Dibuat Oleh :
SASI NGATININGRUM
55517120031
1. Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi
akses terhadap sumber daya informasi.COBIT 5 mengidentifikasi kemampuan
dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan
informasi yang eefektif.Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis.Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamananbagi kebertahanan jangka panjang organisasi.Selain itu, pegawai
juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi
organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika manajemen
mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang
mengikuti kebijakan keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman.
Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi
aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua
pengendalian atas ancaman terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau
perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi
siapa saja yang dapat mengakses sistem informasi organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di
bidang teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi
teknologi informasi yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau
memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5
DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci
keamanan yang efektif.
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel
terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan
keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain
untuk melindungi parimeter jaringan, namun diperlukan tambahan pengendalian
preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif
disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5
DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan
endpoint.
d. Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk
mencegah akses tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan
praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan
merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi
pada perangkas kera, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.
2. Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif
untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat
menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses
pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan,
sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem
yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda
atas gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan
pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk
menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik
manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan
kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta
kinerja keseluruhan proses bisnis.
3. Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga
pengendalian korektif yang penting:
a. Pembentukan sebuah tim perespon insiden komputer (computer incident
response team – CIRT). Merupakan sebuah tim yang bertanggung jawab untuk
mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses
respon insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition)
adanya sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan
(recovery); dan 4). Tindak lanjut (foloow up).
b. Pendesainan individu khusus (Chief Informastion Security Officer – CISO).
Penting agar organisasi menentukan pertanggungjawaban atas keamanan
informasi kepada seseorang di level manajemen senior yang tepat. satu cara untuk
memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen dari
fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief operating
officer (COO) maupun chief executive officer (CEO). Oleh karena itu, CISO
harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan
dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara
periodik.
c. Penetapan serta penerapan sistem manajemen path yang didesain dengan
baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang
digunakan oleh organisasi. Oleh karena sejumlah patch merepresentasikan
modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji
dengan cermat efek dari patch sebelum menyebarkannya.
2. Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan
informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari
pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu
mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan
orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi
harus menjalankan program data masking yaitu program yang menggantikan
informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data
tersebut kepada pengembang program dan sistem pengujian. Terdapat dua
permasalahan utama terkait privasi:
a. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Spam merupakan permasalahan yang terkait privasi
karena penerima sering kali menjadi target tujuan atas akses tak terotorisasi
terhadap daftar dan databasee-mail yang berisi informasi pribadi.
b. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi
pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban
etis dan moral untuk menerapkan pengendalian demi melindungi informasi
pribadi yang organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi
individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu
organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini,
American Institute of Certified Public Accountant (AICPA) dan Canadian
Institute of Chartered Accountants (CICA) bersama-sama mengembangkan
sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally
Accepted Privacy Principles – GAAP). Kerangka tersebut mengidentifikasi dan
mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi
pribadi para pelanggan yang terdiri dari:
1). Manajemen;
2). Pemberitahuan;
3). Pilihan dan persetujuan;
4). Pengumpulan;
5). Penggunaan dan Retensi;
6). Akses;
7). Pengungkapan kepada pihak ketiga;
8). Keamanan;
9). Kualitas;
10). Pengawasan dan penegakan.
2. Ketersediaan Pemrosesan
Proses pengendalian menunjukkan DSS01 dan DSS04 COBIT 5 menunjukkan
pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat
dibutuhkan oleh pengguna. Tujuan utamanya adalah untuk meminimalkan risiko
penghentian sistem.Oleh karena itu, organisasi perlu memiliki pengendalian yang
didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan
kedua tujuan tersebut maka bentuk pengendaliannya:
a. Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui
pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat
data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
b. Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal
dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan,
dan business continuity plan.
AUTHORIZATION/ACCSES CONTROL
Pengendalian akses (access control) menjadi pertimbangan pertama saat seorang
profesional Sistem Keamanan Informasi akan membuat program keamanan
informasi. Keistimewaan dan variasi mekanisme access control baik secara fisik,
teknik dan administrasi akan membangun arsitektur keamanan informasi yang
praktis untuk melindungi informasi penting dan sensitif yang menjadi aset
organisasi. Pengendalian akses dilakukan melalui tiga tahap yang mencakup:
a. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon
atau titik masuk jaringan.
b. Otentikasi pengguna. Para pengguna hak akses dengan cara memberikan
sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip
identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara
memberikan sesuatu yang menjadi identitas diri seperti tanda tangan atau suara.
c. Otorisasi pengguna. Setelah identifikasi dan autentifikasi dilalui, seseorang
kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna
tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya
untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain
dapat saja memiliki otorisasi untuk melakukan perubahan file tersebut.
Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile) atau
deskripsi pengguna yang terotorisasi. Sedangkan Otorisasi memanfaatkan file
pengendaliaan akses (access control file) yang menentukan tingkat akses tersedia
bagi pengguna. Setelah pengguna memenuhi syarat tiga fungsi pengendalian
akses, mereka dapat menggunakan sumber daya informasi.
LATAR BELAKANG
PEMBAHASAN
Sistem adalah jaringan kerja dari prosedur-prosedur yang saling
berhubungan, berkumpul bersama -sama untuk melakukan suatu kegiatan atau
menyelesaikan suatu sasaran tertentu.Sistem juga merupakan kumpulan elemen-
elemen yang saling terkait dan bekerja sama untuk memproses masukan (input)
yang ditujukan kepada sistem tersebut dan mengolah masukan tersebut sampai
menghasilkan keluaran (output) yang diinginkan.
Sistem informasi adalah suatu sistem di dalam suatu organisasi yang
mendukung kegiatan operasi pengolahan kebutuhan transaksi harian yang bersifat
manajerial dan strategis dari suatu organisasi dengan laporan-laporan yang
diperlukan.
Pengolahan data pelanggan PT TAM masih menggunakan pencatatan
secara spreadsheet. Data yang begitu banyak meembutuhkan waktu untuk
penyususan laporan dan juga pencetakan dokumen.Oleh karena itu, dibangun
sistem yang memudahkan perusahaan untuk pengolah data dan juga
pelaporan.Dalam aplikasi di PT TAM ini terdapat tiga aktor, yaitu Admin
Gudang, Admin Toyota dan Manajer.Adapun tugas dari admin gudang yaitu
memiliki hak akses untuk mengelola data mobil dan mengelola data user.Admin
Toyota memiliki hak akses untuk mengelola data kedutaan dan data
pelanggan.Sedangkan untuk manajer memiliki hak akses untuk mengubah status
dokumen dan melihat laporan penjualan.Adapun divisi usaha dan anak perusahaan
terdiri dari :
a. Otomotif
- PT Toyota Astra Motor sebagai Agen Tunggal Pemegang MerkToyota dan
Lexus di Indonesia
- Auto 2000 sebagai salah satu Dealer Utama Toyota di Indonesia
- PT Astra Daihatsu Motor sebagai ATPM Daihatsu di Indonesia
- PT Pantja Motor sebagai ATPM Isuzu di Indonesia
- PT Astra Nissan Diesel Indonesia sebagai ATPM Truk Nissan Diesel di
Indonesia
- PT Tjahja Sakti Motor sebagai ATPM BMW dan Peugeot di Indonesia
- PT Serasi Autoraya atau biasa dikenal dengan TRAC
Mobil 88
- PT Astra Honda Motor sebagai ATPM motor bermerk Honda
- PT Astra Otoparts Tbk
b. Agro industri
- PT Astra Agro Lestari Tbk
c. Pelayanan Finansial
- PT Astra Credit Company atau biasa dikenal dengan ACC
- PT Toyota Astra Financial Services
- PT Asuransi Astra Buana dengan salah satu produk terkenalnya adalah Garda
Oto
- PT Federal International Finance
- PT Surya Artha Nusantara Finance
- PT PermataBank
d. Alat-alat Berat
- PT United Tractors Tbk (juga sebagai ATPM Scania di indonesia)
- PT Traktor Nusantara
- PT Pamapersada Nusantara
- PT Kalimantan Prima Persada
e. Teknologi Informasi
- PT Astragraphia Tbk
- PT Astra Graphia Information Technologies - AGIT
f. Infrastruktur
- PT Astratel Nusantara - PT Intertel Nusaperdana
ANALISIS DAN PERANCANGAN
Analisis kebutuhan fungsional sistem pada kebutuhan fungsional ini, terdapat
beberapa fungsi yang harus dibuat, diantaranya:
a. Melakukan login dan logout untuk admin
b. Melakukan pendataan mobil yaitu meliputi fungisi : add, update, delete,
searching, dan detail.
c. Melakukan Pendataan embassy
d. Melakukan Pendataan pelanggan
e. Menampilkan report penjualan dan grafik
f. Melakukan view dan update data admin
APLIKATOR
Didalam perusahaan ini terdapat tiga peran aktor,yaitu:
a. Admin gudang,yaitu orang yang bertugas dan memiliki hak akses untuk
mengelola data mobil dan mengelola data user
b. Admin toyota,yaitu orang yang bertugas untuk mengelola data kedutaan dan
data pelanggan
c. Manager, yaitu orang yang bertugas untuk mengubah status dokumen dan
melihat laporan penjualan.
SUMBER
http://muhammadikbalyasir.blogspot.co.id/2017/11/sistem-informasi-manajemen-
pada-pt.html
http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html