Kode MK:
W552100003
SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
Security Concept
Abstrak Sub-CPMK
Fakultas Ekonomi dan Bisnis Magister Akuntansi 04 Dr Yudhi Herliansyah, SE, Ak, Msi, CA, CPA
1. PENDAHULUAN
Kegagalan layanan
Pakar keamanan siber memperingatkan bahwa memerangi meningkatnya jumlah Denial- of-
Service (DoS) ancaman perlu menjadi prioritas utama. Ancaman DoS datang dalam beberapa
“rasa”, tergantung pada targetnya. Tiga bentuk yang paling menonjol adalah:
1. Distributed Denial-of-Service (DDoS)—menghancurkan jaringan atau situs web dengan
membombardirnya dengan lalu lintas (yaitu, permintaan layanan) dan secara efektif
menolak layanan kepada semua orang yang menggunakannya secara sah dan
membiarkannya rentan terhadap ancaman lain.
2. Penolakan Layanan Telepon (TDoS)— membanjiri jaringan dengan panggilan telepon dan
mempertahankan panggilan dalam jangka waktu lama untuk menguasai agen atau sirkuit
dan mencegah penelepon yang sah seperti pelanggan, mitra, dan pemasok dari
menggunakan sumber daya jaringan.
3. Penolakan Layanan Permanen (PDoS)—sepenuhnya mencegah sistem atau perangkat
target bekerja. Jenis serangan ini unik. Alih-alih mengumpulkan data atau menyediakan
beberapa fungsi jahat yang sedang berlangsung, tujuannya adalah untuk sepenuhnya
mencegah perangkat targetnya berfungsi. Kerusakan yang disebabkan oleh PDoS
seringkali sangat luas sehingga perangkat keras harus diinstal ulang atau dipulihkan. PDoS
juga dikenal sebagai "phlashing."
Contoh "mengerikan" dari kekacauan yang dapat disebabkan oleh PDoS ditunjukkan ketika
serangan PDoS membuat sistem manajemen gedung offline di blok apartemen tempat tinggal di
Finlandia. Koneksi Internet sistem diblokir menyebabkan sistem berulang kali mencoba
menyambung kembali dengan me-reboot sendiri. Selama waktu henti ini, sistem tidak dapat
memasok panas pada saat suhu di bawah titik beku! Untungnya, perusahaan energi dapat
menemukan akomodasi alternatif bagi penduduk sampai sistem dihidupkan kembali.
Ancaman dari karyawan, disebut sebagai ancaman internal, adalah tantangan utama yang
sebagian besar disebabkan oleh banyak cara karyawan dapat melakukan aktivitas jahat. Orang
dalam mungkin dapat melewati langkah-langkah keamanan fisik (misalnya, pintu terkunci) dan
keamanan teknis (misalnya, kata sandi) yang telah diterapkan oleh organisasi untuk mencegah
akses yang tidak sah. Mengapa? Karena
Ancaman hilangnya aset informasi, baik karena kelalaian atau kedengkian dapat membuat
perusahaan panik. "Miniaturisasi" komputasi telah menyebabkan peningkatan pencurian atau
kehilangan fisik. Laptop, tablet, modem, router, dan USB jauh lebih mudah diangkut daripada
mainframe atau server! Ketika laptop atau tablet dengan dokumen sensitif yang tidak terenkripsi
hilang, sulit untuk menentukan apakah pelanggaran data benar-benar terjadi, tetapi tindakan
pencegahan harus selalu dilakukan. Pencurian laptop terjadi terutama di area kerja korban sendiri
atau dari kendaraan mereka. Sisi positifnya, barang yang hilang jauh lebih umum daripada
pencurian. Pencurian lebih mungkin terkait dengan pengadaan drive USB dan kertas printer.
Kesalahan Lain-Lain
Kekhawatiran utama terkait dengan sumber ancaman siber ini adalah kekurangan kapasitas,
sehingga mencegah informasi tersedia saat dibutuhkan. Tindakan ancaman lain yang termasuk
dalam kategori kesalahan lain-lain ini ditunjukkan dalamTabel 5.4
Setiap perusahaan memiliki data yang diinginkan oleh penjahat yang bermotivasi keuntungan. Data
pelanggan, jaringan, situs web, sistem informasi kepemilikan, dan paten adalah contoh dariaktiva
—hal- hal yang berharga yang perlu dilindungi. Namun, tampaknya manajemen mungkin tidak
berbuat cukup untuk bertahan dari serangan siber. Bahkan perusahaan teknologi tinggi dan
pemimpin pasar tampaknya terlepas dari nilai data rahasia yang mereka simpan dan cara peretas
yang bermotivasi tinggi akan mencoba mencurinya.
Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan
ancaman TI. Misalnya, pekerja menggunakan laptop dan ponsel mereka untuk bekerja dan
bersantai, dan di era multitasking, mereka sering melakukan keduanya secara bersamaan. Namun
penggunaan perangkat di luar waktu atau di luar lokasi tetap berisiko karena, terlepas dari
kebijakan, karyawan terus terlibat dalam kebiasaan online dan komunikasi yang berbahaya.
Kebiasaan-kebiasaan itu membuat tautan lemah dalam upaya keamanan organisasi yang
sebenarnya solid.
Beberapa target paling umum dan mematikan yang akan diserang oleh penjahat dunia maya
di perusahaan dan lembaga pemerintah meliputi: infrastruktur penting; pencurian IP; pencurian
identitas; bawa perangkat Anda sendiri (BYOD); dan media sosial. Beberapa dari serangan ini
akan dilakukan sebagai serangan profil tinggi sementara yang lain akan termasuk dalam kategori
serangan "di bawah radar". Sebelum membahas target serangan siber yang berbeda, mari kita lihat
perbedaan antara kedua pendekatan ini.
Serangan “Profil Tinggi (High Profile)” dan “Di Bawah Radar (Under the radar)”
Ancaman persisten tingkat lanjut (APT=Advanced Persistent Threat) penyerang beroperasi "di
bawah radar" sehingga mereka dapat terus mencuri data, dan mengambil untung darinya.
Penyerang APT ini adalah penjahat dunia maya yang bermotivasi keuntungan yang sering
beroperasi dalam mode siluman. Sebaliknya, peretas dan peretas dengan agenda pribadi
melakukan serangan profil tinggi untuk mendapatkan pengakuan dan ketenaran.
Kelompok peretas, seperti Anonim, jaringan internasional yang terkait secara longgar entitas
aktivis dan hacktivist dan kelompok peretas spin-off, LulzSec, telah melakukan pelanggaran data
yang berani, kompromi data, kebocoran data, pencurian, ancaman, dan pelanggaran privasi.
Perhatikan tiga contoh berikut:
CIA Dua kali dalam satu tahun, Anonymous meluncurkan serangan DoS yang memaksa situs web
CIA offline. Penghapusan CIA mengikuti minggu yang sibuk bagi para peretas. Dalam 10 hari,
kelompok itu juga mengejar produsen elektronik China Foxconn, kelompok Nazi Amerika,
perusahaan AV Symantec, dan kantor presiden Suriah.
Ingatlah bahwa keamanan adalah proses yang berkelanjutan dan tanpa akhir— sesuatu yang
mirip dengan mengecat Jembatan Golden Gate di San Francisco—dan bukan masalah yang dapat
diselesaikan hanya dengan perangkat keras atau perangkat lunak. Pertahanan keamanan perangkat
keras dan perangkat lunak tidak dapat melindungi dari praktik bisnis yang tidak bertanggung
jawab. Ini adalah masalah organisasi dan orang.
Karena malware dan botnet menggunakan banyak metode dan strategi serangan, diperlukan banyak
alat untuk mendeteksinya dan/atau menetralisir efeknya. Tiga pertahanan penting adalah sebagai
berikut:
1. Perangkat Lunak Antivirus Alat antimalware dirancang untuk mendeteksi kode berbahaya dan
mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan
worm, trojan, dan jenis ancaman lainnya. Teknologi ini tidak memberikan perlindungan lengkap
karena tidak dapat bertahan melawan eksploitasi zero- day. Antimalware mungkin tidak dapat
mendeteksi eksploitasi yang sebelumnya tidak diketahui.
2. Sistem Deteksi Intrusi (IDS) Sesuai namanya, IDS memindai lalu lintas yang tidak biasa atau
mencurigakan. IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu lintas,
memperingatkan administrator jaringan untuk mengambil tindakan defensif, seperti beralih ke
alamat IP lain dan mengalihkan server penting dari jalur serangan.
3. Sistem Pencegahan Intrusi (IPS) IPS dirancang untuk mengambil tindakan segera seperti
memblokir alamat IP tertentu—setiap kali anomali arus lalu lintas terdeteksi. IPS berbasis aplikasi-
spesifik sirkuit terintegrasi (ASIC) memiliki kekuatan dan kemampuan analisis untuk mendeteksi
dan memblokir serangan DDoS, berfungsi seperti pemutus sirkuit otomatis.
Kebijakan bisnis, prosedur, pelatihan, dan rencana pemulihan bencana serta perangkat keras
dan perangkat lunak sangat penting untuk keamanan siber. Tabel 5.6 daftar karakteristik program
keamanan siber yang efektif. Untuk membantu para manajer tetap mendapatkan informasi terbaru
tentang ancaman siber terbaru dan memprioritaskan pertahanan, KPMG menerbitkan Barometer
Kehilangan Data. Laporan tahunan menjelaskan tren dan statistik terbaru untuk kehilangan data di
seluruh dunia. Temuan dan prediksi utama tercantum diTabel 5.7.
Semakin tinggi nilai aset bagi perusahaan dan penjahat dunia maya, semakin besar risikonya
bagi perusahaan dan semakin tinggi tingkat keamanan yang dibutuhkan. Strategi cerdasnya adalah
untuk berinvestasi lebih banyak untuk melindungi aset perusahaan yang paling berharga daripada
mencoba melindungi semua aset secara setara, seperti yang dibahas dalam IT at Work 5.2. Bidang
keamanan TI—seperti olahraga dan hukum memiliki terminologinya sendiri
Seperti dalam sistem pengendalian internal mana pun, entitas menghadapi risiko yang mengancam
kemampuannya untuk mencapai tujuannya berdasarkan kriteria layanan ke- percayaan. Risiko
tersebut muncul karena faktor-faktor seperti berikut ini:
• Sifat operasi entitas
• Lingkungan tempatnya beroperasi
• Jenis informasi yang dihasilkan, digunakan, atau disimpan oleh entitas
• Jenis komitmen yang dibuat untuk pelanggan dan pihak ketiga lainnya
• Tanggung jawab yang timbul dalam mengoperasikan dan memelihara sistem dan proses entitas
• Teknologi, jenis koneksi, dan saluran pengiriman yang digunakan oleh entitas
• Penggunaan pihak ketiga (seperti penyedia layanan dan pemasok), yang memiliki akses ke entitas
sistem, untuk menyediakan entitas dengan bahan mentah atau komponen penting atau
mengoperasikan pengendalian itu diperlukan, dalam kombinasi dengan pengendalian entitas, untuk
mencapai tujuan sistem
• Perubahan berikut ini:
- Operasi sistem dan kontrol terkait
- Volume pemrosesan
- Personel manajemen kunci dari unit bisnis, TI pendukung, atau personel terkait
- Persyaratan hukum dan peraturan yang harus dipatuhi oleh entitas
• Pengenalan layanan, produk, atau teknologi baru
Entitas menangani risiko ini melalui penerapan pengendalian yang dirancang sesuai yang, jika
beroperasi secara efektif, memberikan jaminan yang wajar untuk mencapai tujuan entitas
Menerapkan kriteria layanan kepercayaan dalam situasi aktual membutuhkan penilaian. Karena itu,
selain amanah kriteria layanan, juga menyajikan poin fokus untuk se-tiap kriteria. Komite Sponsor
Organisasi Komisi Treadway (COSO), dalam Pengendalian Intern - Kerangka Terintegrasi
(kerangka COSO), menyatakan bahwa titik fokus mewakili karakteristik penting dari kriteria
tersebut.
Konsisten dengan kerangka COSO, fokus membantu manajemen saat merancang, menerapkan, dan
mengoperasikan kontrol atas keamanan, ketersediaan, integritas pem- rosesan, kerahasiaan, dan
privasi. Selain itu, titik fokus dapat membantu manajemen dan praktisi ketika mereka mengevaluasi
apakah kontrol dirancang dan dioperasikan secara efektif mencapai tujuan entitas berdasarkan
kriteria layanan kepercayaan
Praktisi dapat melaporkan salah satu the trust services categories security, availability, inte-grasi
pemrosesan, kerahasiaan, atau privasi, baik secara individu atau dalam kombinasi dengan satu atau
lebih kepercayaan lainnya
Untuk setiap kategori yang ditangani oleh keterlibatan, semua kriteria untuk kategori itu adalah
biasanya ditujukan. Namun, dalam keadaan terbatas, seperti ketika ruang lingkup perikatan adalah
untuk melaporkan sistem dan kriteria tertentu tidak relevan dengan layanan yang disediakan oleh
organisasi layanan, satu atau lebih kriteria mungkin tidak berlaku un-tuk perikatan. Misalnya, saat
melaporkan privasi untuk sistem organisasi layanan, kriteria P3.1, Informasi pribadi dikumpulkan
secara konsisten dengan tujuan entitas yang terkait dengan privasi , tidak berlaku untuk organisasi
layanan yang tidak mengumpulkan informasi pribadi secara langsung dari subjek data.
a. Security. Informasi dan sistem dilindungi dari akses yang tidak sah, pengungkapan informasi
yang tidak sah, dan kerusakan pada sistem yang dapat membahayakan ketersediaan, integritas,
kerahasiaan, dan privasi informasi atau sistem dan memengaruhi kemampuan entitas untuk
mencapai tujuannya.
Keamanan mengacu pada perlindungan
i. informasi selama pengumpulan atau pembuatannya, penggunaan, pemrosesan, transmisi,
dan penyimpanan dan.
Meskipun kerahasiaan berlaku untuk berbagai jenis informasi sensitif, privasi hanya berlaku
untuk informasi pribadi.
ii. Pilihan dan persetujuan (Choice and consent).. Entitas mengomunikasikan pilihan yang
tersedia terkait pengumpulan, penggunaan, penyimpanan, pengungkapan, dan pembuangan
informasi pribadi kepada subjek data.
iv. Gunakan, retensi, dan pembuangan (Use, retention, and disposal). Entitas
membatasi penggunaan, penyimpanan, dan pembuangan informasi pribadi untuk
memenuhi tujuannya terkait privasi
v. Mengakses (Access). Entitas memberi subjek data akses ke informasi pribadi mereka
untuk ditinjau dan diperbaiki (termasuk pembaruan) untuk memenuhi tujuannya terkait privasi
vii. Kualitas (Quality). Entitas mengumpulkan dan memelihara informasi pribadi yang
akurat, terkini, lengkap, dan relevan untuk memenuhi tujuannya terkait privasi.
viii. Pemantauan dan penegakan hukum (Monitoring and enforcement). Entitas memantau
kepatuhan untuk memenuhi tujuannya terkait privasi, termasuk prosedur untuk menangani
pertanyaan, keluhan, dan sengketa terkait privasi.
Saat ini Internet adalah jaringan di seluruh dunia dengan lebih dari 2 miliar pengguna. Ini
mencakup hampir setiap pemerintah, bisnis, dan organisasi di Bumi. Namun, memiliki
banyak pengguna di jaringan yang sama tidak akan cukup untuk membuat Internet menjadi
inovasi yang mengubah permainan. Pengguna ini membutuhkan beberapa jenis mekanisme
untuk menghubungkan dokumen dan sumber daya di seluruh komputer. Dengan kata lain,
pengguna di komputer A membutuhkan cara mudah untuk membuka dokumen di
komputer B. Kebutuhan ini memunculkan sistem yang mendefinisikan bagaimana
dokumen dan sumber daya terkait di seluruh mesin jaringan. Nama sistem ini adalah
World Wide Web (WWW). Anda mungkin mengenalnya sebagai dunia maya atau hanya
sebagai Web. Pikirkan seperti ini: Internet menghubungkan jaringan komunikasi satu sama
lain. Web adalah koneksi situs web, halaman web, dan konten digital di komputer jaringan
tersebut. Cyberspace adalah semua pengguna, jaringan, halaman web, dan aplikasi yang
dapat diakses yang bekerja di ranah elektronik di seluruh dunia ini.
Pencurian data di USA
Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan
akses ke komputer dimana informasi tersebut disimpan.
Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang
dikirim dan diubah sesuai keinginan orang tersebut.
Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga
orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang
yang dikehendaki oleh si penerima informasi tersebut.
Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari komputer
security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware
komputer sendiri tidak dapat diamankan.
Keamanan level 1 : terdiri dari database, data security, keamanan dari PC itu sendiri,
device, dan application. Contohnya : jika kita ingin database aman, maka kita harus
memperhatikan dahulu apakah application yang dipakai untuk membuat desain database
tersebut merupakan application yang sudah diakui keamanannya seperti oracle. Selain itu
kita harus memperhatikan sisi lain yaitu data security. Data security adalah cara mendesain
database tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan dari
komputer terjaga. Computer security adalah keamanan fisik dari orang-orang yang tidak
berhak mengakses komputer tempat datadase tersebut disimpan.
Keamanan level 3 : adalah information security. Keamanan informasi yang kadang kala
tidak begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau
menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut
diketahui oleh orang yang tidak bertanggung jawab.
Keamanan level 4 : merupakan keamanan secara keseluruhan dari komputer. Jika level
1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4