SISTEM INFORMASI AKUNTANSI

“RPS 5 KEAMANAN SISTEM INFORMASI”

Dosen Pengampu: Prof. Dr. I Ketut Yadnyana, S.E.,Ak.,M.Si

Oleh kelompok 5 :
Ni Made Ria Paramita Wiraningsih (1907531175)
Christian Silvester Saut Harun (1907531192)

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS UDAYANA
TAHUN 2021
3.1 KEAMANAN SISTEM INFORMASI
Keamanan Sistem Informasi merupakan subsistem dalam suatu organisasi yang bertuga
s mengendalikan risiko terkait dengan sistem informasi berbasis komputer. sistem keamanan i
nformasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedu
r, dan pelaporan.
3.1.1 Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu,pengemban
gan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Sistem keam
anan kompuet dikembangkan dengan menerapkan metode dan tujuan setiap tahap siklus hidu
p ini adalah sebagai berikut :

Fase Siklus Hidup Tujuan

Analisis sistem Analisis kerentanan sistem dalam arti ancaman yang releva
n dan eksposur kerugian yang terkait dengan ancaman ters
ebut.
Desain sistem Desain ukuran keamanan dan rencana kontingensi untuk m
engendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistem Menerapkan ukuran keamanan seperti yang didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksirkan efektivitas dan ef
pengendalian sistem isiensi. Membuat perubahan sebagai diperlukan sesuai den
gan kondisi yang ada.

3.1.2 Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, harus dikelola oleh chief security officer (CS
O). Individu tersebut harus melaporkan langsung pada dewan direksi demi terciptanya indepe
ndensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapar
kan persetujuan dewan direksi. Laporan ini mencakup setiap fasi siklus hidup.

Fase Siklus Hidup Tujuan

Analisis sistem Sebuah ringkasan terkait dengan semua eksposur kerugian
yang relevan.
Desain sistem Rencana detail mengenai pengendalian dan pengelolaan ke
rugian, termasuk anggaran sistem keamanan secara lengka
p.
Implementasi sistem, Mengungkapkan secara spesifik kinerja sistem keamanan, t
 operasi, evaluasi, dan ermasuk kerugian dan pelanggaran keamanan yang terjadi,
pengendalian sistem analisi kepatuhan, serta biaya oprasi sistem keamanan.

3.1.3 Menganalisis Kerentanan dan Ancaman

Pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem. Pendekatan kuantitatif
untuk menaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian
setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Sebagai contoh, asu
msikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor risiko antara O dan 1.
Kemudian laporan analisis ancaman, sebagai contoh ditunjukkan pada Gambar 5.1. Dalam co
ntoh tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan kecurang
an dan serangan virus (serangan yang diakibaikan oleh program komputer yang memang dide
sain untuk menyabotase file-file penting) Manfaat terbesar dari analisis semacam ini adalah ia
dapat menunjukkan bahwa ancaman yang paling mungkin teiadi bukanlah ancaman dengan e
ksposur kerugian terbesar. Sebagai contoh, pada Gambar 5.1, anaman yang paling banyak terj
adi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat anca
man tersebut dikatakan paling kecil

Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir eksposur ke
rugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksi
r probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Yang kedua, mengestim
asi kemungkinan terjadinya suatu kerugian yang melibatkan peramalan masa yang akan datan
g, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sanga
t cepat.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanana komputer adalah deka
tan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhad
ap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi set
iap item tersebut terhadap total eksposur kerugian perusahaan.

3.2 KERENTANAN DAN ANCAMAN

Kerentanan merupakan suatu kelemahan dalam suatu sistem. Ancaman merupakan

suatu eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman yaitu aktif
dan pasif. Aktif mencangkup kecurangan sistem informasi dan sabotase. Pasif menyangkup
kegagalan sistem seperti kegagalan sistem, termasuk bencana alam seperti gempa bumi,
kebakaran, banjir dll.

3.2.1 Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis computer merupakan bagian dari masalah umum kejahatan kerah putih.
Statistik menunjukan bahwa kerugian perusahaan terkait kecurangan lebih besar dari total
kerugian akibat suap perampokan, dam pencurian. Keamanan sistem informasi merupakan
masalah internasional. Banyak Negara memiliki undang-undang terkait masalah keamanan
komputer. Computer Fraud and Abuse Act tahun 1986 menyatakan akses tidak legal yang
dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga keuangan,
komputer yang dimiliki atau digunakan oleh pemerintah federal, atau komputer yang
beroprasi dalam perdagangan terbatas merupakan sebuah kejahatan federal. Pelaku utama
dapat dikenai hukuman penjara 1 sampai 5 tahun.

Treadway Commission mengaitkan kecurangan manajemnen dengan kejahatan komputer.

Kecurangan manajemen merupakan kecurangan yang disengaja oleh manajemne untuk
menipu para investor dan kreditor melalui pelaporan keuangan yang menyesatkan.
Kecurangan seperti ini biasanya dilakukan oleh mereka yang mempunyai jabatan cukup
tinggi dalam organisasi/perusahaan sehingga memungkinkan untuk melanggar pengendalian
akuntansi. Treadway Commission mendefinisikan kejahatan pelaporan keuangan merupakan
prilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu ataupun lalai dengan
sesuatu, yang menghasilkan laporan keuangan yag menyeesatkan.

3.2.2 Individu yang Dapat Menyebabkan Ancaman bagi Sistem Informasi

Tiga kelompok individu-personel sistem, pengguna, dan penyusup memiliki kemampuan

untuk mengakses hal-hal tersebut. Personel sistem kerap kali merupakan ancaman potensial
karena mereka diberi berbagai kewenangan akses terhadap data program yang sensitif.

Personel Sistem Komputer

Personel sistem meliputi personel pemeliharaan komputer, programmer operator, personel

administrasi, sistem informasi, dan karyawan pengendali data.

Personel Pemeliharaan Sistem. Menginstal perangkat keras dan perangkat lunak,

memperbaiki perangkat keras, dan membetulkan kesalahan kecil di perangkat lunak. Dalam
banyak kasus, personel pemeliharaasn biasanya memiliki kemampuan berselancar di dalam
sistem dan mengubah file data dan file program dengan cara yang tidak legal. Beberapa
personel pemeliharaan bisa saja berada dalam posisi yang memungkinkan ia berada didalam
posisi yang memungkinkan melakukan modifikasi yang tidak diharapkan terhadap keamanan
dalam sistem operasi.

Programer. Sistem sering menulis program untuk memodifikasi dan memperluas sistem
operasi jaringan individu-individu semacam ini biasanya diberi account dengan kewenangan
akses universal ke semua file perusahaan.

Operasi Jaringan. Individu yang mengamati dan memonitor operasi komputer dan jaringan
komunikasi disebut operator jaringan.

Personel Administrasi Sistem Informasi. Supervisor menempati posisi kepercayaan yang

sangat tinggi. Orang ini biasanya memiliki akses keamanan, file, program, dan lain
sebagainya.

Karyawan Pengendali Data. Mereka yang bertanggung jawab terhadap pengimputan data
komputer disebut karyawan pengendali data.

Pengguna

Terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena
area fungsional mereka bukan bagian dari pengolahan data. Banyak pengguna memiliki akses
ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.

Penyusup. Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak
yang legal merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah
kesenangan dan tantangan dikenal dengan nama hacker.

Unnoticed Intruder. Seorang pelanggan bisa saja berjalan masuk ke area yang tidak dijaga
dan melihat data yang sensitive didalam komputer personal yang sedang tidak ada orangnya.

Wiretapper. Sebagian besar informasi diproses oleh komputer perusahaan melewati kabel.
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Jaringan ini rentan
terhadap kemungkinan wiretapping (penyadapan).

Piggybacker.Dengan metode piggybacking penyadap bisa menyadap informasi legal dan

menggantinya dengan yang salah.

Impersonating Intruder. Adalah individu-individu tertentu yang melakukan kecurangan

terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang
diperoleh dengan cara illegal untuk mengakses sumbner daya elektronik dari perusahaan.

Eavesdroppers. CRT (cathone-ray tubes) standar yang banyak digunakan dan menghasilkan
interferensi elektrmagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat
televise sederhana.

3.2.3 Ancaman Aktif pada Sistem Informasi

Metode meliputi manipulasi input, perubahan program, perubahan file secara langsung,
pencurian data, sabotase, penyalah gunaan atau pencurian sumber daya informasi Manipulasi
Input. Dalam kasus kejahatan komputer, manipulasi input merupakan metode yang biasanya
digunakan. Seseorang bisa saja mengubah input tanpa memiliki kemampuan tentang cara
operasi sistem informasi.

Mengubah Program

Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlihan pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Selain itu banyak perusahaan besar memiliki metode pengujian program yang dapat
digunakan untuk mendeteksi adanya perubahan dalam program.

Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang mengakses

program dengan mengabaikan keamanan program tersebut. Trapdoor bisa saja berada
didalam sistem akuntansi, program database, sistem operasi dan lain sebagainya.
Mengubah File Secara Langsung

Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses
normal untuk menginputkan data ke dalam program komputer. Jika ha ini terjadi, hasil yang
dituai adalah bencana.

Pencurian Data

Pencurian data penting merupakan salah satu masalah yang serius dalam dunia bisnis hari ini.
Dalam industry dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan
kualitatif terkait dengan salah seorang pesaing yang sangat tinggi, informasi yang cukup
diburu.

Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan
terhadap pencurian pada saat transmisi, informasi tersebut bisa saja disadap. Ada juga
kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD
kedalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam
kotak sampah.

Sabotase

Sabotase komputer membahayakan sistem informasi. Perusakan Perusakan sebuah komputer

atas perangkat lunak dapat menyebabkan kebangkritan suatu perusahaan. Orang yang merasa
dirugikan biasanya adalah pelaku utama.

Dalam beberapa kasu, seorang penyusup menggunakan sabotase untuk membuat kecurangan
menjadi sulit dan membingungkan untuk diterapkan. Ada banyak cara yang dapat dilakukan
yang menyebabkan kerusakan yang serius terhadap komputer. Magnet dapat digunakan untuk
menghapus tipe magnetic dan disket, hanya dengan meletakkan magnet didekat media.

Sabotase telah menjadi isu besar dalam perdagangan Web. Pada satu sisi, biaya tahunan yang
dikeluarkan untuk keamanan elektronik. Pada sisi lain, kebnerhasilan hacker menyerang
website semakin meningkat. Ada kalanya program komputer digunakan untuk melakukan
kegiatan sabotase. Salah satu metode tertua untuk melakukan tindakan semacam ini adalah
bom logika.

Penyalahgunaan atau Pencurian Sumber Daya Informasi

Salah satu jenis penyalahgunaan informasi terjadi pada seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi.
3.3 SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan
dan perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian
ancaman; rencana kontingensi fokus pada perbaikan terhadap akibat dampak suatu ancaman.
Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman
tidak dapat dicegah tanpa pengembangan suatu sistem yang sangat aman. Lebih jauh lagi,
tidak ada sistem keamanan yang sangat berharga tanpa adanya suasana kejujuran dan
kesadaran.

Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur
pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian
internal (supervisi yang memadai, rotasi pekerjaan, batch control total, pengecekan validitas,
dan lain sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan
sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang
secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.

3.3.1 Lingkungan Pengendalian

Lingkungan Pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.

Pengembangan pengendalian yang bagus tergantung pada delapan faktor. Setiap faktor yang
terkait dengan sistem keamanan komputer akan didiskusikan di bagian ini.

Filosofi Manajemen dan Gaya Operasi

Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak
peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan
sistem. Oleh karena itu, pertahanan yang utama adalah suasana kesadaran akan pentingnya
keamanan. Menciptakan suasana semacam ini dapat dilakukan dengan banyak cara. Semua
karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan keamanan
adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Semua pelanggaran
harus mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang
tanggung jawab harus memberikan teladan yang baik. Peraturan keamanan harus selalu
dimonitor. Jika tidak, sistem akan dengan mudah dilupakan. Hubungan yang baik harus
selalu dibina dengan seluruh karyawan. Moral yang rendah dapat menyebabkan tingginya
probabilitas terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat
mengurangi masalah rendahnya moral. Sebagai contoh, file harus memuat suatu pertanyaan
bahwa file-file tersebut merupakan hak milik perusahaan dan penggunaan file untuk hal-hal
yang tidak benar berarti tindakan kriminal yang dapat menyebabkan pemecatan karyawan.

Struktur Organisasi

Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi
di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan
fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini
menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Sebagai contoh, analis sistem dan programer komputer mungkin akan
dipanggil untuk mendesain, membuat program, dan mengimplementasikan sistem piutang
dagang. Seorang akuntan mungkin diminta untuk membuat perubahan program suatu paket
akuntansi. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk
menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan perangkat
lunak akuntansi dan prosedur akuntansi. Sebagaimana telah didiskusikan, harus ada orang
yang bertanggung jawab terhadap sistem keamanan komputer.

Dewan Direksi dan Komitenya

Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang
baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security
officer. Dalam situasi apapun, individu-individu tersebut harus melapor secara periodik
kepada komite audit mengenai semua fase sistem keamanan komputer. Komite audit harus
berkonsultsai secara berkala dengan auditor eksternal dan manajemen puncak terkait dengan
kinerja chief security officer dan sistem keamanan komputer. Metode Pembagian Otoritas
dan Tanggung Jawab Tanggung jawab semua posisi harus didokumentasikan dengan hati-
hati menggunakan struktur organisasi, manual kebijakan,deskripsi kerja, dan lain sebagainya.

Aktivitas Pengendalian Manajemen

Penting untuk membangun pengendalian terkait dengan pengunaan dan pertanggungjawaban

semua sumber daya sistem komputer dan informasi. Harus ada anggaran yang dibuat terkait
dengan akuisisi peralatan dan perangkat lunak, terkait dengan biaya operasi, dan terkait
dengan pengggunaan. Dalam ketiga kelompok item anggaran tersebut, biaya aktual harus
dibandingkan dengan besarnya anggaran. Perbedaan yang signifikan harus diinvestigasi.
Pengendalian anggaran penting dalam lingkungan komputer karena ada kecendererungan di
banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
Karyawan sering meminta perangkat keras yang lebih baik, perangkat lunak, dan jasa yang
sebenarnya tidak mereka butuhkan. Membeli komputer personal model terbaru atau paket
perangkat lunak terkini dapat memberikan kepuasan secara emosional tanpa memberikan
tambahan manfaat bagi perusahaan.

Fungsi Audit Internal

Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan terus berubah. Chief security officer hars membangun kebijakan keamanan yang
relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi.
Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus
diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat. Kebijakan dan
prosedur keamanan harus diuji kesesuaiannya dan keefektifannya. Beberapa perusahaan
menyewa hacker untuk melihat seberapa rentan sistem keamanan perusahaan. Dalam lebih
dari satu kasus, penangkapan dan pengakuan hacker telah berbalik menjadi satu riwayat yang
baik untuk melamar pekerjaan sebagai pengaman komputer. Sistem semestinya "ditantang"
secara berkala dengan transaksi hipotetis. Lebih lanjut, perubahan terhadap file master harus
dilacak balik ke dalam dokumen sumber yang relevan. Pelaccakan balik semacam ini
merupakan satu cara yang berguna untuk mendeteksi adanya perubahan ilegal terhadap file
master. Cara lain yang dapat digunakan untuk mendeteksi perubahan ilegal adalah dengan
menggunakan batch control total.

Kebijakan dan Praktik Personalia

Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting
barangkali adalah memisahkan pekerjaan pengguna komputer dan personalia sistem
komputer. Pemisahan ini berawal dari perlunya pemisahan penyimpan harta dan tanggung
jawab pencatatan. Pengguna sering memiliki akses fisik ke aktiva komputer dan personalia
sistem sering memiliki akses ke file data yang memuat catatan akuntansi. Penggabungan
kedua tipe hak akses semacam ini dapat menjadi satu undangan untuk melakukan
kecurangan. Semestinya juga, jika memungkinkan, ada pemisahan tugas terkait dengan akses
ke file-file akuntansi yang penting. Dalam banyak lingkungan komputer, memiliki akses ke
sebuah file mengenai suatu aktiva jadi sangat dekat dengan memiliki akses ke aktiva itu
sendiri. Sebagai contoh, sangat memungkinkan bagi karyawan untuk mentransfer kas keluar
dari satu rekening dengan menggunakan transfer secara elektronik jika rekening kas dikaitkan
langsung dengan suatu rekening di suatu lembaga keuangan.

Praktik personalia terkait dengan perekrutkan dan pemecatan karyawan juga merupakan hal
yang penting, Karyawan yang prospektif harus diteliti dengan sangat hati-hati, terkait dengan
masalah-masalah yang dia hadapi yang dapat mendorong dirinya untuk melakukan kejahatan.
Masalah yang perlu diwaspadai adalah kesulitan kredit, kecanduan terhadap sesuatu (seperti
obat, alkohol,dan judi) termasuk masalah terkait dengan pekerjaannya di tempat kerja yang
lama. Semakin sensitif suatu posisi yang akan ditempati, semakin ekstensif investigasi latar
belakang yang harus dilakukan. Satu karyawan yang tidak sesuai standar menduduki satu
posisi yang kritis dapat menghancurkan seluruh organisasi.

Pengaruh Eksternal

Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi lokal, federal, dan
negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data,
termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke
negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu dari area ini
akan dapat menjadi suatu tuntutan kriminal. Penting juga untuk mengimplementasikan
kebijakan internal yang terdokumentasi dengan baik untuk mencegah pembajakan perangkat
lunak Pembajakan perangkat lunak adalah penggandaan dan pendistribusian ilegal hak cipta
perangkat lunak. Perusahaan yang tidak memiliki kebijakan semacam ini dapat menjadi
sasaran hukum.

3.3.2 Pengendalian Ancaman Aktif

Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah
dengan menerapkan tahap-tahap pengendalian akses. Jika semua pengendalian organisasi
umum dan pengendalian pengolahan data ada dan berfungsi sebagaimana mestinya,
pertimbangan utama yang penting adalah membatasi akses ilegal ke data dan peralatan yang
sensitif. Filosofi di balik pendekatan berlapis untuk pengendalian akses melibatkan
pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran
potensial mereka. Tiga tahap yang dapat digunakan adalah pengendalian akses lokasi,
pengendalian akses sistem, dan pengendalian akses file. Langkah prtama membangun
pengendalian akses adalah mengelompokkan semua data dah peralatan sesuai dengan tingkat
kepentingan dan tingkat kerentanan data dan peralatan tersebut.

Pengendalian Akses Lokasi

Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu yang tidak
berwenang dari sumber daya komputer. Pemisahan secara fisik harus diterapkan khususnya
untuk menjaga perangkat keras, area penginputan data, area output data, perpustakaan data,
dan jaringan komunikasi. Semua pengguna diwajibkan menggunakan tanda identifikasi
keamanan (ada fotonya). Semua ruang yang berisi peralatan komputer atau data yang sensitif
harus memiliki pintu yang terkunci. Lebih baik jika kunci tersebut diprogram sehingga pintu
dapat menolak kunci yang tidak memiliki hak akses. Sekarang, tersedia juga sistem
autentikasi perangkat keras biometrik. Sistem ini secara otomatis mengidentifikasi
individu berdasarkan sidik jari mereka, ukuran tangan, pola retina, pola suara, dan lain
sebagainya. Operasi perlu dimonitor dengan televisi closed-circuit. Semua konsentrasi data
komputer (seperti pustaka data, jaringan, printer, lokasi entry data, lokasi output data) dan
peralatan harus dilokasikan di tempat yang sulit untuk ditemukan. Sistem ini mencakup
pemasangan pintu ganda untuk tempat penyimpanan data komputer, sebagaimana dapat
dilihat pada Gambar 5.4.

Pengendalian Akses Sistem

Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk perangkat lunak
yang didesain untuk mencegah pengguanaan sistem oleh pengguna yang ilegal. Tujuan
pengendalian akses sistem asalah untuk mengecek keabsahan pengguna dengan
menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan
perangkat perangkat keras. Setiap pengguna internal akan mendapatkan nomor ID dan
password pada sembilan level : pada level workstation atau komputer personal, jaringan,
komputer host, file server, katalog file, program, file data atau database, record, dan field
data. Setiap level ini dapat berperan sebagai lapisan-lapisan proteksi, memisahkan kandidat
penyusun dari data yang sensitif.

Pengendalian Akses File

Lapis terakhir dari pengendalian akses diterapkan pada level file. Pengendalian akses file
mencegah akses ilegal ke dala dan file program. Pengendalian akses file yang paling
fundamental adalah pembuatan petunjuk dan prosedur legal untuk menga kses dan mengubah
file. Batasan khusus harus diberikan kepada programer yang memang memiliki pengetahuan
untuk mengubah program. Programer mestinya tidak diberi akses ke file data perusahaan
tanpa ada persetujuan tertulis. Operator dan supervisor harus diberi tahu untuk mengikuti
instruksi dari programer hanya jika programer membawa persetujuan tertulis. Perubahan
program tidak boleh dilakukan tanpa ada persetujuan tertulis. Ketika mengubah program,
programer mestinya mengubah salinan program orisinil. Perubahan tidak langsung dilakukan
terhadap program orisinil itu sendiri. Salinan program yang telah diubah harus diinspeksi
terlebih dahulu sebelum digunakan untuk menggantikan program yang orisinil. Semua
program penting harus disimpan di dalam file terkunci. Ini berarti program dapat dijalankan,
tetapi tidak dapat dilihat atau diubah. Hanya bagian kearranan yang dapat mengetahui
password untuk membuka file program.

3.3.3 Pengendalian Ancaman Pasif

Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian terhadap ancaman semacam ini dapat berupa pengendalian preventif maupun
korektif.

Sistem Toleransi Kesalahan

Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem adalah
pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant akan segera
mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini
disebut sistem toleransi kesalahan. Toleransi kesalahan dapat diterapkan pada lima level:
pada jaringan komunikasi, pada prosesor CPU, pada DASD, pada jaringan listrik, dan pada
transaksi individual. Sistem dengan protokol berbasis-konsensus memuat sebuah nomor
ganjil dari prosesor; jika salah satu prosesor tidak sepakat dengan prosesor yang lain, maka
akan diabaikan. Sistem yang lain menggunakan watchdog processor kedua yang akan
mengambil alih pemrosesan jika sesuatu terjadi dengan sistem yang pertama. Dengan
pengujian read-after-write, disk drive akan membaca ulang suatu sektor setelah menulis
pada disk tersebut, sebagai konfirmasi bahwa apa yang tertulis telah tertulis dengan baik
tanpa kesalahan. Disk mirroring atau disk shadowing mencakup penulisan semua data secara
paralel dalam dua atau lebih disk. Jika salah satu disk gagal, program aplikasi secara otomatis
akan terus berjalan dengan menggunakan disk yang masih bagus. Ada program perangkat
lunak yang dapat membantu menggali data dari file atau disk yang rusak.

Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan (UPS). Jika
listrik mati, sistem backup, yang ada kalanya bertenaga baterai, mengambil alih beberapa
detik untuk memastikan tidak ada pemutusan mendadak terhadap aktivitas pemrosesan yang
sedang berlangsung. Toleransi kesalahan yang diterapkan pada level transaksi mencakup
rollback processing dan database shadowing, Dengan rollback processing, transaksi tidak
pernah dituliskan ke dalam disk, kecuali transaksi tersebut telah lengkap. Jika terjadi mati
listrik atau kesalahan yang lain pada saat suatu transaksi sedang ditulis, program database
akan secara otomatis kembali ke posisi semula seperti sebelum ada transaksi. Database
shadowing serupa dengan disk shadowing, hanya saja duplikasi semua transaksi dibuat dan
dikirimkan lewat jaringan komunikasi ke lokasi yang jauh (remote location )

Memperbaiki Kesalahan: Backup File

Beberapa studi menyatakan bahwa lebih dari 50 pemilik komputer personal tidak
melakukan backup yang memadai atas file-file yang mereka miliki. Alasan inilah yang
membuat pentingnya sebuah sistem terpusat yang melakukan backup file-file. Ada tiga jenis
back up: back up penuh, backup inkremental, backup diferensial. Back up penuh membuat
back up semua file yang ada dalam suatu disk. Back up inkremental melakukan back up
semua file dengan srchive bit 1, kapan saja file tersebut mengalami perubahan. Terakhi back
up diferensial pada dasarnya sama denga back up inkremental. Hanya saja, archive bit tidak
diset menjadi 0 selama proses back up. Skema back up paling sederhana adalah melakukan
back up penuh secara periodik.

3.3.4 Keamanan Internet

Kerentanan terkait dengan Internet dapat muncul akibat kelemahan-kelemahan berikut ini:

1. Sistem operasi atau konfigurasi sistem operasi

2. Web server atau konfigurasi Web server

3. Jaringan privat atau konfigurasi jaringan privat

4. Berbagai program server

5. Prosedur keamanan secara umum

Setiap jenis kerentanan ini akan didiskusikan pada bagian berikut.

Kerentanan Sistem Operasi

Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan
di dalam keamanan sistem operasi juga menjadi kelemahan keamanan Web server. Untuk
alasan inilah administrator keamanan harus, pertama dan terpenting, mengamankan sistem
operasi. Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu
menemukan kelemahan baru di dalam sistem oeprasi. Oleh karena itu, administrator harus
secara konstan memonitor buletin keamanan yang dipublikasikan oleh vendor sistem operasi
dan oleh jasa advisory pihak ketiga.

Kerentanan Web Server

Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi
Web server. Pengawasan informasi terkini semacam ini penting karena Web server dan Web
browser lebih sering mengalami pembaruan dibandingkan sistem operasi. Setiap pembaruan
selalu hadir dengan satu kelemahan keamanan yang baru. Web server juga merupakan garis
depan keamanan karena ia merupakan portal bagi pihak luar untuk masuk ke dalam sistem.
Keamanan Web server dapat menurun tajam akibat kesalahan konfigurasi. Salah satu masalah
konfigurasi yang paling umum adalah area konfigurasi pemberian akses direktori dan file
terkait dengan program yang dapat dieksekusi. Kode program yang dapat dieksekusi
merupakan salah satu komponen penting dari hampir semua Website komersial.

Kerentanan Jaringan Privat

Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu risiko. Hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke
komputer yang menjadi host Web server, maka hacker pertama kali akan masuk ke dalam
komputer pengguna. Kemudian, hacker akan menggunakan hak akses pengguna yang asli
untuk melakukan invasi ke dalam komputer host Web server. Masalah ini menjadi sangat
sulit karena secara virtual hampir mustahil bagi seorang administrator server untuk
memastikan bahwa tingkat keamanan semua mesin pengguna sudah cukup memadai.

Kerentanan Berbagai Program Server

Secara umum, hampir semua program server memiliki kemampuan built in untuk memberi
hak akses kepada pengguna-pengguna di lokasi yang berbeda. Kemampuan ini membuat
program server menjadi sesuatu yang sangat berbahaya karena banyak program server
didasarkan pada model keamanan yang sangat lemah. Oleh karena itu, seorang administrator
seharusnya tidak sembarangan memilih program server; ia harus memilih program server
yang benar-benar dibutuhkan.

Prosedur Keamanan Umum

Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting. Perangkat
lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika administrator sistem
tidak menegakkan kebijakan keamanan. Lenih jauh, semua kesalahan dan perkecualian harus
di-log ke dalam file yang aman. Log tersebut harus dimonitor secara konstan. Terakhir,
mengenai firewall. Firewall biasanya digunakan untuk membatasi akses masuk ke suatu
jaringan komputer. Akses masuk dapat dibatasi dengan cara hanya alamat IP tertentu yang
diizinkan untuk masuk ke dalam jaringan, akses dibatasi hanya untuk server tertentu, dan
menahan permintaan untuk masuk berdasarkan isi dalam suatu permintaan. Firewall juga
dapat digunakan untuk menahan atau membatasi akses ke luar oleh program tertentu atau
server tertentu.

3.4 PENGELOLAAN RISIKO BENCANA

 Hancurnya World Trade Center di kota New York merupakan salah satu contoh dari
bencana yang tidak diharapkan yang secara serius telah menginterupsi jalannya aktivitas
bisnis. Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi
bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem
komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup
signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan
kontinuitas operasi bisnis jika tejadi suatu bencana.

Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.

Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
Pencegahan dan perencanaan kontingensi akan didiskusikan di ulasan berikut ini.

3.4.1 Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:

Bencana alam 30%

Tindakan kejahatan yang terencana 45%

Kesalahan manusia 25%

Implementasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik.

Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan
dan perencanaan keamanan yang baik. Risiko bencana alam harus menjadi pertimbangan
membangun lokasi gedung. Konsentrasi peralatan komputer dan data harus ditempaikan di
bagian gedung yan paling rendah eksposurya terhadap badai, gempa bumi, banjir, kebakaran,
dan tindakan sabotase. Sistem elektronik dan mekanik yang memadai untuk menangani
kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan air dapat
membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem pemadam
api yang berbasis sesuatu selain air, seperti gas, busa atau bedak.

3.4.2 Perencanaan Kontingensi untuk Mengatasi Bencana

Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Ideainya, rencana pemulihan mesti mendapatkan persetujuan dari dewan direksi
sebagai bagian dari perencanaan keamanan komputer secara umum. Langkah pertama
mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen
senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari
bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut.
Secara keseluruhan, pendekatan siklus hidup harus digunakan untuk mendesain,
mengimplementasikan, mengoperasikan, dan mengevaluasi rencana yang dibuat. Hasil
estimasi menyatakan bahwa biaya awal yang diperlukan guna mengimplementasikan
perencanaan pemulihan dari bencana berkisar antara 2% sampai 10% dari total anggaran
sistem informasi. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap
kebutuhan perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta
penetapan strategi dan prosedur pemulihan.

1. Menaksir Kebutuhan Penting Perusahaan

Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini
mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan,
ruang gedung, catatan yang vital, dan sumber daya manusia.

2. Daftar Prioritas Pemulihan dari Bencana

Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik, Oleh karena itu, harus dibuat prioritas
terkait dengan kebutuhan Perusahaan yang paling penting. Daftar prioritas
mengindikasikan aktivitas dan jasa yang memang genting yang perlu segera dibangun
kembali dalam hitungan menit atau hitungan jam setelah terjadinya suatu bencana. Di sisi
lain, perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang dibangun dalam
hitungan hari, minggu, atau bulan setelah terjadinya suatu bencana.

3. Strategi dan Prosedur Pemulihan

Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting.
Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga,
pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan,
siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut
harus dilakukan.
Pusat Respons Darurat. Pada saat bencana teljadi, semua wewenang pengolahan data dan
operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi
darurat individu-individu ini memimpin jalannya perencanaan pemulihan dari pusat operasi
darurat, sebuah tempat yang memang ditetapkan sebelumnya.

Prosedur Eskalasi. Prosedur eskalasi menyatakan kondisi seperti apa yang mengharuskan
pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang
harus diberi tahu tentang adanya bencana.

Mentukan Pemrosesan Komputer Alternatif. Bagian terpenting dari rencana pemulihan

dari bencana adalah menentukan spesifikasi lokasi cadangan yang akan digunakan jika lokasi
komputasi primer rusak atau tidak dapat berfungsi. Ada tiga macam lokasi cadangan: cold
site, hot site, dan flying-start site. Cold site merupakan alternatif lokasi komputasi yang
memiliki instalasi kabel computer, tetapi tidak dilengkapi dengan peralatan komputasi. Hot
site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan
komputasi. Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel,
peralatan, dan juga data backup dan perangkat lunak yang up-to-date. Cold site mampu
mengasumsikan operasi akan berjalan penuh dalam hitungan hari, hot site dalam hitungan
jam, dan flying-start site dalam hitungan menit. Pada praktiknya, pemilihan tipe lokasi
cadangan yang akan digunakan mesti mempertimbangkan azas biaya manfaat. Bagi beberapa
perusahaan, biaya tinggi guna menyediakan lokasi cadangan jenis flying-start site masih
dapat ditoleransi.

Salah satu cara untuk menjaga data tetap up-to-date pada lokasi flying-start adalah dengan
melakukan mirroring semua transaksi pada lokasi komputasi primer. Kemudian, semua data
tersebut segera dikirim ke lokasi cadangan melalui media komunikasi. Transmisi data yang
cepat dapat dicapai dengan menggunakan fiberoptic channel extender. Dalam beberapa kasus,
beberapa perusahaan memilih lokasi cadangan yang berdekatan.

Selain ketiga alternatif pembangunan lokasi cadangan tersebut, perusahaan masih memmilki
alternatif yang lain. Alternatif tersebut adalah membangun kontrak dengan biro jasa
komputasi dengan pemasok jasa penanganan bencana yang komersial, dan dengan
perusahaan rekanan yang lain, yang kemungkinan berada dalam industri yang sama. Biro jasa
mengkhususkan diri untuk menyediakan jasa pengolahan data bagi perusahaan yang memilih
untuk tidak memproses sendiri data yang mereka miliki. Dalam beberapa kasus, membangun
perencanaan kontingensi yang didasarkan pada kontrak kerja sama dengan biro jasa dapat
menjadi satu hal yang sangat berguna. Pilihan ini dapat menjadi satu pilihan yang realistis
bagi perusahaan kecil dengan kebutuhan pemrosesan data yang sederhana. Sayangnya, biro
jasa bukan satu solusi yang relevan bagi sebuah perusahaan dengan kebutuhan komputasi
yang kompleks. Kebutuha komputasi perusahaan besar terlalu kompleks untuk ditangani oleh
biro jasa dengan kemampuan layanan jasa pengolahan data yang terbatas, Lebih lagi,
kebanyakan biro jasa tidak akan menempatkan meja karyawan, satu hal yang mungkin
diperlukan.

Beberapa vendor menyediakan jasa pemulihan dari bencana, seperti Comdisco, IBM dan
Sungard Comdisco menspesialisasikan diri pada sewa lokasi cadangan hot site dengan biaya
sewa perbulan. Perusahaan ini mendukung jaringan pemulihan dari bencana skala
internasional dalam bentuk banyak hot site yang terkoneksi melalui satelit.

Tipe ketiga alternatif komputasi cadangan adalah perusahaan biasa. Beberapa perusahaan
memiliki akses yang memadai ke sumber daya komputasi sehingga berani mengasumsikan
kemampuan sumber daya yang dimilikinya untuk sementara waktu dapat digunakan untuk
membantu perusahaan lain pada saat yang lain sedang membutuhkan. Perjanjian antara dua
perusahaan di mana setiap perusahaan setuju untuk membantu perusahaan berbagi sebuah hot
site sebagai satu kepemilikan bersama (joint ownership)

Rencana Relokasi Karyawan. Perencanaan kontingensi perlu memeprtimbangkan

kemungkinan perlunya memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan
perencanaan hati karena banyak karyawan sulit dipindahkan dalam sementara waktu.

Rencana Penggantian Karyawan. Kemungkinan perusahaan kehilangan karyawan pada

saat terjadinya bencana juga perlu dipertimbangkan. Penggantian seorang karyawan dengan
kemampuan yang tinggi merupakan satu hal yang tidak mudah, Penggantian karyawan
semacam ini memerlukan pelatihan yang sangat ekstensif.

Perencanaan Penyelamatan. Dalam beberapa bencana, perusahaan masih dapat

menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika
perusahaan dapat mengambil tindakan yang tepat secara cepat. Sebagai contoh, sebuah
bangunan yang kehilangan atap pada saat terjadi topan badai akan menyebabkan bangunan
tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini, kerugian dapat
diminimalkan jika tindakan penyelamatan segera dilakukan.

Perencanaan Pengujian Sistem dan Pemeliharaan Sistem. Kebutuhan komputasi

perusahaan sering berubah dengan sangat cepat. Oleh karena itui, setiap perencanaan
pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang kadaluwarsa
atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

Kuis
1. B. Lebih banyak. Karena di dalam lingkungan yang terkomputerisasi
2. A. Sabotase komputer. Karena sabotase komputer dapat membahayakan sistem
informasi. Kerusakan sebuah komputer atau perangkat lunak dapat menyebabkan
kebangkrutan perusahaan.
3. C. Hacker. Karena hacker adalah ahli yang memanfaatkan pengetahuan tentang teknis
dari teknologi dan computer untuk membobol yang biasanya dilakukan oleh
seseorang.
4. D. Piggybacking. Karena Piggybacking menggunakan orang dalam yang berwenang
untuk masuk ke area terlarang, atau melewati pos pemeriksaan tertentu.
5. B. Memanipulasi input. Karena kecurangan dengan manipulasi input hanya
memerlukan sedikit keahlian teknis yaitu dengan mengubah input meliputi
penambahan transaksi, pengubahan transaksi, dan penghapusan transaksi
6. C. Kuda troya. Karena kuda troya dapat mengelabui program dengan seolah-olah
menjadi program yang baik lalu perlahan akan bertindak lebih agresif dengan
merusak sistem atau membuat sistem menjadi crash
7. D. Menyalahgunakan atau mencuri sumber daya komputer. Karena lima karyawan
tersebut menguunakan computer pada saat jam senggang dan menggunakan sumber
daya computer organisasi untuk kepentingan pribadi
8. A. Hot site. Karena Hot site adalah sebuah fasilitas alternatif yang memiliki peralatan
dan sumber daya untuk memulihkan segera fungsi-fungsi bisnis yang terpengaruh
oleh terjadinya bencana.
9. B. Flagging. Karena flagging merupakan menandai dan mengunci suatu disk atau
sektor DASD supaya tidak digunaan lagi karena bagian tersebut terbukti tidak lagi
reliabel.
10. B. Logic bomb. Karena logic bomb merupakan malware yang mengeksekusi beberapa
set intruksi untuk menyerang sistem informasi berdasarkan logika yang diciptakan
oleh penciptanya. Serta logic bomb memang menggunakan waktu sebagai pemicunya

Daftar Pustaka
Bodnar and Hopwood.2006. Sistem Informasi Akuntansi. Edisi 9. Penerbit Andi,Yogjakarta