BAB V

KEAMANAN DAN COMPUTER FRAUD

1. Fraud (Penipuan)
2. Pendekatan pada Computer Fraud
3. Teknik Penyalahgunaan dan Computer Fraud
4. Mencegah dan Mendeteksi Fraud

5.1 Fraud
Penipuan (fraud) adalah perbuatan tidak wajar yang sengaja dari kebenaran untuk membujuk
pihak lain dengan sesuatu yang bernilai atau menyerahkan hak sah. Penggelapan terjadi saat aset
secara curang disesuaikan untuk penggunaan pribadi seseorang. Penipuan dan penggelapan bisa
dilakukan oleh orang dalam atau orang luar dari organisasi.
Penggelapan manajemen termasuk penggelapan atau penyajian yang salah atas aktiva dari
karyawan, atau pihak ketiga di luar perusahaan, atau keduanya.
Berdasarkan hukum perdata, tindakan penipuan harus memenuhi kondisi berikut ini :
1. Penyajian yang salah, adanya pernyataan yang salah atau tidak diungkapkannya suatu
fakta.
2. Fakta yang material, adalah faktor yang substansial dalam mendorong seseorang untuk
bertindak.
3. Niat, yaitu adanya niat untuk menipu atau mengetahui bahwa penataan yang dimiliki
sesorang adalah salah.
4. Keyakinan yang dapat dijustifikasikan. Kesalahan dalam penyajian tersebut merupakan
faktor substansial tempat pihak yang dirugikan bergantung.
5. Kerusakan atau kerugian. Kecurangan tersebut telah menyebabkan kerusakan atau
kerugian bagi korban penipuan.
Penipuan dalam lingkungan bisnis telah meiliki arti yang lebih khusus. Penipuan adalah
pembohongan disengaja, penyalahgunaan aset komputer, atau manipulasi atas data keuangan
demi keuntungan pelaku penipuan. Dalam literatur akuntansi, penipuan umumnya juga disebut
sebagai ”kejahatan kerah putih (white collar crime), “kebohongan” (defalcation), ”pengelapan”
(embezzlement), dan “ketidakberesan” (irregularities). Auditor biasanya berhadapan dengan dua
tingkat penipuan oleh karyawan dan penipuan oleh pihak manajemen. Karena tiap bentuk
penipuan memiliki implikasi yang berbeda bagi auditor, maka antara keduanya perlu dibedakan.

Kejahatan Kerah Putih

Kejahatan kerah putih timbul jika aktiva digunakan secara tidak tepat atau disajikan dengan
keliru oleh suatu tindakanatau rangkaian tindakan yang tidak tampak jahat secara fisik.
Kejahatan kerah putih mencakup measukkan transaksi – transaksi fiktif (penipuan) ke dalam
sistem akuntansi.
Ada tiga bentuk dasar pencurian dalam kejahatan kerah putih untuk kepentingan individu:
- pencurian oleh karyawan perusahaan
- pencurian oleh karyawan luar perusahaan– kolusi
- penggelapan manajemen- oleh manajemen perusahaan
Pelaporan Keuangan yang keliru : Kejahatan kerah putih dapat berakibat pada laporan keuangan
– timbul kesalahan material. Laporan keuangan yang digelapkan meliputi : Transaksi fiktif yang
diproses melalui sistem akntansi, penilaian aktiva, kesalahan prinsip akuntansi.
Kejahatan korporasi (perusahaan) – merupakan kejahatan kerah putih untuk kepentingan
perusahaan.

Korupsi
Korupsi melibatkan eksekutif, manager, atau karyawan perusahaan dalam bentuk kolusi dengan
pihak lain. Peneitian oleh Association of Certified Fraud Examiners (ACFE) tahun 1996 dan
2002 mengidentifikasikan empat jenis umum korupsi: penyuapan, pemberian hadiah yang ilegal,
konflik kepentingan, dan penyalahgunaan wewenang bernilai ekonomi. Korupsi bertanggung
jawab untuk sekitar 10 persen dari berbagai kasus penipuan di tempat kerja.
Penyuapan (bribery) melibatkan pemberian, penawaran, permintaan, atau penerimaan berbagai
hal yang bernilai untuk mempengaruhi seorang penjabat dalam melaksanakan kewajiban
utamanya. Para penjabat dapat bekerja di badan pemerintahan (atau pembuat undang) atau di
perusahaan swasta. Penyuapan menipu entitas (perusahaan atau badan pemerintahan) dari
haknya atas layanan yang jujur dan loyal dari orang-orang yang dipekerjakannya.
Hadiah ilegal (illegal gratuity) melibatkan pemberian, penerimaan, penawaran, atau permintaan
atas sesuatu yang bernilai karena tindakan resmi yang telah dilakukan. Ini hampir sama dengan
penyuapan, tetapi transaksi terkait terjadi setelah fakta ini.
Konflik Kepentingan (conflict of interest) terjadi ketika seorang karyawan bertindak atas nama
pribadi dalam aktivitas yang dilakukan. Ketika konflik karyawan tidak diketahui oleh perusahaan
dan mengakibatkan kerugian finansial, maka telah terjadi penipuan.
Pemerasan secara ekonomi (economic extortion) adalah penggunaan (atau mengancam
menggunakan) tekanan (termasuk sanksi ekonomi) oleh seseorang atau perusahaan untuk
mendapatkan sesuatu yang bernilai. Sesuatu yang bernilai itu dapat berupa aktiva keuangan atau
ekonomi, informasi, atau kerja sama untuk mendapat keputusan yang diinginkan mengenai
sesuatu yang dikaji.

Kolusi
Kolusi merupakan perjanjian atau persekongkolan diantara dua orang atau lebih orang untuk
melakukan penipuan. Dalam prosedur pembelian, pengendalian atas perolehan didapat jika
pegawai-pegawai yang terpisah untuk tugas penerimaan dan gudang meyakinkan bahwa barang
telah diterima didalam gudang. Keduanya harus memberi tanda atas barang, dan tidak boleh
salah satu menipu yang lain melalui kolusi atau penipuan. Tentu saja, kekeliruan dan
penghilangan merupakan hal yang mungkin terjadi, misalnya kedua orang tersebut salah hitung
kuantitas. Pada kenyataannya, kesalahan yang tidak disengaja timbul seperti yang disengaja.
Tetapi, jika tidak disengaja, kesalahan tidak dapat diatasi dan pengendalian lain mungkin juga
tidak dapat mengatasi kesalahan ini. Asumsi bahwa probabilitas kolusi diantara dua orang atau
lebih akan rendah dalam suatu organisasi yang terencana secara formal adalah benar.
Pemrosesan Komputer dan Ekspsur- eksposur
Pemrosesan komputer cenderung mengakibatkan meningkatnya ekposur organisasi secara
signifikan.
Aspek-aspek pemrosesan komputer yang menghasilkan jenis eksposur :
- Pengolahan data secara mekanis, penyimpanan data secara mekanis, kompleksitas
pemrosesan adalah aspek pemrosesam computer yang menaikkan baik risiko atau hilangnya
uang karena eksposur yang ada dalam sebuah organisasi tidak masalah apakah pemrosesan
kompuer digunakan atau tidak.
- Pemrosesan terpusat, penympanan data terpusat, aktiva-aktiva pengolah data adalah aspek
dari pemrosesan komputer yang membuat jenis eksposur mereka sendiri.

Aset Pemrosesan Data

Aset pemrosesan data harus dilindungi seperti juga aset lain dalam organisasi. Peralatan
komputer mainframe bisa cukup mahal dan sering membutuhkan sebuah lingkungan khusus
untuk operasional yang efisien. Akses tebatas adalah pertimbangan utama. Hanya sedikit pintu
masuk ke lokasi sistem komputer. Hanya orang dengan validasi yang sesuai yang boleh diijinkan
untuk masuk. Ada sejumlah pendekatan untuk membatasi akses. Ini iermasuk kunci yang bisa
diprogram (yang bisa diprogram untuk menolak kunci tertentu), penjaga keamanan, dan monitor
televisi sirkuit tertutup.

Akuntansi Forensik
Akuntansi forensik berkaitan dengan pencegahan dan deteksi penggelapan dari kejahatan kerah
putih. Akuntansi forensik adalah salah satu dari berbagai istilah yang digunakan untuk
menjelaskan aktivitas orang yang berhubungan dengan pencegahan dan mendeteksi penipuan.
Istilah penguji penipuan, auditor penipuan, dan profesional pencegah-kerugian adalah juga
menggambarkan dari jenis aktivitas ini.

5.2 Pendekatan pada Computer Fraud

Sistem Keamanan Komputer
Sistem keamanan komputer merupakan subsistem orgainsasi yang mengendalikan risiko-risiko
khusus yang berkaitan dengan sistem informasi berdasar komputer. Sistem keamanan komputer
mempunyai elemen-elemen dasar sistem informasi, seperti perangkat keras, database, prosedur,
dan laporan. Contoh: data yang berkaitan dengan pelanggaran penggunaan dan keamanan
komputer dapat dikumpulkan pada waktunya (real time), disimpan dalam database, dan
digunakan untuk menghasilkan laporan.
Siklus Hidup Sistem Keamanan Komputer
Sistem keamanan komputer merupakan sistem informasi, pengembangannya memerlukan
aplikasi pendekatan siklus hidup (analisis sistem, perancangan, implementasi, dan
pengoperasian, evalusi, dan pengendalian).
Tujuan dari sistem kemanan setiap tahap siklus hidup adalah sebagai berikut :

Tahap Siklus Hidup Tujuan

Analisis Sistem - Analisis kerentanan sistem informasi dalam konsteks
 hambatan-hambatan yang relevan dan kerugian-kerugian
yang timbul (penilaian hambatan dan analisis kerentanan)
Perancangan Sistem - Rancang sistem keamanan untuk mengendalikan
kemungkinan kerugian teridentifikasi (perancangan
pengukuran keamanan dan rencana kontinyensi untuk
mengatasi kerugian-kerugian)
Implementasi - Implementasi sistem sesuai rancangan
Sistem (mengimplementasikan pengukuran-pengukuran
keamanan)
Pengoperasian - Operasikan sistem dan menilai efektifitas dan efisiensi.
Sistem, Buatlah perugbahan-perubahan sesuai kebutuhan
Evaluasi dan
Pengendalian

Sistem Keamanan Komputer dalam Organisasi

Jika sistem keamanan komputer ingin efektif, maka harus dikendalikan oleh Chief Security
Office (CSO). Tugasnya melaporkan kepada Dewan Komisaris. Laporan ini mencakup siklus
hidup sistem sebagai berikut :

Tahap Siklus Hidup Laporan kepada Dewan Komisaris

Analisis Sistem - Ikhtisar seluruh kemungkinan kerugian yang relevan
- Rencana rinci untuk pengendalian dan
Perancangan Sistem pengorganisasian kerugian-kerugian, termasuk
anggaran sistem keamanan komputer yang lengkap.
Implementasi Sistem - Kekhususan-kekhususan pada kinerja sistem
Pengoperasian Sistem, keamanan komputer, termasuk pengelompokan
Evaluasi dan kerugian-kerugian dan pelanggaran keamanan,
Pengendalian analisis ketaatan, dan biaya operasi sistem
keamanan.

Analisis Kerentanan dan Hambatan-hambatan

Terdapat dua pendekatan utama untuk menganalisis kerentanan dan hambatan-hambatan sistem :
- pendekatan kuantitatif penilaian risiko, setiap kemungkinan kerugian dihitung hasil biaya
individu dikalikan dengan kemungkinan munculnya (risiko).
- pendekatan kualitas, dengan mengurutkan kerentanan dan hambatan-hambatan sistem,
dansecara subyektif membuat ranking berdasrkan kontribusi terhadap kemungknan toal
perusahaan.
Baik pendekatan kualitatif maupun kuantitatif digunakan dalam praktik, dan banyak perusahaan
yang memadukan kedua pendekatan tersebut. Terlepas dari pendekatan apa yang digunakan,
setiap analisis harus mencakup kemungkinan kerugian untuk paling tidak masalah-masalah
berikut ini : interupsi bisnis, kerugian perangkat lunak, kerugian data, kerugian perangkat keras,
kerugian fasilitas, kerugian layanan dan kepegawaian.
Kerentanan (vulnerability) adalah kelemahan dalam sistem. Hambatan adalah eksploitasi
potensial dari kerentanan. Hambatan aktif mencakup penggelapan terhadap komputer dan
sabotase terhadap komputer. Hambatan pasif mencakup kesalahan-kesalahan sistem, termasuk
gangguan alam, seperti gempa bumi, banjir, kebakaran, dan badai. Kesalahan sistem mewakili
kegagalan peralatan komponen seperti kelemahan disk, kekurangan tenaga,dan sebagainya.

5.3 Teknik Penyalahgunaan dan Computer Fraud

Keseriusan dalam Penggelapan Komputer
Kriminalitas berdasarkan komputer merupakan dari masalah umum kejahatan kerah putih yang
sangat serius.
Keamanan komputer merupakan masalah internasional, oleh karena itu banyak negara memiliki
undang-undang yang bekaitan langsung dengan masalah keamanan komputer.
Penipuan manajemen adalah tindakan-tindakan penipuan yang dilakuan oleh para manajer untuk
mengelabui para investor dan kreditor dengan menggunakan laporan keuangan yang keliru.

Orang-orang yang Menimbulkan Hambatan pada Sistem Komputer

Serangan atau gangguan yang berhasil terhadap sistem komputer memerlukan adanya akses ke
perangkat keras, berkas data sensitif, atau program-program kritis. Terdapat tiga kelompok
individu yang berbeda dalam kemampuan normalnya untuk berakses dengan perangkat keras.
- Sistem komputer pribadi, seringkali menimbukan hambatan potensial karena mereka
seringkali memiliki akses khusus ke data dan program-program penting. Sistem komputer
pribadi meliputi karyawan-karyawan, perawatan komputer, para pemrogram, operator
komputer, dan karyawan administrasi sistem informasi dan komputer, klerk pengendalian
data.
- Para pemakai, sebaliknya memiliki akses yang lebih sempit, tetapi mereka tetap memilki
kesempatan untuk melakukan penggelapan. Pemakai, terdiri dari kelompok yang beragam
dan satu sama lain dapat dibedakan berdasarkan kegiatan fungsionalnya tanpa memandang
pengolahan atau komputasi data.
- Para pengganggu tidak mempunyai akses sama sekali, tetapi mereka seringkali adalah orang
yang memiliki kemampuan untuk mengganggu perusahaan. Pengganggu (intruders), adalah
setiap orang yang memiliki peralatan, data atau berkas-berkas komputer tanpa otorisasi yang
memadai. Penggangu yang menyerang sistem komputer sekedar untuk kesenangan disebut
hackers. Jenis lain dari pengganggu adalah unnoticedvintruders, wire tappers, piggy-hackers,
impersonating intrudes, dan eavesdroppers.

Terdapat sedikitnya enam metode yang dapat dipakai oleh orang untuk melakukan
penggelapan komputer. Metode itu adalah sebagai berikut :
- Manipulasi Masukan. Dalam sebagian besar kasus penggelapan komputer, manipulkasi
masukan, merupakan salah satu metode yang digunakan. Metode ini hanya membutuhkan
sedikit kemampuan teknis saja. Orang yang mengganggu masukan komputer bisa saja sama
sekali tidak tahu bagaimana komputer beroperasi.
- Gangguan Program. Gangguan program barangkali merupakan metode yang paling sedikit
digunakan, dalam penggelapan komputer. Ini karena untuk melakukannnya dibutuhkan
kemampuan pemrograman yang hanya dipunyai oleh sedikit orang saja. Dibeberapa
perusahaan terdapat metode pengujian program yang dapat digunakan untuk mendeteksi
program yang digangggu. Trapdoor adalah bagian program komputer yang memungkinkan
seseorang untuk mengakses program dengan melewati pengamanan normal program tersebut.
 Biasanya pembuat program menempatkan trapdoor dalam program untuk meyakinkan
bahwa mereka akan selalu memiliki akses program tersebut. Trapdoor terdapat dalam sistem
akuntansi, program-program database, sistem operasi, dan sebagainya.
- Gangguan Berkas Secara Langsung. Dalam beberapa kasus, ada orang-orang yang
melakukan potong jalur terhadap proses normal untuk pemasukan data ke program-program
komputer. Jika ini terjadi, maka akibatnya sangat merusak.
- Pencurian Data. Pencurian terhadap data penting merupakan masalah serius dalam bisnis
sekarang ini. Dalambanyak industri yang sangat kompetitif, telah terjadi pencurian infromasi
kuantitatif maupun kualiatif mengenai pesaing.
- Sabotase. Sabotase komputer menciptakan bahaya serius terhadap instalasi komputer.
Pengrusakan terhadap komputer atau perangkat lunak dapat megakibatkan kebangkrutan
perusahaan. Karyawan yang tidak puas, khususnya yang dipecat, biasanya mejadi sumber
sabotase terhadap sistem komputer. Kadang-kadang program komputer digunakan sebagai
alat untuk sabotase.
- Logic bomb mencakup kode-kode mati yang dtempatkan dalam program untuk diaktifkan
pada saat tertentu.
- Kuda Troya (Trojan horse) adalah program perusak yang tampak sebagai bagian dari
program itu sendiri.
- Program virus serupa dengan trojan horse tetapi dapat meyebar ke program-program lain,
dan menularkan virus-virus tersebut ke program-program yang dimasukinya. Virus-virus
telah sedemikian banyak sehingga mayoritas perusahaan sedikitnya mengalami serangan
virus sekali dalam setahun.
- Worm adalah jenis virus yang meyebar dengan sendirinya di jaringan komputer. Karena
seluruh komputer dalam jaringan memiliki hubungan satu sama lain, worm akan tumbuh terus
sesuai banyaknya komputer. Istilah worm berasal dari komputer-kompuer yang tertular dalam
suatu jaringan yang dianggap sebagai bagian-bagian yang berhubungan yang mirip mahluk
mengerikan.
- Penyalahgunaan dan Pencurian Sumberdaya-sumberdaya Komputer. Salah satu bentuk
penyalahgunaan sumberdaya manusia terjadi jika karyawan-karyawan menggunakan
komputer perusahaan untuk kepentingan bisnisnya.

5.4 Mencegah dan Mendeteksi Fraud

Mengendalikan hambatan-hambatan dapat diwujudkan melalui implementasi pengukuran-

pengukuran keamanan dan rencana-rencana kontinyensi. Pengukuran keamanan berfokus pada
pencegahan dan pendeteksian hambatan-hambatan (pengendalian preventif), rencana kontinyensi
berfokus pada perbaikan dampak dari hambatan-hambatan (pengendalian korektif). Merupakan
doktrin umum bahwa keamanan komputer tidak dapat mencegah hambatan-hambatan aktif tanpa
membuat sistem itu benar-benar aman. Lebih jauh, penting ditekankan bahwa tidak ada sistem
keamanan yang benar-benar bermanfaat tanpa adanya kejujuran.

Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar efektifitas keseluruhan sistem pengendalian.
Lingkungan pengendalian yang baik tergantung pada delapan faktor. Setiap faktor tersebut sesuai
dengan perannya dalam sistem keamanan komputer.
- Filosofi manajemen dan gaya operasi,
- Struktur organisasi
- Dewan komisaris dan komite-komitenya,
- Metode pemberian otoritas dan tangung jawab,
- Metode pengendalian manajemen,
- Fungsi audit intern,
- Kebijakan dan praktik-praktik kepegawaian,
- Pengaruh ekstern.

Pengendalian atas Hambatan-hambatan Aktif

Cara utama mencegah penggelapan dan sabotase adalah dengan menerapkan jenjang memadai
pada pengendalian akses. Jika seluruh pengendalian umum dan pemrosesan data telah
ditempatkan dan dapat berjalan, pertimbangan utama yang kemudian harus ada adalah
pembatasan akses tidak terotorisasi ke data dan peralatan sensitif. Pengendalian akses akan
bekerja untuk mencegah kemungkinan sipelaku berakses dengan target potensial. Tiga jenjang
yang harus ada adalah sebagai berikut :
- Pengendalian Akses Fisik. Tujuan pengendalian akses fisik adalah untuk memisahkan secara
fisik, individu yang tidak memiliki otorisasi dari sumber daya komputer yang ada. Pemisahan
fisik ini harus diterapkan pada perangkat keras, are masukan data, ara keluaran data, librari
data, dan kabel komunikasi. Seluruh pemakai diharuskan menggunakan kartu identitas
kemaman.
- Pengendalian Akses Sistem. Pengendalian akses sistem adalah pengendalian yang dirancang
berbentuk perangkat lunak untuk mencegah pemanfaatan sistem oleh orang yang tidak
berhak. Karena itu, tujuan pengendalian akses sistem adalah memberi identitas pemakai
serpeti kode akun, password, dan peralatan perangkat keras.
Setiap pemakai dapat diberikan nomor identifikasi-pemakai dan password pada sembilan
tingkatan yaitu : tingkatan stasiun kerja atau komputer pribadi, jaringan, komputer induk, file
server, katalog file, program, berkas data atau database., catatan dan file data. Contoh
password : DOG&SKY.
- Pengendalian Akses Berkas. Jenjang akhir pengendalian akses diterapkan ditingkat berkas
(file). Pengendalian akses berkas mencegah akses tidak sah ke berkas data dan program.
Pengendalian akses berkas paling mendasar adalah penetapan pedoman dan prosedur
otorisasi untuk mengakses dan mengubah data. Seharusnya tidak ada akses yang diijinkan ke
berkas-berkas komputer perusahaan tanpa adanya otorisasi tertulis.
- Enkripsi Data adalah transformasi data masukan berkaitan dengan plaintext atau cleartext
yang menggunakan teknik kriptografik. Tujuan enkripsi data adalah untuk menyembunyikan
konteks informasi data, mencegah gangguan, menyembunyikan keberadaan, dan/atau
mencegah penggunaan yang tidak sah.

Pengendalian atas Hambatan-hambatan Pasif

Hambatan-hambatan pasif meliputi masalah-masalah seperti gangguan pada tenaga dan
perangkat keras. Pengendalian-pengendalian pada hambatan-hambatan ini dapat bersifat
preventif maupun korektif.
- Sistem Toleransi Kesalahan. Sebagian besar metode berkaitan dengan kerusakan komponen
dalam hal pemonitoran dan pencadangan. Jika salah satu bagian sistem gagal, bagian
cadangan akan segera mengambil alih, dan sistem akan melanjutkan operasi dengan sedikit
 atau tanpa interupsi. Toleransi kesalahan dapat ditetapkan pada lima tingkatan: komunikasi
jaringan, CPU, DADs, sumber tenaga, dan transaksi indiviual.
- Koreksi Kesalahan : Berkas Pendukung (Backup). Beberapa studi menunjukkan bahwa lebih
dari 50% pemilik komputer pribadi tidak membuat berkas pendukung secara memadai. Oleh
karena itu, sistem perlu membuat pendukung secara sentralisasi. Sistem semacam ini biasa
digunakan untuk mendukung disk yang penting. Sebagai contoh sistem Prudintial Bache
akan membuat berkas pendukung setiap 2 sampai 5 menit.
Terdapat tiga macam pendukung : full backups, incremental backups, dan differential
backups. Fullbackup akan mendukung seluruh berkas yang terdapat pada disk tertentu.
Incremental backup mendukung seluruh berkas yang archieve bit-nya diubah menjadi 1. Dan
kemudian diubah menjadi 0 selama proses pendukungnya. Jadi incremental backup hanya
membuat berkas pendukung yang telah dimodifkasi dari full backup atau incremnental
backup sebelumnya. Differential backup sama dengan incremntal backup, hanya saja
archieve bit tidak diubah menjadi 0 selama proses pendukungan.

Manajemen Risiko Bencana

Banyak organisasi yang sangat tergantung pada sistem komputer untuk mendukung operasi
sehari-harinya. Sebagai konsekuensinya, jika pemrosesan sistem komputer terhambat atau
terganggu, organisasi yang bersangkutan akan mengalami kerugian. Manajemen risiko bencana
sangat penting untuk menjamin kelangsungan operasi jika terjadi bencana.
Manajemen risiko bencana mencakup rencana pencegahan dan kontinyensi. Dalam banyak
kasus, terbukti bahwa asuransi dapat membantu mengendalikan risiko, tetapi sebagian besar
mencantumkan sebagaian biaya untuk gangguan usaha, terutama pada yang tidak memiliki
rencana pemulihan.

Pencegahan Bencana dan Rencana Pemulihan Bencana

Pencegahan bencana merupakan langkah awal dalam manajemn risiko bencana. Studi-studi
menunjukkan frekuensi bencana untuk berbagai sebab, yaitu :
- Bencana alam 30%
- Tindakan disengaja 45%
- Kesalahan manusia 25%
Data ini menunjukkan bahwa persentase yang besar dari bencana dapat dihindarkan dengan
menerapkan kebijakan keamanan menyeluruh. (George H. Bodnar, 2004).
Rencana pemulihan bencana harus diterapkan pada tingkat tertinggi di perusahaan. Idealnya
harus disahkan oleh suatu komite dewan komisaris sebagai bagian dari rencana keamanan
komputer secara umum.
- Menilai Kebutuhan Penting Perusahaan. Semua sumber daya penting di perusahaan harus
diidentifikasikan. Termasuk didalamnya adalah perangkat keras, perangkat lunak, dan
persyaratan-persyaratan sumber tenaga dan perawatan, ruang, catatan-catatan penting, dan
sumber daya manusia.
- Membuat daftar Prioritas Pemulihan. Harus dibuat prioritas yang berkaitan dengan
kebutuhan-kebutuhan penting perusahaan. Daftar prioritas akan mengindikasikan aktivitas-
aktivitas penting tertentu yang harus dilaksanakan ulang beberapa menit atau jam setelah
terjadi bencana.
- Strategi dan Prosedur-prosedur Pemulihan. Rencana harus mencakup hal-hal rinci, sehigga
ketika bencana terjadi, perusahaan dapat segera tahu apa yang harus dilakukan, siapa yang
harus melakukan, dan berapa lama harus dilakukan.