[12/3 14.

48] Poybe Sihite: PENTINGNYA KEAMANAN

Berbagai kemungkinan seperti pencurian atau kehilangan aset, rusaknya fasilitas, dan data atau
informasi yang di akses dan dibaca oleh orang yang tidak berwenang kemungkinan akan menyebabkan
kerugian. Sumber daya manusia harus terlindungi dari berbagai risiko, termasuk gangguan alam atau
kerusakan yang disebabkan oleh manusia, kerusuhan, kecelakaan, dan sabotase oleh karyawan yang
tidak puas.

Setiap perusahaan harus menentukan ukuran, mengidentifikasi, dan mengisolasi bahaya yang paling
sering terjadi yang mengancam perangkat keras, perangkat lunak, data, dan sumber daya manusia.
Setelah mengisolasi bahaya umum, perusahaan harus menyelesaikan penilaian risiko dan analisis.

Sebuah perusahaan harus mengimplementasikan berbagai macam keamanan untuk menjaga sumber
dayanya. Tindakan keamanan yang memadai memungkinkan perusahaan untuk memberikan
perlindungan dari fasilitas komputer dan fasilitas fisik lainnya, menjaga integritas dan privasi file data,
dan menghindari kerugian kerusakan atau bencana serius yang diakibatkan oleh bencana alam ataupun
tindakan manusia.

Tindakan pengamanan berfokus pada pengamanan fisik dan data atau informasi. Keamanan fisik dibagi
menjadi dua kategori: 1) keamanan bagi semua sumber daya fisik kecuali fasilitas komputer dan 2)
sebagai jaminan untuk fasilitas perangkat keras komputer. Berikut ini sejumlah survei tindakan
keamanan dengan menggunakan kerangka yang luas dari sumber daya fisik non-komputer, fasilitas
perangkat keras komputer, dan data/ informasi yang dibahas sesuai dengan beberapa tujuan utama
mereka:

1. Perlindungan dari akses tidak sah,

2. Perlindungan dari bencana 3. Perlindungan dari kerusakan dan gangguan

4. Perlindungan dari akses tidak terdeteksi

5. Perlindungan dari kerugian atau perubahan yang tidak tepat 6. Pemulihan dan rekonstruksi data yang
hilang

KEAMANAN UNTUK SUMBER DAYA FISIK NONKOMPUTER

1. Perlindungan dari Akses yang Tidak Sah

Kategori utama tindakan keamanan untuk sumber daya fisik dikenal sebagai kontrol akses. Kontrol atau
tindakan ini membatasi masuknya orang yang tidak berwenang. umumnya untuk menghindari pencurian
atau perusakan. Pengendalian akses termasuk penjaga keamanan, resepsionis, pembatas pada area,
pencahayaan, alarm pencuri dan

[12/3 14.49] Poybe Sihite: pemadam kebakaran, alarm pendeteksi gerakan, penguncian pintu, televisi
sirkuit tertutup (CCTV), brankas, register kas yang terkunci, lemari arsip yang terkunci, dan kotak kunci
dalam kantor pos.

2. Perlindungan dari Bencana

Kategori lain dari tindakan keamanan adalah melindungi sumber daya fisik dari kehancuran karena
penyebab alami. Misalnya sistem penyiraman untuk memadamkan api dalam gudang barang dagangan.
Sebuah lemari besi tahan api dikelola oleh infoage yang melindungi uang tunai dan surat-surat berharga
dari api. 3. Perlindungan dari Kerusakan dan Gangguan

Pemeliharaan preventif dari mobil, mesin kantor, mesin produksi, dan aset lainnya adalah contoh utama
dari tindakan keamanan kategori ini. Perusahaan dari semua ukuran memerlukan tindakan
pemeliharaan preventif. Jika kerusakan terjadi, gangguan usaha dan tindakan backup dapat memberikan
dukungan. 4. Pemantauan Tindakan Keamanan

Sebuah grup keamanan formal harus dibentuk dalam organisasi besar. Program keamanan perusahaan
besar menjamin bahwa tujuan pengendalian dicapai secara efisien dan efektif di seluruh organisasi.
Perusahaan yang lebih kecil misalkan infoage, juga harus mengembangkan program keamanan yang
lebih informal. Manajer dalam perusahaan besar harus menyiapkan kebijakan keamanan tertulis
termasuk penunjukan administrator keamanan yang memimpin grup keamanan untuk menerapkan dan
merekomendasi prosedur keamanna yang efektif. Infoage dapat menunjuk seorang karyawan untuk
melayani dalam kapasitas ini secara paruh waktu. Tindakan pemantauan ini juga berlaku untuk fasilitas
perangkat keras komputer dan data/ informasi

KEAMANAN UNTUK FASILITAS PERANGKAT KERAS KOMPUTER

1. Perlindungan dari Akses yang Tidak Sah

Dalam organisasi besar pusat komputer harus terisolasi untuk mengurangi resiko penyalahgunaan.
Akses fisik ke fasilitaskomputer harus terbatas hanya untuk pengguna yang sah. Cara yang efektif untuk
membatasi akses ke komputer pusat yaitu:

Penempatan petugas keamanan dan resepsionis pada titik masuk yang strategis Alat pemindai
(scanning) elektronik untuk mencegah pegawai memindahkan disk

[12/3 14.49] Poybe Sihite: Alat pemindai (scanning) elektronik untuk mencegah pegawai memindahkan
disk dan pita magnetik (magnetic tapes), serta membawa logam, seperti magnet ke pusat.

Alat deteksi gerak untuk memberitahu petugas keamanan atas kehadiran orang yang tidak sah.

• Mengunci pintu ke ruang komputer dan titik masuk lainnya, yang hanya dapat dibuka dengan kartu
kode magnet.

. CCTV yang dilihat dari lokasi pusat.

• Pengmakaian lencana identifikasi setiap saat

Log-in/log-out untuk semua pengunjung

Pengawalan untuk semua pengunjung

• Peringatan suara ketika ada yang memaksa masuk..

2. Perlindungan dari Bencana

Fasilitas komputer merupakan subjek dari berbaagai macam yang kebanyakan akibat dari bencana alam
namun memerapa disebabkan oleh tindakan manusia. Perusahaan besar yang menggunakan komputer
mainframe mahal mungkin memerlukan perlindungan yang besar dari bencana, baik yang alami maupun
buatan manusia. Susunan ukuran pelindung dapat lebih efektif bila direncanakan secara hati-hati.
Disaster contingency and recovery plan (DCRP) mengidentifikasi seluruh ancaman yang potensial bagi
sistem. komputer, menentukan diperlukannya tindakan pengamanan preventif, dan menguraikan
tahapan yang diambil jika tiap jenis bencana sesugguhnya terjadi.

[12/3 14.49] Poybe Sihite: 3. Perlindungan dari Kerusakan dan Gangguan Sejak kerusakan dan gangguan
ke sistem yang otomatis merugikan, maka risiko mucul di dalam rencana back up. yang merupakan
komponen utama bencana dalam ketidakpastian dan rencana pemulihan.

IV.

KEAMANAN UNTUK DATA DAN INFORMASI

Sumber daya data/ informasi dari suatu perusahaan cukup bervariasi yang mencakup 1) data yang
disimpan dalam file dan set data, baik on-line dan off-line, 2) program aplikasi, baik yang tersimpan di
kaset magnetik di perpustakaan data atau pada disk magnetik di bawah kendali sistem operasi, dan 3)
informasi, baik dalam laporan hard-copy dan dalam format komputer.

1. Perlindungan dari Akses yang Tidak Sah ke Data dan Informasi

Tindakan pembatasan akses diperlukan karena orang yang tidak berwenang dapat berasal dari karyawan
untuk pihak luar seperti pemasok dan mata-mata industri serta teknik penyusupan yang banyak dan
canggih. Tindakan keamanan yang berguna dalam pembatasan akses menggunakan cara seperti:

a. Isolasi. Data dan informasi yang bersifat rahasia atau kritis terhadap operasi perusahaan harus
diisolasi secara fisik untuk mencegah akses yang tidak sah. Jadi file referensi utama, file rahasia,
program, dan dokumentasi program harus disimpan di perpustakaan secara off-line atau on-line bila
tidak aktif, cetakan hard-copy program dapat disimpan dalam lemari arsip terkunci atau lemari besi,
misalnya.

b. Otentikasi dan otorisasi pengguna. Otentikasi berkaitan dengan mengidentifikasi dan menyetujui
keaslian pengguna sesuai prosedur log-on. Ketika seseorang telah

[12/3 14.50] Poybe Sihite: menyetujui keaslian pengguna sesuai prosedur log-on. Ketika seseorang telah
diidentifikasi sah atau "dipercaya" sebagai pengguna sistem, ia diberikan hak otorisasi untuk mengakses
layanan tertentu dan sumber daya.

1) Password merupakan teknik yang tersedia untuk membatasi akses dan merupakan kode otorisasi
pengguna yang bertujuan untuk untuk memberikan akses kepada pengguna yang sah dan untuk
membatasi setiap pengguna pada data dan informasi dan program yang berhubungan dengan tanggung
jawab mereka.

2) Pengu otomatis merupakan teknik untuk mencegah orang dari menebak password, fitur pengunci
otomatis menyebabkan modul keamanan untuk mengunci terminal setelah tiga kali upaya untuk
memasukkan password yang

tepat. 3) Prosedur panggilan balik merupakan untuk menggagalkan hacker dan pihak luar lainnya yang
dapat menemukan password dan berusaha untuk mendapatkan akses dari luar lokasi perusahaan,
sistem dapat menggunakan prosedur panggilan balik. 4) Kunci keyboard. Saat komputer tidak dijaga,
kunci keyboard bisa menonaktifkan

keyboard komputer, sehingga tidak berguna. Baru setelah menyalakan kunci

keyboard bisa diaktifkan kembali.

c. Pembatasan penggunaan. Perangkat serta pengguna mungkin dibatasi sehubungan dengan

penggunaan. Dengan demikian terminal bisa dikunci setelah jam kerja. Mereka juga harus ditempatkan
di daerah yang tidak mudah dijangkau oleh orang yang tidak berwenang. Melalui kontrol keamanan
internal, setiap terminal mungkin diberi otorisasi untuk mengakses data hanya dari file tertentu, untuk
masuk hanya tipe tertentu dari data transaksi untuk pengolahan terhadap berkas tersebut, untuk
membaca tapi tidak untuk memperbarui, dan sebagainya. Keterbatasan seperti ini dapat
diimplementasikan oleh (1) menandatangani sebuah nomor untuk setiap perangkat dan (2)
menempatkan tabel otorisasi perangkat dalam penyimpanan online.

[12/3 14.50] Poybe Sihite: d. Enkripsi. Enkripsi yaitu data yang dimasukkan pada satu titik pada sistem
"tidak dipercaya" (misalnya, remote terminal) dapat dikodekan, ditransmisikan dalam bentuk kode, dan
kemudian diterjemahkan ketika tiba di titik penerima (misalnya. rumah kantor perusahaan). Dengan
berada pada bentuk kode, data akan diberikan bukan dalam wiretapper, kecuali jika ia dapat
menemukan kuncinya. Jika diinginkan, data mungkin juga akan disimpan dalam bentuk kode. Terdapat
ada dua jenis utama skema enkripsi pribadi dan publik.

1) Enkripsi kunci pribadi dimana pengirim menggunakan kunci privat untuk menyandikan pesan sebelum
mengirimkannya ke penerima. Karena penerima juga memegang kunci pribadi, ini digunakan untuk
mendekripsi pesan.

2) Enkripsi kunci publik dimana penerima pesan mempertahankan dua kunci kode, kunci pribadi dan
kunci publik. Sebuah komputer terpusat mempertahankan keamanan atas kunci publik. Sebelum
transmisi pesan, pengirim mengkodekan pesan dengan kunci yang tersedia untuk publik penerima.
Penerima hanya dapat

membaca sandi pesan menggunakan kunci pribadinya.

e. Penghancuran. Untuk mengatasi browsing yang tidak sah, data rahasia harus

dihancurkan setelah kebutuhan mereka berakhir.

2. Perlindungan dari Akses Data dan Informasi yang Tidak Dapat Dideteksi.

Monitoring akses dari orang yang tidak berwenang dan tidak memiliki otoritas harus selalu dilakukan
untuk menjaga keamanan sistem informasi. Dua tipe dari log dan jenis khusus dari software kontrol
akses yang dapat digunakan dalam proses monitoring ini adalah:

a. Access Log

Pada umumnya access logmerupakan sebuah komponen dari sebuah modul sistem keamanan operasi
yang merekam semua percobaan untuk berinteraksi dengan database. Log ini merefleksikan waktu,
data, kode dari seseorang yang mencoba mengakses, tipe dari pemeriksaan atau mode dari permintaan
akses dan data yang dapat diakses (jika akses sukses). Log ini menghasilkan jejak audit yang harus
diperiksa oleh auditor internal atau administratur keamanan untuk menetapkan ancaman-ancaman
yang mungkin terhadap keamanan sistem informasi. b. Console Log

Console log atau log run internal cocok untuk komputer

mainframe

yang

[12/3 14.50] Poybe Sihite: b. Console Log

Console log atau log run internal cocok untuk komputer mainframe yang menggunakan batch
processing. Log ini mencatat semua tindakan sistem operasi dan operator komputer, seperti permintaan
dan respon yang dilakukan selama pengolahan berjalan dan kegiatan lainnya. Ketika ditampilkan pada
monitor video yang terletak di

dekat konsol komputer pusat, log dapat membantu operator menentukan penyebab perhentian
program dan memasukkan instruksi atau data untuk melanjutkan proses.
Access Control Software.

Access control software dapat menyediakan pengendalian akses level paling tinggi dibanding akses lain
atau console log. Seperti software yang berhubungan dengan sistem operasi komputer untuk
membatasi akses terhadap file dan data. Paket-paket ini juga dapat menghasilkan jejak audit dan
mendeteksi akses yang tidak sah. d. Log perubahan program dan sistem.

Log perubahan program dan sistem dapat memantau perubahan terhadap program, file dan
pengendalian. Manajer pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang diijinkan terhadap program
harus diperiksa oleh auditor internal untuk memeriksa kesesuaian dengan prosedur perubahan yang
disarankan.

3. Perlindungan dari Kerugian atau Perubahan yang Tidak Benar terhadap Data dan

Informasi Terdapat dua log tambahan yang berguna dalam mencegah hilangnya data atau informasi
dalam sistem komputer yaitu sebagai berikut:

a. Library Log

[12/3 14.51] Poybe Sihite: a. Library Log

Library log memantau pergerakan file data, program, dan dokumentasi yang digunakan dalam
pengolahan atau kegiatan lainnya. Library log yang terpelihara dengan baik dapat membantu
pustakawan data untuk reklamasi item setelah menggunakannya, sehingga mereka dapat dikembalikan
ke penyimpanan off-line di brankas yang tahan api. Versi on-line library log dapat membantu dalam
pelacakan penggunaan file data dan program yang tersimpan pada perangkat penyimpanan langsung.

b. Transaction log

Transaction log mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem on-line
untuk pemrosesan. Log ini di bawah kendali sistem operasi, bagian penting dari jejak audit dalam sistem
pengolahan on-line.Hal ini terutama penting ketika dokumen sumber belum dipersiapkan sebelumnya.
Termasuk logi transaksi adalah nomor terminal yang menunjukkan di mana transaksi dimasukkan. waktu
dan data yang dimasukkan, identifikasi orang yang memasukkan data, identifikasi orang yang masuk ke
data, kode transaksi, dan jumlah yang terlibat. Secara teratur daftar log transaksi ini harus dicetak.

e. Write-protect tab

Perusahaan kecil dapat melindung floppy dan hard disks mereka dari adanya ketidaksengajaan
penulisan.

d. File Labels File labels eksternal dan internal memberikan perlindungan ke salah satu gulungan

[12/3 14.51] Poybe Sihite: d. File Labels:

File labels eksternal dan internal memberikan perlindungan ke salah satu gulungan pita magnetik atau
paket disk dan dapat secara efektif digunakan dengan semua ukuran komputer.

e. Read-only memory

Read-only memory (ROM) merupakan data yang hanya dapat dibaca tetapi tidak bisa diubah, dimana
hal ini dapat memberikan keamaan padapengoperasian sistem, program kunci dan kumpulan data
penting. f. Lockout

Penguncian (lockout) merupakan perlindungan khusus yang diperlukan untuk melindungi basis
data/database, karena beragam pengguna dan program biasanya mengakses data secara bergantian dan
terus menerus.Penguncian mencegah dua program mengakses data secara bersamaan. Akibatnya, satu
program harus ditunda sampai program lain selesai mengakses.

4. Pemulihan dan Rekonstruksi Data yang Hilang

a. Program Catatan Vital Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi
dan melindungi catatan komputer dan nonkomputer yang penting untuk operasi perusahaan, seperti
catatan pemegang saham, catatan karyawan, catatan pelanggan. catatan pajak dan bursa, atau catatan
persediaan.

b. Prosedur Backup dan Rekonstruksi Prosedur backup terdiri dari copy salinan dokumen penting, file,
data set, program, dan dokumentasi terkait. Salinan cadangan harus mencerminkan semua perubahan
yang dibuat dalam program dan dokumentasi, serta status terbaru file data. Sedangkan prosedur
rekonstruksi terdiri dari penggunaan cadangan untuk menciptakan kembali data atau program yang
hilang. Rekonstruksi data base tergantung pada sejauh mana kerusakan terjadi. Jika semua atau
sebagian dari data base hilang, pemulihan melibatkan prosedur rollforward.

[12/3 14.51] Poybe Sihite: V.

KEAMANAN DAN PENGENDALIAN JARINGAN DAN WEB

Sebuah jaringan terdiri dari beberapa perangkat keras yang saling berhubungan yang mengotomatisasi
aplikasi akuntansi dan bisnis yang penting, menghubungkan perusahaan t kepada pelanggan mereka,
dan memungkinkan pengguna jaringan untuk mengakses basis data secara eksklusif Akibatnya, akuntan
perlu mengevaluasi unsur-unsur lingkungan pengendalian internal yang relevan dengan situs jaringan
server/web.Setelah mengidentifikasi tujuan spesifik dari situs server jaringan/web, pengukuran risiko
harus diselesaikan. Risiko.

spesifik yang akan dinilai secara periodik adalah sebagai berikut: 1) Kehilangan kemampuan transmisi
dan pengolahan data karena peralatan dan perangkat lunak rusak, termasuk kegagalan
penghubung/router, masalah kabel, atau

kegagalan sistem operasi jaringan. 2) Hilangnya kemampuan transmisi dan pengolahan data karena
listrik padam, virus,

pencurian, kehilangan personil kunci, atau bencana alam. 3) Akses tidak sah dari data melalui
penyadapan saluran komunikasi mantan karyawan
atau hacker.

4) Akses tidak sah dari data dengan mengintip karyawan melalui terminal dan

mikrokomputer di daerah terbuka dan tidak terlindungi.

5) Banyak kesalahan dalam entri data, seperti penghapusan file, karena pengguna tidak canggih
mengakses jaringan di berbagai lokasi terpencil.

6) Kesalahan dalam database utama karena upload data yang belum diverifikasi dari

terminal dan mikrokomputer ke komputer induk.

7) Penipuan dan kesalahan sebagai akibat dari kelemahan kontrol di berbagai lokasi

terpencil jaringan.

Setelah identifikasi risiko selesai, kegiatan kontrol dan keamanan khusus harus dinilai, dievaluasi,
diimplementasikan, dan diuji. Contoh solusi keamanan khusus untuk jaringan komputer/server web
yang dirancang untuk menghilangkan atau meminimalkan eksposur risiko di atas, meliputi:

1) Menunjuk administrator paruh waktu atau penuh waktu yang bertanggung jawab untuk membangun
jaringan/web server situs rencana keamanan yang membahas isu

keamanan. 2) Enkripsi dan otentikasi pesan yang berisi data rahasia, atau menggunakan kabel

[12/3 14.51] Poybe Sihite: 2) Enkripsi dan otentikasi pesan yang berisi data rahasia, atau menggunakan
kabel khusus atau transmisi kecepatan tinggi, sehingga data tidak dapat disadap dan/atau diubah dalam
perjalanan ke penerima dan dibaca oleh orang yang tidak berwenang.
7

3) Menggunakan saluran dan perangkat yang sangat handal dan kompatibel, serta deteksi kesalahan dan
memperbaiki perangkat, sehingga kesalahan dan kerusakan diminimalkan.

4) Memastikan ketersediaan data dengan menyiapkan backup terus menerus atau secara

teratur dijadwalkan. 5) Menggunakan kontrol transmisi seperti echo cek, transmisi dual pesan, dan
protokol standar.

6) Penempatan perangkat jaringan/server web di lokasi yang dilindungi dan dibatasi, sehingga mereka
tidak mungkin rusak atau dicuri.

7) Menggunakan sistem perangkat lunak bersifat write-protected dan melakukan. pengecekan paritas,
pemeriksaan gema, dan pemeriksaan verifikasi lain untuk memastikan bahwa perangkat lunak jaringan
web server tidak berubah dan bahwa data ditransmisikan secara akurat.

8) Menggunakan password untuk menjaga data sensitif dari akses yang tidak sah dan
perubahanpassword.

9) Menggunakan sistem audit jaringan (NAS) atau paket sistem software manajemen jaringan (NMS)
untuk memonitor jaringan/sumber daya server web, kompilasi laporan reports kinerja server
jaringan/web, mendeteksi sistem pelanggaran dalam memantau administrator server jaringan/web, dan
menetapkan nomor pesan untuk

[12/3 14.52] Poybe Sihite: membuat jejak audit yang memadai dan log web server.

10) Memvalidasi data masukan untuk mendeteksi dan mencegah kesalahan dari yang sedang dikirim.
11) Memelihara dokumentasi standar dan prosedur (misalnya, standar konektivitas) di seluruh situs
server jaringan/web.

12) Memberikan pelatihan yang tepat yang disukai oleh sekelompok sistem terpusat untuk pengguna
pada seluruh server situs jaringan/web.

13) Memberikan pengawasan yang ketat pada setiap situs jaringan remote/ server situs

web. 14) Membatasi akses ke jaringan/web poin entri server yang sensitif.

Selain solusi keamanan jaringan/web server, kegiatan pemantauan harus dilakukan

oleh akuntan atau auditor internal. Kegiatan pemantauan berkala meliputi:

1) Evaluasi efektivitas administrator server jaringan/web

2) Mengevaluasi tingkat keahlian personil jaringan dalam menjalankan dan memelihara

server situs jaringan/web.

3) Menganalisis rencana jangka panjang untuk memperluas server situs jaringan/web.

4) Menentukan jaringan/web diagram server situs dimana server situs jaringan/web

tampaknya dipahami dengan baik.

5) Mengevaluasi metode backup/recovery.

6) Pengujian rencana sistem untuk mengembalikan data. 7) Mengevaluasi metode mendidik dan melatih
pengguna untuk server jaringan/Web.

8) Memastikan bahwa kebijakan berada di tempat untuk menegur atau menghukum karyawan yang
menyalahgunakan server jaringan/web.

[12/3 14.52] Poybe Sihite: 3) Menganalisis rencana jangka panjang untuk memperluas server situs
jaringan/web.

4) Menentukan jaringan/web diagram server situs dimana server situs jaringan/web

tampaknya dipahami dengan baik.

5) Mengevaluasi metode backup/recovery.

6) Pengujian rencana sistem untuk mengembalikan data.

7) Mengevaluasi metode mendidik dan melatih pengguna untuk server jaringan/Web.

8) Memastikan bahwa kebijakan berada di tempat untuk menegur atau menghukum karyawan yang
menyalahgunakan server jaringan/web.

9) Mengevaluasi prosedur perubahan ke sistem operasi server jaringan/web.

10) Melakukan kajian untuk perangkat lunak jaringan tanpa izin. 11) Melakukan inventarisasi fisik situs
sumber daya jaringan/web server.

12) Menentukan pelanggaran atas lisensi perangkat lunak.