TUGAS

SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Dosen : Prof. Dr. Ir. Hapzi Ali, MM, CMA

IMPLEMENTASI KEAMANAN NFORMASI, PEMAHAMAN

SERANGAN DALAM PERUSAHAAN.

Dibuat Oleh :
SASI NGATININGRUM
55517120031

FAKULTAS EKONOMI DAN BISNIS

JURUSAN MAGISTER AKUNTANSI
JAKARTA
2018
KONSEP KEAMANAN SISTEM INFORMASI

Sesi cyberlaw ini membahas tentang konsep-konsep dasar keamanan sistem

informasi, yang meliputi:
§ Latar Belakang perlunya keamanan sistem informasi
§ Pengertian keamanan sistem informasi/keamanan komputer
§ Tujuan Keamanan sistem informasi
§ Aspek keamanan sistem informasi

LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.
Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah
“information-based society”. Kemampuan untuk mengakses dan menyediakan
informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi,
seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual.
Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi
diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke
tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya
diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut,
seperti misalnya informasi tentang produk yang sedang dalam development,
algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan
produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus
terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi.
Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari
para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan
berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang
dianggap penting. Apabila menggangu performansi dari sistem, seringkali
keamanan dikurangi atau ditiadakan.
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur
dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat
diukur dengan besaran yang dapat diukur dengan uang (tangible).
Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management
dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah
berapa contoh kegiatan yang dapat dilakukan (Budi Raharjo, 2005):
§ Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam,
selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika
server Amazon.com tidak dapat diakses selama beberapa
hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
§ Hitung kerugian apabila ada kesalahan informasi (data) pada sistem informasi
anda. Misalnya web site anda mengumumkan harga sebuah barang yang berbeda
dengan harga yang ada di toko anda.
§ Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian
yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
§ Apakah nama baik perusahaan anda merupakan sebuah hal yang harus
dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya pengamanan
data-datanya, bolak-balik terjadi security incidents. Tentunya banyak nasabah
yang pindah ke bank lain karena takut akan keamanan uangnya.

PENGERTIAN KEAMANAN SISTEM INFORMASI/KEAMANAN

KOMPUTER
Berikut beberapa pengertian dari kemanan sistem informasi:
§ John D. Howard, Computer Security is preventing attackers from achieving
objectives through unauthorized access or unauthorized use of computers and
networks.

§ G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat

mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak
memiliki arti fisik.
§ Wikipedia, keamanan komputer atau sering diistilahkan keamanan sistem
informasi adalah cabang dari teknologi komputer yang diterapkan untuk komputer
dan jaringan. Tujuan keamanan komputer meliputi perlindungan informasi dan
properti dari pencurian, kerusakan, atau bencana alam, sehingga memungkinkan
informasi dan aset informasi tetap diakses dan produktif bagi penggunanya. Istilah
keamanan sistem informasi merujuk pada proses dan mekanisme kolektif terhadap
informasi yang sensitif dan berharga serta pelayann publikasi yang terlindungi
dari gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu yang
tidak bisa dipercaya dan kejadian tidak terencana.

TUJUAN KEAMANAN SISTEM INFORMASI

Keperluan pengembangan Keamanan Sistem Informasi memiliki tujuan sebagai
berikut (Rahmat M. Samik-Ibrahim, 2005):
§ penjaminan INTEGRITAS informasi.
§ pengamanan KERAHASIAN data.
§ pemastian KESIAGAAN sistem informasi.
§ pemastian MEMENUHI peraturan, hukum, dan bakuan yang berlaku.

DOMAIN KEAMANAN SISTEM INFORMASI

§ Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia,
sistem informasi dan perangkat keras.
§ Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek
keamanan serta kendali yang terkait pada pengembangan sistem informasi.
Cakupannya meliputi: (1) Tingkatan Kerumitan Fungsi dan Aplikasi; (2) Data
Pengelolaan Keamanan BasisData; (3) SDLC: Systems Development Life Cycle;
(4) metodology pengembangan aplikasi (5) pengendalian perubahan perangkat
lunak; (6) program bermasalah;
§ Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari
bagaimana aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau
bencana. Cakupannya meliputi: Indentifikasi Sumber Daya Bisnis, Penentuan
Nilai Bisnis, Analisa Kegagalan Bisnis, Analisa Kerugian, – Pengelolaan Prioritas
dan Krisis, Rencana Pengembangan, Rencana Implementasi, dan Rencana
Pemeliharaan
§ Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait
dengan kejahatan komputer dan legalitas transaksi elektronik, serta membahas
masalah etika dalam dunia komputer.
§ Keamanan Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk
pengamanan fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas,
Kamera Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah), Pencegahan
dan Pemadaman Api, Pemagaran, Peralatan Keamaman, Alarm, dan Kunci Pintu
§ Audit (Auditing)

FIVE TRUST SERVICES

Pengendalian sistem informasi merupakan bagian yang tak dapat
dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang
sangat penting karena mengamati setiap tahapan daam proses pengelolaan
informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam
bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi
pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan
sebagaian dari sistem informasinya ke cloud. Untuk mengatasi
permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust
Service Framework untuk menyediakan panduan penilaian keandalan sistem
informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima
prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap
sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang
sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari
pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai,
pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola
sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan
eksternal serta terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara
akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.

Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk

mencapai masing-masing dari empat prinsip lainnya.Prosedur keamanan
informasi membatasi akses ke sistem hanya untuk pengguna yang terotorisasi,
sehingga melindungi kerahasiaan data keorganisasian yang sensitif dan privasi
atas informasi pribadi yang dikumpulkan dari pelanggan.Selain itu, prosedur
keamanan melindungi integritas informasi dengan mencegah terjadinya transaksi
tanpa ijin atau fiktif serta memberikan perlindungan terhadap berbagai serangan
termasuk virus dan worm.
Pengendalian Preventif, Detektif dan Korektif

1. Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi
akses terhadap sumber daya informasi.COBIT 5 mengidentifikasi kemampuan
dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan
informasi yang eefektif.Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis.Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamananbagi kebertahanan jangka panjang organisasi.Selain itu, pegawai
juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi
organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika manajemen
mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang
mengikuti kebijakan keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman.
Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi
aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua
pengendalian atas ancaman terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau
perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi
siapa saja yang dapat mengakses sistem informasi organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di
bidang teknologi informasi sendiri pun diperlukan. Terdapat beberapa solusi
teknologi informasi yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau
memperoleh akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5
DSS05.01 mendaftarkan perlindungan malware sebagi salah satu dari kunci
keamanan yang efektif.
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel
terhadaap sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan
keamanan jaringan organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain
untuk melindungi parimeter jaringan, namun diperlukan tambahan pengendalian
preventif pada stasiun kerja, server, printer, dan perangkat lainnya (secara kolektif
disebut endpoint) yang meliputi jaringan organisasi. Praktik manajemen COBIT 5
DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan
endpoint.
d. Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk
mencegah akses tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan
praktik-praktik bisnis baru. Pengendalian perubahan dan manajemen perubahan
merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi
pada perangkas kera, perangkat lunak, atau pada proses tidak mengurangi
keandalan sistem.
2. Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif
untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat
menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses
pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan,
sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem
yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda
atas gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan
pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk
menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik
manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan
kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta
kinerja keseluruhan proses bisnis.

3. Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga
pengendalian korektif yang penting:
a. Pembentukan sebuah tim perespon insiden komputer (computer incident
response team – CIRT). Merupakan sebuah tim yang bertanggung jawab untuk
mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses
respon insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition)
adanya sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan
(recovery); dan 4). Tindak lanjut (foloow up).
b. Pendesainan individu khusus (Chief Informastion Security Officer – CISO).
Penting agar organisasi menentukan pertanggungjawaban atas keamanan
informasi kepada seseorang di level manajemen senior yang tepat. satu cara untuk
memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen dari
fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief operating
officer (COO) maupun chief executive officer (CEO). Oleh karena itu, CISO
harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan
dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara
periodik.
c. Penetapan serta penerapan sistem manajemen path yang didesain dengan
baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang
digunakan oleh organisasi. Oleh karena sejumlah patch merepresentasikan
modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji
dengan cermat efek dari patch sebelum menyebarkannya.

Pengendalian Umum dan Aplikasi.

1. Pengendalian Umum.
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi
serta pengendalian lingkungan stabil dan dikelola dengan baik.Pengendalian
umum digolongkan menjadi beberapa, diantaranya:
a. Pengendalian organisasi dan otorisasi adalah secara umum terdapat
pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan administrator
sistem (operasi). Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses
sistem apabila memang telah diotorisasi oleh administrator.
b. Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi
dengan baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap
sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem
informasi tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d. Pengendalian akses fisikal dan logikal.Pengendalian akses fisikal berkaitan
dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu
perusahaan, sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem tersebut (misal: windows).
2. Pengendalian Aplikasi
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan
transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam
aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam
perusahaan:
a. Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum
menerapkan SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri
sendiri pada masing-masing unitnya. Contoh: aplikasi (software) MYOB pada
fungsi akuntansi dan keuangan.
b. Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan
SIA dan sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur
sistemnya memakai sistem client-server . Client hanya dipakai sebagai antar-muka
(interface) untuk mengakses aplikasi pada server.

Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk

pengendalian dari aplikasi tersebut, diantaranya:
a. Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian
organisasi, hampir sama dengan pengendalian umum organisasi, namun lebih
terfokus pada aplikasi yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas
administrator, pengguna, hingga pengembangan aplikasi tersebut. Untuk
pengendalian akses, terpusat hanya pada pengendalian logika saja untuk
menghindari akses tidak terotorisasi. Selain itu juga terdapat pengendalian role
based menu dibalik pengendalian akses logika, dimana hanya pengguna tertentu
saja yang mampu mengakses menu yang telah ditunjuk oleh administrator. Hal ini
berkaitan erat dengan kebijakan TI dan prosedur perusahaan berkaitan dengan
nama pengguna dan sandi nya.
b. Pengendalian Input. Pengendalian input memastikan data-data yang
dimasukkan ke dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua
tahapan, yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas
transaksi baik yang sementara maupun yang permanen dan (2) tahapan database,
proses yang dilakukan pada berkas-berkas master.
d. Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan
baik secara otomatis maupun manual (kasat mata) jika output yang dihasilkan
juga kasat mata.
e. Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas
referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti:
- Anomaly penambahan
- Anomaly penghapusan
- Anomaly pemuktahiran/pembaruan

KERAHASIAAN DAN PRIVASI

1. Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan
pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang
yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal)
yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut
menyebar luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang
lain atau pesaing yang membuat organisasi merasa dirugikan atau juga pengguna
tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi
perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga
kerahasiaan atas informasi sensitif:
a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah
pertama untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis
sensitive lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan
orang yang mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah
diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi untuk
organisasi berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan
bahwa klasifikasi merupakan tanggung jawab pemilik informasi, bukan
professional keamanan informasi karena hanya pemilik informasilah yang
memahami bagaimana informasi digunakan.
b. Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk
melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk melindungi
informasi dalam lalu lintas internet dan cloud publik.
c. Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi
tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses
awal terhadap informasi yang disimpan secara digital. Perangkat lunak
information rights management (IRM) memberikan tambahan lapisan
perlindungan terhadap informasi yang disimpan dengan format digital,
menawarkan kemampuan tidak hanya untuk membatasi akses terhadap file tetapi
juga memerinci tindakan-tindakan yang dapat dilakukan individuyang diberi akses
terhadap sumber daya tersebut.
Saat ini organisasi secara konstan mempertukarkan informasi dengan rekan bisnis
dan pelanggan, perangkat lunak data loss prevention bekerja seperti antivirus
secara terbalik mengeblok pesan-pesan keluar yang mengandung kata-kata atau
frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data sensitif lain
yang ingin dilindungi.
d. Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan
adalah pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai
perlu mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi
yang dilindungi. Dengan pelatihan yang memadai, para pegawai dapat
memainkan peran penting untuk melindungi kerahasiaan informasi organisasi dan
meningkatkan efektivitas pengendalian terkait.

2. Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan
informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari
pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu
mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan
orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi
harus menjalankan program data masking yaitu program yang menggantikan
informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data
tersebut kepada pengembang program dan sistem pengujian. Terdapat dua
permasalahan utama terkait privasi:
a. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan
maupun konten serangan. Spam merupakan permasalahan yang terkait privasi
karena penerima sering kali menjadi target tujuan atas akses tak terotorisasi
terhadap daftar dan databasee-mail yang berisi informasi pribadi.
b. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi
pribadi seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban
etis dan moral untuk menerapkan pengendalian demi melindungi informasi
pribadi yang organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi
individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu
organisasi agar hemat biaya dalam mematuhi banyaknya persyaratan ini,
American Institute of Certified Public Accountant (AICPA) dan Canadian
Institute of Chartered Accountants (CICA) bersama-sama mengembangkan
sebuah kerangka yang disebut prinsip-prinsip yang diterima umum (Generally
Accepted Privacy Principles – GAAP). Kerangka tersebut mengidentifikasi dan
mendefinisikan pelaksanaan 10 praktik terbaik untuk melindungi privasi informasi
pribadi para pelanggan yang terdiri dari:
1). Manajemen;
2). Pemberitahuan;
3). Pilihan dan persetujuan;
4). Pengumpulan;
5). Penggunaan dan Retensi;
6). Akses;
7). Pengungkapan kepada pihak ketiga;
8). Keamanan;
9). Kualitas;
10). Pengawasan dan penegakan.

INTEGRITAS DAN KETERSEDIAAN PEMROSESAN

1. Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa
sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi
akurat, lengkap, tepat waktu, dan valid.Aplikasi pengendalian untuk integritas
pemrosesan terdiri atas:
a. Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak
akurat, tidak lengkap, atau tidak valid maka bentuk pengendalian input yang
dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi
dan pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri
data.
b. Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang
tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah
pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo
nol, mekanisme menulis perlindungan (write-protection), pemrosesan database,
dan pengendalian integritas.
c. Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat
atau tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan
kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk
pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan
pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan.

2. Ketersediaan Pemrosesan
Proses pengendalian menunjukkan DSS01 dan DSS04 COBIT 5 menunjukkan
pentingnya memastikan bahwa sistem dan informasi tersedia setiap saat
dibutuhkan oleh pengguna. Tujuan utamanya adalah untuk meminimalkan risiko
penghentian sistem.Oleh karena itu, organisasi perlu memiliki pengendalian yang
didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan
kedua tujuan tersebut maka bentuk pengendaliannya:
a. Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui
pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat
data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
b. Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal
dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan,
dan business continuity plan.

AUTHORIZATION/ACCSES CONTROL
Pengendalian akses (access control) menjadi pertimbangan pertama saat seorang
profesional Sistem Keamanan Informasi akan membuat program keamanan
informasi. Keistimewaan dan variasi mekanisme access control baik secara fisik,
teknik dan administrasi akan membangun arsitektur keamanan informasi yang
praktis untuk melindungi informasi penting dan sensitif yang menjadi aset
organisasi. Pengendalian akses dilakukan melalui tiga tahap yang mencakup:
a. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon
atau titik masuk jaringan.
b. Otentikasi pengguna. Para pengguna hak akses dengan cara memberikan
sesuatu yang mereka miliki seperti smart card atau tanda tertentu atau chip
identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara
memberikan sesuatu yang menjadi identitas diri seperti tanda tangan atau suara.
c. Otorisasi pengguna. Setelah identifikasi dan autentifikasi dilalui, seseorang
kemudian mendapatkan otorisasi untuk memasuki tingkat atau derajat pengguna
tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya
untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain
dapat saja memiliki otorisasi untuk melakukan perubahan file tersebut.
Identifikasi dan autentifikasi memanfaatkan profil pengguna (user profile) atau
deskripsi pengguna yang terotorisasi. Sedangkan Otorisasi memanfaatkan file
pengendaliaan akses (access control file) yang menentukan tingkat akses tersedia
bagi pengguna. Setelah pengguna memenuhi syarat tiga fungsi pengendalian
akses, mereka dapat menggunakan sumber daya informasi.
LATAR BELAKANG

PT Astra International Tbk (“Perseroan”) didirikan pada tahun 1957

dengan nama PT Astra International Incorporated. Pada tahun 1990, Perseroan
mengubah namanya menjadi PT Astra International Tbk.Perusahaan ini telah
tercatat di Bursa Efek Jakarta sejak tanggal 4 April1990.Saat ini mayoritas
kepemilikan sahamnya dimiliki oleh Jardine Cycle & Carriage's sebesar 50,1%.
Perseroan berdomisili di Jakarta, Indonesia, dengan kantor pusat di JI.
Gaya Motor Raya No. 8, Sunter II, Jakarta. Ruang lingkup kegiatan Perseroan
seperti yang tertuang dalam Anggaran Dasarnya adalah perdagangan umum,
perindustrian, jasa pertambangan, pengangkutan, pertanian, pembangunan dan
jasa konsultasi.Ruang lingkup kegiatan utama entitas anak meliputi perakitan dan
penyaluran mobil, sepeda motor berikut suku cadangnya, penjualan dan
penyewaan alat berat, pertambangan dan jasa terkait, pengembangan perkebunan,
jasa keuangan, infrastruktur dan teknologi informasi.PT Toyota Astra Motor
(TAM) adalah salah satu perusahaan terbesar distributor kendaraan produk
Toyota.Saat ini, PT. TAM mempunyai cabang yang tersebar di seluruh wilayah
Indonesia, dan pusatnya berada di Jakarta.PT TAM sendiri mempunyai divisi -
divisi yang menangani penjualan produk ke pelanggan.Salah satunya yaitu divisi
Duty Free Sales, yaitu divisi yang menangani penjualan produk Toyota yang
dikhususkan untuk organisasi nonpemerintah/internasional maupun kedutaan
asing di Indonesia.
Divisi Duty Free Sales saat ini mengolah data pelanggan dengan
menggunakan aplikasispreadsheet, dimana aplikasi ini kurang efektif dalam
perhitungan dan pencarian data yang kemungkinan akan bertambah dan akan
selalu di-update. Selain itu, data yang ada pada spreadsheet tidak bisa diakses
dan digunakan secara bersamaan, mengingat jumlah karyawan yang banyak dan
keperluan akses data yang berbeda-beda. Serta laporan yang tidak dapat
disediakan setiap saat, karena pencarian data dan pembuatan laporan
membutuhkan waktu yang lama. Oleh karena itu, PT TAM divisi Duty Free Sales
membutuhkan sistem informasi yang membantu perusahaan melakukan kegiatan-
kegiatan yang berkaitan dengan proses pengolahan informasi, pencarian, dan
pelaporan menjadi lebih baik sehingga operasionalnya menjadi lebih efektif dan
efisien.

PEMBAHASAN
Sistem adalah jaringan kerja dari prosedur-prosedur yang saling
berhubungan, berkumpul bersama -sama untuk melakukan suatu kegiatan atau
menyelesaikan suatu sasaran tertentu.Sistem juga merupakan kumpulan elemen-
elemen yang saling terkait dan bekerja sama untuk memproses masukan (input)
yang ditujukan kepada sistem tersebut dan mengolah masukan tersebut sampai
menghasilkan keluaran (output) yang diinginkan.
Sistem informasi adalah suatu sistem di dalam suatu organisasi yang
mendukung kegiatan operasi pengolahan kebutuhan transaksi harian yang bersifat
manajerial dan strategis dari suatu organisasi dengan laporan-laporan yang
diperlukan.
Pengolahan data pelanggan PT TAM masih menggunakan pencatatan
secara spreadsheet. Data yang begitu banyak meembutuhkan waktu untuk
penyususan laporan dan juga pencetakan dokumen.Oleh karena itu, dibangun
sistem yang memudahkan perusahaan untuk pengolah data dan juga
pelaporan.Dalam aplikasi di PT TAM ini terdapat tiga aktor, yaitu Admin
Gudang, Admin Toyota dan Manajer.Adapun tugas dari admin gudang yaitu
memiliki hak akses untuk mengelola data mobil dan mengelola data user.Admin
Toyota memiliki hak akses untuk mengelola data kedutaan dan data
pelanggan.Sedangkan untuk manajer memiliki hak akses untuk mengubah status
dokumen dan melihat laporan penjualan.Adapun divisi usaha dan anak perusahaan
terdiri dari :

a. Otomotif
- PT Toyota Astra Motor sebagai Agen Tunggal Pemegang MerkToyota dan
Lexus di Indonesia
- Auto 2000 sebagai salah satu Dealer Utama Toyota di Indonesia
- PT Astra Daihatsu Motor sebagai ATPM Daihatsu di Indonesia
- PT Pantja Motor sebagai ATPM Isuzu di Indonesia
- PT Astra Nissan Diesel Indonesia sebagai ATPM Truk Nissan Diesel di
Indonesia
- PT Tjahja Sakti Motor sebagai ATPM BMW dan Peugeot di Indonesia
- PT Serasi Autoraya atau biasa dikenal dengan TRAC
Mobil 88
- PT Astra Honda Motor sebagai ATPM motor bermerk Honda
- PT Astra Otoparts Tbk

b. Agro industri
- PT Astra Agro Lestari Tbk

c. Pelayanan Finansial
- PT Astra Credit Company atau biasa dikenal dengan ACC
- PT Toyota Astra Financial Services
- PT Asuransi Astra Buana dengan salah satu produk terkenalnya adalah Garda
Oto
- PT Federal International Finance
- PT Surya Artha Nusantara Finance
- PT PermataBank

d. Alat-alat Berat
- PT United Tractors Tbk (juga sebagai ATPM Scania di indonesia)
- PT Traktor Nusantara
- PT Pamapersada Nusantara
- PT Kalimantan Prima Persada

e. Teknologi Informasi
- PT Astragraphia Tbk
- PT Astra Graphia Information Technologies - AGIT

f. Infrastruktur
- PT Astratel Nusantara - PT Intertel Nusaperdana
ANALISIS DAN PERANCANGAN
Analisis kebutuhan fungsional sistem pada kebutuhan fungsional ini, terdapat
beberapa fungsi yang harus dibuat, diantaranya:
a. Melakukan login dan logout untuk admin
b. Melakukan pendataan mobil yaitu meliputi fungisi : add, update, delete,
searching, dan detail.
c. Melakukan Pendataan embassy
d. Melakukan Pendataan pelanggan
e. Menampilkan report penjualan dan grafik
f. Melakukan view dan update data admin

GAMBARAN UMUM SISTEM

Pengolahan data,informasi pelanggan PT.TAM masih menggunakan
pencatatan secara spreadsheet. Data yang begitu banyak membutuhkan waktu
untuk penyususan laporan dan juga pencetakan dokumen.Oleh karena itu,
dibangun sistem yang memudahkan perusahaan untuk menginformasikan data dan
juga pelaporan.MDP Online adalah aplikasi web yang dirancang untuk dapat
memberikan layanandata MDP (Monthly Delivery Plan) secara online kepada
user yang berada di TAM, Main Dealer, Zone serta Dealer Cabang.Data MDP
berisi data rencana produksi kendaraan beserta nilai aktualnya untuk setiap
periode produksi tertentu. Data-data tersebut sangat dibutuhkan oleh TAM, Main
Dealer, Zone maupun dealer Cabang. Dengan diimplementasikan sistem MDP
Online ini, banyak manfaat yang diperoleh PT TAM dalam pendistribusian MDP
diantaranya penghematan kertas-kertas untuk pendistribusian secara hardcopy
dan laporan-laporan yang dibutuhkan, penghematan tinta printer berkaitan
dengan pendistribusian data MDP dan laporanlaporan yang diperlukan,
peningkatan janji delivery kepada customer karena pihak 60 dealer dapat
memberikan data yang tepat secara cepat, peningkatan akurasi data MDP yang
berdampak pada berkurangnya tingkat kesalahan dalam pembuatan data MDP,
proses distribusi data MDP menjadi lebih cepat dan akurat yang tadinya
memerlukan waktu 3 hari untuk distribusi data MDP sampai ke main dealer/dealer
sekarang hanya butuh waktu 10 menit saja maka pihak main dealer/dealer sudah
menerima data MDP, proses MDP resived lebih cepat untuk proses pengiriman
atau pembatalan pengiriman dari main dealer/dealer yang diinformasikan kepada
pelanggan yang tadinyahanya dilakukan 2 kali dalam seminggu sekarang dapat
dilakukan setiap jam. Sistem informasi MDP Online yang diimplementasikan di
PT. Toyota Astra Motor bertujuan untuk menangani distribusi data MDP kepada
main dealer atau dealarmengenai data kendaraan yang diproduksi untuk
membantu main dealer atau dealer, memberikan janji delivery kepada customer.
Untuk dapat merencanakan aktivitas penjualan dengan baik sehingga
dapatmencapai target yang telah ditetapkan, PT. Toyota Astra Motor memberikan
informasi mengenai produk kendaraan yang didistribusikan setiap bulannya
melalui Monthly Delivery Plan (MDP).

APLIKATOR
Didalam perusahaan ini terdapat tiga peran aktor,yaitu:
a. Admin gudang,yaitu orang yang bertugas dan memiliki hak akses untuk
mengelola data mobil dan mengelola data user
b. Admin toyota,yaitu orang yang bertugas untuk mengelola data kedutaan dan
data pelanggan
c. Manager, yaitu orang yang bertugas untuk mengubah status dokumen dan
melihat laporan penjualan.

PENERAPAN SISTEM INFORMASI

Secara garis besar, penerapan sistem informasi yang terintegrasi dalam
perusahaan dapat membantu hampir seluruh proses bisnis yang dijalankan.Sistem
informasi terintegrasi dianggap dapat mendukung manajemenstrategis perusahaan
mencapai target meningkatkan profit. Beberapa alasan penerapan sistem
informasi perusahaan antara lain :
a. Dapat mencakup seluruh fungsi bisnis baik manufaktur, pemasaran,
finansial, level manajemen, dan lainnya
b. Sebagai sarana pengumpulan, pengolahan, dan distribusi data antar
komponen dalam organisasi perusahaan.
c. Sebagai penyedia data atau informasi baik yang dari internal maupun
eksternal perusahaan untuk mendukung proses “decision making” yang lebih
cepat dan aktual pada berbagai level dalam organisasi.
d. Mempermudah komunikasi antar fungsi sehingga lebih mudah berkoordinasi
dalam pengambilan keputusan
e. Memungkinkan efisiensi jumlah pegawai karena beberapa pegawai dapat
merangkap dengan jabatan administratifnya.
f. Dimanfaatkan sebagai strategi bersaing terhadap kompetitor dengan
memaksimalkan penggunaan teknologi informasi yang dimiliki disesuaikan
dengan struktur organisasi dan standar kerja. Teknologi sistem informasi tersebut
dapat sekaligus dijadikan dasar perbandingan komparatif dengan yang diterapkan
kompetitor.

Di samping alasan penerapan sistem informasi perusahaan tersebut terdapat

beberapa kendala bagi perusahaan ini untuk menerapkan sistem informasi dengan
teknologi yang lebih canggih antara lain:
a. Diperlukan pegawai dengan batas kualifikasi pendidikan atau pengalaman
tertentu yang dianggap dapat mengoperasikan teknologi sistem informasi yang
diterapkan perusahaan beserta komputasi pengolahan data
b. Diperlukan pelatihan bagi pegawai mengenai pengoperasian teknologi
sistem informasi.
c. Instalasi perangkat sistem informasi dengan teknologi yang lebih canggih
membutuhkan biaya yang lebih tinggi agar dapat sesusai dengan sistem organisasi
perusahaan.
d. Terdapat kemungkinan perubahan struktur organisasi dan standar kerja
masing-masing unit untuk menyesuaikan dengan sistem informasi yang baru.
e. Manajemen perusahaan seharusnya dapat memilih dan mengatur sistem
informasi yang diterapkan disesuaikan dengan kondisi dan kemampuan
perusahaan saat diperlukan perubahan sistem informasi. Selain itu juga perlu
dikenali unit apa saja yang kinerjanya mungkin menurun jika dipaksa dengan
standar penerapan sistem informasi tersebut.
KELEBIHAN DAN KEKURANGAN PENERAPAN SI DI PERUSAHAAN
INI

KELEBIHANNYA ANTARA LAIN:

a. Mampu mengitegrasi berbagai fungsi bisnis berbeda untuk menjamin sarana
komunikasi yang tepat demi produktifitas perusahaan.
b. Perangkat lunak yang tersedia dapat sangat membantu kegiatan di beberapa
fungsi bisnis perusahaan.
c. Mampu mengatur keterkaitan antar proses yang bersesuaian sehingga
mempermudah pelacakan material, keuangan, dan sumber daya lain yang
kompleks.

SEDANGKAN KEKURANGAN PENERAPAN SI ADALAH

a. Kustomisasi software yang disediakan SAP terbatas sehingga pada
perusahaan tertentu diperlukan penyesuaian modul SAP dengan sistem yang
dijalankan atau dikombinasikan dengan perubahan alur kerjanya.
b. Penerapan SAP memerlukan biaya yang tinggi, baik pengadaan perangkat,
instalasi program, biaya pegawai dengan keahlian di bidang SAP, serta berbagai
maintenance teknologi sistem ERP.
c. Penggunaan data yang disimpan dalam sistem ERP sensitif terhadap
perusakan sistem yang mungkin dilakukan pihak tertentu. Jika terjadi pembobolan
sistem keamanan dan hacker merubah sistem program ERP dengan tujuan tertentu
maka dapat mengancam kelancaran kinerja pada suatu fungsi dalam perusahaan.

SUMBER
http://muhammadikbalyasir.blogspot.co.id/2017/11/sistem-informasi-manajemen-
pada-pt.html

http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html