SISTEM INFORMASI AKUNTANSI

KEAMANAN SISTEM INFORMASI

Oleh Kelompok 8:
I Wayan Ade Arimbawa

(1306305011)

I Gede Dany Satriya Upadana

(1306305125)

I Putu Putra Wiguna

(1306305171)

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS UDAYANA
PROGRAM REGULER
2015

A. KEAMANAN SISTEM INFORMASI : SEBUAH TINJAUAN

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keaman informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan.
1. Siklus Hidup Sistem Kemanan Informasi
Sistem keamanan computer dikembangkan dengan menerapkan metode analisis,
desain, implementasi, serta evaluasi, dan pengendalian.
Fase Siklus Hidup

Tujuan
Analisis krentanan sistem dalam arti

Analisis Sistem

ancaman yang relevan dan ekposur

kerugian yang terkait dengan ancaman
tersebut.
Desain ukuran keamanan dan rencana

Desain Sistem

kontigensi untuk mengendalikan ekposur

kerugian yang teridentifikasi.

Implementasi Sisem

Menerapkan ukuran keamanan seperti yang

telah di desain.
Mengoperasikan sistem dan mekaniser

Operasi,evaluasi dan pengendalian sistem

efektivitas dan efesiensi. Membuat

perubahan sebagaimana diperlukan sesuai
dengan kondisi yang ada.

2. Sistem Keamanan Informasi Dalam Organisasi

Agar sistem keaman informasi bisa efektif, system keamanan harus dikelola oleh chief
security officer (CSO). Individu tersebut harus melapor langsung pada dewan direksi demi
terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan
direksi untuk mendapatkan persetujuan dewan direksi, yang mencakup setiap fase dari siklus
hidup.
Fase Siklus Hidup
Analisis Sistem

Laporan kepada Dewan Direksi

Sebuah ringkasan terkait dengan semua
ekposur kerugian yang relevan.

Rencana detail mengenai pengendalian dan

Desain sistem

pengelolaan kerugian, termasuk anggaran

sistem kemanan secara lengkap.
Mengungkapkan secara spesifik kinerja

Implementasi sistem, operasi,evaluasi,dan

pengendalian sistem.

sistm kemanan,termasuk kerugian dan

pelanggaran kemanan yang terjadi, analisis
kepatuhan, serta biaya operasi sistem
kemanan.

3. Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem.
Pendekatan kuantitatif untuk menaksir resiko menghitung setiap ekposur kerugian sebagai
hasil kali biaya kerugian setiap item ekposur dengan kemungkinan terjadinya ekposur
tersebut. Manfaat terbesar dari analisis semacam ini adalah ia dapat mnunjukkan bahwa
ancaman yang paling mungkin terjadi bukanlah ancaman dengan ekposur kerugian terbesar.
Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir ekposur
kerugian.
Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya ekposur tersebut merupakan hal yang sulit.Yang kedua, mengestimasi
kemungkinan terjadinya suatu kerugian melibatkan peramalan masa yang akan datang, yang
sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat.
Penyerang yang sangat suka resiko mungkin akan bersedia menerima risiko sangat besar
untuk mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir resiko kemanan komputer adalah
pendekatan kulitatif. Pendekatan kualitatif secara sederhana merinci daftar kerentanan dan
ancaman terhadap system, kemudian secara subjektif meranking item-item tersebut
berdasarkan konstribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.
Baik pendekatan kulitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik,
banyak perusahaan mengkombinasikan kedua pendekatan tersebut.
Apa pun metode yang dipakai, analisis ekpusur kerugian tersebut harus mencakup area
berikut ini :
1. Interupsi bisnis
2. Kerugaian perangkat lunak
3. Kerugian data
4. Kerugian Perangkat keras

5. Kerugian fasilitas
6. Kerugian jasa dan personel
B. KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman,
yaitu : ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan sistem
informasi dan sabotase koputer. Ancaman pasif mencakup kegagalan sistem, termasuk
bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kgagalan sistem
menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya
aliran listrik, dan lain sebaginya.
1. Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah
putih. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih
besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini terjadi karena di
sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa
membuat publik mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan
berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak Negara memiliki
undang-undang yang ditujukan pada masalah keamanan komputer.
National Commision on Fradulant Reprting (Treaday Commision) mengaitkan
kecurangan manajemen dengan kejahtan komputer. Kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
investor dan kreditur melalui pelaporan keuangan yang menyesatkan. Memang bisa
manajemen melakukan kesalahan lain yang memliki potensi untuk merugikan karyaan atau
investir, namun biasanya istilah kecurangan manajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
Denmark

penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.

Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan
penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi

Firlandia

atau program pengolahan data orang lain.

Penal Provision of Personal Registers Act,1987, Pasal 45, Personal
Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas

penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses

Perancis

data personal yang disimpan dalam pemrosesan data komputer.

Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2
sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal
terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan

Switserland

data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.

Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan
Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan
menambah atau menghapus record data dengan tujuan untuk kepentingan

diri sendiri.
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai
perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan
sesuatu, yang menghasilkan laporan keuangan yang secara material menyesatkan.
2. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi.
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file data yang sensitive, atau program kritis. Tiga kelompok individu-personel
sistem, pegguna, dan penyusup- memiliki perbedaan kemampuan untuk mengakses hal-hal
tersebut diatas. Personel sistem, kerap kali merupakan ancaman potensial karena mereka
diberi berbagai keengan akses terhadap data dan program yang sensitif. Pengguna, disisi lain,
hanya diberi akses terbatas (sempit) tetapi mereka masih memiliki cara untuk melakukan
kecurangan. Penyusup, tdak diberi akses sama sekali, tetapi mereka serign merupakan orangorang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada
perusahaan.
2.1 Personel Sistem Komputer
Personel sistem meliputi personel pemeliharaan komputer, programmer, operator, personel
administrasi sistem informasi, dan karyawan pengendalian data.

Personel Pemeliharaan Sistem

Personel pemeliharaan sistem menginstal perangkat keras dan perangkat lunak,
memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat
lunak. Dalam banyak kasus, individu-individu ini harus memiliki akses keamanan level
tinggi utnuk dapat menyelesaikan pekerjaan mereka.

Programmer
Programer sistem sering menulis program utnuk memodifikasi dan memperluas sistem
operasi jaringan. Individu-individu semacam ini biasanya diberi account dengan
kewenangan akses universal ke semua file perusahaan.

Operator
Jaringan individu aygn mengamati dan memonitor operasi komputer dan jaringan
komunikasi disebut operator jaringan.

Personel Administrasi Sistem Informasi

Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain
sebagainya. Administrasi account memiliki kemampuan utnuk menciptakan account fiktif
atau untuk memberi password pada account yang sama.

Karyawan Pengendali Data

Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer disebut
karyaan pengendali data.

Pengguna
Banyak pengguna memiliki akses data yang sensitif yang dapat mereka bocorkan kepada
pesaing perusahaan.

2.2 Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang
legal merupakan penyusup (intruder). Penyusup yang menyerang sistem informasi sebagai
sebuah kesenangan dan tantangan dikenal dengan nama hacker. Tipe lain dari penyusup
antara lain:

Unnoticed Intruder
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat
datayang sensitif di dalam komputer personal yang sedang tidak ada orangnya.

Wiretapper
Jaringan ini rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini bisa
dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder dan
sepotong kabel) ayng memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa
sedang terjadi penyadapan.

Piggybacker
Salah satu jenis penyadapan yang paling canggih piggybacking. Dengan metode ini,
penyadap menyadap informasi legal dan menggantinnya dengan informasi yang salah.

Impersonating
Intruder impersonating adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang
profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan
seragam karyawan atau servis.

Eavesdroppers CRT (cathode-ray-tubes)

Standar yang banyak digunakan di unit display video menghasilkan interferensi
elektromagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi
sederhana.

3. Ancaman Aktif pada Sistem Informasi

Berikut ini akan didiskusikan enam metode yang dapat digunakan utnuk melakukan
kecurangan sistem informasi.
3.1 Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa
digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang
bisa saja mengubah input tanpa memiliki pengetahan mengenai cara operasi sistem
komputer.
3.2 Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya pengguaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang
terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang
dapat digunakan untuk mendeteksi adanya perubahan dalam program.
Trapdoor. Merupakan sebagian program komputer yang memungkinkan seseorang
mengakses program dengan mengabaikan jalur keamanan program tersebut. Ada kalanya
pengembangan program menempatkan trapdoor dalam sebuah program untuk meyakinkan
bahwa mereka akan selalu memiliki akses terhadap program tersebut. Trapdoor bisa saja
ada di dalam sistem kuntansi, program database, sistem operasi, dan lain sebagainya.
3.3 Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk mengiputkan data ke dalam program komputer. Jika hal ini
terjadi, hasil yang di tuai adalah bencana.
3.4 Pencurian Data
Pencurian data penting merupakan salah satu masalah yang cukup dalam dunia bisnis hari
ini. Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantittif dan
kualitatif terkait dengan salah seorang pesaing merupakan salah satu informasi yang
cukup diburu. Sejumlah informasi ditransmisikan antar perusahaan melalui internet.
Informasi ini retan terhadap pencurian data saat transmisi. Informasi tersebut bisa saja
disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara
menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa

dicuri dengan dimasukan ke dalam kotak sampah. Lebih jauh, individu-individu denagn
akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim
informasi tersebut ke luar perusahaan lewat Internet. Dengan menggunakan metode
tersebut, penyusup data mencuri sejumlah besar informasi hanya dalam hitungan menit.
3.5 Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau
perangkat lunak dapat menyebabkn kebangkrutan suatu perusahaan. Karyawan yang tidak
puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama.
Seorang penyusup menggunaan sabotase untuk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Sebagai contoh, seseorang mengubah database
akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan
sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat dilakukan yang
dapat menyebabkan kerusakan yang serius terhadap perangkat keras komputer. Magnet
dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan meletakkan
magnet di dekat media/ detak radar juga memiliki efek yang sama jika radar tersebut
diarahkan pada bangunan yang berisi media magnetic. Salah satu metode tertua sabotase
dengan menggunkan program komputer yaitu dengan bom logika, bom logika melibatkan
sekeping kode laten di dalam sebuah program yang akan diaktivasi pada suatu saat nanti
terkait dengan peristiwa tertentu.
Kuda Troya merupakan sebuah program yang destruktif yang berklamuflase seolah-olah
ia merupakan program yang legal.
Program Virus serupa dengan kuda troya, tetapi dapat menyebarkan dirinya sendiri ke
program lain, "menginfeksi" program lain dengan virus yang sama. Virus saat ini sangat
lumrah karena hampir semua perusahaan menghadapi virus setiap hari.
Worm merupakan satu jenis virus yang menyebarkan dirinya melalui jaringan komputer.
Istilah worm muncul karena komputer berbeda yang terinfeksi di dalam jaringan dianggap
sebagai suatu segmen yang terkait seperti serangga.

Virus Mellisa Macro menempelkan dirinya pada file Microsoft Word dan menyebar
melalui Internet dengan cara mengirim email yang terinfeksi ke luar, ke nama-nama
yang terdapat dalam buku alamat secara otomatis. Penerima percaya pada file
terinfeksi yang dia terima karena file tersebut tampak seolah-olah diterima dari
seseorang yang mereka kenal.

Robert Morris, Jr., seorang lulusan dari Cornell University, mengembangkan program
virus yang masuk ke dalam internet dan menyebar melalui jaringan dengan sangat
cepat.

Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat,
termasuk bom logika, kuda troya, dan worm. Bentuk sabotase yang lain adalah serangan
denial-of-service. Penyerang membanjiri server Web dengan sangat banyak permintaan
dalam interval waktu yang sangat pendek. Terakhir, ada juga serangan yang ditujukan
untuk menghancurkan Website perusahaan. Hacker biasanya menembus masuk ke dalam
Website dan memodifikasi atau mengganti home page.
3.6 Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang menggunakan
sumber daya kmputer organisasi untuk kepentingan pribadi. Contohnya, lima orang
karyawan dinyatakan bersalah karena menggunakan komputer mainframe perusahaan di
jam-jam senggang untuk mengoperasikan pemrosesan data perusahaan mereka sendiri.
Selain itu, tipe kejahatan komputer yang lain, tidak terlalu diketahui tetapi sangat mungkin
terjadi di banyak perusahaan seperti misalnya beberapa karyawan mencuri komputer
mainframe perusahaan dalam satu hari, bagian demi bagian dilarikan lewat pintu
belakang.
C. SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran kemanan
dan perencanaan kontigensi. Ukuran keamanan fokus pada pendeteksian ancaman. Sebuah
doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak
dapat dicegah tanpa pengembangan suatu sistem yang sangat aman.
Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervisi
yang memadai, rotasi pekerjaan, batch control total, pengecekan validitas, dan lain
sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara
khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.
1. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor.
a. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral
yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya
keamanan. Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk
mengganggu keamanan sistem. Oleh karena itu, garis pertahanan yang utama adalah

suasanan kesadaran akan pentingnya keamanan. Menciptakan suasana semacam ini

dapat dilakukan dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan
keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan.
Keamanan harus diperlakukan dengan sangat serius. Semua pelanggaran harus
mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang
tanggung jawab harus memberikan teladan yang baik.
b. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya
diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya
menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi
komputasi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan menjaga
pola otoritas dan wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu
garis wewenang yang jelas untuk menentukan siapa yang bertanggung jawab
mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur
akuntansi.
c. Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau
menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki
pengalaman yang baik terkait dengan keamanan komputer dan bertindak sebagai chief
computer security officer. Dalam situasi apa pun, individu-individu tersebut harus
melapor secara periodic kepada komite audit mengenai semua fase sistem keamanan
komputer.
d. Metode Pembagian Otoritas dan Tanggung Jawab
Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan
struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
e. Aktivitas Pengendalian Manajemen
Pengendalian

anggaran

penting

dalam

lingkungan

komputer

karena

ada

kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam

teknologi informasi.
f. Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk
memenuhi kebutuhan yang terus berubah. Chief security officer harus membangun
kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan
perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat keras,

perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan kebijakan

keamanan yang telah dibuat.
g. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan
pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan yang
terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan personalia sistem komputer. Pengguna sering memiliki akses fisik ke aktiva komputer dan
personalia sistem sering memiliki hak akses ke file data yang memuat catatan
akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi satu
undangan untuk melakukan kecurangan.
Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-hati
karena karyawan yang di-PHK tercatat sebagai pelaku utama dalam kasus sabotase.
Jika seorang karyawan kunci dipecat, semua hak akses ke perangkat keras, perangkat
lunak, dan file data sensitif harus dibatalkan secepat mungkin.
h. Pengaruh Eksternal
Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data
terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah, serta mengatur pengiriman informasi ke negara lain.
Penting juga untuk mengimplementasikan kebijakan internal yang terdokumentasi
dengan baik untuk mencegah pembajakan perangkat lunak. Perusahaan yang tidak
memiliki kebijakan semacam ini dapat menjadi sasaran hukum.
2. Pengendalian Ancaman Aktif
Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase
adalah dengan menetapkan tahap-tahap pengendalian akses. Pengendalian akses memisahkan
penyusup dari sasaran potensial mereka. Filosofi di balik pendekatan berlapis untuk
pengendalian akses melibatkan pembangunan banyak tahap pengendalian yang memisahkan
calon penyusup dari sasaran potensial mereka. Tiga tahap yang dapat digunakan adalah
pengendalian akses lokasi, pengendalian akses sistem, dan pengendalian akses file.
a. Pengendalian Akses Lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu yang
tidak berwenang dari sumber daya komputer. Pemisahan secara fisik harus diterapkan
khususnya untuk menjaga perangkat keras area penginputan data, perpustakan data, dan
jaringan komunikasi.
b. Pengendalian Akses Sistem

Merupakan suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah
penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek
keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat
Internet Protocol (IP), dan perangkat-perangkat keras. Password harus dikendalikan
dengan hati-hati melalui sistem pengelolaan pasword yang baik. Prosedur pemberian
password yang paling aman adalah dengan tidak memberi kemungkinan kepada pengguna
untuk mengubah password mereka. Password yang ideal mestinya terdiri dari kombinasi
huruf kapital dan huruf kecil, simbol khusus, dan angka. Satu lagi lapisan keamanan dapat
ditambahkan dengan penggunaan sistem sign-countersign. Kekuatan sistem ini adalah
pasangan sign-countersign tidak akan pernah digunakan dua kali.
Firewall dapat diprogram untuk menolak setiap paket yang datang yang tidak berasal dari
alamat IP yang ada pada daftar otorisasi. Firewall hanya dapat membatasi, tetapi bukan
merupakan satu solusi total. Solusi yang lebih baik adalah menggunakan firewall dengan
teknik enkripsi. Terakhir, perlu dilakukan pembatasan terhadap hak administrasi setiap
individu pengguna komputer personal untuk mencegah pengguna menginstal perangkat
lunak ke dalam PC mereka, yang selanjutnya dapat mencegah kontaminasi virus, kuda
Troya, dan gangguan lain terhadap PC.
c. Pengendalain Akses File
Lapis terkahir dari pengendalian akses diterapkan pada level file. Pengendalian akses file
mencegah akses ilegal ke data dan file program. Pengendalian akses file yang paling
fundamental adalah pemmbuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file.
3. Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian ancaman semacam ini dapat berupa pengendalian previntif maupun korektif.
a. Sistem Toleransi Kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant
akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem
semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada lima level
pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada transaksi
individual.
Jaringan dapat dijadikan sistem toleransi kesalahan dengan cara menduplikasi jalur
komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang dapat digunakan
untuk membuat pemrosesan CPU redundan. Sistem dengan protokol berbasis-konsensus

dan sistem watchdog processor. DASD dapat dijadikan sistem toleransi kesalahan dengan
beberapa cara, seperti pengujian read-after-write, bad-sector lockout, dan disk mirroring.
Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan
uninterruptable power supply (UPS). Jika listrik mati, sistem backup yang ada kalanya
bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan
mendadak terhadap aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan
yang diterapkan pada level transaksi mencakup rollback processing dan database
shadowing. Dengan rollback processing, transaksi tidak pernah dituliskan ke dalam disk,
kecuali transaksi tersebut telah lengkap. Database shadowing serupa dengan disk
shadowing, hanya saja duplikasi semua transaksi dibuat dan dikirimkan lewat jaringan
komunikasi ke lokasi yang jauh (remote location).
b. Memperbaiki kesalahan : Backup File
Ada tiga jenis backup: backup penuh, backup incremental, backup diferensial. Backup
penuh membuat backup semua file yang ada dalam suatu disk. Sistem operasi akan secara
otomatis mengeset bit ini menjadi 1 pada saat sebuah file mengalami perubahan. Backup
inkremental melakukan backup semua file dengan nilai archive bit 1, kapan saja file
tersebut mengalami perubahan, kemudian, setiap archive bit file akan kembali diset
menjadi 0 selama proses backup. Terakhir backup diferensial pada dasarnya sama dengan
backup inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses backup.
Skema backup yang paling sederhana adalah melakukan backup penuh secara periodic.
4. Keamanan Internet
Kerentanan terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1.

Sistem operasi atau konfigurasi sistem operasi

2. Web-server atau konfigurasi web server

3.

Jaringan privat atau konfigurasi jaringan privat

4.

Berbagai program server

5.

Prosedur keamanan secara umum.

Setiap jenis kerentanan ini akan didiskusikan pada bagian berikut.

a.

Kerentanan Sistem Operasi

Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap
kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web
server. Untuk alasan inilah administrator keamanan harus pertama dan terpenting
mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu
menemukan kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator

harus secara konstan memonitor bulletin keamanan yang dipublikasikan oleh vendor
sistem operasi dan oleh jasa advisory pihak ketiga. Sebagai contoh, Microsoft selalu
memperbarui informasi keamanan untuk Windows melalui webside perusahaan
di www.microsoft.com/.
b.

Kerentanan Web Server

Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal
konfigurasi web server. Pengawasan informasi terkini semacam ini penting karena web
server dan web browser lebih sering mengalami pembaruan dibandingkan sistem
operasi.

c.

Kerentanan Jaringan Privat

Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke
komputer yang memiliki host web server, maka hacker pertama kali akan masuk ke
dalam komputer pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na
yang asli untuk melakukan invasi ke dalam komputer host web server.

d.

Kerentanan Berbagai Program Server

Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga
server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer
lain), e-mail server, dan remote control server (yang memungkinkan komputer yang
lokasinya jauh mengendalikan komputer host). Yang menjadi masalah adalah setiap
tambahan server merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah
satu server dapat menjadi pintu masuk bagi hacker untuk menyerang semua server yang
lain dan samua file di dalam komputer, bahkan komputer-komputer lain yang terhubung
ke server dalam LAN.

e.

Prosedur Keamanan Umum

Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting.
Perangkat lunak keamanan yang terbaik di dunia tidaka akan banyak membantu jika
administrator sistem tidak menegakkan kebijakan keamanan.

D. PENGELOLAAN RISIKO BENCANA

Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi
bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem
komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup

signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan
kontinuitas operasi bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
1. Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat
suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam

30 %

Tindakan kejahatan yang terencana

45 %

Kesalahan manusia

25 %

Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana
dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan
kebijakan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang
memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang
penting. Sistem semprotan air dapat membahayakan komponen elektronik. Banyak
perusahaan menggunakan sistem pemadam api yang berbasis sesuatu selain air, seperti
gas, busa, atau bedak.
2. Perencanaan Kontingensi Untuk Mengatasi Bencana
Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di
dalam perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari
dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum.
Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perusahaan. Seletah kedua hal
tersebut, rencana pemulihan dari bencana harus didokumentasikan dangan hati-hati dan
disetujui oleh kedua pihak tersebut. Hasil estimasi menyatakan bahwa biaya awal yang
diperlukan guna mengimplementasikan perencana-an pemulihan dari bencana berkisar
antara 2 % sampai 10 % dari total anggaran sistem informasi.
a. Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gudang,
catatan yang vital, dan sumber daya manusia.
b. Daftar Prioritas Pemulihan dari Bencana

Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait
dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasi aktivitas
dan jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit
atau hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja
mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari,
minggu, atau bulan setelah terjadinya suatu bencana.
c. Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat
bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang
harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus
dilaku-kan.
d. Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer
dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat.
Individu-individu ini memimpin jalannya perencanaan pemulihan dari pusat operasi
darurat, sebuah tempat yang memang ditetapkan sebelumnya.
e. Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya
pengumu-man terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang
harus diberi tahu tentang adanya bencana.
f. Menentukan Pemrosesan Komputer Alternatif
Bagian terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi
lokasi cadangan yang akan digunakan jika lokasi komputasi primer rusak atau tidak dapat
berfungsi. Ada tiga macam lokasi cadangan, yaitu:
Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel komputer,
tetapi tidak dilengkapi dengan peralatan komputasi.
Hot site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan
komputasi.
Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan,
dan juga data backup dan perangkat lunak yang up-to-date.
Alternatif lain selain ketiga alternatif pembangunan lokasi cadangan tersebut adalah
membangun kontrak dengan biro jasa komputasi, dengan pemasok jasa penanganan
bencana yang komersial, dan dengan perusahaan rekanan yang lain, yang kemungkinan

berada dalam industri yang sama. Biro Jasa mengkhususkan diri untuk menyediakan jasa
pengolahan data bagi perusahaan yang memilih untuk tidak memproses sendiri data yang
mereka miliki.
Perjanjian Shared Contingency atau Reciprocal Disaster merupakan perjanjian antara dua
perusahaan di mana setiap perusahaan setuju untuk membantu perusahaan lain pada saat
perusahaan yang lain membutuhkan.
g. Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan
karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena
banyak karyawan sulit dipindahkan dalam sementara waktu.
h. Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi
merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan
pelatihan yang sangat ekstensif.
i. Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan
yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang
tepat secara cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat
terjadi topan badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan.
Dalam situasi semacam ini, kerugian dapat diminimalkan jika tindakan penyelamatan
segera dilakukan.
j. Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu,
setiap perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali.
Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada
saat bencana benar-benar terjadi.

DAFTAR PUSTAKA
Bodnar, George H. dan Hopwood, William S. 2006. Sistem Informasi Akuntansi
Edisi 9. Yogyakarta: ANDI Yogyakarta