• Logical security dalam konteks pengontrolan dapat di definisikan sebagai pengontrolan dengan
pertolongan software/aplikasi tertentu terhadap pengaksesan pemakai sesuai dengan wewenang yang
diberikan untuk menggunakan data/informasi termasuk programnya yang disimpan di dalam komputer.
• Tujuan logiccal security: *Melindungi data/informasi yang tersimpan di sentra komputer (computer
center) dari kerusakan atau penghancuran yang dilakukan baik secara sengaja maupun tidak sengaja.
*Menghindari dan mendetekiperubahan teerhadap informasi yang dilakukan oleh yang tidak berwenang
serta menjaga agar informasi tidak disebarluaskan kepada yang tidak berwenang
• Aplikasi logical security: *User-ID, *Password, *Level Pengaksesan, *Closed menu
• Tanggungjawab Pemberian Kontrol: *Tanggungjawab untuk memberikan dan memastikan agar
pemberian kontrol terhadap tingkat pengaksesasn yang memadai biasanya diberikan kepada security
administrator. *Security administrator berwenng untuk mengganti, menghapus user id beserta password
dan tingkat kontrol pengaksesasan. Ia akan berkonsultasi dengan pemilik sistem.
• Physical security: *Meskipun harga peralatan komputer secara umum sekarang sudah mulai
menurun,bagaimanapun juga biaya yang telah dikeluarkan merupakan investasi yang sangat besar dan
berharga. Terutama aset yang paling penting adalah data dan program di dalam komputer yang dapat
menghasilkan informasi untuk menggerakkan roda keuangan perusahaan. *Agar proses operasional dapat
berjalan secara berkesinambung, perusahaan harus memastikan agar arsip data, program dan dokumentasi
yang vital dilindungi secara memadai dan disimpan juga di tempat yang berbeda dengan lokasi
perusahaan.
• Tujuan utama dari physical security adalah melindungi dan mencegah agar tidak ada perusakan yang
dilakukan secara sengaja atau tidak sengaja terhadap bukan hanya peralatan komputer namun juga arsip
data dan program. 1. Perlu di pertimbangkan dan dipastikan agar organisasi memiliki langkah-
langkah untuk: *Meminimalkan resiko kebakaran. *Memiliki physical security yang memadai.
*Memiliki program recovery yang memadai dengan biaya yang dapat dipertanggungjawabkan apabila
terjadi kebakaran atau bencana. 2. Sentra komputer/computer centre : *Lebih baik sentra komputer
diletakan di gedung tersendiri atau satu lantai sendiri. Bagian ini terdiri tidak hanya peralatan
komputer,namun bagian ICT yang teriri dari subunit development dan support dapat di tempatkan
disinisehingga memudahkan. *Akses ke gedung atau bagian ini harus dikontrol secara ketat. 3. Kamar
komputer/computer room : *Idealnya dibangun dengan jumlah pintu yang minimum. *Disediakan pintu
darurat khusus. *Didalam ini dapat disimpan semua peralatan yang berkaitan dengan komputer. *Kamar
komputer harus dalam keadaan rapi, bersih dan bebas dari debu. 4. Tanda pengenal: *Setiap karyawan,
dalam hal ini departemen ICT, harus memiliki kartu pengenal yang harus di pakai. *Apabila stafdari
vendor akan melakukan maintenance atau perbaikan makaakan dibrikan kartu sementara. Namun
pengontrolan tetap harus dilakukan misalnya dengan cara mendampinginya. 5. Sistem alarm: *Sistem
intrusion detection patut untuk dipertimbangkan. *Sistem alarm ini akan disambungkan de ruangan
penjaga/keamanan gedung/satpam. 6. Prosedur dalam keadaan darurat : Prosedur ini berisi secara inci
aksi apa yang harus dilakukan oleh karyawan pada saat yang genting termasuk memanggil dan
mengumpulkan bantuan dari staf keamanan dan polisi. 7. Peralatan : Hanya peralatan yang di butuhkan
oleh operator diperbolehkan untuk diletakan didalam ruangan komputer dajatau sekeliling komputer. 8.
Air conditioning: AC diruangan komputer harus terpisah dari sistem AC yang digunakan oleh gedung.
*Ada AC khusus. 9. Tabung pemadam kebakaran : *Harus dimilikioleh setiap ruangan. *Tabung harus
ditempatkan dimana semua orang dapat melihat dengan jelas apabila dibutuhkan. *Pengontrolan berkala
agar tetap berfungsi saat dibutuhkan. 10. Alat pendeteksi api : *Alat ini memilikikemampuan untuk
memberikan suara alarm yang keras. 11. Pintu darurat : *Setiap karyawan harus mengetahui dimana
pintu daruratberada. *Pintu darurat hanya dapat dibuka dari dalam. 12. Laporan-laporan yang sudah
tidak terpakai : *Informasi yang tercetak merupakan konsumsi untuk para karyawan perusahaan, namun
merupakan rahasia untuk pihak luar. *Semua laporan yang tidakterpakai lagi atau salah cetak harus
dimusnahkan. 13. Aset komputer: *Bagian ICT wajib mengelola dan mendaftarkan setiap komputer
beserta alat pendukungnya yang baru dibeli diinventaris aset perusahaan. *Selain itu ict juga memiliki
daftar pemakai komputer agar dapat dengan mudah menelusuri keberadaan komputer tertentu. 14. Media
backup : Rata-rata media backup disimpan dilokasi yang sama dengan ruangan komputer atau
perusahaan, pada perusahaan besar bahakan memiliki backup diluar gedung (off-side backup).
• Kelemahan keamanan : *Beberapa kelemahan yang dapat dimanfaatkan oleh orang lain. *Tidak ada
resepsionis. *Tamu dapat masuk tanpa tanda pengenal. *Karyawan mempercayai orang dari perusahaan
lain apabila ia memakai baju seragam. Ex perusahaan komputer. *Tidak ada access control pada ruang
pintu sensitif. *Tidak adanya pintu yang langsung menutup secara otomatis di ruang penting. *Backup
media diletkan disembarang tempat. *Cd dan atau dvd dibunang begitu saja di tempat sampah. *Laporan
yang tidak dipakai lagi.
# PERTEMUAN 7 “Prosedur Perubahan Program”
• Prosedur Perubahan Program: *Karena perbisnisan bergerak di dalam lingkungan yang dinamis,
disertai dengan pesatnya inovasi teknologi sebagai alat pendukung, maka akan selalu muncul kebutuhan
untuk meningkatkan sisteminformai yang ada atau membangun kembali dari nol. *Ada juga
kemungkinan untuk menggantikan sistem lama dengan paket sistem aplikasi yang saat ini banyak di
pasaran. Alasan ini yang telah menggerakan untuk untuk menggerakkan untuk membuat perubahan
prosedur yang berlaku. *Syarat-syarat dan harapan baru dari pemakai merupakan alasan untuk
menggadakan perubahan terhadap sistem yang sedang berjalan. *Pengontrolan terhadap aktivitas
perubahan sistem yang memiliki resiko tinggi merupakan keharusan.
• Tujuan adanya Prosedur keamanan : Tujuan utama prosedur ini adalah untuk melindungi agar
perusahaan tidak mengalami kerugian,kerusakan atau ketidak akuratan yang di sebabkan kesalahan
dan/atau kecurangan pada saat pemrosesan perubahan program/sistem
• Secara prinsip prosedur perubahan program paling sedikit memiliki langkah berikut: *Semua
perubahan program harus di setujui dan direview oleh pemilik sistem, kepala unit kerja terkait dan kepala
bagian ICT. *Pengaksesan terhadap program harus dikontrol secara memadai. *Hasil program yang telah
dirubah harus direview dan diverifikasi oleh pemilik sistem, kepala unit kerja terkait, dan kepala bagian
ICT.
• Prosedur: *Pemakai mengisi formulir “system change request”. Didalamnya pemakai menerangkan
tujuan perubahan dan syarat-syarat perubahan yang diminta. Kepala unit kerja harus menyetujui
perubahan dan menandatangani formulir tersebut.formulir diberikan kepada kepala unit ICT. *Kepala
bagian ICT akan mencatat dan mempelajari .seteah disetujui oleh pemilik sistem formulir tersebut
diteruskan kepada project leader yang menangani sistem tersebut. *Bersama dengan analis sistem,Project
Leader akan membahas kemungkinan perubahan atau penambahan yang diminta. Apabila permintaan ini
dapat diwujudkan, akan dikalkulasikan biaya dan waktu yang dibutuhkan dan jadwal pembuatannya.
*Setelah pimpinan departemen pemakai telah diinformasikan biaya yang akan dibebankan,ia harus
menentukan apakah proyek ini berjalan terus atau ditunda dahulu. *Apabila laporan keuntungan dan
biaya proyek disetujui, pimpinan ICT akan menyusun prioritas dan jadwalnya bersama dengan project
leader. *Formulir change request diberikan kepada analis/programmer yang akan mengerjakan. Ia akan
menginformasikan secara tertulis kepada operator untuk meng-copy source program ke test environment.
*Permintaan peng-copy-an ini akan didaftarkan oleh operator ke dalam buku catatan yang telah
ditentukan dan setelah itu melaksanakan peng-copy-an. *Analis/programmer melakukan perubahan yang
diminta dan menguji coba perubahan ini sampai tidak ada kesalahan lagi (error free/bug free). *Hasil tes
program diberikan kepada pemakai untuk di-review dan diminta persetujuannya. Apabila dibutuhkan,
pemakai dapat menguji coba sendiri atau memberikan set uji coba kepada analis/programmer untuk
menguji coba lagi. Persetujuan ini harus diindikasikan di formulir change request. *Sebelum source
program yang baru dipindahkan ke production environment, Project leader melakukan pengecekan
terakhir atas kebenarannya dengan cara menguji coba ulang atau melihat/meneliti source code-nya.
*Setelah pimpinan ICT yakin bahwa semua perubahan telah dilakukan dengan sempurna dan sesuai
dengan prosedur, maka ia akan menyetujui perpindahan program baru yang berisikan perubahan dari tes
ke production environment. *Setelah dokumentasi (untuk operator, pemakai dan program)diupdate,
change request dapat di berikan kepada bagian pengoperasian. *Bagian pengoperasian akan meneliti
dahulu kelengkapan tandatangan yang dibutuhkan sebelum memindahkan program lama ke history file
dan mengkomplasiprogram baru. *Analis/programer akan memverifikasi atas kebenaran penggantian
program. *Pemakai akan diinformasikan bahwa program baru yang berisikan permintaan perubahan telah
dapat dipakai.
• Prinsip dasar pengontrolan: 1.Source dan object deck/code yang digunakan produksi harus disimpan di
dalamlibrary yang memiliki perlindungan terhadap pengaksesan yang dilakukan individu yang tidak
berwenang. 2.Perubahan terhadap program dan atau sistem hanya dapat dilakukan apabila telah menerima
surat resmi dari pemohon beserta alasannya. 3.Setalah mendapat surat perintah kerja, pelaksanaan tidak
dapat dilakukan di production enviroment seperti yang tercantum di prosedur perubahan program. Oleh
karena itu, harus disediakan tes, atu development enviroment,dimana program yang telah berjalan dapat
di copy ke dalammnya untuk perubahan ini. 4.Buku registrasi yang akan berfungsi sebagai alat
pengontrolan harus di maintain dimana tercantum : *Nomor formulir change request, *Uraian singkat
mengenai perubahan, *Tinggal permintaan, *Nama programmer yang melakukan perubahan, *Tanggal
efektif program dengan perubahan mulai dipakai. 5. Apabila perubahan ini menyangkut pengontrolan di
dalam aplkasi, audit harus mereview permintaan tambahan ini. 6. Pengontrolan terhadap source program
dan object program di production envionment untuk memastikan atas kebenarann object program. Oleh
karena itu,kontrol yang baik adalah mengkompilasi source program di production environment, yang
secara otomatis akan mengganti object yang lama. 7. Pengontrolan yang memadi terhadap uji coba yang
dilakukan sebelum memindahkan keproduction environment. 8. Memastikan agar progrm yang teleh
diubah dan telah disetujui oleh pemakai tidak dapat diubah lagi sebelum dipindahkan ke production
environment. Hal ini dapat dilakukan dengan logical security. 9. Versi source program sebelumnya harus
dipindahkan ke history file sebelum memindahkan program baru ke production environment. Program
versi lama harus disimpan di media tertentu (misalnya tape, CD/DVD dan sebagainya) dan bukan hard
copy. *Dokumentasi harus di update.
• #P9 Prosedur
• 9. Pengembangan Sistem
- Metode yang diterapkan tergantung dari besar perusahaan, kemampuan staf ICT, teknologi yang tersedia
(development tool yang modern, biaya, pengetahuan mengenai komputer didalam organisasi dan jenis
binis yang digeluti.
- Pengembangan sistem membutuhkan perhatian yang besar dari senior manajemen sebelum
membutuhkan opsi untuk menempuh jalan ini, agar keputusan yang telah diambil tidak mubazir atau
disesalkan di kemudian hari.
- Pengembahan sistem merupakan tanggung jawab semua yang terlibat, tidak hanya semata-mata bagian
dari ICT. Tanpa input yang lengkap dan benar dari users sudah tentu ICT tidak dapat membangun sistem.
Pengetahuan operasional yang dimiliki oleh pemakai, tidak dapat dimiliki ICT. Pengetahuan ICT hanya
sebatas pengaplikasian informasi yang diberikan dengan menggunakan teknologi dan mencari solusi untuk
menunjangnya.
9.1 Tanggungjawab
-Apabila telah diputuskan untuk membangun sistem dari nol/stratch, ada baiknya apabila dibahas tanggung
jawab masing-masing karyawan yang terlibat di dalam proses yang akhir-akhir ini di sebutkan System
Development Life Cycle (SDLC). Karyawan yang telah ditunjuk dan dilibatkan akan masuk ke salah satu tim.
-Tim ini juga dapat dibentuk apabila organisasi memutuskan untuk membeli paket sistem aplikasi.
9.1.1 Steering committee/Tim pengendali
• Tim ini terdiri dari senior manajemen organisasi yang memegang peranan penting di dalam
perusahaan.
Biasanya terdiri dari direktur dan para senior manager/kepala bagian yang tingkatannya lebih rendah satu
tingkat dari direktur.
9.1.2 User Group/Tim Pemakai
-User group bertanggungjawab atas pengimplementasian peraturan (policy) yang telah diputuskan di
steering committee atau policy yang telah dibuat sebelumnya.
-Grup ini akan merinci lebih lanjut rencana ICT yang telah diajukan kepada steering comittee,mendesain
dan mengimplementasikan sistem komputer.
9.1.3 Test Group / Tim Uji Coba
Terdiri dari tim pengembang sistem dan pemakai (key user).
Tugas utamanya adalah menguji coba sistem yang baru dibangun.
9.2 Pengembangan sistem
-Fokus utama pada topik ini adalah pada saat penerimaan sistem baru untuk menguji coba kontrol dan
keamanan sistem.
-Kontrol terhadap pengembangan sistem membutuhkankerja sama dan effort antar departemen ict/tim
pengembang dengan unit kerja yang lain dalam perusahaan.
• 9.2.1 Awal proyek
Proyek pengmbangan sistem diwali selalu dengan mengidentifikasi permasalahan yang ada saat ini timbul
di organisasi, persyaratan baru dan/atau kebutuhan lain yang mungkin dapat menanggulanginya dengan
memanfaatkan teknologi komputer.
9.2.2 Study kelayakan/feasibility study
-Maksud dari feasibility study ini adalah mengidentifikasikan solusi-solusi yang dapat memecahakan
permasalahan dan memberikan rekomendasi opsi mana yang paling baik beserta alasannya.
-Secara umum studi kelayakan terdiri dari:
Fact-finding
Analisis
Laporan
Apakah langkah pengamanan yang berkaitan dengan pengontrolan akses berjalan efektif?
Apakah fungsi dari sistem keamanan diterapkan dengan benar?
Apakah pengamanan terhadap resource cukup memadai?
Apakah langkah backup dan recovery diperiapkan dan berjalan dengan baik?
Apakah langkah untuk pengamanan pekerjaan yang bersifat rahasia telah disusun?
Apakah sistem telah menerapkan screening yang memadai?
Apakah isi output sesuai dengan permintaan?
Apakah tersedia fasilitas untuk audit?