PERTEMUAN 1

1. Sistem informasi adalah sekumpulan fungsi yang bekerja secara bersama-sama dalam mengelola
(pengumpulan, penyimpanan, pemrosesan dan pendistribusian).
2. Sistem Informasi Eksekutif. Suatu bagian yang menyediakan informasi bagi eksekuif mengnai
kinerja keseluruhan perusahaan. Disingkat dengan EIS. Mengirimkan, menganalisis, dan
menyajikan informasi pada station kerja para pengambil keputusan yang memberikan gambaran
jelas kepadanya mengenai standar penting serta kejadian-kejadian, sebelum terlambat
menanganinya. Data khususnya gambaran pasar, informasi keuangan, dan statistik industri,
dikumpulkan dari sistem pemrosesan bisnis on-line milik perusahaan dan organisasi pihak ketiga.
Sistem informasi akuntansi - Sistem yang mengumpulkan, mencatat, menyimpan, dan
memproses data ke menghasilkan informasi untuk pengambilan keputusan pembuat. Ini termasuk
orang, prosedur dan instruksi, data perangkat lunak, informasi infrastruktur teknologi, dan kontrol
dan keamanan internal Pengukuran. Sistem Informasi Manajemen adalah suatu sistem
perencanaan di dalam perusahaan yang melibatkan pengendalian internal seperti pemanfaatan
sumber daya, dokumen, teknologi, dan akuntansi manajemen sebagai salah satu strategi dalam
bisnis.
Sistem informasi manajemen berkepentingan dengan penyediaan informasi yang menyeluruh dan
terintegrasi untuk membantu pengambilan keputusan bagi berbagai tingkatan manajemen dalam
suatu organisasi atau perusahaan. Ditinjau dari hal tersebut, maka sistem informasi akuntansi
merupakan subsistem dari sistem informasi manajemen. Sistem infromasi eksekutif adalah
campuran dari kedua sistem namun hanya terbatas pada eksekutif.
PERTEMUAN 2
1. Elemen EIS
a. Database
Pada umumnya, EIS mengakses informasi dari hampir semua basis data internal perusahaan,
termasuk informasi produksi, keuangan, pelanggan, dan vendor. Selain itu, EIS dapat
mengakses database eksternal yang memberikan informasi industri dan layanan berita bisnis
kepada para eksekutif.

Available Databases, Pada umumnya, EIS mengakses informasi dari hampir semua basis data
internal perusahaan,
Timeliness of the Data , EIS dapat menampilkan informasi real-time dan terkini.
Soft Information ,Misalnya, informasi lunak tentang harga dan operasi pesaing bisa sangat
berguna.
Presentation Features Graphics, Natural Language, Mouse Control, Communications
Other Decision Support Activities Drill down, Integration withspreadsheets, Decision support,
Knowledge discovery.
Keunggulan dari Sistem Informasi Eksekutif

Informasi Terintegrasi,
Tampilan yang mudah dimengerti, Pengembangan sistem yang mudah dan cepat, Kemampuan untuk
menyaring data, Meningkatkan komunikasi dalam organisasi ,Keunggulan dalam strategi penjualan dan
kompetitor.

Kekurangan dari Sistem Informasi Eksekutif.

Keamanan: Akses data dan sandi, Informasi hanya untuk eksekutif, Drilldown, tampilan terbatas
Keterlibatan eksekutif, jaringan, biaya.
PERTEMUAN 3
1. 4 Steps
Input Proses Storage Output
2. Prosedur dan Dokumen input
Mengambil data transaksi dan memasukkannya ke dalam sistem. Data harus dikumpulkan tentang
tiga aspek dari setiap kegiatan bisnis:
a. Setiap aktivitas yang menarik
b. Sumber daya dipengaruhi oleh setiap kegiatan
c. Orang-orang yang berpartisipasi dalam setiap kegiatan.
Dokumen sumber, Dokumen Turnaround
Memastikan data yang diambil akurat dan lengkap, Kebijakan Perusahaan Harus Dipatuhi
Prosedur Processing
Data perusahaan adalah salah satu sumber daya terpentingnya. Namun, keberadaan data yang relevan
saja tidak menjamin bahwa data tersebut bermanfaat. Agar berfungsi dengan baik, organisasi harus
memiliki akses yang siap dan mudah ke datanya. Buku Besar, Teknik code
:Squences, Block, Group, Mnemonic, Chart of Account, Journal dan Audit Trial (Transaksi yang
dilacak).
Jika terkomputerisasi, dipakai flied . Kumpulan field yang memuat data tentang antribut entity
dinamakan record. Actual value yang disimpan pada field dinamakan data value. Sementara File adalah
kumpulan record yang terhubung secara logic. Kumpulan informasi secara kumulatif (dalam bentuk file)
di suatu organisasi disebut master file.
Sementara file transaksi adalah file yang berisi bisnis individual transaksi yang terjadi selama periode
fiskal tertentu. Database merupakan seperangkat file data yang saling terkait dan dikendalikan secara
terpusat yang disimpan dengan redundansi data sesedikit mungkin.

Empat tipe yang berbeda dari aktivitas pemrosesan data:

a. Membuat data record baru;
b. Membaca dan mengambil data yang ada;
c. Updating data yang tersimpan sebelumnya;
d. Menghapus data.
Jenis pemrosesan data, dapat dijelaskan sebagai berikut:
a. Batch Processing, Online realtime batch dan online real time processing
Output Informasi
Hasil akhir dari siklus pemrosesan data adalah output informasi, yang bisa berbentuk softcopy atau
hardcopy. Informasi biasanya dipresentasikan dalam format: Dokumen, Report, Query Response

3. Pengertian ERP
ERP mengintegrasikan seluruh departemen dan seluruh fungsi yang ada di suatu perasahaan ke
dalam sistem komputer tunggal yang bertujuan untuk melayani kebutuhan khusus setiap orang
secara praktis. Ini memudahkan pertukaran data dan memfasilitasi komunikasi antar departemen
dibandingan SIA.
4. Vendor ERP : SAP, ORACLE, PEOPLESOFT BAN JD EDWARDS
Manfaat Manfaat ERP
 ERP menggunakan praktik terbaik yang telah terbukti di dunia nyata. Setidaknya satu paket
perangkat lunak ERP telah menggabungkan lebih dari seribu praktik terbaik.
 ERP juga memungkinkan standarisasi organisasi. Penggunaan tampilan antarmuka,
pengurutan operasi untuk proses dan prosedur pemeliharaan sistem dapat menjadi standar
umum di seluruh organisasi.
 ERP meningkatkan manajemen informasi dengan memiliki satu basis data yang bertentangan
dengan multi database dimana seringkali terjadi sistem duplikasi.
  ERP menyediakan informasi online dan real-time dan memfasilitasi komunikasi dan
kolaborasi antar internal atau eksternal organisasi.
A. Strategi Implementasi
Berikut ini adalah beberapa langkah dalam mengimplementasikan ERP bedasarkan konsultan dari
SAP:
1. Persiapan
2. Cetak biru bisnis dan realisasinya
3. Persiapan akhir
4. Go live dan dukungan
B. Perencanaan Utama dan Keputusan Pengimplementasian
Berikut ini adalah beberapa keputusan utama yang harus dibuat ketika perusahaan akan
mengintegrasikan seluruh sistemnya :
1. ERP atau bukan
2. Mengikuti proses yang tersedia atau disesuaikan
3. Menggunakan vendor atau membangun sendiri
4. “Big Bang” atau implementasi bertahap
Apabila implementasi ERP dilakukan secara “Big Bang”, artinya adalah seluruh modul
diimplementasikan secara bersamaan.
Pendekatan lainnya adalah :
1. Pendekatan ombak
2. Paralel implementasi
3. Instan
C. Single Package or Best-of Breed
Penggunan single package adalah penggunaan seluruh modul atau paket yang ditawarkan oleh satu
vendor ERP. Penggunaa best-of-breed adalah pemilihan modul terbaik dari beberapa vendor
berbeda.
PERTEMUAN 4
Big Data dapat diasumsikan sebagai sebuah media penyimpanan data yang menawarkan ruang tak terbatas,
serta kemampuan untuk mengakomodasi dan memproses berbagai jenis data dengan sangat cepat.
Di sektor bisnis Big Data, Google bisa dikatakan sebagai pelopor. Perusahaan yang berbasis di Mountain
View, California itu di tahun 2006 sempat memperkenalkan Google Bigtable. Bigtable merupakan sistem
database berskala besar dan cepat yang digunakan Google untuk mengolah berbagai jenis data dari berbagai
layanan, termasuk data dari layanan mesin pencari berbasis internet.

Pertumbuhan data yang sangat cepat serta aksesibilitas yang semakin mudah merupakan keuntungan
yang sangat besar bagi para penggunanya. Namun, data hanya sekadar data dan tidak bisa digunakan apabila
tidak “diterjemahkan”. Tantangan yang dihadapi auditor sebagai salah satu pengguna big data adalah
bagaimana data yang besar tersebut disimpan, dikelola, dan dimanfaatkan? Jawabannya adalah dengan
melakukan big data analytics, yaitu strategi menganalisis big data untuk mengungkap pola dan koneksi
yang mungkin tidak terlihat sehingga dapat memperoleh wawasan dan informasi berharga untuk kemudian
menjadi sebuah insight dan membantu dalam membuat keputusan.

Dengan adanya big data analytics, manfaat apa yang lantas diterima auditor? Tidak lagi terbatas pada
pengujian berbasis sampel, big data memungkinkan population-based audit. Hal ini merupakan potensi
yang amat berguna, bahkan mampu mengubah pelaksanaan audit. Melakukan pengujian terhadap objek
audit secara menyeluruh akan memberikan hasil audit yang lebih relevan, sebab dapat menghilangkan bias
dan risiko dalam pemilihan sampel. Selain itu, volume data yang besar memungkinkan auditor untuk
mengelompokkan data-data berdasarkan perbedaan variabel (seperti jumlah transaksi, waktu, dan lokasi)
untuk menemukan pola atau anomali yang kemudian menjadi dasar pengujian yang lebih mendalam.
Internet of Things dan Big Data memiliki hubungan erat yang tidak dapat dipisahkan. Melalui Internet of
Things, perusahaan atau organisasi akan mengumpulkan data mengenai customer behavior. Data yang
dikumpulkan dan kemudian dianalisa untuk mendapatkan gambaran yang jelas mengenai tingkah laku
customer ini disebut dengan Big Data. Internet of Things menciptakan volume data yang besar yang
kemudian membentuk Big Data. Sehigga dapat disimpulkan bahwa pada dasarnya, infrastruktur Big Data
dirancang untuk mendukung tujuan Internet of Things.

Internet of Things dan Big Data memungkinkan perusahaan untuk melakukan pelayanan yang personal ke
customer. Internet of Things dan Big Data ini tentunya juga akan mengubah berbagai aspek kehidupan,
khususnya dalam aspek Marketing. Marketing yang selama ini lebih terfokus untuk menarik perhatian pasar
(attention-seeking), akan berubah fokus untuk mencari pelanggan (subscription).

Privasi Data

Dengan beredarnya isu mengenai berbagai kegiatan penyadapan melalui jaringan komputer, keamanan data
merupakan hal yang patut dipertimbangkan.

Data Security
Jenis resiko ini terkait dengan logistik pengumpulan data dan analisis. Risiko data security jelas merupakan
kejahatan yang semakin berkembang dengan serangan yang semakin besar dan semakin merusak. Lima
dari enam pencurian data paling merusak sepanjang masa dilakukan dalam dua tahun terakhir. Semakin
besar data yang dimiliki, semakin besar kemungkinan data tersebut dijual dan disalahgunakan oleh pihak-
pihak yang tidak bertanggung jawab.
b. Data Privacy

Privasi merupakan masalah yang terkait erat dengan masalah keamanan. Sehingga, harus dipastikan bahwa
informasi sensitif yang disimpan atau dikumpulkan tidak akan disalahgunakan oleh orang-orang yang telah
diberi tanggung jawab untuk menganalisis dan melaporkannya.

COSO FRAMEWORK
COSO ERM merupakan pengembangan dari kerangka COSO sebelumnya dan lebih menekankan kepada
resiko atau risk-based approach. COSO ERM menambahkan 3 komponen dari COSO sebelumnya sehingga
COSO ERM memiliki 8 komponen.

1. Control Environment
 Lingkungan perusahaan terutama lingkungan internal sangat erat kaitannya dengan budaya
perusahaan. Budaya perusahaan akan mempengaruhi cara organisasi menetapkan strategi hingga
menanggapi respon. Lingkungan perusahaan yang kurang kondusif akan menghasilkan sistem
manajemen dan pengendalian resiko yang kurang baik juga.
2. Objective Setting
• Tujuan Strategi: Tujuan tertinggi dari perusahaan
• Tujuan Operasi: Mencapai efektifitas dan efisiensi operasional
• Tujuan Pelaporan: Meningkatkan keputusan dan mengawasi kinerja perusahaan
• Tujuan Kepatuhan: Patuh terhadap hukum dan regulasi
3. Event Identification
Perusahaan harus bisa mengidentifikasi setiap kejadian yang terjadi. Informasi ini akan menjadi
data perusahaan untuk selanjutnya bisa menggunakannya sebagai dasar keputusan. Kita harus bisa
menidentifikasi penyebab suatu kejadian, mana kejadian yang sangat mungkin terjadi, dan yang
lainnya.
4. Risk Assesment
Resiko-resiko yang sudah teridentifikasi di event identification dinilai. Resiko tersebut dinilai seberapa
besar likelihood atau peluang terjadinya resiko tersebut dan seberapa besar dampak yang ditimbulkan.
Ada beberapa jenis resiko, yaitu inherent risk dan residual risk. Inherent risk adalah resiko yang terjadi
sebelum menerapkan pengendalian, sedangkan residual risk adalah resiko yang masih bisa terjadi setelah
diterapkan pengendalian.
5. Risk Response
Reduce, dengan cara mengimplementasikan pengendalian internal.
Accept, dengan menerima begitu saja segala dampak dan kemungkinan tanpa melakukan apapun
Share, seperti melakukan asuransi dan outsource
Avoid, dengan mengindari aktivitas tersebut.
6.Control Activity
- Proper authorization of transactions and activities
- Project development and acquisition controls
- Change management controls
- Design and use of documents and records
- Safeguarding assets, records, and data
- Independent checks on performance
- Segregation of duties

7. Informasi sangat diperlukan untuk melaksanakan pengendalian internal demi tercapainya

tujuan perusahaan. Fungsi-fungsi internal control tidak akan berjalan dengan baik jika
manajemen tidak menggunakan informasi yang relevan dan berkualitas baik informasi internal
maupun informasi eksternal. Komunikasi adalah proses terus menerus dan berulang dengan
tujuan membagi dan menyebarkan informasi yang diperlukan. Komunikasi ada dua jenis,
komunikasi internal dan eksternal.
8. MONITORING Organisasi melakukan monitoring atau evaluating berguna untuk
memastikan bahwa semua komponen pengendalian internal memberikan pengaruh sesuai
dengan fungsinya. Kegiatan monitoring akan menghasilkan temuan yang selanjutnya akan
dievaluasi sesuai kriteria yang ditentukan regulator, badan atau manajemen yang menetapkan
standar. Kekurangan-kekurangan yang masih ditemukan wajib dikomunikasikan kepada
manajemen agar menjadi bahan pengambilan keputusan guna perbaikan kinerja manajemen
di kemudian hari.
PERTEMUAN 5

ERM

1. Identify Risks
Proses identifikasi risiko sebelum dilakukan sebelum penilaian risiko dengan membuat daftar risiko
yang komprehensif serta peluang terjadinya berdasarkan kategori dan sub-kategori. Tahap ini
digunakan untuk mencari tahu risiko apa saja yang dapat mengancam perusahaan.

2. Develop Assessment Criteria

Aktivitas pertama dalam proses penilaian risiko adalah Penetapan kriteria risiko dan peluang dinilai
dari segi dampak dan kemungkinan. Banyak perusahaan mengakui kegunaan mengevaluasi risiko di
sepanjang dimensi tambahan seperti vulnerability dan speed of onset.

3. Assess Risks
Menetapkan nilai untuk setiap risiko dan peluang menggunakan kriteria yang ditentukan. Penilaian
risiko sering dilakukan sebagai proses dua tahap. Penyaringan awal risiko dan peluang dilakukan
dengan menggunakan teknik kualitatif diikuti oleh perlakuan yang lebih kuantitatif dari risiko dan
peluang mereka untuk dikuantifikasi. Penilaian kualitatif terdiri dari penilaian setiap risiko dan peluang
sesuai dengan skala deskriptif seperti yang dijelaskan pada bagian sebelumnya. Analisis kuantitatif
membutuhkan nilai numerik untuk dampak dan kemungkinannya.

Baik teknik kualitatif maupun kuantitatif memiliki kelebihan dan kekurangan (dapat dilihat pada table
di bawah).

4. Assess Risk Interactions

Potensi risiko berinteraksi dengan peristiwa atau kondisi lain, untuk menyebabkan kerusakan atau
menciptakan peluang yang signifikan. Perusahaan menyadari pentingnya mengelola interaksi risiko,
karena risiko yang tampaknya tidak signifikan, ternyata dapat menciptakan peluang risiko yang
signifikan dan kerusakan yang hebat ketika mereka berinteraksi dengan risiko lain. Oleh karena itu,
perusahaan menggunakan teknik seperti matriks interaksi risiko, diagram bow-tie, dan distribusi
probabilitas agregat.

5. Prioritize Risks
Penentuan prioritas risiko dengan membandingkan tingkat risiko terhadap tingkat risiko target yang
telah ditentukan dan ambang batas toleransi. Risiko dipandang tidak hanya pada dampak keuangan,
tetapi juga kriteria subyektif seperti dampak kesehatan dan keselamatan, dampak reputasi, dan lainnya.
6. Respond To Risks
Hasil dari proses penilaian risiko dari tahapan yang telah dilakukan sebelumnya, berfungsi untuk
merespon risiko. Terdapat empat opsi respon risiko, yaitu menerima, menghindari mengurangi atau
berbagi.

Perusahaan mendefinisikan risiko Black Swan sebagai peristiwa itu di luar cakrawala risiko perusahaan
saat ini, tidak dipantau secara aktif, dan cenderung meningkat seiring berjalannya waktu cukup signifikan
untuk mengubah asumsi bisnis fundamental.

A. PERTEMUAN 6 ERM Model Three Lines of Defense

The Three Lines of Defense adalah model yang membagi tanggung jawab pengelolaan risiko dan
pengelolaan pengendalian serta bagaimana pembagian tersebut berkomunikasi dalam organisasi.
Dengan hubungan sebagai berikut:

Secara garis besar, three lines of defense memiliki tiga komponen utama sebagai berikut:
1. Own dan manage risiko dan kontrol
2. Monitor risiko dan kontrol
3. Melakukan assurance secara independen

Dengan susunan model sebagai berikut:

Model The Three Lines of Defense utamanya membagi secara jelas tiap fungsi tiga komponen
utama tersebut dan menghilangkan duplikasi fungsi pada antara tiga komponen tersebut.

1. First line of defense harus dilaksanakan pelaksanan proses bisnis tersebut. First line of
defense dilaksanakan oleh management pertama dan management menengah
(Manager Operasi). Manager operasi harus mengembangkan dan menerapkan
system control dan proses managemen risiko. Senior managemen memiliki
tanggungjawab untuk mengawasi proses bisnis yang memiliki risiko tinggi.
Berikut adalah hubungan COSO dengan first line of defense:
 2. Second line of defense harus ditempatkan untuk mendukung manajemen melalui pendapat
professional dan monitoring terhadap pelaksanaan first line of defense. Second line of
defense menggabungkan manajemen risiko dan fungsi kepatuhan. Tujuan second
line of defense adalah memanatu bahwa first line of defense telah dilaksankan
dengan baik. Fungsi ini dilaksankan oleh bagian manajemen yang melaksanakna
first line of defense tetapi masih dibawah pengawasan management senior.

3. Third line of defense memberikan assurance kepada senior manajer dan dewan direksi
terhadap pelaksanaan first line of defense dan second line of defense. Third line of defense
tidak didesain untuk menjalankan proses bisnis dan fungsi manajemen. Thrid line of
defense berfungsi utama untuk melaporakan penereapan setiap lini kepada direksi.
4. Third Line of Defense
Third line of defense diisi oleh internal auditor. IIA mendefinisikan auditor sebagai unit yang
independen dan objektif untuk melakukan kegiatan assurance dan consulting untuk memberi nilai tambah
dalam operasi organisasi. Fungsi utama audit internal adalah memberi assurance atas efektifitas dan
efisiensi pada tata kelola, manajemen risiko dan pengendalian internal. Hal utama yang membedakan audit
internal dengan second line of defense dan first line of defense adalah internal audit memiliki indepedensi
dan objektifitas terhadap unit yang lain dan internal audit tidak didesain untuk melakukan kegiatan operasi
organisasi. Internal audit dilengkapi dengan kewenangan untuk memberikan laporan langsung kepada
dewan direksi. Berikut adalah hubungan COSO dengan third line of defense:

B. External Auditors, Regulators, dan Pihak lain yang berkepentingan

External auditor meberikan nilai tambha dalam memberiksan pendaptan atas pengendalian
internal dan managemen risiko dalam scope laporan keuangan. Jika dipadukan secara baik
maka external auditor, regulator, dan pihak lain yang berkepentingan memberikan
tambahan line of defense. Tetapi umumnya external auditor, regulator, dan pihak lain
memiliki fokus dan kepentingan yang berbeda dengan tujuan organisasi secara internal.

Pertemuan 7
Produk Cobit
COBIT PRINSIPLE
1. PRINCIPLE 1: MEETING STAKEHOLDER NEEDS
[

2. PRINCIPLE 2: COVERING THE ENTERPRISE END TO END

COBIT 5 membahas tata kelola dan manajemen informasi dan teknologi terkait perusahaan, dari perspektif
end-to-end (keseluruhan), hal ini mempunyai makna:

1. Mengintegrasikan tata kelola IT perusahaan ke dalam tata kelola perusahaan

2. Meliputi semua fungsi dan proses yang diperlukan untuk mengatur dan mengelola
informasi perusahaan dan teknologi terkait, dimanapun informasi itu dapat diproses
• PRINCIPLE 3: APPLYING A SINGLE INTEGRATED FRAMEWORK
• adalah kerangka kerja tunggal dan terintegrasi karena:
1. Sejalan dengan standar dan kerangka kerja relevan terbaru lainnya, dan dengan demikian
memungkinkan perusahaan untuk menggunakan COBIT 5 sebagai tata kelola yang luas
dan integrator kerangka kerja manajemen.
2. Lengkap dalam cakupan perusahaan, memberikan dasar untuk mengintegrasikan secara
efektif kerangka kerja lain, standar dan
praktik yang digunakan.
3. Menyediakan arsitektur sederhana untuk menyusun bahan panduan dan menghasilkan
serangkaian produk yang konsisten
4. Mengintegrasikan semua pengetahuan yang sebelumnya tersebar di berbagai kerangka
kerja ISACA seperti Val IT, Risk IT, BMIS, ITAF
• PRINCIPLE 4: ENABLING A HOLISTIC APPROACH
• Enabler adalah faktor yang, secara individual dan kolektif, mempengaruhi apakah sesuatu akan
berhasil
• PRINCIPLE 5: SEPARATING GOVERNANCE FROM MANAGEMENT
• Kerangka kerja COBIT 5 membuat perbedaan yang jelas antara tata kelola dan manajemen. Dua
disiplin ilmu inimeliputi berbagai jenis kegiatan, memerlukan struktur organisasi yang berbeda dan
melayani tujuan yang berbeda.
 Information System dan Internal Control

1. Menilai ancaman & pilih risiko tanggapan

2. Mengembangkan dan menyampaikan kebijakan
3. Memperoleh & melaksanakan solusi
4. Monitor kinerja

PEOPLE: CREATION OF A “SECURITY-CONSCIOUS” CULTURE

Untuk menciptakan budaya sadar keamanan di mana karyawan

mematuhi kebijakan organisasi, manajemen puncak tidak hanya harus mengkomunikasikan
kebijakan keamanan organisasi, tetapi juga harus memimpin dengan memberi contoh. Karyawan lebih
cenderung
mematuhi kebijakan keamanan informasi ketika mereka melihat manajer mereka melakukannya.

ORANG: PELATIHAN
COBIT 5 mengidentifikasi keterampilan dan kompetensi karyawan sebagai faktor pendorong penting
lainnya untuk menjadi efektif
informasi keamanan. Karyawan harus memahami cara mengikuti keamanan organisasi
kebijakan. Dengan demikian, pelatihan adalah kontrol preventif yang kritis. Memang, kepentingannya
tercermin dalam
fakta bahwa pelatihan kesadaran keamanan dibahas sebagai praktik utama untuk mendukung beberapa
pelatihan
32 proses manajemen COBIT 5.
PROSES: KONTROL AKSES PENGGUNA
Penting untuk dipahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang karyawan boleh
menjadi tidak puas karena sejumlah alasan (mis., dilewati untuk promosi) dan mencari balas dendam, atau
mungkin rentan terhadap korupsi karena kesulitan keuangan, atau mungkin diperas untuk memberikan
informasi sensitif.

2. Presentive, Detective dan Corrective

Saat ini, organisasi terus bertukar informasi dengan mitra bisnis mereka dan pelanggan. Karena itu,
melindungi kerahasiaan juga memerlukan kontrol atas komunikasi keluar. Salah satu alat untuk mencapai itu
adalah perangkat lunak pencegahan kehilangan data (DLP), yang bekerja seperti program antivirus secara
terbalik, memblokir pesan keluar (apakah email, IM, atau sarana lain) yang mengandung kata atau frasa kunci
yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin dilindungi organisasi. Perangkat
lunak DLP adalah kontrol preventif. Itu dapat dan harus dilengkapi dengan kode embedding yang disebut
tanda air digital dalam dokumen. Tanda air digital adala kontrol detektif yang memungkinkan organisasi
untuk mengidentifikasi informasi rahasia yang telah diungkapkan. Ketika suatu organisasi menemukan
dokumen mengandung tanda air digital di Internet, ia memiliki bukti bahwa kontrol preventif dirancang untuk
melindungi informasi sensitifnya telah gagal. Maka harus menyelidiki bagaimana
kompromi terjadi dan mengambil tindakan korektif yang tepat.

3. HOT SITE COLD SITE

Rencana pemulihan bencana (DRP) menguraikan prosedur untuk memulihkan TI organisasi berfungsi jika
pusat datanya dihancurkan. Organisasi memiliki tiga opsi dasar untuk mengganti infrastruktur TI mereka,
yang mencakup tidak hanya komputer, tetapi juga komponen jaringan seperti router dan switch, perangkat
lunak, data, akses Internet, printer, dan persediaan. Opsi pertama adalah mengontrak untuk penggunaan
situs dingin, yang merupakan bangunan kosong yang sudah dipersiapkan sebelumnya untuk akses telepon
dan Internet yang diperlukan, ditambah kontrak dengan satu atau lebih vendor untuk disediakan semua
peralatan yang diperlukan dalam jangka waktu tertentu.
Opsi kedua adalah membuat kontrak untuk penggunaan situs panas, yang merupakan fasilitas yang tidak
hanya sudah disiapkan sebelumnya untuk akses telepon dan Internet tetapi juga berisi semua komputasi dan
kantor peralatan yang dibutuhkan organisasi untuk melakukan kegiatan bisnis yang penting. Opsi ketiga
adalah mirroring real-time, yang melibatkan mempertahankan dua salinan dari database di dua pisahkan
pusat data setiap saat dan perbarui kedua database secara real-time karena setiap transaksi terjadi.