TUGAS AUDIT SISTEM INFORMASI

PENGENDALIAN MANAJEMEN KEAMANAN

Disusun oleh:
Spatya Rivalsi
1202312219
PROGRAM STUDI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS TELKOM
2016

DAFTAR ISI

DAFTAR ISI.....................................................................2
KATA PENGANTAR............................................................3
BAB I.............................................................................4
PENDAHULUAN...............................................................4
1.1
1.2
1.3

Latar Belakang..................................................................4
Rumusan masalah..............................................................5
Tujuan...........................................................................5

BAB II............................................................................ 6
PEMBAHASAN.................................................................6
2.1
2.2
2.3
2.4

Kebutuhan organisasi akan keamanan dan pengendalian...................6

Tujuan keamanan informasi sangat diperlukan..............................6
Cara untuk mencapai tujuan keamanan informasi...........................7
Pemerintah dan industri akan keamanan informasi........................13

BAB III.........................................................................15
PENUTUP......................................................................15
DAFTAR PUSTAKA..........................................................16

KATA PENGANTAR
Puji syukur saya ucapkan

atas kehadirat Allah SWT, karena berkat

nikmat, rahmat dan karunia-Nya, sehingga saya dapat menyelesaikan tugas ini
dengan lancar tanpa adanya hambatan dan gangguan.
Saya membuat makalah ini

berdasarkan tugas tentang Pengendalian

Manajemen Keamanan (security managemen control) sebagai salah satu penilaian

terhadap proses pembelajaran mata kuliah Audit Sistem Informasi

prodi

Akuntansi Fakultas Ekonomi dan Bisnis Telkom University.

Makalah ini membahas mengenai

pengendalian intern terhadap

manajemen kemanan (security managemen control) yang dimaksudkan untuk

menjamin agar asset system informasi tetap aman. Meski dalam penyusunan
makalah ini saya telah berusaha dengan maksimal, namun saya masih merasa
memiliki kekurangan dalam makalah ini, maka dari itu saya meminta kritik dan
saran pembaca makalah ini. Saya berharap makalah ini dapat bermanfaat bagi
kami pada khususnya dan bagi pembaca pada umumnya.

Bandung, 22 September 2016

Spatya Rivalsi

BAB I
PENDAHULUAN
1.1 Latar Belakang
Pengendalian intern terhadap manajemen kemanan (security managemen
control) yang dimaksudkan untuk menjamin agar asset system informasi tetap
aman. Asset sumber daya informasi mencangkup fisik (perangkat mesin dan
fasilitas penunjangnnya). Serta asset tak berwujud (non fisik, misalnya data atau
informasi, dan program aplikasi komputer).
Dewasa ini perkembangan teknologi sangat mempengaruhi bisnis proses
organisasi/ perusahaan dengan penggunaan sistem computer dan jaringan yang
dapat di akses secara luas. Dalam hal ini organisasi/perusahaan harus
memperhatikan kemanan system komputernya agar tidak memnyebabkan bisnis
terganggu. Keamanan komputer mencangkup aspek kemanan dalam sistem
komputer termasuk di dalamnnya keamanan perangkat keras, piranti lunak,
data/informasi system prosedur dan manusia (pemakai/user). Langkah yang perlu
di antisipasi oleh organisasi/perusahaan dalam penaganan kemanan komputer
akan disusun dan di sosialisasikan kepada semua stakeholder dalam
organisasi/perusahaan.
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan
serta integritas pada semua sumber daya informasi perusahaan, bukan hanya
untuk piranti keras dan data. Manajemen keamanan informasi (information
security management-ISM) dan persiapan-persiapan operasional setelah suatu
bencana, yang disebut dengan manajemen keberlangsungan bisnis (business
continuity management-BCM).
Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi ISM,
manajemen resiko dan kepatuhan tolok ukur. Perhatian akan ancaman dan resiko
berhubungan dengan pendekatan manajemen resiko. Ancaman dapat bersifat
internal atau eksternal, tidak disengaja atau disengaja. Resiko dapat mencakup
insiden pengungkapan, penggunaan dan modifikasi yang tidak diotorisasi serta
pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti
adalah virus computer. E-commercy telah menghasilkan resiko tertentu, namun

beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress
dan Visa Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri
atas pembatasan akses, firewall, kriptografi dan pengendalian fisik. Pengendalian
formal

bersifat

tertulis

dan

memiliki

harapan

hidup jangka

panjang.

Pengendalaian informal ditujukan agar menjaga para karyawan perusahaan

memahami dan mendukung kebijakan-kebijakan keamanan.
Sejumlah pihak pemerintah menentukan standard dalam menetapkan
peraturan yang mempengaruhi keamanan informasi. Asosiasi-asosiasi industri
juga telah menyediakan berbagai standard an sertifikasi professional.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
: (1) menjaga keamana karyawan, (2) memungkinkan keberlangsungan
operasional degan cara menyediakan fasilitas computer cadangan serta, (3)
melindungi catatan penting perusahaan. Perusahaan-perusahaan yang ingin
mengembangkan rencana kontijensi baru tidak harus memulainya dari awal,
beberapa model berbasis piranti lunak tersedia, seperti halnya garis besar dan
panduan dari pemerintahan.
1.2 Rumusan masalah
1.2.1

Bagaimana

kebutuhan

organisasi

akan

keamanan

dan

pengendalian?
1.2.2 Apa tujuan keamanan informasi sangat diperlukan?
1.2.3 Bagaimana cara untuk mencapai tujuan keamanan informasi
tersebut?
1.2.4 Bagaimana dukungan pemerintah dan industri akan keamanan
informasi?
1.3 Tujuan
1.3.1

Mengetahui

pengendalian.
1.3.2 Mengetahui

kebutuhan
tujuan

organisasi

mengapa

akan

keamanan

keamanan
informasi

dan
sangat

diperlukan.
1.3.3 Mengetahui bagaimana cara untuk mencapai tujuan keamanan
informasi tersebut.
1.3.4 Mengetahui bagaimana dukungan pemerintah dan industri akan
keamanan informasi

BAB II
PEMBAHASAN
2.1 Kebutuhan organisasi akan keamanan dan pengendalian
Dalam dunia masa kini, banyak organisasi atau perusahaan sadar akan
pentingnya menjaga keamanan informasi-informasi penting yang ada dalam
perusahaannya baik sumber daya mereka baik yang bersifat fisik maupun virtual
agar aman dari ancaman baik dari dalam maupun luar perusahaan. Hal ini
dikarenakan sisitem computer yang pertama kali mereka gunakan masih minim
system keamanan informasinya. Penglaman ini menginspirasi kalangan industri
dan perusahaan untuk melakukan untuk meletakkan penjagaan keamanan
informasi yang bertujuan untuk menghilangkan atau mengurangi kemungkinan
kerusakan atau penghancuran serta mnyediakan organisasi dengan kemampuan
untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
2.2 Tujuan keamanan informasi sangat diperlukan
Keamanan informasi ditujukan untuk tiga tujuan utama yaitu :
1) Kerahasiaan
Suatu entitas berusaha untuk melindungi data dan informasinya dari
pengungkapan kepada orang-orang yang tidak berwenang. System
informasi eksekutif, system informasi sumber daya manusia dan system
pemrosesan data transaksi.
2) Ketersediaan
Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data
dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya. Tujuan ini penting khususnya bagi system berorientasi
informasi seperti system informasi sumber daya amnesia dan sisitem
informasi eksekutif.
3) Integritas
Semua system informasi harus memberikan representasi akurat atas sistem
fisik yang direpresentasikannya

2.3 Cara untuk mencapai tujuan keamanan informasi

Tujuan ini dipenuhi dengan menjalankan progam manjemen keamanan

informasi (information security management-ISM) setiap hari dan manajemen

keberlangsungan bisnis agar operasional perusahaan terus berjalan setelah
bencana atau pelanggaran keamanan terjadi. Pemikiran yang terjadi saat ini
menyatakan bahwa aktivitas keamanan ini harus dikelola oleh direktur pengawas
informasi perusahaan (CIAO) yang memimpin fasilitas keamanan yang terpisah
dan melapor langsung ke CEO.
1) Manajemen keamanan informasi
Manajemen ini terdiri dari empat tahap :
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan
Ancaman keamanan informasi adalah orang, organisasi, mekanisme atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan. Ancaman dapat bersifat internal maupun eksternal dan dapat juga
bersifat disengaja maupun tidak disengaja.

Ancaman internal dan ancaman eksternal

Ancaman internal merupakan ancaman yang muncul dari dalam
perusahaan yang mencakup karyawan perusahaan, pekerja temporer,
konsultan, kontraktor, dan mitra bisnis perusahaan. Ancaman ini
diperkirakan menghasilkan kerusakan yang secara potensial lebih serius
jika dibandingkan dengan ancaman eksternal karena pengetahuan ancaman
internal yang lebih mendalam akan system tersebut. Ancaman eksternal

merupakan ancaman yang berasal dari luar perusahaan.

Tindakan tidak disengaja(kecelakaan) dan disengaja
Keamanan informasi harus ditujukan untuk mencegah ancaman yang
disengaja dan system keamanan juga harus mengeliminasi atau mengurangi
kemungkinan terjadinya kerusakan yang disebabkan kecelakaan. Jenis

ancaman yang sering terjadi:

(a) Virus
Virus adalah progam computer yang dapat mereplikasi diirinya sendiri tanpa
dapat diamati oleh pengguna dan menempel salinan dirinya pada progamprogam
(b) Worm
Seperti virus akan tetapi worm tidak dapat mereplikasi dirinya sendiri di

dalam system tapi dapat menyebarkan salinannya melalui e-mail.

(c) Trojan horse
Seperti virus juga tetapi tidak dapat mereplikasi atau mendistribusikan
dirinya sendiri akan tetapi si pengguna menyebarkannya sebagai suatu
perangkat, dimana perangkat itu menghasilkan perubahan-perubahan yang
tidak diinginkan dalam fungsionalitas system tersebut.
(d) Adware
Adware memunculkan pesan-pesan iklan yang mengganggu.
(e) Spyware
Spyware mengumpulkan data dari mesin pengguna.
2. Mendefinisikan resiko yang dapat disebabkan oleh ancaman-ancaman
tersebut
Resiko keamanan informasi merupakan potensi output yang tidak
diharapakan dari pelanggaran keamanan informasi oleh ancaman keamanan
informasi. Semua resiko mewakili tindakan yang tidak terotorisasi. Ada
empat jenis resiko yaitu :
(a) Pengungkapan informasi yang tidak terotorisasi dan pencurian
(b) Penggunaan yang tidak terotorisasi
(c) Penghancuran yang tidak terotorisasi dan penolakan layanan
(d) Modifikasi yang tidak terotorisasi
Manajemen resiko diidentifikasi sebagai satu dari dua strategi untuk
mencapai keamanan informasi. Resiko dapat dikelola dengan mengendalikan
atau menghilangkan resiko atau mengurangi dampaknya. Pendefinisian resiko
terdiri dari empat langkah:
1) Identifikasi asset-aset bisnis yang harus dilindungi dari resiko
2) Menyadari resiko
3) Menentukan tingkatan dampak pada perusahaan jika resiko benar-benar
terjadi
4) Menganalisis kelemahan perusahaan tersebut.
Setelah

analisis

resiko

diselesaikan,

hasil

temuan

sebaiknya

didokumentasikan dalam laporan analisis resiko yang berisi deskripsi resiko,

sumber resiko, tingginya tingkat resiko dan pengendalian yang diterapkan
pada resiko tersebut.
3. Menentukan kebijakan keamanan informasi
Perusahaan

dapat

menerapkan

kebijakan

keamanannya

dengan

mengelola sistem keamanan dengan melakukan langkah-langkah yang harus

dijalankan dalam memimpin program keamanan sistem informasi yaitu
Fase 1-inisiasi proyek
Tim yang menyusun kebijakan keamanan dibentuk. Jika komite pengawas
SIM perusahaan tidak dapat melaksanakan tanggungjawab untuk mengawasi
proyek kebijakan keamanan tersebut, suatu komite pengawas khusus dapat
dibentuk. Jika komite khusus telah terbentuk, komite tersebut akan mencakup
manajer dari wilayah-wilayah dimana kebijakan tersebut akan diterapkan.
Fase 2-penyusunan kebijakan
Tim proyek berkonsultasi dengan semua pihak yang berminat dan
terpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
Fase 3-konsultasi dan persetujuan
Tim proyek berkonsulatasi dengan manajemen untuk memberitahukan
temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai
berbagai persyaratan kebijakan.
Fase 4-kesadaran dan edukasi
Fase ini dilaksanakan dalam unit-unit organisasi. Hal ini merupakan contoh
manajemen pengetahuan. Manajemen meleyakkan progam formal pada
tempatnya untuk meningkatkan pengetahuan keamanan karyawan yang tepat.
Fase 5-penyebarluasan kebijakan
Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan itu
diterapkan.

Gambar alur penyusunan kebijakan keamanan

4. Mengimplementasikan pengendalian untuk untuk mengatasi resiko-resiko

tersebut
Pengendalian adalah mekanisme yang diterapkan baik untuk melindungi
perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut
pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga
kategori yaitu: teknis, formal dan informal.
(a) Pengendalian teknis
Pengendalian teknis terdiri dari :

Pengendalian akses
Pengendalian ini merupakan dasar untuk melawan ancaman yang
dilakukan oleh orang-orang yang tidak diotorisasi. Pengendalian ini

dilakukan melalui tiga tahap yaitu :

Identifikasi pengguna
Yaitu pengidentifikasian diri mereka degan caranmemberikan sesuatu
yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula
mencakup lokasi penguna seperti nomor telepon atau titik masuk

jaringan.
Otentikasi pengguna
Kegiatannya adalah memverikasi hak akses degan cara memberikan
sesuatu yang mereka miliki, seperti smart card atau chip identifikasi.

Dan dapat pula dilaksanakan dengan cara memberikan sesuatu yang

menjadi identitas diri.

Otorisasi pengguna
Setelah melakukan dua tahap diatas maka seseorang dapat
mendapatkan

otorisasi

untuk

memasuki

tingkat

atau

derajat

penggunaan tertentu.
Pengendalian kriptografi
Data dan informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi, yaitu dengan penggunaan
kode yang menggunakan proses-proses matematika. Data dan informasi
tersebut dapat dienkripsi dalam penyimpanan dan juga ditrnmisikan ke
dalam jaringan. Jiak seseorang tidak memilki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan informasi yang di

maksud tidak berarti ap-apa dan mencegah kesalahan penggunaan.

Pengendalian fisik
Perusahaan dapat melakukan pengendalian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya di tempat
terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive

terhadapa bencana alam.

(b) Pengendalian formal
Pengendalian ini mencakup penentuan cara berperilaku, dokumentasi
prosedur and praktik yang diharapkan, dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku. Bersifat formal karena
manajemen

menghabiskan

banyak

waktu

untuk

menyusunnya,

mendokumentasikannya dalam bentuk tulisan dan diharapkan untuk

berlaku dalam jangka panjang.
(c) Pengendalian informal
Mencakup progam-progam pelatihan

dan

edukasi

serta

progam

pembangunan menajemen. Pengendalian ini ditujukan untuk menjaga para

karyawan perusahaan memahami serta mendukung progam keamanan
tersebut.
2) Manajemen keberlangsungan bisnis
Merupakan aktivitas yang ditujukan untuk menentukan operasional setelah
terjadi gangguan system informasi. Pada awalanya aktivitas ini disebut
perencanaan bencana kemudian popular dengan nama perencanaan kontinjensi.
Sub rencana umum yang dalam perencanaan kontinjensi adalah

a) Rencana darurat
Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan
karyawan jika bencana terjadi. Cara-cara ini mencakup system alarm,
prosedur evakuasi dan system pemadaman api.
b) Rencana cadangan
Rencana cadangan ini bertujuan untuk mengantisipasi hal-hal pokok tidak
berfungsi degan baik. Perusahaan harus mengatur agar fasilitas computer
cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak tidak
dapat digunakan. Cadangan dapat diperoleh melalui kombinasi tiga hal
yaitu:
- Redudansi
Peranti keras, peranti lunak dan data diduplikasikan sehingga jika satu
set tidak dapat dioperasikan, set cadangannya dapar melanjutkan
proses.
- Keberagaman
Sumber daya informasi tidak dipasang pada tempat yang sama.
Perusahaan besar biasanya membuat pusat computer yang terpisah
-

untuk wilayah-wilayah operasi yang berbeda-beda.

Mobilitas
Perusahaan dapat membuat perjanjian dengan para pengguna peralatan
yang sama sehingga masing-masing perusahaan dapat menyediakan
cadangan kepada yang lain bila terjadi bencana yang besar.
Pendekatan yang lebih detail adalah membuat kontrak dengan jasa
pelayanan cadangan di hot side dan cold site. Hot side adalah fasilitas
computer lengkap yang disediakan oleh pemasok untuk pelanggannya
untuk digunakan jika terdapat situasi darurat. Cold side hanya

mencakup fsilitas bangunan namun tidak mencakup fasilitas computer.

c) Rencana catatan penting
Rencana catatan penting menentukan cara bagaimana catatan-catatan
penting perusahaan yang harus dilindungi.

2.4 Pemerintah dan industri akan keamanan informasi

1) Dukungan pemerintah
Pemerintah baik di amerika maupun Inggris telah menentukan standard
dan menetapkan peraturan yang ditujukan untuk menanggapi masalah
pentingnya keamana informasi yang meningkat, antara lain :
Standar keamanan computer pemerintah Amerika Serikat

 Undang-Undang Antiterorisme, Kejahatan dan Keamanan Inggris

(ATCSA) Undang-undang ini memiliki tiga pasal yaitu :
1. ISP diharuskan untuk memelihara data mengenai semua kejadian
komunikasi selama 1 tahun.
2. Otoritas pajak pemerintah diberi wewenang untuk mengungkapkan
informasi mengenai situasi keuangan seseorang atau organisasi kepada
pihak yang berwajib yang sedang menyelidiki tindakan criminal atau
terorisme.
3. Kewajiban kwrahasiaan dihilangkan untuk badan-badan umum meskipun
hanya terdapat kecurigaan akan adanya terorisme yang akan terjadi.
2) Dukungan industry
-

Standar industry
The Center for Internet security (CIS) adalah organisasi nirlaba yang

didedikasikan untuk membantu para pengguna computer guna membuat system

mereka lebih aman, bantuan ini yang diberikan melalui dua buah produk yaitu :
a. CIS Benchmarks
Membantu para pengguna untuk mengamanakan system informasi mereka
dengan cara menerapkan pengendalian khusus teknologi.
b. CIS Scoring Tools
Memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan,
membandingkannya dengan tolok ukur dan menyiapakan laporan yang
mengarahakan pengguna dan administrator system untuk mengamankan
-

system.
Sertifikasi professional
Sertifikasi ini dilakukan sebagai tanda keprofesionalan seseorang dalam bidang

TI. Contoh sertifikasi professional:

Asosiasi Audit Sistem dan Pengendalian
Information System Audit and Control Assosiation (ISACA) mengeluarkan
Certified Information System Auditor dan Certified Information Security
Manager.

Konsorsium Sertifikasi Keamanan Sistem Informasi Internasional

International Information System Certification Consortium menawarkan

certification Infornation System Security Professional (CISSP) yang member bukti

bahwa pemegangnya memiliki keahlian dalam keamanan informasi yang
mencakup topic seperti pengendalian akses, kriptografi, arsitektur keamanan,

keamanan internet dan praktik manjemen keamanan.

Institute SANS
Menawarkan sertifikasi melalui Global Information Assurance Certification

Progam miliknya, yang mencakup mata kuliah seperti audit keamanan IT dan
intisari pengendalian serta penulisan dan kebijakan keamanan.

BAB III
PENUTUP
A. Simpulan
Dijaman sekarang sistem keamanan informasi bagi perusahaan
merupakan kebutuhan pokok. Banyak perusahaan yang mencari keamanan
system informasi yang tidak manghambat ketersediaan bagi informasi bagi
pihak-pihak yang memiliki otorisasi untuk mendapatkannya. Tiga tujuan
keamanan informasi adalah kearahasiaan, ketersediaan dan intergritas.
Untuk mengimplementasikan tiga tujuan in dilakukan dua progam yaitu
manajemen

kaemanan

informasi

setiap

hari

dan

manajemen

keberlangsungan bisnis. Tantangan yang dihadapi dapat bersifat internal

maupun eksternal serta disengaja maupun tidak disengaja. Dari ancaman
tersebut

juga

akan

menimbulkan

resiko

seperti

pencurian

dan

pengungkapan, penggunaan, penghancuran dan penolakan layanan serta

modifikasi

yang

tidak

terotorisasi.

Kebijakan

keamanan

dapat

diimplementasikan dengan mengikuti rencana yang terdiri dari lima fase.

Untuk masalah pengendaliannya terdapat tiga jenis pengendalian yaitu
teknis, formal dan informal. Mengenai standart keamanan baik pemerintah
maupun asosiasi industry telah mengeluarkan standar atau memberikan
bantuan dalam menentukan apa saja yang harus dimasukkan kedalam
progam-progam keamanan. Manajemen keberlangsungan bisnis dapat
dicapai melalui rencana kontinjensi yang mempunyai tiga sub rencana.
Saat ini telah tersedia barbagai pilihan bagi perusahaan yang berniat untuk
meningkatkan kemanan informasinya. Ini merupakan satu wilayah
aktivitas komputerisasi, dimana jalan yang tepat sudah jelas.

DAFTAR PUSTAKA
http://megyanggraini.blogspot.co.id/2013/07/sistem-informasi
manajemen-keamanan.html
https://www.scribd.com/doc/86721168/Makalah-SIM
Gondodiyoto, Sanyoto. 2007. Audit Sistem Informasi + Pendekatan
CobIT.
Penerbit Mitra Wacana Media : Jakarta.