivitas monitoring periodik juga perlu dilakukan, diantaranya sebagai berikut. 1. Evaluasi efektivitas network/web server administrator pada kegiatan seperti metode penyelesaian complain dari user, evaluasi kegiatan monitoring keamanan dari hari ke hari, dan penilaian sistem pemberian dan maintenance password. 2. Evaluasi skill level karyawan dalam menjalankan dan me-maintain

network/web server site. 3. Analisa rencana jangka panjang untuk perluasan network/web server site. 4. Menentukan dari diagram network/web server site bahwa network/web server site well conceived. 5. Evaluasi metode backup/recovery.

16

6. Menguji system plan dalam me-restore data. 7. Evaluasi metode pendidikan dan pelatihan user dalam fundamental

network/web server site. 8. Memastikan adanya kebijakan mengenai reprimand atau prosecute karyawan yang menyalahgunakan network/web server. 9. Mengadakan review atas network software yang tidak berlisensi. 10. Mengadakan penghitungan fisik atas alat-alat network.web server site. 11. Menentukan violation atas software-site-licensing agreements.

F. DISASTER CONTINGENCY AND RECOVERY PLANNING (DCRP) DCRP merupakan rencana komprehensif untuk pemulihan dari bencana alam atau gangguan manusia yang tidak hanya mempengaruhi kemampuan pemrosesan computer suatu perusahaan tetapi juga operasional bisnis yang penting. DCRP penting diterapakan oleh seluruh perusahaan tanpa melihat ukurannya. DCRP berperan sebagai guideline yang memungkinkan perusahaan untuk meminimalkan kerusakan dan mengembalikan operasi computer dan operasional bisnis. 1. Komponen DCRP - Emergency plan (tindakan selama dan segera setelah bencana) - Backup plan (meyakinkan ketersediaan backup facilities) - Recovery plan (pembentukan tim untuk merekonstruksi dan mengembalikan operasional perusahaan) - Test plan (koreksi DCRP sebelum kejadian bencana, misalnya dengan mengadakan simulasi) - Maintenance plan (memastikan DCRP tetap up-to-date ketika terjadi perubahan kondisi, misalnya perubahan lokasi kantor cabang, personel kunci, struktur organisasi, kebijakan vendor, hardware, dan software. 2. Menguatkan Proses DCRP - Merencanakan kontinuitas pemrosesan computer dan operasional bisnis secara umum. - Menyelenggarakan annual planning meeting dengan senior management untuk meninjau aktivitas tahun sebelumnya dan mendiskusikan perubahan atau perbaikan yang dibutuhkan untuk meng-update DCRP.

17

- Melibatkan departemen audit internal dalam setiap fase DCRP. - Mempertimbangkan elemen manusia. Ketika terjadi bencana, perusahaan harus menyiapkan kebutuhan karyawan dan keluarganya, contohnya pemukiman temporer dan transportasi. - Memberitahukan manajer dan karyawan mengenai tanggung jawab mereka dalam DCRP. - Mempertimbangkan backup telekomunikasi alternatif.