F. PERTEMUAN KE ENAM
URAIAN MATERI
1. Pendahuluan
Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh
sistem informasi akuntansi milik perusahaan adalah reliabel serta keandalan
penyedia layanan cloud dengan rekan kontrak. Selain itu Manajemen
menginginkan jaminan bahwa organisasi patuh terhadap susunan peraturan
dan ketentuan industri yang terus berkembang. Trust Services Framework
mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara
bersamaan terhadap keandalan sistem:
1. Keamanan (security) - akses (baik fisik maupun logis) terhadap sistem dan
data di dalamnnya dikendalikan serta terbatas untuk pengguna yang sah.
1
2. Kerahasiaan (confidentiaity) - informasi keorganisasian yang sensitif (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan yang
tanpa izin.
3. Privasi (privacy) - informasi pribadi tentang pelanggan, pegawai, pemasok,
atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola
sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan
peraturan eksternal serta terlindungi dari pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) - data diproses secara akurat,
lengkap, tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (avaibility) - sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
Berikut ini hubungan antara lima prinsip trust services untuk keandalan sistem:
2
daya yang diperlukan untuk mengatasi ancaman yang teridentifikasi serta
mencapai level keamanan yang dikehendaki.
4. Pengendalian prefentif
ORANG-ORANG: PELATIHAN
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai
sebuah fasilitator kritis lainnya untuk keamanan informasi yang efektif. Para
pegawai harus memahami cara untuk mengikuti kebijakan keamanan
organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif
yang kritis.
PENGENDALIAN AUNTENTIKASI
Autentikasi (authentication): memverifikasi identitas seseorang atau perangkat
yang mencoba untuk mengakses sistem. Tiga tanda bukti yang dapat
digunakan untuk memverifikasi identitas seseorang:
PENGENDALIAN OTORISASI
Otorisasi (authorization): proses memperketat akses pengguna terotorisasi atas
bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang
diperbolehkan untuk dilakukan.
4
Matriks pengendalian akses (access control matrix): sebuah tabel yang
digunakan untuk mengimplementasikan pengendalian otorisasi. Berikut matriks
pengendalian akses:
5
mengelola jaringan hak milik mereka sendiri atau menyediakan akses dial-
up langsung melalui modem.
6
Router: perangkat bertujuan khusus yang didesain untuk membaca bagian
alamat sumber dan tujuan pada header paket IP untuk memutuskan
selanjutnya akan mengirim (rute) paket ke mana.
KONFIGURASI ENDPOINT
Kerentanan (vulnerabilities): cacat pada program yang dapat dimanfaatkan baik
untuk merusak sistem maupun mengambil kendalinya.
Pemindai kerentanan (vulnerabilities scanners): alat otomatis yang didesain
untuk mengidentifikasi apakah sebuah sistem bawaan memiliki program yang
tidak digunakan dan tidak perlu serta menunjukkan ancaman keamanan
potensial.
8
Pengukuhan (hardening): proses memodifikasi konfigurasi dasar endpoint untuk
mengeliminasi pengaturan dan layanan yang tidak perlu.
9
• pengawasan dan peninjawan dengan cermat atas hak dan keistimewaan
pengguna selama proses perubahan untuk memastikan bahwa
pemisahan tugas yang sesuai telah ditetapkan.
5. Pengendalian detektif
ANALISIS LOG
Analisis Log: proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan.
SISTEM DETEKSI GANGGUAN
Intrusion detection system (IDS): sebuah sistem yang menghasilkan
sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati
firewall kemudian menganalisis log-log tersebut sebgai tanda atas gangguan
yang diupayakan atau berhasil dilakukan.
PENGUJIAN PENETRASI
Uji penetrasi (penetration test): upaya terotorisasi untuk menerobos ke dalam
sistem informasi organisasi.
PENGAWASAN BERKELANJUTAN
Praktik COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan
kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta
kinerja keseluruhan proses bisnis.
6. Pengendalian korektif
10
COBIT 5 mengidentifikasi struktur keorganisasian sebagai sebuah fasilitator kritis
untuk mencapai pengendalian dan keamanan yang efektif.
MANAJEMEN PATCH
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang
diketahui.
Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu.
Manajemen patch: proses untuk secara teratur menerapkan patch dan memperbarui
perangkat lunak.
Virtualisasi: menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud: menggunakan sebuah browser untuk mengakses perangkat lunak,
penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.
Ringkasan :
SOAL Essay
11
1. Jelaskan lima prinsip yang berkontribusi secara bersamaan terhadap
keandalan sistem !
2. Jelaskan apa yang dimaksud dengan dua konsep keamanan informasi
fundamental yang harus dilakukan oleh perusahaan ?
3. Jelaskanlah karakteristik proses pengendalian perubahan dan manajemen
perubahan yang didesain dengan baik melibatkan beberapa hal !
4. Jelaskan apa yang menjadi aktivitas dalam pengendalian detektif ?
5. Jelaskan apa yang menjadi aktivitas dalam pengendalian korektif ?
12
b. Pengendalian sistem
c. Pengendalian lokasi
d. Pengendalian perubahan dan manajemen perubahan
5. Sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan
utama di namakan dengan....
a. Tim perespons insiden komputer (computer incident response team-
CIRT)
b. Tim Trust Service Framework
c. Tim processing integrity
d. Tim keamanan virtualisasi
REFERENSI
George H. Bodnar, William S. Hopwood. 2015. Sistem Informasi Akuntansi.
Jakarta : Salemba Empat.
13