MODUL PERKULIAHAN

Kode MK:
W552100003
SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL

Security Concept

Abstrak Sub-CPMK

Modul ini membahas Sub-CPMK 2

konsep dasar Mampu memahami dan
keandalan Sistem menganalisis konsep keamanan syber dan
Informasi dan the five trust bagaimana the five trust service
service

Fakultas Program Studi Tatap Muka Disusun Oleh

Fakultas Ekonomi dan Bisnis Magister Akuntansi 04 Dr Yudhi Herliansyah, SE, Ak, Msi, CA, CPA
1. PENDAHULUAN

Kegagalan layanan

Pakar keamanan siber memperingatkan bahwa memerangi meningkatnya jumlah Denial- of-
Service (DoS) ancaman perlu menjadi prioritas utama. Ancaman DoS datang dalam beberapa
“rasa”, tergantung pada targetnya. Tiga bentuk yang paling menonjol adalah:
1. Distributed Denial-of-Service (DDoS)—menghancurkan jaringan atau situs web dengan
membombardirnya dengan lalu lintas (yaitu, permintaan layanan) dan secara efektif
menolak layanan kepada semua orang yang menggunakannya secara sah dan
membiarkannya rentan terhadap ancaman lain.
2. Penolakan Layanan Telepon (TDoS)— membanjiri jaringan dengan panggilan telepon dan
mempertahankan panggilan dalam jangka waktu lama untuk menguasai agen atau sirkuit
dan mencegah penelepon yang sah seperti pelanggan, mitra, dan pemasok dari
menggunakan sumber daya jaringan.
3. Penolakan Layanan Permanen (PDoS)—sepenuhnya mencegah sistem atau perangkat
target bekerja. Jenis serangan ini unik. Alih-alih mengumpulkan data atau menyediakan
beberapa fungsi jahat yang sedang berlangsung, tujuannya adalah untuk sepenuhnya
mencegah perangkat targetnya berfungsi. Kerusakan yang disebabkan oleh PDoS
seringkali sangat luas sehingga perangkat keras harus diinstal ulang atau dipulihkan. PDoS
juga dikenal sebagai "phlashing."

Contoh "mengerikan" dari kekacauan yang dapat disebabkan oleh PDoS ditunjukkan ketika
serangan PDoS membuat sistem manajemen gedung offline di blok apartemen tempat tinggal di
Finlandia. Koneksi Internet sistem diblokir menyebabkan sistem berulang kali mencoba
menyambung kembali dengan me-reboot sendiri. Selama waktu henti ini, sistem tidak dapat
memasok panas pada saat suhu di bawah titik beku! Untungnya, perusahaan energi dapat
menemukan akomodasi alternatif bagi penduduk sampai sistem dihidupkan kembali.

Penyalahgunaan Orang Dalam dan Hak Istimewa

Ancaman dari karyawan, disebut sebagai ancaman internal, adalah tantangan utama yang
sebagian besar disebabkan oleh banyak cara karyawan dapat melakukan aktivitas jahat. Orang
dalam mungkin dapat melewati langkah-langkah keamanan fisik (misalnya, pintu terkunci) dan
keamanan teknis (misalnya, kata sandi) yang telah diterapkan oleh organisasi untuk mencegah
akses yang tidak sah. Mengapa? Karena

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
pertahanan seperti firewall,sistem deteksi intrusi (IDS), dan pintu yang terkunci sebagian besar
melindungi dari ancaman eksternal. Terlepas dari tantangannya, insiden orang dalam dapat
diminimalkan dengan strategi pertahanan
mendalam berlapis yang terdiri dari prosedur keamanan, kebijakan penggunaan yang dapat
diterima (AUP), dan kontrol teknologi.
Gangguan data adalah cara umum serangan yang dibayangi oleh jenis serangan lainnya. Ini
mengacu pada serangan di mana seseorang memasukkan data palsu atau penipuan ke dalam
komputer, atau mengubah atau menghapus data yang ada. Pengrusakan data sangat serius karena
mungkin tidak terdeteksi. Ini adalah metode yang sering digunakan oleh orang dalam.

Pencurian atau Kehilangan Fisik

Ancaman hilangnya aset informasi, baik karena kelalaian atau kedengkian dapat membuat
perusahaan panik. "Miniaturisasi" komputasi telah menyebabkan peningkatan pencurian atau
kehilangan fisik. Laptop, tablet, modem, router, dan USB jauh lebih mudah diangkut daripada
mainframe atau server! Ketika laptop atau tablet dengan dokumen sensitif yang tidak terenkripsi
hilang, sulit untuk menentukan apakah pelanggaran data benar-benar terjadi, tetapi tindakan
pencegahan harus selalu dilakukan. Pencurian laptop terjadi terutama di area kerja korban sendiri
atau dari kendaraan mereka. Sisi positifnya, barang yang hilang jauh lebih umum daripada
pencurian. Pencurian lebih mungkin terkait dengan pengadaan drive USB dan kertas printer.

Kesalahan Lain-Lain

Kekhawatiran utama terkait dengan sumber ancaman siber ini adalah kekurangan kapasitas,
sehingga mencegah informasi tersedia saat dibutuhkan. Tindakan ancaman lain yang termasuk
dalam kategori kesalahan lain-lain ini ditunjukkan dalamTabel 5.4

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Aplikasi Seluler Berbahaya (Rogue)
Jumlah aplikasi Android berbahaya tumbuh pada tingkat yang mengkhawatirkan. Menurut
sebuah laporan oleh penyedia AV dan grup analisis perangkat lunak Trend Micro, lebih dari
850.000 ponsel Android di seluruh dunia telah terinfeksi oleh malware “Godless” yang baru, per
Juni 2016 (Goodin, 2016). Malware tersebut ditransfer ke ponsel pengguna melalui aplikasi jahat
di Google Play store. Menurut penyedia layanan cloud keamanan seluler Marble Security dan
TrendMicro, lebih dari 42% dari lebih dari 300 aplikasi seluler nakal yang ditemukan di Google
Play store diterbitkan di Amerika Serikat (RT.com, 2015; Duan, 2016). Hampir semua aplikasi ini
ditemukan di toko pihak ketiga yang tidak dapat diandalkan. Aplikasi seluler jahat dapat
menyajikan serangan trojan, malware lain, atau serangan phishing.
Perusahaan yang menawarkan aplikasi sah untuk perbankan online, belanja ritel, game, dan
fungsi lainnya mungkin tidak menyadari ancaman yang mengintai di toko aplikasi mereka. Dan
terlepas dari upaya terbaik mereka, operator toko aplikasi yang sah tidak dapat dengan andal
mengawasi katalog mereka sendiri untuk aplikasi jahat.
Dengan satu klik pada tautan berbahaya, pengguna dapat meluncurkan serangan yang ditargetkan
terhadap organisasi mereka.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Target dan Konsekuensi Serangan Siber

Setiap perusahaan memiliki data yang diinginkan oleh penjahat yang bermotivasi keuntungan. Data
pelanggan, jaringan, situs web, sistem informasi kepemilikan, dan paten adalah contoh dariaktiva
—hal- hal yang berharga yang perlu dilindungi. Namun, tampaknya manajemen mungkin tidak
berbuat cukup untuk bertahan dari serangan siber. Bahkan perusahaan teknologi tinggi dan
pemimpin pasar tampaknya terlepas dari nilai data rahasia yang mereka simpan dan cara peretas
yang bermotivasi tinggi akan mencoba mencurinya.
Salah satu kesalahan terbesar yang dilakukan manajer adalah meremehkan kerentanan dan
ancaman TI. Misalnya, pekerja menggunakan laptop dan ponsel mereka untuk bekerja dan
bersantai, dan di era multitasking, mereka sering melakukan keduanya secara bersamaan. Namun
penggunaan perangkat di luar waktu atau di luar lokasi tetap berisiko karena, terlepas dari
kebijakan, karyawan terus terlibat dalam kebiasaan online dan komunikasi yang berbahaya.
Kebiasaan-kebiasaan itu membuat tautan lemah dalam upaya keamanan organisasi yang
sebenarnya solid.
Beberapa target paling umum dan mematikan yang akan diserang oleh penjahat dunia maya
di perusahaan dan lembaga pemerintah meliputi: infrastruktur penting; pencurian IP; pencurian
identitas; bawa perangkat Anda sendiri (BYOD); dan media sosial. Beberapa dari serangan ini
akan dilakukan sebagai serangan profil tinggi sementara yang lain akan termasuk dalam kategori
serangan "di bawah radar". Sebelum membahas target serangan siber yang berbeda, mari kita lihat
perbedaan antara kedua pendekatan ini.

Serangan “Profil Tinggi (High Profile)” dan “Di Bawah Radar (Under the radar)”

Ancaman persisten tingkat lanjut (APT=Advanced Persistent Threat) penyerang beroperasi "di
bawah radar" sehingga mereka dapat terus mencuri data, dan mengambil untung darinya.
Penyerang APT ini adalah penjahat dunia maya yang bermotivasi keuntungan yang sering
beroperasi dalam mode siluman. Sebaliknya, peretas dan peretas dengan agenda pribadi
melakukan serangan profil tinggi untuk mendapatkan pengakuan dan ketenaran.
Kelompok peretas, seperti Anonim, jaringan internasional yang terkait secara longgar entitas
aktivis dan hacktivist dan kelompok peretas spin-off, LulzSec, telah melakukan pelanggaran data
yang berani, kompromi data, kebocoran data, pencurian, ancaman, dan pelanggaran privasi.
Perhatikan tiga contoh berikut:

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Komisi Pemilihan Filipina. Beberapa bulan sebelum pemilu Filipina, kelompok peretas
Anonymous menyadap situs komisi dan merilis informasi pribadi tentang 55 juta pemilih terdaftar.
Demonstrasi itu sebagai tanggapan atas langkah-langkah keamanan Filipina yang lemah di sekitar
mesin pemungutan suara; 1.3 juta informasi pemilih di luar negeri, termasuk nomor paspor,
termasuk dalam pelanggaran.

Sistem Gabungan, Inc. Dengan bangga menampilkan bendera hacktivist-nya, Anonymous

mendapat pujian karena membuat Gabungan Sistem, Inc. offline dan mencuri data pribadi dari
kliennya. Anonymous mengejar Sistem Gabungan, yang menjual gas air mata dan perangkat
pengendalian massa kepada penegak hukum dan organisasi militer, untuk memprotes pencatut
perang.

CIA Dua kali dalam satu tahun, Anonymous meluncurkan serangan DoS yang memaksa situs web
CIA offline. Penghapusan CIA mengikuti minggu yang sibuk bagi para peretas. Dalam 10 hari,
kelompok itu juga mengejar produsen elektronik China Foxconn, kelompok Nazi Amerika,
perusahaan AV Symantec, dan kantor presiden Suriah.

Serangan Infrastruktur Kritis

Peretas (Hackers), aktivisperetas (Hacktivist), sindikat kejahatan, kelompok militan, mata- mata
industri, penipu, dan pemerintah yang bermusuhan terus menyerang jaringan demi keuntungan,
ketenaran, balas dendam, atau ideologi; untuk mengobarkan perang dan terorisme, melawan
kampanye teroris, atau melumpuhkan target mereka. Misalnya, Departemen Keamanan Dalam
Negeri (DHS) Sistem Kontrol Industri Tim Tanggap Darurat Siber (ICS-CERT) memperingatkan
bahwa serangan terhadap infrastruktur kritis sedang bertumbuh. Pada 2015, lebih dari 427 insiden
kerentanan dilaporkan, jauh melampaui 245 total serangan yang dilaporkan pada tahun 2014.
Industri yang paling terpengaruh adalah sektor energi.
Gambar 5.3 menunjukkan 16 sektor infrastruktur penting yang aset, sistem, dan jaringannya, baik
fisik maupun virtual, dianggap sangat vital bagi Amerika Serikat sehingga ketidakmampuan atau
kehancurannya akan berdampak melemahkan keamanan, keamanan ekonomi nasional, kesehatan
atau keselamatan publik nasional, atau kombinasinya.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
 Serangan pada sektor infrastruktur kritis dapat secara signifikan mengganggu fungsi
pemerintah dan bisnis—dan memicu efek berjenjang jauh melampaui sektor yang ditargetkan dan
lokasi fisik insiden tersebut. Serangan siber ini dapat membahayakan infrastruktur penting suatu
negara dan kemampuannya untuk menyediakan layanan penting bagi warganya.
Misalnya, serangan siber pertama terhadap jaringan listrik suatu negara terjadi pada bulan
Desember, 2015, ketika seorang penyerang siber berhasil menguasai Pusat Kontrol
Prykarpattyaoblenergo (PCC= Prykarpattyaoblenergo Control Center) di Ukraina Barat
menyebabkan 230.000 warga tanpa listrik hingga enam jam. Para penyerang dengan hati-hati
merencanakan serangan mereka selama berbulan-bulan. Mereka mempelajari jaringan dan
menyedot kredensial operator dan akhirnya meluncurkan serangan tersinkronisasi yang
menghancurkan di tengah musim dingin. PCC mengoperasikan sistem kontrol pengawasan dan
akuisisi data (SCADA), yang merupakan bentuk umum dari sistem kontrol industri, yang
mendistribusikan listrik. Perangkat penting di 16 gardu induk menjadi tidak responsif terhadap
perintah jarak jauh apa pun oleh operatornya setelah penyerang menimpa firmwarenya. Jenis
sistem kontrol ini secara mengejutkan lebih aman daripada yang digunakan di Amerika Serikat
karena mereka memiliki firewall yang kuat yang memisahkan mereka dari jaringan bisnis pusat
kendali. Pemerintah di seluruh dunia memiliki rencana untuk menangani konsekuensi dari bencana
alam, namun tidak ada yang memiliki rencana bantuan bencana untuk jaringan listrik yang terputus.
Jelas, ini harus berubah. Pemerintah lokal dan negara bagian harus bekerja sama dengan mitra
nasional mereka untuk membuat dan dengan cepat mengimplementasikan rencana untuk mengatasi
serangan di masa depan.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
 Menanggapi meningkatnya jumlah serangan siber secara konsisten selama dekade terakhir,
Komite Inter-Amerika Melawan Terorisme (CICTE) mengeluarkan deklarasi formal untuk
melindungi infrastruktur penting dari ancaman yang muncul dan perintah eksekutif Presiden
ditandatangani pada Mei 2017 untuk memperkuat keamanan siber Jaringan federal dan
infrastruktur penting.

Manajemen Risiko Cyber

Manajemen puncak perlu mensponsori dan mempromosikan inisiatif keamanan dan mendanainya
sebagai prioritas utama. Seperti yang akan Anda baca di bagian ini, keamanan data yang kuat
bukan hanya tanggung jawab TI dan manajemen puncak, tetapi tugas berkelanjutan setiap orang
dalam suatu organisasi.
Menjadi lebih penting dari sebelumnya bahwa keamanan dipandang sebagai prioritas tinggi karena
pertumbuhan teknologi seluler dan IoT mengancam untuk memberikan peluang baru kepada
penyerang. Lima faktor utama yang berkontribusi terhadap meningkatnya jumlah pelanggaran data
yang harus ditangani di dunia mayamempertaruhkanprogram manajemen tercantum dalam Tabel
5.5.

Ingatlah bahwa keamanan adalah proses yang berkelanjutan dan tanpa akhir— sesuatu yang
mirip dengan mengecat Jembatan Golden Gate di San Francisco—dan bukan masalah yang dapat
diselesaikan hanya dengan perangkat keras atau perangkat lunak. Pertahanan keamanan perangkat
keras dan perangkat lunak tidak dapat melindungi dari praktik bisnis yang tidak bertanggung
jawab. Ini adalah masalah organisasi dan orang.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Pertahanan TI

Karena malware dan botnet menggunakan banyak metode dan strategi serangan, diperlukan banyak
alat untuk mendeteksinya dan/atau menetralisir efeknya. Tiga pertahanan penting adalah sebagai
berikut:

1. Perangkat Lunak Antivirus Alat antimalware dirancang untuk mendeteksi kode berbahaya dan
mencegah pengguna mengunduhnya. Mereka juga dapat memindai sistem untuk keberadaan
worm, trojan, dan jenis ancaman lainnya. Teknologi ini tidak memberikan perlindungan lengkap
karena tidak dapat bertahan melawan eksploitasi zero- day. Antimalware mungkin tidak dapat
mendeteksi eksploitasi yang sebelumnya tidak diketahui.
2. Sistem Deteksi Intrusi (IDS) Sesuai namanya, IDS memindai lalu lintas yang tidak biasa atau
mencurigakan. IDS dapat mengidentifikasi awal serangan DoS dengan pola lalu lintas,
memperingatkan administrator jaringan untuk mengambil tindakan defensif, seperti beralih ke
alamat IP lain dan mengalihkan server penting dari jalur serangan.
3. Sistem Pencegahan Intrusi (IPS) IPS dirancang untuk mengambil tindakan segera seperti
memblokir alamat IP tertentu—setiap kali anomali arus lalu lintas terdeteksi. IPS berbasis aplikasi-
spesifik sirkuit terintegrasi (ASIC) memiliki kekuatan dan kemampuan analisis untuk mendeteksi
dan memblokir serangan DDoS, berfungsi seperti pemutus sirkuit otomatis.

Kebijakan bisnis, prosedur, pelatihan, dan rencana pemulihan bencana serta perangkat keras
dan perangkat lunak sangat penting untuk keamanan siber. Tabel 5.6 daftar karakteristik program
keamanan siber yang efektif. Untuk membantu para manajer tetap mendapatkan informasi terbaru
tentang ancaman siber terbaru dan memprioritaskan pertahanan, KPMG menerbitkan Barometer
Kehilangan Data. Laporan tahunan menjelaskan tren dan statistik terbaru untuk kehilangan data di
seluruh dunia. Temuan dan prediksi utama tercantum diTabel 5.7.

Semakin tinggi nilai aset bagi perusahaan dan penjahat dunia maya, semakin besar risikonya
bagi perusahaan dan semakin tinggi tingkat keamanan yang dibutuhkan. Strategi cerdasnya adalah
untuk berinvestasi lebih banyak untuk melindungi aset perusahaan yang paling berharga daripada
mencoba melindungi semua aset secara setara, seperti yang dibahas dalam IT at Work 5.2. Bidang
keamanan TI—seperti olahraga dan hukum memiliki terminologinya sendiri

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
AICPA Assurance Services Executive Committee (ASEC) telah mengembangkan seperangkat
kriteria (trust services kriteria) yang akan digunakan saat mengevaluasi kes- esuaian desain dan
efektivitas operasi pengendalian relevan dengan keamanan, ketersediaan, atau integritas
pemrosesan informasi dan sistem, atau kerahasiaan hak milik atau privasi in-formasi yang diproses
oleh sistem di suatu entitas, divisi, atau unit operasi dari suatu entitas. Selain itu, kriteria layanan
kepercayaan (trust services criteria) dapat digunakan saat men-gevaluasi desain dan
pengoperasian efektivitas kontrol yang

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
relevan dengan keamanan, ketersediaan, integritas pemrosesan, kerahasiaan atau privacy dari jenis
informasi tertentu yang diproses oleh satu atau lebih sistem entitas atau satu atau lebih sistem yang
digunakan untuk mendukung fungsi tertentu dalam entitas.

Seperti dalam sistem pengendalian internal mana pun, entitas menghadapi risiko yang mengancam
kemampuannya untuk mencapai tujuannya berdasarkan kriteria layanan ke- percayaan. Risiko
tersebut muncul karena faktor-faktor seperti berikut ini:
• Sifat operasi entitas
• Lingkungan tempatnya beroperasi
• Jenis informasi yang dihasilkan, digunakan, atau disimpan oleh entitas
• Jenis komitmen yang dibuat untuk pelanggan dan pihak ketiga lainnya
• Tanggung jawab yang timbul dalam mengoperasikan dan memelihara sistem dan proses entitas
• Teknologi, jenis koneksi, dan saluran pengiriman yang digunakan oleh entitas
• Penggunaan pihak ketiga (seperti penyedia layanan dan pemasok), yang memiliki akses ke entitas
sistem, untuk menyediakan entitas dengan bahan mentah atau komponen penting atau
mengoperasikan pengendalian itu diperlukan, dalam kombinasi dengan pengendalian entitas, untuk
mencapai tujuan sistem
• Perubahan berikut ini:
- Operasi sistem dan kontrol terkait
- Volume pemrosesan
- Personel manajemen kunci dari unit bisnis, TI pendukung, atau personel terkait
- Persyaratan hukum dan peraturan yang harus dipatuhi oleh entitas
• Pengenalan layanan, produk, atau teknologi baru
Entitas menangani risiko ini melalui penerapan pengendalian yang dirancang sesuai yang, jika
beroperasi secara efektif, memberikan jaminan yang wajar untuk mencapai tujuan entitas
Menerapkan kriteria layanan kepercayaan dalam situasi aktual membutuhkan penilaian. Karena itu,
selain amanah kriteria layanan, juga menyajikan poin fokus untuk se-tiap kriteria. Komite Sponsor
Organisasi Komisi Treadway (COSO), dalam Pengendalian Intern - Kerangka Terintegrasi
(kerangka COSO), menyatakan bahwa titik fokus mewakili karakteristik penting dari kriteria
tersebut.
Konsisten dengan kerangka COSO, fokus membantu manajemen saat merancang, menerapkan, dan
mengoperasikan kontrol atas keamanan, ketersediaan, integritas pem- rosesan, kerahasiaan, dan
privasi. Selain itu, titik fokus dapat membantu manajemen dan praktisi ketika mereka mengevaluasi
apakah kontrol dirancang dan dioperasikan secara efektif mencapai tujuan entitas berdasarkan
kriteria layanan kepercayaan

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Beberapa titik fokus mungkin tidak sesuai atau relevan dengan entitas atau dengan perikatan yang
akan dilaksanakan. Di situasi seperti itu, manajemen dapat menyesuaikan titik fokus tertentu atau
mengidentifikasi dan mempertimbangkan yang lain karakteristik berdasarkan keadaan spesifik
entitas. Penggunaan kriteria layanan kepercayaan tidak memerlukan penilaian apakah setiap titik
fokus ditangani. Pengguna disarankan untuk mempertim-bangkan
fakta dan keadaan entitas dan lingkungannya dalam situasi aktual ketika menerapkan ke- percayaan
kriteria layanan.

Organisasi Kriteria Layanan Kepercayaan (trust services criteria)

Kriteria layanan kepercayaan yang disajikan telah disesuaikan dengan 17 kriteria (dikenal sebagai
prinsiples ) disajikan dalam kerangka COSO, yang direvisi pada tahun 2013. Selain 17 prinsip, file
kriteria layanan kepercayaan mencakup kriteria tambahan yang melengkapi prinsip COSO: Entitas
menerapkan mengendalikan aktivitas melalui kebijakan yang menetapkan apa yang diharapkan dan
prosedur yang memasukkan kebijakan tindakan (kriteria tambahan). Kriteria tambahan, yang
berlaku untuk pencapaian entitas tujuan yang relevan dengan pengikatan layanan kepercayaan,
diatur sebagai berikut:
• Kontrol akses logis dan fisik. Kriteria yang relevan dengan bagaimana entitas membatasi logika
dan akses fisik, menyediakan dan menghapus akses tersebut, dan mencegah akses yang tidak sah
• Operasi sistem. Kriteria yang relevan dengan bagaimana entitas mengelola operasi sistem dan
mendeteksi dan mengurangi penyimpangan pemrosesan, termasuk penyimpangan kea-manan logis
dan fisik
•Manajemen perubahan. Kriteria yang relevan dengan bagaimana entitas mengidentifikasi
kebutuhan untuk perubahan, membuat perubahan menggunakan proses manajemen peru-bahan
terkontrol, dan mencegah yang tidak sah perubahan dari yang dibuat
•Mitigasi risiko. Kriteria yang relevan dengan bagaimana entitas mengidentifikasi, memilih, dan
mengembangkan kegiatan mitigasi yang timbul dari gangguan bisnis potensial dan penggunaan
vendor dan bisnis mitra
Kriteria layanan kepercayaan terdiri dari
• kriteria umum untuk kelima kategori layanan kepercayaan (kriteria umum) dan
• kriteria khusus tambahan untuk ketersediaan, integritas pemrosesan, kerahasiaan, dan privasi.
Kriteria umum memberikan kriteria khusus untuk menangani hal-hal berikut:
• Lingkungan kontrol (seri CC1)

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
• Komunikasi dan informasi (seri CC2)
• Penilaian risiko (seri CC3)
• Pemantauan kontrol (seri CC4)
• Aktivitas pengendalian yang terkait dengan desain dan implementasi pengendalian (seri CC5)
Kriteria umum cocok untuk mengevaluasi keefektifan pengendalian untuk mencapai sistem
entitas. tujuan-tujuan yang terkait dengan keamanan; tidak diperlukan kriteria aktivi-tas
pengendalian tambahan. Untuk kategori ketersediaan, integritas pemrosesan, kerahasi-aan, dan
privasi, seperangkat kriteria lengkap terdiri dari :
( a ) kriteria umum dan
( b ) krite-ria aktivitas pengendalian yang berlaku untuk kategori layanan kepercayaan tertentu atau
kategori yang ditangani oleh perikatan.
Kriteria untuk setiap kategori layanan trust ditangani oleh keterlibatan dianggap lengkap
hanya jika semua kriteria yang terkait dengan kategori itu ditangani dengan perikatan.

Praktisi dapat melaporkan salah satu the trust services categories security, availability, inte-grasi
pemrosesan, kerahasiaan, atau privasi, baik secara individu atau dalam kombinasi dengan satu atau
lebih kepercayaan lainnya
Untuk setiap kategori yang ditangani oleh keterlibatan, semua kriteria untuk kategori itu adalah
biasanya ditujukan. Namun, dalam keadaan terbatas, seperti ketika ruang lingkup perikatan adalah
untuk melaporkan sistem dan kriteria tertentu tidak relevan dengan layanan yang disediakan oleh
organisasi layanan, satu atau lebih kriteria mungkin tidak berlaku un-tuk perikatan. Misalnya, saat
melaporkan privasi untuk sistem organisasi layanan, kriteria P3.1, Informasi pribadi dikumpulkan
secara konsisten dengan tujuan entitas yang terkait dengan privasi , tidak berlaku untuk organisasi
layanan yang tidak mengumpulkan informasi pribadi secara langsung dari subjek data.

a. Security. Informasi dan sistem dilindungi dari akses yang tidak sah, pengungkapan informasi
yang tidak sah, dan kerusakan pada sistem yang dapat membahayakan ketersediaan, integritas,
kerahasiaan, dan privasi informasi atau sistem dan memengaruhi kemampuan entitas untuk
mencapai tujuannya.
Keamanan mengacu pada perlindungan
i. informasi selama pengumpulan atau pembuatannya, penggunaan, pemrosesan, transmisi,
dan penyimpanan dan.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
ii. sistem yang menggunakan informasi elektronik untuk memproses, mengirimkan atau
mentransfer, dan menyimpan informasi untuk memungkinkan entitas memenuhi tujuannya. Kontrol
atas keamanan mencegah atau mendeteksi kerusakan dan pengelakan pemisahan tugas, kegagalan
sistem, pemrosesan yang salah, pencurian, atau penghapusan informasi atau sumber daya sistem
yang tidak sah, penyalahgunaan perangkat lunak, dan akses atau penggunaan yang tidak tepat,
pengubahan, penghancuran, atau pengungkapan informasi
b. Availability, Informasi dan sistem tersedia untuk pengoperasian dan digunakan untuk
memenuhi tujuan entitas
Availability, mengacu kepada akses Informasi dan sistem yang tersedia untuk pengoperasian dan
digunakan untuk memenuhi tujuan entitas yang mengacu pada aksesibilitas informasi yang
digunakan oleh sistem entitas serta produk atau layanan yang diberikan kepada pelanggannya.
Sasaran ketersediaan tidak dengan sendirinya menetapkan tingkat kinerja minimum yang dapat
diterima; itu tidak membahas fungsionalitas sistem (fungsi spesifik yang dilakukan sistem) atau
kegunaan (kemampuan pengguna untuk menerapkan fungsi sistem ke kinerja tugas atau masalah
tertentu). Namun, ini membahas apakah sistem menyertakan kontrol untuk mendukung
aksesibilitas operasi, pemantauan, dan pemeliharaan.
c. Processing integrity (over the provision of services or the production, manufacturing, or
distribution of goods).
Pemrosesan sistem adalah selesai, valid, akurat, tepat waktu, dan diotorisasi untuk memenuhi
tujuan entitas.
Integritas pemrosesan mengacu pada kelengkapan, validitas, akurasi, ketepatan waktu, dan otorisasi
pemrosesan sistem. Integritas pemrosesan membahas apakah sistem mencapai tujuan atau tujuan
yang mereka miliki dan apakah mereka menjalankan fungsi yang dimaksudkan dengan cara yang
tidak terganggu, bebas dari kesalahan, penundaan, kelalaian, dan manipulasi yang tidak sah atau
tidak disengaja. Karena jumlah sistem yang digunakan oleh suatu entitas, integritas pemrosesan
biasanya hanya ditujukan pada sistem atau tingkat fungsional suatu entitas. Dalam pemeriksaan
SOC untuk Rantai Suplai, integritas pemrosesan mengacu pada apakah pemrosesan selesai, valid,
akurat, tepat waktu, dan diizinkan untuk memproduksi, memproduksi, atau mendistribusikan
barang yang memenuhi spesifikasi produk.
d. Confidentiality, Informasi yang ditetapkan sebagai rahasia dilindungi untuk memenuhi
tujuan entitas.
Kerahasiaan (Confidential) membahas kemampuan entitas untuk melindungi informasi yang
ditetapkan sebagai rahasia dari pengumpulan atau pembuatannya melalui disposisi

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
akhirnya dan penghapusan dari kendali entitas sesuai dengan tujuan manajemen. Informasi bersifat
rahasia jika kustodian (misalnya, entitas yang memegang atau menyimpan informasi) dari
informasi tersebut diharuskan untuk membatasi akses, penggunaan, dan penyimpanannya serta
membatasi pengungkapannya kepada pihak- pihak tertentu (termasuk mereka yang mungkin
memiliki akses yang berwenang di dalamnya. batas sistem). Persyaratan kerahasiaan dapat dimuat
dalam undang-undang atau peraturan atau dalam kontrak atau perjanjian yang berisi komitmen
yang dibuat untuk pelanggan atau orang lain. Kebutuhan akan kerahasiaan informasi mungkin
timbul karena berbagai alasan. Misalnya, informasi mungkin merupakan hak milik, yang ditujukan
hanya untuk personel entitas.
Kerahasiaan (Confidential) dibedakan dari privasi dalam hal privasi hanya berlaku untuk informasi
pribadi, sedangkan kerahasiaan berlaku untuk berbagai jenis informasi sensitif. Selain itu, tujuan
privasi membahas persyaratan terkait pengumpulan, penggunaan, penyimpanan, pengungkapan,
dan pembuangan informasi pribadi. Informasi rahasia dapat mencakup informasi pribadi serta
informasi lainnya, seperti rahasia dagang dan kekayaan intelektual.
e. Privacy. Informasi pribadi dikumpulkan, digunakan, disimpan, diungkapkan, dan dibuang
untuk memenuhi tujuan entitas.

Meskipun kerahasiaan berlaku untuk berbagai jenis informasi sensitif, privasi hanya berlaku
untuk informasi pribadi.

Kriteria privasi diatur sebagai berikut:

i. Pemberitahuan dan komunikasi tujuan (Notice and communication of objectives). Entitas

memberikan pemberitahuan kepada subjek data tentang tujuannya terkait privasi.

ii. Pilihan dan persetujuan (Choice and consent).. Entitas mengomunikasikan pilihan yang
tersedia terkait pengumpulan, penggunaan, penyimpanan, pengungkapan, dan pembuangan
informasi pribadi kepada subjek data.

iii. Koleksi (Collection). Entitas mengumpulkan informasi pribadi untuk memenuhi

tujuannya terkait privasi

iv. Gunakan, retensi, dan pembuangan (Use, retention, and disposal). Entitas
membatasi penggunaan, penyimpanan, dan pembuangan informasi pribadi untuk
memenuhi tujuannya terkait privasi

v. Mengakses (Access). Entitas memberi subjek data akses ke informasi pribadi mereka
untuk ditinjau dan diperbaiki (termasuk pembaruan) untuk memenuhi tujuannya terkait privasi

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
vi. Pengungkapan dan pemberitahuan (Disclosure and notification). Entitas
mengungkapkan informasi pribadi, dengan persetujuan subjek data, untuk memenuhi tujuannya
terkait privasi. Pemberitahuan pelanggaran dan insiden diberikan kepada subjek data yang
terpengaruh, regulator, dan lainnya untuk memenuhi tujuannya terkait privasi.

vii. Kualitas (Quality). Entitas mengumpulkan dan memelihara informasi pribadi yang
akurat, terkini, lengkap, dan relevan untuk memenuhi tujuannya terkait privasi.

viii. Pemantauan dan penegakan hukum (Monitoring and enforcement). Entitas memantau
kepatuhan untuk memenuhi tujuannya terkait privasi, termasuk prosedur untuk menangani
pertanyaan, keluhan, dan sengketa terkait privasi.

Saat ini Internet adalah jaringan di seluruh dunia dengan lebih dari 2 miliar pengguna. Ini
mencakup hampir setiap pemerintah, bisnis, dan organisasi di Bumi. Namun, memiliki
banyak pengguna di jaringan yang sama tidak akan cukup untuk membuat Internet menjadi
inovasi yang mengubah permainan. Pengguna ini membutuhkan beberapa jenis mekanisme
untuk menghubungkan dokumen dan sumber daya di seluruh komputer. Dengan kata lain,
pengguna di komputer A membutuhkan cara mudah untuk membuka dokumen di
komputer B. Kebutuhan ini memunculkan sistem yang mendefinisikan bagaimana
dokumen dan sumber daya terkait di seluruh mesin jaringan. Nama sistem ini adalah
World Wide Web (WWW). Anda mungkin mengenalnya sebagai dunia maya atau hanya
sebagai Web. Pikirkan seperti ini: Internet menghubungkan jaringan komunikasi satu sama
lain. Web adalah koneksi situs web, halaman web, dan konten digital di komputer jaringan
tersebut. Cyberspace adalah semua pengguna, jaringan, halaman web, dan aplikasi yang
dapat diakses yang bekerja di ranah elektronik di seluruh dunia ini.
Pencurian data di USA

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Sayangnya, ketika Anda terhubung ke dunia maya, Anda juga membuka pintu bagi banyak
orang jahat. Mereka ingin menemukan Anda dan mencuri data Anda. Setiap komputer atau
perangkat yang terhubung ke Internet berisiko, menciptakan Internet of Things (IoT) yang
mendukung pengguna di semua aspek kehidupan mereka. Seperti luar angkasa, Internet
yang semakin matang adalah batas baru. Tidak ada pemerintah Internet atau otoritas pusat.
Itu penuh dengan tantangan—dan perilaku yang dipertanyakan. Perilaku yang
dipertanyakan ini terbukti dengan adanya pelanggaran data yang telah kita lihat dalam tiga
tahun terakhir saja. Di Amerika Serikat, sektor publik dan swasta telah disusupi melalui
akses yang tidak sah dan pelanggaran data. Serangan baru-baru ini telah dilakukan oleh
individu, penjahat dunia maya terorganisir, dan penyerang dari negara lain. Jumlah
serangan siber terhadap kepentingan AS meningkat.
Dengan Internet of Things (IoT) sekarang menghubungkan perangkat pribadi,
perangkat rumah, dan kendaraan ke Internet, ada lebih banyak data untuk dicuri. Semua
pengguna harus mempertahankan informasi mereka dari penyerang. siber adalah tugas
setiap pemerintah yang ingin memastikan keamanan nasionalnya. Keamanan data adalah
tanggung jawab setiap organisasi yang perlu melindungi aset informasi dan data
sensitifnya (misalnya, SSN, nomor kartu kredit, dan sejenisnya). Dan adalah tugas kita
semua untuk melindungi data kita sendiri.

Gambar berikut mengilustrasikan perbatasan baru ini.

Komponen-komponen yang membentuk dunia maya tidak otomatis aman.
Komponen ini termasuk kabel, jaringan fisik, sistem operasi, dan aplikasi perangkat lunak
yang digunakan komputer untuk terhubung ke Internet. Inti masalahnya adalah kurangnya
keamanan dalam Transmission Control Protocol/Internet Protocol (TCP/IP) protokol
komunikasi

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
 Sistem Informasi dan Pengendalian
2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Internet of things

ASPEK KEAMANAN SISTEM INFORMASI

 Authentication : agar penerima informasi dapat memastikan keaslian pesan tersebut
datang dari orang yang dimintai informasi.
 Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan
bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam
perjalanan informasi tersebut.
 Authority : Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh
pihak yang tidak berhak atas akses tersebut.
 Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses.
 Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).

ASPEK ANCAMAN KEAMANAN KOMPUTER ATAU KEAMANAN SISTEM

INFORMASI

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
  Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus
sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.

 Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan
akses ke komputer dimana informasi tersebut disimpan.

 Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang
dikirim dan diubah sesuai keinginan orang tersebut.

 Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga
orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang
yang dikehendaki oleh si penerima informasi tersebut.

METODOLOGI KEAMANAN SISTEM INFORMASI

 Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari komputer
security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware
komputer sendiri tidak dapat diamankan.

 Keamanan level 1 : terdiri dari database, data security, keamanan dari PC itu sendiri,
device, dan application. Contohnya : jika kita ingin database aman, maka kita harus
memperhatikan dahulu apakah application yang dipakai untuk membuat desain database
tersebut merupakan application yang sudah diakui keamanannya seperti oracle. Selain itu
kita harus memperhatikan sisi lain yaitu data security. Data security adalah cara mendesain
database tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan dari
komputer terjaga. Computer security adalah keamanan fisik dari orang-orang yang tidak
berhak mengakses komputer tempat datadase tersebut disimpan.

 Keamanan level 2 : adalah network security. Komputer yang terhubung dengan

jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level
2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat
merusak keamanan data tersebut.

 Keamanan level 3 : adalah information security. Keamanan informasi yang kadang kala
tidak begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau
menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut
diketahui oleh orang yang tidak bertanggung jawab.

 Keamanan level 4 : merupakan keamanan secara keseluruhan dari komputer. Jika level
1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/
Daftar Pustaka
1. Marshalll B. Romney dan Paul John Steibart
2. Turban E. Collard P, Wood G. (2018). Information Technology for Management: on
Demand Strategies for Performance, Growth and Sustainability 11th Edition. Wiley
3. Evans, James R., Evans, James R. 2016. Business Analytics, 2nd Edition. Prentice Hall.
4. Deshmukh, A. (2006). Digital accounting: The effects of the internet and ERP on
accounting. IGI Global.

Sistem Informasi dan Pengendalian

2021
2 Internal Biro Bahan Ajar E-learning dan MKCU
Dr. Yudhi Herliansyah, SE,Ak, Msi, CA, CPA http://pbael.mercubuana.ac.id/