RANGKUMAN MATA KULIAH RPS 5

SISTEM INFORMASI AKUNTANSI

“Keamanan Sistem Informasi”
Dosen Pengampu: Dr. Drs. Anak Angung Ngurah Bagus Dwirandra, M.Si., Ak.

Oleh:

KELOMPOK 5

1. Komang Ardhelia Ristianti 1907531050

2. Ni Putu Novi Wulandari 1907531053
3. Ni Made Windi Wijayanti 1907531071

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS UDAYANA

TAHUN 2022
5.1 KEAMANAN SISTEM INFORMASI
Keamanan Sistem Informasi merupakan subsistem dalam suatu organisasi yang bertugas
mengendalikan risiko terkait dengan sistem informasi berbasis komputer. sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan.
5.1.1 Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena
itu,pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup
sistem. Sistem keamanan komputer dikembangkan dengan menerapkan metode dan
tujuan setiap tahap siklus hidup ini adalah sebagai berikut.
Fase Siklus Hidup Tujuan
Analisis sistem Analisis kerentanan sistem dalam arti ancaman yang
relevan dan eksposur kerugian yang terkait dengan
ancaman tersebut.
Desain sistem Desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistem Menerapkan ukuran keamanan seperti yang didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksirkan efektivitas dan
pengendalian sistem efisiensi. Membuat perubahan sebagai diperlukan sesuai
dengan kondisi yang ada.

5.1.2 Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, harus dikelola oleh chief security officer
(CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi
terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan
direksi untuk mendaparkan persetujuan dewan direksi. Laporan ini mencakup setiap fase
siklus hidup, yaitu sebagai berikut.
Fase Siklus Hidup Tujuan
Analisis sistem Sebuah ringkasan terkait dengan semua eksposur kerugian
yang relevan.
Desain sistem Rencana detail mengenai pengendalian dan pengelolaan
kerugian, termasuk anggaran sistem keamanan secara
 5.1.3 Menganalisis Kerentanan dan Ancaman
Dalam melakukan analisis kerentanan dan ancaman sistem, terdapat dua pendekatan, yaitu
sebagai berikut.
1) Pendekatan kuantitatif
Untuk menaksir risiko, caranya yaitu dengan menghitung setiap eksposur kerugian
sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya
eksposur tersebut. Manfaat dari pendekatan kuantitatif yaitu dapat menunjukkan bahwa
ancaman yang paling mungkin terjadi bukanlah ancaman terbesar dengan eksposur
kerugian terbesar. Kesulitan yang ada pada penerapan pendekatan ini adalah: a)
Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap item kerugian dan
menaksir probabilitas terjadinya eksposur tersebut. Hal ini terjadi karena estimasi
melibatkan biaya estimasi biaya interupsi bisnis yang sulit diprediksi atau penggantian
komputer lama yang biayanya tentu tidak sebanding dengan komputer baru. b) Estimasi
kemungkinan kerugian melibatkan prediksi masa yang akan datang, sedangkan prediksi
tersebut sulit dilakukan apalagi terkait dengan teknologi yang berkembang dengan
cepat.
2) Pendekatan kualitatif
Metode ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem,
kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap
item tersebut terhadap total eksposur kerugian perusahaan. Pada praktiknya, seringkali
kedua pendekatan ini diterapkan secara bersamaan, dengan cakupan area analisis yaitu
interupsi bisnis, kerugian perangkat lunak, kerugian data, kerugian perangkat keras,
kerugian fasilitas, serta kerugian jasa dan personel.
5.2 KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan dalam suatu sistem. Ancaman merupakan suatu
eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman yaitu aktif
dan pasif. Aktif mencangkup kecurangan sistem informasi dan sabotase. Pasif
menyangkup kegagalan sistem seperti kegagalan sistem, termasuk bencana alam seperti
gempa bumi, kebakaran, banjir dll.
5.2.1 Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah
putih. Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik
menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total
kerugian akibat suap, perampokan, dan pencurian. Hal ini mungkin mengejutkan karena
kita jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena
di sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau karena
bisa membuat publik mengetahui kelemahan pengendalian internal perusahaan. Manajer
enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman
masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara memiliki
undang- undang yang ditujukan pada masalah keamanan komputer. Di Amerika Serikat,
berbagai undang-undang, regulasi, dan publikasi ditujukan pada masalah kejahatan
komputer. Banyak negara bagian telah mengeluarkan statuta kriminal guna menentang
kejahatan komputer. Computer Fraud and Abuse Act tahun 1986 menyatakan akses tidak
legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam komputer
lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau
komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah kejahatan
federal. Pencurian password untuk akses komputer juga dilarang. Tindakan kriminal
ditentukan oleh kerugian perangkat lunak senilai $1,000 atau lebih; pencurian barang
berwujud, jasa, atau uang; atau akses tanpa atau dengan perubahan´ terhadap catatan
medis. Denda dapat mencapai $250,000 atau dua kali lipat nilai data yang dicuri, dan
pelaku utama dapat dikenai hukuman penjara satu sampai dengan lima tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen
merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan
untuk menipu investor dan kreditor melalui pelaporan keuangan yang menýesatkan.
Kecurangan semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di
dalam organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi.
Memang bisa saja manajemen melakukan kesalahan lain yang memiliki potensi untuk
merugikan karyawan atau investor, namun biasanya istilah kecurangan manajemen
mengacu pada manipulasi laporan keuangan.
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku
sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu,
yang menghasilkan laporan keuangan yang secara material menyesatkan. Komisi
memelajari 456 kasus sidang terhadap auditor. Kecurangan manajemen ditemukan pada
separuh dari total kasus tersebut. Komisi mengamati bahwa sistem informasi berbasis
komputer menggandakan potensi penyalahgunaan atau rekayasa informasi sehingga
meningkatkan risiko kecurangan dalam pelaporan keuangan.
5.2.2 Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware,
file data yang sensitif, atau program yang kritis. Tiga kelompok individu-personel sistem,
pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal
tersebut di atas. Personel sistem kerap kali merupakan ancaman potensial karena mereka
diberi berbagai kewenangan akses ternader data dan program yang sensitif. Pengguna, di
sisi lain, hanya diberi akses terbatas (sempit), tetapt mereka masih memiliki cara untuk
melakukan kecurangan. Penyusup tidak diberi akses sama sek tetapi mereka sering
merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerug yang sangat
besar pada perusahaan.
a. Personel Sistem Komputer
Personel sistem meliputi personel pemeliharaan komputer, programer, operator,
personel administrasi sistem informasi, dan karyawan pengendali data.
b. Personel Pemeliharaan Sistem
Personel pemeliharaan sistem menginstal perangkat keras dan perangkat lunak,
memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat
tunak. Dalam banyak kasus, individu-individu ini harus memiliki akes keamanan level
tinggi untuk dapat menyelesaikan pekerjaan mereka. Sebagai contoh, seseorang yang
menginstal program akuntansi versi baru sering diberi akses lengkap ke katalog file
yang memuat sistem akuntansi dan file data yang terkait. Dalam beberapa kasus,
individu-individu semacam ini mungkin tidak bekerja untuk perusahaan, tetapi
bekerja untuk pemasok tempat perusahaan membeli perangkat lunak akuntansi.
Dalam banyak kasus, personel pemeliharaan biasanya memiliki kemampuan untuk
berselancar di dalam sistem dan mengubah file data dan file program dengan cara
yang tidak legal. Beberapa personel pemeliharaan bisa saja berada dalam posisi yang
memungkinkan ia melakukan modifikasi yang tidak diharapkan terhadap keamanan
dalam sistem operasi.
c. Programer
Programer sistem sering menulis program untuk memodifikasi dan memperluas
sistem operasi jaringan. Individu-individu semacam ini biasanya diberi account
dengan kewenangan akses universal ke semua file perusahaan. Programer aplikasi
bisa saja membuat modifikasi yang tidak diharapkan terhadap program yang ada saat
ini atau menulis program baru guna menjalankan hal-hal yang tidak semestinya.
d. Operator Jaringan
 Individu yang mengamati dan memonitor operasi komputer dan jaringan komu- nikasi
disebut operator jaringan. Biasanya, operator diberi tingkat keamanan yang cukup
tinggi sehingga memungkinkan operator secara diam-diam mengawasi semua
jaringan komunikasi (termasuk pada saat pengguna individu memasukkan password),
dan juga mengakses semua file di dalam sistem.
e. Personel Administrasi Sistem Informasi
Supervisor sistem menempati posisi kepercayaan yang sangat tinggi. Orang ini
biasanya memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya.
Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau
untuk memberi password pada account yang sudah ada.
f. Karyawan Pengendali Data
Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer
disebut karyawan pengendali data. Posisi ini memberi peluang bagi karyawan untuk
melakukan manipulasi data input.
g. Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan
yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan
data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka
bocorkan kepada pesaing perusahaan. Dalam beberapa kasus, pengguna memiliki
kendali terhadap input komputer yang cukup penting, seperti memo kredit, kredit
rekening, dan lain sebagainya.
h. Penyusup
Setiap orang yang memiliki akses ke perlatan, data elektronik, atau file tanpa hak yang
legal merupakan penyusup (intruder). Penyusup yang menyerang sistem informasi
sebagai sebuah kesenangan dan tantangan dikenal dengan nama hacker. Tipe lain dari
penyusup mencakup unnoticed intruder,wiretapper, piggybacker, impersonating
intruder, dan eaversdropper.
i. Unnoticed intruder
Seorang pelanggan bisa saja berjalan masuk kedalam area yang tidak dijaga dan
melihat data yang sensitf di dalam koputer personal yang sedang tidak ada orangnya.
Seseorang hacker bisa saja masuk kedalam sistem dan merusak website perusahaan.
j. Wiretapper
Sebagian besar dari informasi diproses oleh komputer perusahaan melewati kabel.
Sebagian informasi ditransmisikan hanya dari satu ruangan ke ruangan lain. Informasi
 yang lain mungkin saja ditransmisikan antar negara melalui internet. Jaringan ini
rentan terhadap kemungkinan wiretrapping (penyadapan). Penyadapan ini bisa
dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder
dan sepotong kabel) yang memungkinkan terjadinya penyadapan tanpa ada indikasi
bahwa sedang terjadi penyadapan.
k. Piggybacker
Salah satu jenis penyadapan yang paling canggih adalah piggybacking. Dengan
metode ini, penyadap menyadap informasi legal dan menggantinya dengan informasi
yang salah.
l. Impersonating Intruder
Impersonating intruder adalah individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan
password yang di peroleh dengan cara yang tidak legal untuk mengakses sumbernya
daya elektronik perusahaan. Banyak perusahaan mengabaikan keamanan terkait
dengan user Id dan password. Dalam beberapa kasus, seseorang, melalui 'rekayasa
sosial’ dapat memperoleh user ID dan password dengan menelepon pusat teknologi
komputer perusahaan. Tipe lain dari penyusup adalah hacker yang mendapatkan akses
melalui Internet dengan menebak password seseorang. Menebak password tidak
sesulit yang kita duga karena hacker mengetahui banyak orang menggunakan nama
saudara, teman dekat, dan hewan kesayangan untuk dijadikan password. Tambahan
lagi, sekarang tersedia banyak program penebak password yang tersedia di Web. Salah
satu program semacam ini memiliki kamus yang memuat 300.000 kata dan beroperasi
dengan sangat cepat. Tipe penyusup yang ketiga adalah mata-mata industri yang
profesional, yang biasanya memasuki sistem melalui pintu samping dengan
menggunakan seragam karyawan servis atau reparasi. Individu ini tahu bahwa banyas
perusahaan memiliki pintu samping yang sering digunakan oleh karyawan untuk
merokok. Pintu ini sering dibiarkan terbuka supaya mudah bagi karyawan yang akan
merokok untuk kembali masur Pintu ini mudah diidentifikasi melalui banyaknya
puntung rokok yang berserakan di tanan.
m. Eavesdroppers
CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video
menghasilkan interferensi elektromagnetik pada satu frekuensi yang dapat ditangkap
dengan seperangkat televisi sederhana. Wim Van Eck, seseorang peneliti elektronik
belanda, membuktikan kepada sejumlah bank bahwa sangat mungkin untuk membaca
 informasi di CRT bank dari jarak sejauh hampir satu mil dengan menggunakan televisi
biasa, sebuah antena pengarah dan sebuah generator sync. Setiap orang dengan
peralatan ini dapat memonitor informasi yang sensitif selama informasi tersebut
tampil di CRT perusahaan. Setiap informasi yang lewat melalui jaringan komunikasi
publik rentan terhadap eavesdroping dan piggybacking.
5.2.3 Ancaman Aktif pada Sistem Informasi
Berikut akan didiskusikan enam metode yang dapat digunakan untuk melakukan
kecurangan sistem informasi. Metode ini meliputi manipulasi input, perubahan program,
perubahan file secara langsung, nencurian data, sabotase, dan penyalahgunaan atau
pencurian sumber daya informasi.
a. Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang
biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal.
Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi
sistem komputer.
• Bank Morgan Guaranty menerima sebuah telex palsu dari Central Bank of
Nigeria. Dana senilai $20 juta akan ditransfer secara elektronik ke tiga bank yang
berbeda. Untungnya, pada saat Bank Morgan mencoba mentransfer dana ke
rekening yang baru saja dibuka di Santa Ana, California, dengan saldo $50,
transfer tersebut di tolak. Penolakan ini membantu pengungkapan Bank Morga
Guaranty tidak mengalami kerugin apapun.
b. Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlihan pemrograman yang hanya dimiliki oleh sejumlah orang yang
terbatas. Selain itu banyak perusahaan besar memiliki metode pengujian program yang
dapat digunakan untuk mendeteksi adanya perubahan dalam program.
• Manajer pusat suatu broker mencui $81,000 selama beberapa tahun dengan
menggunakan skema pengubahan program tidak legal. Dia menarik cek dan
mengirim cek tersebut ke rekening-rekening palsu yang ia buat.
Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang
mengakses program dengan mengabaikan keamanan program tersebut. Trapdoor bisa
 saja berada didalam sistem akuntansi, program database, sistem operasi dan lain
sebagainya.
c. Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong
proses normal untuk menginputkan data ke dalam program komputer. Jika ha ini terjadi,
hasil yang dituai adalah bencana.
• Seorang karyawan Waltson, salah satu dari sepuluh broker utama Wall Street,
dituntut karena mencuri $278,000 dengan mentransfer sebagian dari pendapatan
perusahaan ke rekening pribadinya. Pengacara distrik mengakui bahwa terdakwa
tidak mengaku. Sidang tidak menemukan bukti.
d. Pencurian Data
Pencurian data penting merupakan salah satu masalah yang serius dalam dunia bisnis
hari ini. Dalam industry dengan tingkat persaingan yang sangat tinggi, informasi
kuantitatif dan kualitatif terkait dengan salah seorang pesaing yang sangat tinggi,
informasi yang cukup diburu. Sejumlah informasi ditransmisikan antar perusahaan
melalui internet. Informasi ini rentan terhadap pencurian pada saat transmisi, informasi
tersebut bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan
cara menyembunyikan disket atau CD kedalam kantong atau tas. Laporan yang tipis
juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
• Encyclopedia Britannica Company menuntut operator komputer shift malam
yang diduga menggandakan hampir tiga juta nama dari file komputer yang
memuat daftar pelanggan perusahaan yang paling berharga. Karyawan tersebut
dituntut atas penjualan daftar pelanggan. Encyclopedia Britannica Company
menyatakan bahwa nilai daftar nama pelanggan tersebut $3 juta.
Lebih jauh, individu-individu dengan akes terhadap e-mail, dapat dengan mudah
menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat
Internet. Dengan menggunakan metode tersebut, penyusup dapat mencuri sejumlah
besar informasi hanya dalam hitungan menit.
e. Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan Perusakan sebuah
komputer atas perangkat lunak dapat menyebabkan kebangkritan suatu perusahaan.
Orang yang merasa dirugikan biasanya adalah pelaku utama. Dalam beberapa kasu,
seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan
 membingungkan untuk diterapkan. Ada banyak cara yang dapat dilakukan yang
menyebabkan kerusakan yang serius terhadap komputer. Magnet dapat digunakan
untuk menghapus tipe magnetic dan disket, hanya dengan meletakkan magnet didekat
media. Sabotase telah menjadi isu besar dalam perdagangan Web. Pada satu sisi, biaya
tahunan yang dikeluarkan untuk keamanan elektronik. Pada sisi lain, kebnerhasilan
hacker menyerang website semakin meningkat. Ada kalanya program komputer
digunakan untuk melakukan kegiatan sabotase. Salah satu metode tertua untuk
melakukan tindakan semacam ini adalah bom logika.
• Programer USPA, perusahaan asuransi Fort Worth, dipecat karena tindakannya
yang buruk. Dua hari kemudian, sebuah bom logika mengaktivasi dirinya sendiri
dan menghapus hampir 160.000 catatan vital dari komputer perusahaan.
Investigator menyimpulkan bahwa programer yang dipecat telah menanamkan
bom logika dua tahun yang lalu sebelum ia dipecat.
f. Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
• Lima orang karyawan dinyatakn bersalah karena menggunakan komputer
mainframe perusahaan di jam-jam senggang untuk mengoperasikan pemrosesan
data perusahaan mereka sendiri. Cukup banyak kapasitas mainframe yang
digunakan, sampai hampir saja perusahaan meninekaikeup pasitas mainframe
untuk memenuhi kebutuhan lima karyawan tersebut.
5.3 SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan dan
perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian
ancaman sedangkan rencana kontingensi fokus pada perbaikan terhadap akibat dampak
suatu ancaman. Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah
sebagian ancaman tidak dapat dicegah tanpa pengembangan suatu sistem yang sangat
aman.
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur
pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar
pengendalian internal (supervisi yang memadai, rotasi pekerjaan, batch control total,
pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam sistem
keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-
prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-
masalah dalam sistem informasi.
5.3.1 Lingkungan Pengendalian
Lingkungan Pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang baik tergantung pada delapan faktor sebagai
berikut.
a. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral
yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya
keamanan. Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk
mengganggu keamanan sistem. Oleh karena itu, pertahanan yang utama adalah
suasana kesadaran akan pentingnya keamanan. Menciptakan suasana semacam ini
dapat dilakukan dengan banyak cara.
Seluruh karyawan harus menerima pendidikan mengenai keamanan agar setiap
karyawan memiliki kepedulian terhadap keamanan. Semua pelanggaran harus
mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang
tanggung jawab harus memberikan teladan yang baik. Moral yang rendah dapat
menyebabkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik
dengan karyawan dapat mengurangi masalah rendahnya moral. Sebagai contoh, file
harus memuat suatu pertanyaan bahwa file-file tersebut merupakan hak milik
perusahaan dan penggunaan file untuk hal-hal yang tidak benar berarti tindakan
kriminal yang dapat menyebabkan pemecatan karyawan.
b. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya
diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak
hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai
fungsi komputasi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan
menjaga pola otoritas dan wewenang yang jelas. Sebagai contoh, analis sistem dan
programer komputer mungkin akan dipanggil untuk mendesain, membuat program,
dan mengimplementasikan sistem piutang dagang. Seorang akuntan mungkin
diminta untuk membuat perubahan program suatu paket akuntansi. Satu hal yang
penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa
yang bertanggung jawab mengambil keputusan terkait dengan perangkat lunak
akuntansi dan prosedur akuntansi.
c. Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Kemudian, komite audit harus
menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal
seharusnya memiliki pengalaman yang baik terkait dengan keamanan komputer dan
bertindak sebagai chief computer security officer. Dalam situasi apapun, individu-
individu tersebut harus melapor secara periodik kepada komite audit mengenai
semua fase sistem keamanan komputer. Komite audit harus berkonsultsai secara
berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja chief
security officer dan sistem keamanan komputer.
d. Metode Pembagian Otoritas dan Tanggung Jawab
Tanggung jawab semua posisi harus didokumentasikan dengan hatihati
menggunakan struktur organisasi, manual kebijakan, deskripsi kerja, dan lain
sebagainya.
e. Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan pengunaan dan
pertanggungjawaban semua sumber daya sistem komputer dan informasi. Harus ada
anggaran yang dibuat terkait dengan akuisisi peralatan dan perangkat lunak, terkait
dengan biaya operasi, dan terkait dengan pengggunaan. Dalam ketiga kelompok item
anggaran tersebut, biaya aktual harus dibandingkan dengan besarnya anggaran. Jika
terdapat perbedaan yang signifikan harus diinvestigasi. Pengendalian anggaran
penting dalam lingkungan komputer karena ada kecendererungan di banyak
perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
Karyawan sering meminta perangkat keras yang lebih baik, perangkat lunak, dan
jasa yang sebenarnya tidak mereka butuhkan. Membeli komputer personal model
terbaru atau paket perangkat lunak terkini dapat memberikan kepuasan secara
emosional tanpa memberikan tambahan manfaat bagi perusahaan.
f. Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk
memenuhi kebutuhan terus berubah. Chief security officer harus membangun
kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan
dengan perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat
keras, perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan
kebijakan keamanan yang telah dibuat. Kebijakan dan prosedur keamanan harus
 diuji kesesuaiannya dan keefektifannya. Beberapa perusahaan menyewa hacker
untuk melihat seberapa rentan sistem keamanan perusahaan.
g. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan
pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan
yang penting adalah memisahkan pekerjaan pengguna komputer dan personalia
sistem komputer. Pemisahan ini berawal dari perlunya pemisahan penyimpan harta
dan tanggung jawab pencatatan. Pengguna sering memiliki akses fisik ke aktiva
komputer dan personalia sistem sering memiliki akses ke file data yang memuat
catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi
satu langkah untuk melakukan kecurangan. Semestinya juga, jika memungkinkan,
ada pemisahan tugas terkait dengan akses ke file-file akuntansi yang penting. Dalam
banyak lingkungan komputer, memiliki akses ke sebuah file mengenai suatu aktiva
jadi sangat dekat dengan memiliki akses ke aktiva itu sendiri. Sebagai contoh, sangat
memungkinkan bagi karyawan untuk mentransfer kas keluar dari satu rekening
dengan menggunakan transfer secara elektronik jika rekening kas dikaitkan langsung
dengan suatu rekening di suatu lembaga keuangan.
Praktik personalia terkait dengan perekrutkan dan pemecatan karyawan juga
merupakan hal yang penting. Karyawan yang prospektif harus diteliti dengan sangat
hati-hati, terkait dengan masalah-masalah yang dia hadapi yang dapat mendorong
dirinya untuk melakukan kejahatan. Semakin sensitif suatu posisi yang akan
ditempati, semakin ekstensif investigasi latar belakang yang harus dilakukan. Satu
karyawan yang tidak sesuai standar menduduki satu posisi yang kritis dapat
menghancurkan seluruh organisasi.
Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-
hati karena karyawan yang di PHK tercatat sebagai pelaku utama dalam kasus
sabotase. Jika seorang karyawan kunci dipecat, semua hak akses ke perangkat keras,
perangkat lunak, dan file data sensitif harus dibatalkan secepat mungkin.
h. Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi lokal, federal,
dan negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai
tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan
riwayat mereka, personalia dan pemerintah. Hukum dan regulasi ini juga mengatur
pengiriman informasi ke negara lain. Kegagalan untuk memberikan keamanan yang
 memadai di salah satu dari area ini akan dapat menjadi suatu tuntutan kriminal.
Penting juga untuk mengimplementasikan kebijakan internal yang terdokumentasi
dengan baik untuk mencegah pembajakan perangkat lunak Pembajakan perangkat
lunak adalah penggandaan dan pendistribusian ilegal hak cipta perangkat lunak.
Perusahaan yang tidak memiliki kebijakan semacam ini dapat menjadi sasaran
hukum.
5.3.2 Pengendalian Ancaman Aktif
Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah
dengan menerapkan tahap-tahap pengendalian akses. Jika semua pengendalian organisasi
umum dan pengendalian pengolahan data ada dan berfungsi sebagaimana mestinya,
pertimbangan utama yang penting adalah membatasi akses ilegal ke data dan peralatan
yang sensitif. Filosofi di balik pendekatan berlapis untuk pengendalian akses melibatkan
pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran
potensial mereka. Tiga tahap yang dapat digunakan adalah pengendalian akses lokasi,
pengendalian akses sistem, dan pengendalian akses file. Langkah pertama membangun
pengendalian akses adalah mengelompokkan semua data dah peralatan sesuai dengan
tingkat kepentingan dan tingkat kerentanan data dan peralatan tersebut. Peralatan dan data
yang kritis harus diberi pengendalian yang ketat serta dengan mempertimbangkan
kewajaran biaya dan manfaatnya.
a. Pengendalian Akses Lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu
yang tidak berwenang dari sumber daya komputer. Pemisahan secara fisik harus
diterapkan khususnya untuk menjaga perangkat keras, area penginputan data, area
output data, perpustakaan data, dan jaringan komunikasi.
Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan (ada
fotonya). Semua ruang yang berisi peralatan komputer atau data yang sensitif harus
memiliki pintu yang terkunci. Lebih baik jika kunci tersebut diprogram sehingga
pintu dapat menolak kunci yang tidak memiliki hak akses. Sekarang, tersedia juga
sistem autentikasi perangkat keras biometrik. Sistem ini secara otomatis
mengidentifikasi individu berdasarkan sidik jari mereka, ukuran tangan, pola retina,
pola suara, dan lain sebagainya.
Semua konsentrasi data komputer (seperti pustaka data, jaringan, printer, lokasi
entry data, lokasi output data) dan peralatan harus dilokasikan di tempat yang sulit
untuk ditemukan. Sistem ini mencakup pemasangan pintu ganda untuk tempat
 penyimpanan data komputer, sebagaimana dapat dilihat pada Gambar 5.4. Orang
yang hendak masuk ke ruangan tersebut harus melewati dua pintu yang terkunci.
Untuk memasuki pintu pertama harus menggunakan kunci terprogram dan jika
sudah masuk, akan dilakukan pengecekan izin masuk oleh bagian keamanan.

Menjaga segala sesuatu dalam ruang yang terkunci merupakan salah satu cara
proteksi yang terbaik. Computer personal diusahakan hanya bisa booting dari
hardisk internal atau dari jaringan dan hanya bisa diakses dalam password dan jika
memungkinkan semua peralatan computer harus ditempatkan di ruang yang
terkunci, dengan dinding yang cukup kuat untuk mencegah terjadinya intrusi radiasi
elektromagnetik yang tidak diharapkan.
Cara membatasi secara fisik intrusi virus adalah dengan melarang menginstal
perangkat lunak manapun tanpa persetujuan keamanan, menyediakan workstation
yang tidak memiliki harddisk dan diskdrive, sistem operasi yang ROM based, dan
terakhir semua kabel fisik harus anti sadap.
b. Pengendalian Akses Sistem
Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk perangkat
lunak yang didesain untuk mencegah pengguanaan sistem oleh pengguna yang
ilegal. Tujuan pengendalian akses sistem adalah untuk mengecek keabsahan
pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat
Internet Protocol (IP), dan perangkat perangkat keras. S
etiap pengguna internal akan mendapatkan nomor ID dan password pada sembilan
level: pada level workstation atau komputer personal, jaringan, komputer host, file
server, katalog file, program, file data atau database, record, dan field data. Setiap
level ini dapat berperan sebagai lapisan-lapisan proteksi, memisahkan kandidat
penyusun dari data yang sensitif. Pada level tertinggi, level workstation, pengguna
harus memasukkan informasi identitas yang benar sebelum pengguna diberi hak
untuk meminta akses ke dalam jaringan komunikasi. Berikutnya, setelah mengakses
jaringan, pengguna harus memasukkan tambahan informasi identitas sebelum ia
mendapat hak untuk mengakses komputer host atau file server. Setelah itu, tambahan
identifikasi dibutuhkan sebelum mengakses suatu katalog file tertentu. Proses
identifikasi ini terus berlanjut sampai akses data field individual di dalam database.
Sistem operasi harus diberi kemampuan untuk secara otomatis merekam jam,
tanggal, dan nomor pengguna yang mengakses sistem.
Semua entri ke dalam master file dan database yang penting harus secara otomatis
merekam catatan mengenai pengguna dan waktu transaksi. Catatan ini
memungkinkan pengguna melakukan audit terhadap semua transaksi individual.
Password harus dikendalikan dengan hati-hati melalui sistem pengelolaan password
yang baik. Pemberian password kepada pengguna harus dilakukan (diulang) secara
berkala. Password yang ideal mestinya terdiri dari kombinasi huruf kapital dan huruf
kecil, simbol khusus, dan angka. Menggabungkan dua kata yang tidak memiliki
kaitan sama sekali dengan sebuah simbol merupakan kompromi yang baik antara
keamanan password dengan kemudahan password. Contoh password semacam ini
adalah DOG&SKY.
Lapisan keamanan juga dapat ditambahkan dengan penggunaan sistem sign-
countersign. Pengguna pertama kali memasukkan nomor identifikasi. Sistem
merespons dengan sebuah tanda (sign, misalkan sebuah kata kode). Pengguna diberi
waktu beberapa detik untuk memasukkan countersign yang benar. Kekuatan sistem
ini adalah pasangan sign-countersign tidak akan pernah digunakan dua kali.
Pengguna secara periodik menerima daftar kata yang akan digunakan dalam
prosedur tersebut. Beberapa sistem mengizinkan pengguna memilih password
sendiri, dengan diberi beberapa batasan.
Password juga tidak boleh lebih pendek dari jumlah karakter minimal tertentu, tidak
boleh berupa kata yang mudah ditebak, dan harus diubah-ubah secara berkala.
Dengan pendekatan ini, password diberi tanggal kadaluwarsa. Pengguna yang tidak
mengubah password mereka setelah lewat tanggal kadaluwarsa, tidak akan dapat
mengakses sistem sampai bagian keamanan mengeset ulang account pengguna
tersebut. Dalam beberapa sistem operasi, untuk setiap account diberi batasan
maksimum akses yang melanggar keamanan dalam suatu kurun waktu tertentu.
Dengan sistem ini, memasukkan password yang isalah akan dianggap sebagai
pelanggaran keamanan.
 Bagian personalia harus segera memberi tahu bagian keamanan terkait dengan
penghentian karyawan atau pemindahtugasan karyawan. Nomor rekening untuk
karyawan-karyawan tersebut harus segera dibatalkan. Kunci yang terprogram harus
segera diprogram ulang jika ada penghentian atau pemindahtugasan karyawan.
Firewall (yang biasanya merupakan kombinasi perangkat keras dan perangkat lunak)
dapat diprogram untuk menolak setiap paket yang datang yang tidak berasal dari
alamat IP yang ada pada daftar otorisasi. Hacker tertentu dapat memalsukan nomor
IP yang valid. Oleh karena itu, firewall hanya dapat membatasi, tetapi bukan
merupakan satu solusi total. Solusi yang lebih baik adalah menggabungkan firewall
dengan teknik enkripsi. Pihak luar dapat diminta untuk menunjukkan sertifikat
digital sebagai informasi identitas mereka, berikutnya semua pertukaran informasi
didasarkan pada teknik enkripsi.
Selain itu, perlu dilakukan pembatasan terhadap hak administrasi setiap individu
pengguna komputer personal. Pembatasan ini dapat mencegah pengguna menginstal
perangkat lunak ke dalam PC mereka, yang selanjutnya dapat mencegah kontaminasi
virus, kuda Troya, dan gangguan lain terhadap PC.
c. Pengendalian Akses File
Pengendalian akses file mencegah akses ilegal ke data dan file program.
Pengendalian akses file yang paling fundamental adalah pembuatan petunjuk dan
prosedur legal untuk mengakses dan mengubah file. Batasan khusus harus diberikan
kepada programer yang memang memiliki pengetahuan untuk mengubah program.
Programer mestinya tidak diberi akses ke file data perusahaan tanpa ada persetujuan
tertulis. Operator dan supervisor harus diberi tahu untuk mengikuti instruksi dari
programer hanya jika programer membawa persetujuan tertulis. Perubahan program
tidak boleh dilakukan tanpa ada persetujuan tertulis. Ketika mengubah program,
programer mestinya mengubah salinan program orisinil. Perubahan tidak langsung
dilakukan terhadap program orisinil itu sendiri. Salinan program yang telah diubah
harus diinspeksi terlebih dahulu sebelum digunakan untuk menggantikan program
yang orisinil. Semua program penting harus disimpan di dalam file terkunci. Ini
berarti program dapat dijalankan, tetapi tidak dapat dilihat atau diubah. Hanya
bagian kearranan yang dapat mengetahui password untuk membuka file program.
Program juga dapat diberi tanda tangan digital. Verifikasi tanda tangan digital dapat
berfungsi untuk melihat keabsahan identitas sumber program dan untuk memastikan
bahwa tidak ada bagian dari program tersebut yang diubah. Sebagai contoh,
 perusahaan XYZ membeli suatu program untuk menganalisis piutang dagang. Untuk
melindungi dirinya sendiri, XYZ meminta program tersebut disertai dengan tanda
tangan digital dari vendor/developer program. Lebih jauh, jika XYZ tidak
mengetahui tingkat keandalan kunci publik dari vendor/developer, XYZ dapat
meminta kunci publik developer disertifikasi oleh CA (certification authority) yang
cukup ternama.
5.3.3 Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian terhadap ancaman semacam ini dapat berupa pengendalian preventif
maupun korektif.
a. Sistem Toleransi Kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang
redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa
interupsi. Sistem semacam ini disebut sistem toleransi kesalahan. Toleransi kesalahan
dapat diterapkan pada lima level: pada jaringan komunikasi, pada prosesor CPU, pada
DASD, pada jaringan listrik, dan pada transaksi individual. Sistem dengan protokol
berbasis-konsensus memuat sebuah nomor ganjil dari prosesor; jika salah satu
prosesor tidak sepakat dengan prosesor yang lain, maka akan diabaikan. Sistem yang
lain menggunakan watchdog processor kedua yang akan mengambil alih pemrosesan
jika sesuatu terjadi dengan sistem yang pertama.
Dengan pengujian read-after-write, disk drive akan membaca ulang suatu sektor
setelah menulis pada disk tersebut, sebagai konfirmasi bahwa apa yang tertulis telah
tertulis dengan baik tanpa kesalahan. Disk mirroring atau disk shadowing mencakup
penulisan semua data secara paralel dalam dua atau lebih disk. Jika salah satu disk
gagal, program aplikasi secara otomatis akan terus berjalan dengan menggunakan disk
yang masih bagus. Ada program perangkat lunak yang dapat membantu menggali data
dari file atau disk yang rusak.
Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan
uninterruptable power supply (UPS). Jika listrik mati, sistem backup, yang ada kalanya
bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada
pemutusan mendadak terhadap aktivitas pemrosesan yang sedang berlangsung.
Toleransi kesalahan yang diterapkan pada level transaksi mencakup rollback
processing dan database shadowing. Dengan rollback processing, transaksi tidak
 pernah dituliskan ke dalam disk, kecuali transaksi tersebut telah lengkap. Jika terjadi
mati listrik atau kesalahan yang lain pada saat suatu transaksi sedang ditulis, program
database akan secara otomatis kembali ke posisi semula seperti sebelum ada transaksi.
Database shadowing serupa dengan disk shadowing, hanya saja duplikasi semua
transaksi dibuat dan dikirimkan lewat jaringan komunikasi ke lokasi yang jauh (remote
location).
b. Memperbaiki Kesalahan: Backup File
Terdapat tiga jenis back up file, yaitu : back up penuh, backup inkremental, backup
diferensial. Back up penuh membuat back up semua file yang ada dalam suatu disk.
Back up inkremental melakukan back up semua file dengan srchive bit 1, kapan saja
file tersebut mengalami perubahan. Terakhi back up diferensial pada dasarnya sama
denga back up inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses
back up.
Skema back up paling sederhana adalah melakukan back up penuh secara periodic dan
media back up tersebut harus segera disingkirkan ke area penyimpanan yang terpisah.
Dalam beberapa kasus, menjalankan backup seluruh disk atau seluruh sistem komputer
secara kontinyu di dunia bisnis bukanlah satu hal yang praktis. Banyak sistem
semacam ini melakukan backup inkremental atau backup diferensial di antara saat-saat
backup penuh, jadi hanya melakukan backup terhadap file-file yang mengalami
perubahan. Prosedur semacam ini dapat menghemat waktu dan biaya media
penyimpanan, serta sangat berguna dalam banyak situasi Secara umum backup
inkremental membutuhkan media simpan yang lebih sedikit dan relatif lebih cepat
dibandingkan backup diferensial. Masalah muncul pada saat harus melakukan restore
file dari backup inkremental. Prosedur untuk me-restore backup inkremental harus
diawali dengan me-restore backpup penuh yang terakhir kali dibuat, baru kemudian
me-restore backup inkremental satu demi satu, dalam urutan yang kronologis. Masalah
lain terkait dengan prosedur ini adalah, bisa saja terjadi, suatu file di-restore, padahal
file tersebut pernah dihapus suatu saat di antara waktu backup penuh dan backup
inkremental yang terakhir. Kedua masalah ini tidak akan muncul jika yang digunakan
adalah backup diferensial
5.3.4 Keamanan Internet

Kerentanan terkait dengan Internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Sistem operasi atau konfigurasi sistem operasi
2. Web server atau konfigurasi Web server
3. Jaringan privat atau konfigurasi jaringan privat
4. Berbagai program server
5. Prosedur keamanan secara umum
Setiap jenis kerentanan ini akan didiskusikan pada bagian berikut.
1. Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya,
setiap kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan
keamanan Web server. Untuk alasan inilah administrator keamanan harus,
pertama dan terpenting, mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu
menemukan kelemahan baru di dalam sistem oeprasi. Oleh karena itu,
administrator harus secara konstan memonitor buletin keamanan yang
dipublikasikan oleh vendor sistem operasi dan oleh jasa advisory pihak ketiga.
Sebagai contoh, Microsoft selalu memperbarui informasi keamanan untuk
Windows melalui website perusahaan di www.micfosoft.com/.
2. Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu
selalu memonitor buletin terkait dengan informasi dan pembaruan keamanan
perihal konfigurasi Web server. Pengawasan informasi terkini semacam ini
penting karena Web server dan Web browser lebih sering mengalami pembaruan
dibandingkan sistem operasi. Setiap pembaruan selalu hadir dengan satu
kelemahan keamanan yang baru. Web server juga merupakan garis depan
keamanan karena ia merupakan portal bagi pihak luar untuk masuk ke dalam
sistem.
Keamanan Web server dapat menurun tajam akibat kesalahan konfigurasi. Salah
satu masalah konfigurasi yang paling umum adalah area konfigurasi
pemberian akses direktori dan file terkait dengan program yang dapat
dieksekusi. Kode program yang dapat dieksekusi merupakan salah satu
komponen penting dari hampir semua Website komersial.
3. Kerentanan Jaringan Privat
Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke
berbagai komputer melalui suatu LAN, akan timbul suatu risiko. Hacker dapat
menyerang satu komputer melalui satu komputer yang lain. Jika pengguna
 komputer memiliki akses ke komputer yang menjadi host Web server, maka
hacker pertama kali akan masuk ke dalam komputer pengguna. Kemudian,
hacker akan menggunakan hak akses pengguna yang asli untuk melakukan invasi
ke dalam komputer host Web server.
Masalah ini menjadi sangat sulit karena secara virtual hampir mustahil bagi
seorang administrator server untuk memastikan bahwa tingkat keamanan semua
mesin pengguna sudah cukup memadai.
4. Kerentanan Berbagai Program Server
Secara umum, hampir semua program server memiliki kemampuan built in untuk
memberi hak akses kepada pengguna-pengguna di lokasi yang berbeda.
Kemampuan ini membuat program server menjadi sesuatu yang sangat
berbahaya karena banyak program server didasarkan pada model keamanan yang
sangat lemah. Oleh karena itu, seorang administrator seharusnya tidak
sembarangan memilih program server; ia harus memilih program server yang
benar-benar dibutuhkan.
5. Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang
penting. Perangkat lunak keamanan yang terbaik di dunia tidak akan banyak
membantu jika administrator sistem tidak menegakkan kebijakan keamanan.
Lebih jauh, semua kesalahan dan perkecualian harus di-log ke dalam file yang
aman. Log tersebut harus dimonitor secara konstan.
Terakhir, mengenai firewall. Firewall biasanya digunakan untuk membatasi
akses masuk ke suatu jaringan komputer. Akses masuk dapat dibatasi dengan
cara hanya alamat IP tertentu yang diizinkan untuk masuk ke dalam jaringan,
akses dibatasi hanya untuk server tertentu, dan menahan permintaan untuk
masuk berdasarkan isi dalam suatu permintaan. Firewall juga dapat digunakan
untuk menahan atau membatasi akses ke luar oleh program tertentu atau server
tertentu.

5.4 PENGELOLAAN RISIKO BENCANA

Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi bisnisnya
sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem
komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup
signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk
memastikan kontinuitas operasi bisnis jika tejadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.
Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi
banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan
besar, khususnya perusahaan yang tidak memiliki perencanaan pemulihan dari bencana
yang mungkin terjadi.
5.4.1 Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam 30%
Tindakan kejahatan yang terencana 45%
Kesalahan manusia 25%
Implementasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana
dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik. Banyak bencana
yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan
perencanaan keamanan yang baik. Risiko bencana alam harus menjadi pertimbangan
membangun lokasi gedung.
5.4.2 Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di
dalam perusahaan. Ideainya, rencana pemulihan mesti mendapatkan persetujuan dari
dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum.
Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal
tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan
disetujui oleh kedua pihak tersebut. Secara keseluruhan, pendekatan siklus hidup harus
digunakan untuk mendesain, mengimplementasikan, mengoperasikan, dan
mengevaluasi rencana yang dibuat. Hasil estimasi menyatakan bahwa biaya awal yang
diperlukan guna mengimplementasikan perencanaan pemulihan dari bencana berkisar
antara 2% sampai 10% dari total anggaran sistem informasi. Desain perencanaan
mencakup tiga komponen utama yaitu:
1. Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting
ini mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan
pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya manusia.
 2. Daftar Prioritas Pemulihan dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan
sekalipun perusahaan memiliki perencanaan yang baik, Oleh karena itu, harus dibuat
prioritasterkait dengan kebutuhan Perusahaan yang paling penting. Daftar prioritas
mengindikasikan aktivitas dan jasa yang memang genting yang perlu segera
dibangun kembali dalam hitungan menit atau hitungan jam setelah terjadinya suatu
bencana. Di sisi lain, perencanaan bisa saja mengindikasikan aktivitas dan jasa lain
yang dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu
bencana.
3. Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting.
Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa
sehingga, pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang
harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa
lama hal-hal tersebut harus dilakukan.
Pusat Respons Darurat. Pada saat bencana teljadi, semua wewenang pengolahan data
dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur
operasi darurat.
Prosedur Eskalasi. Prosedur eskalasi menyatakan kondisi seperti apa yang
mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus
mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya bencana.
Mentukan Pemrosesan Komputer Alternatif. Bagian terpenting dari rencana
pemulihan dari bencana adalah menentukan spesifikasi lokasi cadangan yang akan
digunakan jika lokasi komputasi primer rusak atau tidak dapat berfungsi. Ada tiga
macam lokasi cadangan: cold site, hot site, dan flying-start site. Cold site merupakan
alternatif lokasi komputasi yang memiliki instalasi kabel computer, tetapi tidak
dilengkapi dengan peralatan komputasi. Hot site merupakan lokasi alternatif yang
dilengkapi dengan instalasi kabel dan peralatan komputasi. Flying-start site merupakan
alternatif yang dilengkapi dengan instalasi kabel, peralatan, dan juga data backup dan
perangkat lunak yang up-to-date.
Selain ketiga alternatif pembangunan lokasi cadangan tersebut, perusahaan masih
memilki alternatif yang lain. Alternatif tersebut adalah membangun kontrak dengan biro
jasa komputasi dengan pemasok jasa penanganan bencana yang komersial, dan dengan
perusahaan rekanan yang lain, yang kemungkinan berada dalam industri yang sama.
 Biro jasa mengkhususkan diri untuk menyediakan jasa pengolahan data bagi
perusahaan yang memilih untuk tidak memproses sendiri data yang mereka miliki.
Dalam beberapa kasus, membangun perencanaan kontingensi yang didasarkan pada
kontrak kerja sama dengan biro jasa dapat menjadi satu hal yang sangat berguna. Pilihan
ini dapat menjadi satu pilihan yang realistis bagi perusahaan kecil dengan kebutuhan
pemrosesan data yang sederhana.

DAFTAR PUSTAKA

Bodnar, George H., dan William S. Hopwood. 2006. Sistem Informasi Akuntansi, Edisi 9.
Diterjemahkan oleh: Saputra, Julianto Agung, dan Lilis Setiawati. Yogyakarta: Andi