RMK Sistem dan Teknologi Informasi

KEAMANAN TI, KEJAHATAN, KEPATUHAN DAN KONTINUITAS

DISUSUN OLEH :

HENDRIKO RAJAGUKGUK (P3400216003)

PUTRI ADITYA HUSAINI (P3400216011)

NUR INDRIANI (P3400216035)

MAGISTER AKUNTANSI

UNIVERSITAS HASANUDDIN

2017
A. Protecting Data and Business Operations
Apa yang dimaksud dengan keamanan informasi dan jaringan? Sebagian besar orang
akan menyebut hardware dan software pada jawaban mereka; sebagai contoh, firewalls,
enskripsi, antivirus, antispam, anti-spyware, anti-phising, dan masih banyak lagi. Firewalls dan
sistem deteksi gangguan keamanan ditempatkan melalui jaringan untuk mengawasi dan
mengendalikan lalu lintas masuk dan keluar dari sebuah jaringan. Perlindungan data dan
operasi bisnis melibatkan semua hal berikut:

1. Membuat data dan dokumen yang tersedia dan dapat diakses 24/7 sekaligus membatasi
akses secara simultan.
2. Menerapkan dan menegakkan prosedur dan penggunaan kebijakan yang dapat diterima
untuk data, hardware, software, dan jaringan yang dimiliki perusahaan.
3. Mempromosikan berbagi informasi yang aman dan legal antara pihak yang berwenang
dengan mitra.
4. Memastikan kepatuhan terhadap peraturan pemerintah dan undang-undang.
5. Mencegah serangan dengan memiliki pertahanan intrusi jaringan di tempat.
6. Mendeteksi, mendiagnosis, dan bereaksi terhadap insiden dan serangan secara real time.
7. Memelihara pengendalian internal untuk mencegah manipulasi data dan catatan.
8. Memulihkan dari bencana bisnis dan gangguan dengan cepat.
Keamanan TI

Hal ini meliputi perlindungan informasi, jaringan komunikasi, dan operasi e-

commerce dan tradisional untuk menjamin kerahasiaan, integritas, ketersediaan, dan
penggunaan resmi. Risiko keamanan TI adalah risiko bisnis yang dapat berasal dari dalam,
luar, organisasi cyber criminal, atau malware. Malware adalah perangkat lunak berbahaya yang
mengacu pada virus, worm, trojan horse, spyware, dan semua jenis lain dari program yang
mengganggu, merusak, atau tidak diinginkan. Secara umum, langkah-langkah keamanan TI
telah fokus pada perlindungan terhadap orang luar dan malware. Perusahaan menderita
kerugian yang luar biasa dari kecurangan yang dilakukan oleh karyawan baik yang disengaja
maupun tidak disengaja, penipuan, kebakaran, banjir, atau bencana alam lainnya.

Know Your Enemy And Your Risks

Perusahaan banyak menderita kerugian dari penipuan yang dilakukan karyawan.
Ancaman karyawan, disebut sebagai ancaman internal, adalah rintangan utama yang sebagian
besar disebabkan oleh sejumlah besar cara yang dapat dilakukan seorang karyawan untuk
melakukan aktivitas berbahaya. Insiden internal berikut dapat dicegah jika kebijakan yang ketat
dan pertahanan telah ditingkatkan. Seringkali para korban merupakan pihak ketiga, seperti
pelanggan, pengguna jaringan sosial, perusahaan kartu kredit, dan pemegang saham. Waktu
eksploitasi spyware tercanggih dan virus saat ini telah menyusut dari bulan ke hari. Waktu
eksploitasi adalah waktu yang telah lewat antara ketika kerentanan yang ditemukan dan ketika
hal tersebut telah dieksploitasi. Staf TI memiliki jangka waktu lebih pendek untuk menemukan
dan memperbaiki kelemahan tersebut sebelum terjadi suatu serangan.
Peraturan Pemerintah
Data harus dilindungi dari skema serangan yang ada sekarang dan di masa depan, dan
pertahanan harus memenuhi peraturan pemerintah dan peraturan internasional. SOX, Gramm-
Leach-Billey Act (GLB), Federal Information Security Management Act (FISMA), and USA
Patriot Act in the United States; Japans Personal Information Protection Act; Canadas
Personal Information Protection and Electronic Document Act (PIPEDA); Australias Federal
Privacy Act; the United Kingdoms Data Protection Act; and Base II (jasa keuangan global)
semuanya mewajibkan untuk memberikan perlindungan terhadap data pribadi.
Standar Industri
Kelompok industri menggunakan standar mereka sendiri untuk melindungi pelanggan
dan anak perusahaan serta pendapatan mereka. Salah satu contoh adalah Payment Card
Industry Data Security Standard (PCI DSS) dibuat oleh Visa, MasterCard, American Express,
dan Discover. PCI diperlukan untuk semua anggota, pedagang atau penyedia jasa yang
menyimpan, mengolah, atau mengirimkan data pemegang kartu. Tujuan dari PCI DSS adalah
untuk meningkatkan kepercayaan pelanggan dalam e-commerce, terutama ketika pembayaran
dilakukan secara online, dan untuk meningkatkan keamanan Web dari pedagang online. Untuk
memotivasi agar mengikuti standar tersebut, diberikan hukuman bagi yang melanggar.
IT Security Defense-in-Depth Model
Keamanan TI dan model pengendalian internal dimulai dengan komitmen dan
dukungan senior manajemen. Prinsip dasarnya adalah bahwa ketika satu lapisan pertahanan
gagal, maka lapisan lainnya akan memberikan perlindungan yang seluruhnya yang terdiri dari
empat langkah yaitu:

Langkah 1: Dukungan dan Komitmen Manajemen Senior. Manajemen senior dibutuhkan untuk
implementasi dan memelihara keamanan, standar etika, praktik pribadi, dan internal kontrol.
Langkah 2: Pelatihan dan Kebijakan Keamanan. Langkah selanjutnya membangun efektivitas
keamanan program TI untuk mengembangkan kebijakan keamanan dan menyediakan latihan
untuk menjamin setiap orang dapat memahaminya.

Langkah 3: Penegakan dan Prosedur Keamanan. Jika aktivitas pengguna tidak diawasi untuk
kepatuha, AUP sangat berguna.

Langkah 4: Keamanan Peralatan: Hardware dan Software. Langkah terakhir dalam model ini
adalah mengimplementasi software dan hardware yang dibutuhkan untuk mendukung dan
menguatkan keamanan AUP.

B. Is Vulnerabilities and Threats

Ancaman terhadap sistem informasi dapat digolongkan menjadi dua, yaitu ancaman
tidak disengaja maupun tidak disengaja. Ancaman disengaja dibagi ke dalam tiga kategori
utama, yaitu:
1. Kesalahan manusia (human errors) dapat terjadi dalam desain hardware atau sistem
informasi. Hal ini juga dapat terjadi selama pemrograman, pengujian, atau entri data.
Kesalahan manusia juga mencakup pengguna yang tidak terlatih atau tidak sadar
menanggapi phishing atau mengabaikan prosedur keamanan.
2. Bahaya lingkungan (environmental hazards) termasuk gunung berapi, gempa bumi,
badai salju, banjir, gangguan listrik atau fluktuasi yang kuat, kebakaran (bahaya yang
paling umum), AC rusak (defective air conditioning), ledakan, kejatuhan radioaktif, dan
kegagalan sistem pendingin air.
3. Kegagalan sistem komputer (computer sistems failures) dapat terjadi sebagai hasil dari
manufaktur yang buruk, bahan rusak, dan perbaikan jaringan atau jaringan yang buruk.
Kegagalan fungsi yang tidak disengaja juga bisa terjadi karena alasan lain, mulai dari
kurangnya pengalaman untuk pengujian memadai.
Ancaman disengaja termasuk pencurian data, penggunaan data yang tidak tepat
(misalnya, memanipulasi input), pencurian mainframe waktu komputer, pencurian peralatan
dan/atau program; manipulasi yang disengaja dalam penanganan, input, pengolahan, transfer,
atau pemrograman data, pemogokan buruh, kerusuhan, atau sabotase, kerusakan berbahaya
pada sumber daya komputer, kerusakan dari virus dan serangan serupa, dan pelanggaran
komputer lain-lain dan penipuan Internet. Hacker cenderung melibatkan orang dalam kejahatan
mereka, menggunakan taktik yang disebut social engineering. Social engineering digunakan
untuk tujuan bisnis (noncriminal) juga. Misalnya, iklan menggunakan rekayasa sosial
(misalnya, menjanjikan kekayaan atau kebahagiaan) untuk meyakinkan orang untuk membeli
produk atau jasa mereka.

IT Attacks

Ada banyak jenis serangan muncul secara teratur. Terdapat dua jenis serangan IT,
yaitu perusakan data/data tampering dan serangan program/programing attack. Perusakan data
adalah serangan umum yang dibayangi oleh berbagai jenis serangan. Hal ini mengacu pada
serangan dimana seseorang memasukkan data palsu atau penipuan ke komputer atau merubah
dan menghapus data yang ada. Perusakan data sangat serius karena mungkin tidak terdeteksi.
Hal ini merupakan metode yang sering digunakan oleh seseorang dalam melakukan penipuan.

Botnets adalah kumpulan bot (komputer terinfeksi oleh robot software). Botnets
semacam zombie atau virus yang mengekspos komputer terinfeksi, serta komputer jaringan
lain, dengan ancaman seperti Spyware, Adware, Spam, Phishing, Serangan DoS. Sejak
malware dan botnet menggunakan banyak metode serangan dan strategi, beberapa alat yang
diperlukan untuk mendeteksi dan/atau menetralisir efeknya. Tiga pertahanan penting dalam
mendeteksi malware dan botnet yaitu: 1) Antivirus software, 2) Sistem Deteksi Penyusup
(Intrusion detection systems_IDS), dan 3) Sistem Pencegahan Penyusup (Intrusion prevention
systems_IPS).

C. Fraud, Crimes and Violations

Kejahatan dapat dibagi menjadi dua kategori tergantung pada taktik yang digunakan
untuk menanganinya: kejahatan tanpa kekerasan dengan kejahatan dengan kekerasan. Fraud
merupakan kejahatan tanpa kekerasan karena tidak menggunakan senjata atau pisau, pelakunya
menggunakan penipuan dan tipu daya dengan menyalahgunakan kekuasaan atau posisi mereka
dengan mengambil keuntungan dari kepercayaan, kebodohan, atau kemalasan orang lain.
Occupational fraud mengacu pada penyalahgunaan aset yang disengaja oleh karyawan untuk
keuntungan pribadi. Audit internal dan pengendalian internal sangat penting untuk pencegahan
dan mendeteksi fraud.

TI memiliki peran penting dalam menunjukkan tata kelola perusahaan yang efektif
dan pencegahan fraud. Regulator terlihat baik pada perusahaan yang dapat menunjukkan tata
kelola perusahaan yang baik dan praktek terbaik manajemen risiko operasional. Manajemen
dan staf perusahaan tersebut kemudian dapat menghabiskan waktu yang mengkhawatirkan
tentang peraturan dan lebih banyak waktu menambahkan nilai pada merek dan bisnis mereka.
Tindakan pencegahan fraud internal didasarkan pada pengendalian yang sama digunakan untuk
mencegah intrusi eksternal, perimeter pertahanan teknologi, seperti firewall, e-mail scanner,
dan akses biometrik. Mereka juga didasarkan pada prosedur sumber daya manusia (SDM),
seperti perekrutan, pemeriksaan dan pelatihan.

Strategi pertahanan dan pengendalian yang seharusnya digunakan tergantung pada

apa yang perlu dilindungi dan analisis biaya-manfaat. Berikut adalah tujuan utama dari strategi
pertahanan, yaitu:

1. Prevention and deterrence. Pengendalian dirancang secara benar agar dapat mencegah
kesalahan yang terjadi, mencegah penjahat yang menyerang sistem, dan menolak akses
kepada orang-orang.
2. Detection. Deteksi dapat dilakukan dalam banyak kasus dengan menggunakan perangkat
lunak diagnostik khusus, dengan biaya minimal.
3. Containment meminimalkan atau mengurangi kerugian malfungsi yang terjadi. Hal ini
juga disebut pengendalian kerusakan.
4. Recovery. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki sistem
informasi yang rusak secepat mungkin.
5. Correction. Mengoreksi penyebab sistem yang rusak dapat mencegah masalah terjadi
lagi.
6. Awareness and compliance. Semua anggota organisasi harus dididik tentang bahaya dan
harus sesuai dengan aturan keamanan dan peraturan.

Jaminan Informasi dan Manajemen Risiko

Tujuan dari manajemen keamanan TI adalah untuk mempertahankan semua

komponen sistem informasi, khususnya data, aplikasi software, hardware (perangkat keras),
dan jaringan (network). Dibawah ini merupakan tujuan utama strategi pertahanan :

1. Pencegahan dan Penangkalan. Pengendalian yang dirancang akan mencegah terjadinya

kesalahan, menghalangi para kriminal untuk menyerang sistem, dan mencegah akses
dari pihak yang tidak memiliki otoritas.
2. Deteksi. Deteksi dapat dijalankan pada banyak kasus dengan menggunakan software
diagnosis khusus dengan biaya yang rendah.
3. Pengurangan dari kerusakan. Tujuannya adalah untuk meminimalisir atau membatasi
kerugian ketika terjadi kegagalan pemakaian.
 4. Pemulihan. Sebuah rencana pemulihan menjelaskan bagaimana memperbaiki
kerusakan sistem informasi secepat mungkin. Mengganti komponen yang rusak
merupakan langkah yang lebih cepat untuk pemulihan dari pada memperbaiki.
5. Perbaikan. Perbaikan yang disebabkan oleh kerusakan sistem dapat mencegah masalah
yang akan terjadi lagi.
6. Kesadaran dan Kepatuhan. Seluruh Anggota organisasi harus dididik tentang resiko dan
harus patuh terhadap aturan keamanan dan peraturan lainnya.

Strategi pertahanan juga membutuhkan beberapa kontrol seperti pengendalian umum

(general controls) dan pengendalian aplikasi (application controls). Pengendalian umum
dilaksanakan untuk melindungi sistem selain dari aplikasi tertentu. Kategori utama dalam
pengendalian umum, yaitu:

1. Pengendalian fisik.
2. Pengendalian akses.
3. Pengendalian administratif.

Pengendalian aplikasi mengacu pada perlindungan terhadap aplikasi tertentu dengan

menggunakan sebuah software yang disebut intelligent agents yang mengacu pada aplikasi
yang sangat pintar yang dapat bereaksi, otonomi, dan dapat beradaptasi terhadap serangan.

D. Network Security
Sebagai suatu bentuk pertahanan, perusahaan perlu untuk mengimplementasikan
produk pengendalian akses jaringan (network access control/ NAC). Alat NAC berbeda dari
teknologi keamanan tradisional dan prakteknya berfokus pada akses file. Sementara lima
tingkat keamanan sangat berguna untuk melindungi data tidak menjaga pengguna yang tidak
sah dari jaringan di tempat pertama. Teknologi NAC, dipihak lain, membantu bisnis menguci
jaringan mereka dari tindakan kriminal.

Pengukuran keamanan jaringan meliputi tiga jenis pertahanan, yang mengacu pada
lapisan, yakni:
Lapisan pertama: keamanan perimeter untuk mengendalikan akses pada jaringan.
Contohnya software antivirus dan firewalls
Lapisan kedua: Autentikasi untuk memeriksa identitas dari orang yang meminta akses
ke jaringan. Misalnya nama pengguna dan kata kunci
 Lapisan ketiga: Autorisasi untuk mengendalikan apa .yang pengguna dapat lakukan
sekali mereka dapat diberikan akses pada jaringan.
Network authentication and authorization

Tujuan utama otentikasi adalah bukti identitas untuk mengidentifikasi pengguna yang
sah dan menentukan tindakan yang diizinkan untuk dilakukan. Ada tiga pertanyaan kunci
ketika membuat sistem otentikasi, yaitu: 1) Siapa kau? Apakah seorang atau karyawan, mitra,
atau pelanggan? Tingkat otentikasi yang berbeda akan diatur untuk jenis orang yang berbeda;
2) Dimana kau? Sebagai contoh, seorang karyawan yang telah mengakses jaringan kurang
berisiko daripada seorang karyawan atau mitra yang logging jarak jauh. Seseorang log on dari
alamat IP yang diketahui kurang dari risiko dari seseorang log on dari Nigeria atau Kazakhstan;
dan 3) Apa yang kau inginkan? Apakah orang ini mengakses informasi sensitif atau
kepemilikan atau hanya mendapatkan akses ke data?

E. Internal Control and Compliance

Lingkungan pengendalian internal adalah lingkungan kerja dimana perusahaan diatur
untuk karyawannya. Pengendalian internal adalah proses yang dirancang untuk mencapai
tujuan berikut: 1) Pelaporan keuangan yang handal; 2) Efisiensi operasional; 3) Kepatuhan
terhadap hukum, peraturan, dan kebijakan; dan 4) usaha perlindungan aset.

Pengendalian internal diperlukan untuk kepatuhan. Sarbanes-Oxley Act (SOX) adalah

undang-undang anti-fraud. Hal ini memaksa pelaporan bisnis yang lebih akurat dan
pengungkapan prinsip akuntansi yang berlaku umum (generally accepted accounting
principles-GAAP) pelanggaran, sehingga perlu untuk mencari dan membasmi penipuan. SOX
dan SEC membuat jelas bahwa jika pengendalian dapat diabaikan, maka tidak ada
pengendalian. Oleh karena itu, pencegahan penipuan dan deteksi sistem pemantauan yang
efektif diperlukan.

F. Business Continuity and Auditing

Rencana bisnis berkelanjutan yang juga dikenal sebagai rencana pemulihan bencana
menguraikan proses dimana bisnis harus pulih dari bencana besar. Penghancuran semua (atau
sebagian besar) fasilitas komputer dapat menyebabkan kerusakan yang signifikan. Hal ini sulit
bagi banyak organisasi untuk mendapatkan asuransi untuk komputer dan sistem informasi
tanpa menunjukkan pencegahan bencana yang memuaskan dan rencana pemulihan. Pemulihan
bencana adalah rantai peristiwa yang menghubungkan rencana bisnis berkelanjutan untuk
perlindungan dan pemulihan. Beberapa pemikiran kunci tentang proses ini, yaitu: 1) Tujuan
dari rencana bisnis berkelanjutan adalah untuk menjaga bisnis berjalan setelah bencana terjadi.
Setiap fungsi dalam bisnis harus memiliki rencana kemampuan pemulihan yang valid; 2)
Perencanaan pemulihan merupakan bagian dari perlindungan aset. Setiap organisasi harus
menetapkan tanggung jawab kepada manajemen untuk mengidentifikasi dan melindungi aset
dalam lingkup pengendalian fungsional mereka; 3) Perencanaan harus fokus terlebih dahulu
pada pemulihan dari kerugian total dari semua kemampuan; 4) Bukti kemampuan biasanya
melibatkan beberapa jenis analisis what-if yang menunjukkan rencana pemulihan saat ini; 5)
Semua aplikasi penting harus diidentifikasi dan prosedur pemulihannya ditangani dalam
rencana; 6 Rencana tersebut harus ditulis sehingga akan efektif dalam kasus bencana, bukan
hanya untuk memuaskan auditor; dan 6) Rencana tersebut harus disimpan di tempat yang aman
dan harus diaudit secara berkala.