Membangun Kerangka Kerja untuk Pengamanan dan Pengendalian

1. Pengendalian Sistem Informasi

 Kendali Umum

Kendali umum (general controls) berpengaruh atas desain, keamanan, dan

penggunaan program computer dan keamanan arsip data secara umum dari semua
infrastruktur teknologi informasi perusahaan. Kendali umum digunakan pada semua
aplikasi yang terkomputerisasi dan memuat kombinasi perangkat keras, perangkat lunak,
dan prosedur manual yang menciptakan lingkungan control secara menyeluruh.

Jenis-Jenis Kendali Umum

o Kendali Perangkat Lunak

Memantau penggunaan system dan mencegah akses tanpa izin pada

program perangkat lunak, system perangkat lunak, dan program computer.

o Kendali Perangkat Keras

Memastikan bahwa perangkat keras aman secara fisik, dan memeiksa

keberadaan fungsi pada perlengkapan.

o Kendali Operasional Computer

Mengawasi kinerja computer department untuk memastikan bahwa

prosedur yang terprogram dapat secara konsisten dan tepat diaplikasikan pada
penyimpanan dan pemrosesan data.

o Kendali Keamanan Data

Memastikan data arsip bisnis yang berharga

o Kendali Implementasi

Mengaudit proses perkembangan system pada berbagai titik untuk

memastikan bahwa proses dikendalikan dan dikelola dengan tepat.

o Kendali Administrative
 Merumuskan standar, peraturan,prosedur, dan kendali disiplin untuk
memastikan bahwa kendali umum dan kendali aplikasi organisasi
dilaksanakan dan diterapkan dengan tepat.

 Kendali Aplikasi

Kendali aplikasi (application controls) adalah pengendalian khusus dan

spesifik pada setiap aplikasi yang terkomputerisasi. Berikut merupakan
pengelompokkan kendali aplikasi, yaitu

o Kendali Input

Kendali input memeriksa keakuratan dan kelengkapan data yang akan

dimasukkan ke dalam system.

o Kendali Pemrosesan

Kendali pemrosesan meliputi penetapan data yang utuh dan akurat

selama pemutakhiran dilakukan.

o Kendali Output

Kendali output memastikan bahwa hasil dari pemrosesan computer

akurat, utuh, dan dapat didistribusikan dengan benar.

2. Penilaian Risiko

Penilaian risiko (risk assessment) menentukan keadaan tingkatan risiko

perusahaan jika sebuah tindakan atau proses yang spesifik tidak dapat dikendalikan
sebagaimana mestinya. Tidak semua risiko dapat diantisipasi dan diukur, tetapi Sebagian
besar bisnis akan dapat beberapa pemahaman seputar risiko yang dihadapi. Manajer
bisnis yang bekerja dengan spesialis system informasi sebaiknya mencoba untuk
menentukan nilai asset informasi, titik-titik kerentanan, frekuensi kemungkinan
terjadinya permasalahan, dan potensi kerusakan.

3. Kebijakan Keamanan
 Kebijakan keamanan (security policy) terdiri atas pernyataan peringkat risiko
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi
mekanisme untuk mencapai tujuan tersebut.

Kebijakan keamanan mendorong kebijakan lainnya dalam menentukan

penggunaan sumber daya informasi perusahaan yang dapat diterima dan siapa saja
anggota perusahaan yang memperoleh akses kepada asset informasi. Kebijakan
penggunaan yang dapat diterima (acceptable use policy -AUP) mendefinisikan
penggunaan sumber daya informasi perusahaan dan perlengkapan computer yang dapat
diterima. AUP sebaiknya menjelaskan kebijakan perusahaan terkait privasi, tanggung
jawab pengguna dan penggunaan pribadi dari perlengkapan computer dan jaringan. AUP
yang baik mendefinisikan tindakan yang dapat diterima dan tidak dapat diterima bagi
setiap pengguna dan menetapkan konsekuensi bagi ketidakpatuhan.

Kebijakan keamanan juga mencakup penetapan manajemen identitas. Manajemen

identitas (identity management) terdiri atas proses bisnis dan peralatan perangkat lunak
untuk mengidentifikasi pengguna yang sah pada system dan mengendalikan akses
terhadap sumber daya system.

4. Perencanaan Pemulihan Bencana dan Perencanaan Kesinambungan Bisnis

 Perencanaan Pemulihan Bencana

Perencanaan pemulihan bencana (disaster recovery planning) merupakan sebuah

alat merancang rencana untuk merestorasi komputasi dan layanan komunikasi setelah
perusahaan mengalami gangguan. Perencanaan pemulihan bencana memiliki focus utama
pada masalah teknis dalam hal menjaga dan membuat system tetap berjalan.

 Perencanaan Kesinambungan Bisnis

Perencanaan kesinambungan bisnis (business continuity planning) memiliki focus

pada bagaimana perusahaan mengembalikan operasional bisnis setelah terjadinya
bencana. Perencanaan kesinambungan bisnis mengidentifikasi proses bisnis yang utama
dan menetapkan rencana tindakan untuk mengendalikan fungsi-fungsi penting saat
system tidak bekerja.
5. Peran Auditing

Audit system informasi manajemen – SIM (MIS audit) memeriksa lingkungan

keamanan keseluruhan perusahaan sebagaimana mengendalikan pengaturan system
informasi individu. Auditor sebaiknya menelusuri aliran beberapa transaksi pada system
dan melakukan pengujian.

Audit keamanan meninjau teknologi, prosedur, dokumentasi, pelatihan, dan

personel. Sebuah audit yang teliti akan menyimulasikan sebuah serangan atau bencana
untuk menguji respons teknologi, staf system informasi, dan karyawan bisnis.
 Daftar Pustaka

Kenneth C. Laudon; Jane P. Laudon. 2014. Management Information System, Edisi 13