MAKALAH

SISTEM INFORMASI AKUNTANSI DAN PENGENDALIAN INTERNAL

PENGENDALIAN UNTUK KEAMANAN INFORMASI

Oleh

1.Daniel Oktovianus Purba (2001051020)

2.Muhammad Faisal (2001051017)

3.haris yusril saputra (2001051029)

4.Beky Ravely (2001051014)

JURUSAN AKUNTANSI

PRODI D3 PERPAJAKAN

FAKULTAS EKONOMI BISNIS

UNIVERSITAS LAMPUNG

2020/2021

KATA PENGANTAR

Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah memberikan
berkat rahmat serta hidayah-Nya kepada kita semua, sehingga atas berkat karunia-Nya penulis
dapat menyelesaikan makalah ini.
 Tidak lupa penulis sampaikan rasa terimakasih kepada semua pihak atas bantuannya
dalam menyelesaikan tugas makalah ini. Serta ucapan terimakasih pula kepada dosen
matakuliah sistem informasi Akuntansi dan Pengendalian Internal Ibu Ade Widiyanti dan Ibu
Dewi yang telah membantu dalam menyelesaikan makalah ini.

Dalam penyusunan makalah ini penulis berharap dapat memberikan manfaat serta
wawasan kepada pembaca sekalian serta penulis pada khususnya. Penulis menyadari bahwa
dalam penulisan makalah ini terdapat kelebihan dan kekurangannya sehingga penulis mengharap
kritik dan saran yang dapat memperbaiki untuk penulisan makalah selanjutnya.

Terima kasih.

Liwa, 25 Sepember 2021

Penulis

DAFTAR ISI

Halaman
KATA PENGANTAR............................................................................. i

DAFTAR ISI…………………………………………………………… ii

BAB I PENDAHULUAN
 1.1 Latar Belakang……………………………………….... 4
1.2 Rumusan Masalah……………………………………... 5
1.3 Tujuan Penulisan……………………………………..... 5

BAB II PEMBAHASAN
2.1 Pengertian Sistem Informasi ………………................... 6
2.2 Pengendalian Dalam Sistem Informasi…....................... 7
2.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi.. 13

BAB III PENUTUP

3.1 Kesimpulan…………………………………………….. 19
3.2 Saran…………………………………………………… 19

DAFTAR PUSTAKA……………………………………………….... 20

BAB I
PENDAHULUAN

1.1 Latar Belakang

Pengendalian yang dimaksud merupakan sejauh mana pengendalian aplikasi
mempunyai peran dalam mencegah dan mendeteksi adanya kesalahan-kesalahan. Di dalam
tindakan atau perilaku pada system informasi,sangatlah dibutuhkan/pentingnya pengendalian
keamanan dan control,karena bertujuan untuk memastikan bahwa CBIS(Computer Based
Information System) telah diimplementasikan seperti yang direncanakan,system sendiri telah
beroperasi seperti yang dikehendaki,dan operasi tetap dalam keadaan aman dari
penyalahgunaan atau gangguan komunikasi. Maka dari itu kita harus mempunya security
dalam system informasi. Tugas control CBIS Kontrol CBIS mencakup semua fase siklus
hidup. Selama siklus hidup, kontrol dapat dibagi menjadi kontrol-kontrol yang berhubungan
dengan pengembangan, disain dan operasi. Manajer dapat memperoleh kontrol dalam ketiga
area secara langsung melalui ahli lain, seperti auditor.
Sebuah pengendalian dikatakan berhasil ketika kesalahan-kesalahan dapat
diminimalisir. Betapa pentingnya informasi dalam kehidupan manusia, sehingga informasi
yang datang tidak boleh terlambat , tidak boleh bias (berat sebelah) harus bebas dari
kesalahan-kesalahan dan relevan dengan penggunanya,sehingga informasi tersebut menjadi
informasi yang berkualitas dan berguna bagi pemakainya. Untuk mendapatkan informasi
yang berkualitas perlu dibangun sebuah sistem informasi sebagai media pembangkitnya.
Sistem informasi merupakan cara menghasilkan informasi yang berguna . informasi yang
berguna akan mendukung sebuah keputusanbagipemakainya.
Pendekatan sistem adalah suatu prosedur langkah demi langkah yang digunakan dalam
memecahkan masalah. Tiap langkah mencakup satu keputusan atau lebih, dan untuk tiap
keputusan diperlukan informasi.
Definisi Keamanan sendiri adalah proteksi perlindungan atas sumber-sumber fisik dan
konseptual dari bahaya alam dan manusia. Keamanan terhadap sumber konseptual meliputi data
dan informasi. Keamanan sendiri mempunyai tujuan-tujuan yang di maksudkan untuk mencapai
tujuan utama,yaitu:
1.    Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak
berhak.
2.     Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang
berwenang untuk menggunakannya.
3.    Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang
diwakilinya.
Pengendalian Akses dicapai melalui suatu proses 3 langkah, yang mencakup :
1.     Indentifikasi User.
2.     Pembuktian Keaslian User.
3.     Otorisasi User.

1.2 Rumusan Masalah

1. Bagaimana yang dimaksud dengan system informasi?
2. Bagaimana yang dimaksud dengan pengendalian system informasi?
3. Bagaimana kontrol-kontrol yang dapat dilakukan dalam pengamanan system informasi?

1.3 Tujuan Penulisan

1. Untuk mengetahui yang dimaksud dengan system informasi.
2. Untuk mengetahui yang dimaksud dengan pengendalian system informasi .
3. Untuk mengetahui kontrol-kontrol yang dapat dilakukan dalam pengamanan system
informasi.

BAB II
PEMBAHASAN

2.1 Pengertian Sistem Informasi

Pengertian sistem informasi menurut beberapa ahli, adalah sebagai berikut:
1. Mcleod (2001) Sistem Informasi merupakan sistem yang mempunyai kemampuan untuk
mengumpulkan informasi dari semua sumber dan menggunakan berbagai media untuk
menampilkan informasi.
2. Sutabri (2005: 36) Sistem informasi adalah suatu sistem di dalam suatu organisasi yang
mempertemukan kebutuhan pengolahan transaksi harian yang mendukung fungsi organisasi
yang bersifat manajerial dalam kegiatan strategi dari suatu organisasi untuk dapat
menyediakan kepada pihak luar tertentu dengan laporan – laporan yang diperlukan.
3. Arbie (2000: 35) Sistem informasi adalah sistem di dalam suatu organisasi yang
mempertemukan kebutuhan pengolahan transaksi harian, membantu dan mendukung
kegiatan operasi, bersifat manajerial dari suatu organisasi dan membantu mempermudah
penyediaan laporan yang diperlukan.
4. Muhyuzir (2001: 8) Sistem informasi adalah data yang dikumpulkan, dikelompokkan dan
diolah sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang saling terkait
dan saling mendukung sehingga menjadi suatu informasi yang berharga bagi yang
menerimanya.
5. O’Brien (2005: 5),  Sistem  informasi   adalah   suatu   kombinasi terartur apapun dari people
(orang), hardware (perangkat keras), software (piranti lunak), computer networks and data
communications (jaringan komunikasi), dan database (basis data) yang mengumpulkan,
mengubah dan menyebarkan informasi di dalam suatu bentuk organisasi.
6. Sidharta (1995: 11), “Sebuah sistem informasi adalah sistem buatan manusia yang berisi
himpunan terintegrasi dari komponen – komponen manual dan komponen – komponen
terkomputerisasi yang bertujuan untuk mengumpulkan data, memproses data, dan
menghasilkan informasi untuk pemakai”.
7. Robert A. Leitch & K. Roscoe Davis dalam Jogiyanto (1999: 11)menyatakan bahwa “Sistem
informasi adalah suatu sistem di dalam suatu organisasi yang mempertemukan kebutuhan
pengolahan transaksi harian, mendukung operasi, bersifat manajerial dan kegiatan strategi
dari suatu organisasi dan menyediakan pihak luar tertentu dengan laporan-laporan yang
diperlukan.”
8. Davis (1991: 91) menyatakan bahwa “Sistem informasi adalah suatu sistem yang menerima
masukan data dan instruksi, mengolah data tersebut sesuai dengan instruksi dan
mengeluarkan hasilnya.”
 Dari paparan tersebut dapat disimpulkan bahwa yang dimaksud dengan sistem informasi
merupakan data yang dikumpulkan, dikelompokkan dan diolah sedemikian rupa sehingga
menjadi sebuah satu kesatuan informasi yang berharga yang dalam menampilkannya
menggunakan berbagai media, informasi tersebut digunakan dalam kegiatan strategi dari suatu
organisasi atau perusahaan untuk dapat menyediakan kepada pihak luar tertentu dalam bentuk
informasi berupa laporan – laporan yang diperlukan.

2.2 Pengendalian Dalam Sistem Informasi

Arief (2013) menyatakan bahwa Pengendalian sistem informasi terbagi atas
pengendalian umum dan pengendalian aplikasi. Pengendalian umum diterapkan pada
keseluruhan aktivitas dan aplikasi sistem informasi. Pengendalian umum ini dipasangkan atau
melekat di dalam suatu sistem informasi dengan tujuan untuk mengendalikan rancangan,
pengamanan, dan penggunaan program-program komputer, serta pengamanan atas file data di
dalam infrastruktur teknologi informasi, pengendalian umum dipasangkan di keseluruhan
aplikasi yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan prosedur
manual yang mampu untuk menciptakan lingkungan pengendalian secara menyeluruh.
Pengendalian aplikasi adalah pengendalian yang secara khusus dipasangkan pada aplikasi
tertentu atau suatu subsistem tertentu, misalnya pengendalian aplikasi yang dipasangkan di
aplikasi sistem penggajian, piutang, atau pemrosesan order untuk pengadaan barang dan jasa.
Terdiri dari pengendalian - pengendalian yang dipasangkan pada areal pengguna atas sistem
tertentu dan dari prosedur-prosedur yang telah diprogram.
Pengendalian umum sistem informasi berhubungan dengan risiko-risiko yang berkaitan
di berbagai area kegiatan, seperti: sistem operasi, sumber daya data, pemeliharaan sistem, pusat
komputer, komunikasi data, pertukaran data elektronik (electronic data interchange - EDI),
komputer mikro, dan sebagainya. empat jenis risiko yang berkaitan dengan sasaran keamanan
informasi, yaitu :
a. Penggunaan informasi yang tidak terotorisasi. Risiko ini terjadi ketika orang yang tidak
berhak menggunakan sumber daya informasi perusahaan mampu melakukan hal tersebut.
Contoh kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagai
suatu tantangan yang harus diatasi. Hacker dapat memasuki jaringan komputer sebuah
perusahaan, mendapat akses dalam sistem telepon dan melakukan sambungan telepon jarak jauh
tanpa otorisasi.
b. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat menghancurkan
hardware atau software sehingga operasional komputer perusahaan tidak berfungsi. Dalam hal
ini bahkan penjahat komputer tidak harus berada di lokasi fisik tersebut. Mereka dapat memasuki
jaringan komputer perusahaan dan menggunakan sumber daya perusahaan sehingga operasional
bisnis tidak dapat berfungsi.
c. Pengungkapan dan pencurian informasi yang tidak terotorisasi. Ketika suatu basis data dan
perpustakaan software perusahaan dimasuki oleh orang yang tidak berhak maka risiko yang
terjadi misalnya informasi yang hilang. Perusahaan pesaing memperoleh informasi penting
mengenai kompetisi dari database perusahaan.
d. Modifikasi yang tidak terotorisasi. Perubahan dapat dilakukan pada data, informasi dan
software perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan berakibat pada
para pengguna output mengambil keputusan yang salah. Contoh lain adalah serangan penyusup
dengan cara merubah web site perusahaan dengan pesan-pesan yang merugikan pemilik web
site.
Sistem operasi mengendalikan sistem komputer lainnya dan memberikan ijin aplikasi-
aplikasi untuk menggunakan secara bersamasama sumberdaya dan peralatan komputer. Karena
ketergantungannya, masalah yang timbul dalam sistem operasi ini dapat menimbulkan masalah-
masalah lain pada seluruh pengguna dan aplikasinya. Fungsi-fungsi sistem operasi adalah
menerjemahkan bahasa tingkat tinggi ke bahasa mesin dengan menggunakan pengkompilasi
(compiler) dan penerjemah (interpreter); mengalokasikan sumber daya komputer ke berbagai
aplikasi melalui pembebanan memori dan pemberian akses ke peralatan dan arsip-arsip (file)
data; serta mengelola tugas – tugas penjadualan dan program yang dijalankan bersamaan.
Sehubungan dengan fungsi-fungsi tersebut, auditor biasanya ditugaskan untuk memastikan
bahwa tujuan pengendalian atas sistemoperasi tercapai dan prosedur-prosedur pengendaliannya
ditaati.
Sedangkan Tujuan dan resiko pengendalian sistem operasi menurut Arief (2013) adalah
sebagai berikut:
Tujuan pengendalian system operasi
a. Mencegah akses oleh pengguna atau aplikasi yang dapat mengakibatkan
 penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip data.
b. Mengendalikan pengguna yang satu dari pengguna lainnya agar seorang pengguna
tidak dapat menghancurkan atau mengkorupsi program atau data pengguna lainnya.
c. Mencegah arsip-arsip atau program seorang pengguna dirusak oleh program lainnya
yang digunakan oleh pengguna yang sama.
d. Mencegah sistem operasi dari bencana yang disebabkan oleh kejadian eksternal,
seperti kerusakan pada pembangkit listrik. Juga agar sistem dapat memulihkannya
kembali jika hal ini sampai terjadi.
Risiko-risiko yang mungkin dihadapi oleh sistem operasi dalam penggunaannya, antara lain
adalah :
a. Penyalahgunaan oleh pengguna melalui akses ke sistem operasi, seperti layaknya
manajer sistem.
b. Penyalahgunaan oleh pengguna yang mendapat keuntungan dari akses yang tidak sah.
c. Perusakan oleh pengguna-pengguna yang secara serius mencoba untuk merusak
sistem atau fungsi-fungsi.
Prosedur-prosedur pengendalian terhadap sistem operasi yang biasanya dilakukan adalah sebagai
berikut:
a. Pemberian atau pengendalian password.
b. Pengamanan pemberian akses ke pegawai.
c. Pembuatan pernyataan dari pengguna tentang tanggung-jawab mereka untuk
menggunakan sistem dengan tepat dan jaminan akan menjaga kerahasiaannya.
d. Pembentukan suatu kelompok keamanan (security group) untuk memonitor dan
e. melaporkan pelanggaran.
Penetapan kebijakan formal untuk mengatasi para pelanggan
Rosyid (2011) menyatakan bahwa “pengendalian dalam sebuah sistem pada dasarnya
berarti menjaga agar sistem beroperasi dalam batas prestasi tertentu”. Sebuah sistem yang berada
dalam kendali akan beroperasi dalam batas toleransi yang telah ditentukan, dimana keluaran dari
sebuah sistem kadang-kadang tidak sesuai dengan keluaran yang semestinya (standar), hal ini
membutuhkan pengendalian melalui sistem umpan balik untuk mencari gangguan-gangguan
yang menghambat. Agar sistem umpan balik itu dapat berjalan baik maka sistem harus memiliki
standar keterukuran keluaran, sensor yang dapat menangkap kondisi setiap keluaran, alat yang
dapat membandingkan keluaran yang terjadi dengan keluaran standar, serta alat yang bergerak
mengoreksi masukan. Tentu saja tidak seluruh tanggapan korektif dari sistem umpan balik harus
diterima, hal ini akan tergantung kepada kepentingan organisasi, karena itu berlaku fungsi
penyaringan. Artinya hal-hal yang tidak prinsipil dan tidak terlalu mengganggu jalannya
organisasi tanggapan korektif bisa diabaikan.
Rosyid (2011) juga menyatakan beberapa unsur yang ada dalam pengendalian, yaitu
sebagai berikut:
1. prestasi yang diharap, hal ini besa berupa anggaran prosedur pengoperasian,atau suatu
algoritma keputusan.
2. suatu ukuran prestasi aktual.
3. suatu perbandingan antara prestasi yang diharapkan dan nyata.
4. suatu laporan penyimpangan pada sebuah unit pengendalian, misalnya seorang manajer
5. suatu rangkaian tindakan yang diambil unit pengendalian untuk mengubah prestasi
mendatang kalau saat ini ada keadaan yang kurang menguntungkan disertai serangkaian
aturan keputusan untuk pemilihan jawaban yang tepat.
Tugas pengendalian dalam Sistem Informasi yang terdiri dari :
a. Proses menjamin bahwa tugas tertentu dilaksanakan secara efektif dan efesien.
b. Berorientasi pada transaksi.
c. Dilakukan berulangkali (amat sistematis).
d. Ada hubungan sebab akibat (lebih ilmiah).

Raymond dan George (2008) menyatakan pengendalian adalah mekanisme yang

diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak
risiko tersebut pada perusahaan jika risiko tersebut terjadi.

a.Pengendalian teknis

Pengendalian teknis adalah pengendalian yang menjadi satu di dalam sistem dan dibuat
oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor
internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar
pengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian
keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

1.Pengendalian akses.
 Dasar untuk keamanan melawan ancaman yang dilakukanoleh orang –orang yang tidak
diotorisasi adalah pengendalian akses. Alasannya sederhana: jika orang yang tidak diotorisasi
tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak
dapat dilakukan. Pengendalian akses dilakukan melalui proses tiga tahap:

1. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka

dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi.
Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau
titik masuk jaringan.
2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan, para pengguna
memverifikasi hak akses dengan cara memberikan sesuatu yang mereka milik,
seperti smart card atau tanda tertentu atau chip identifikasi. Autentikasi pengguna
dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas
diri, seperti tanda tangan atau suara atau pola suara.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau
derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat
mendapatkan otorisasi hanya saja memiliki otorisasi untuk melakukan perubahan
pada file tersebut.

2.Pengendalian Kriptografis.

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang
menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga ditransmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki
otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud
tidak berarti apa-apa dan mencegah kesalahan penggunaan.

3.Pengendalian Fisik.

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu
ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih,
yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat
penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya di tempat terpencil yang jauh dari kota
dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan badai.

b.Pengendalian Formal.
 Pengendalian formal mencangkup penentuan cara berperilaku, dokumentasi prosedur dan
praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu
untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.

c.Pengendalian Informal.

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program

pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut. 

Dukungan Pemerintah dan Industri.

Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar

yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasi sebelumnya
sebagai penyedia strategi alternatif untuk manajemen risiko. Beberapa pihak penentu standar
menggunakan istilah baseline (dasar) dan bukannya benchmark (tolok ukur). Organisasi tidak
diwajibkan mengikuti standar ini. Namun, standar ini ditujukan untuk memberikan bantuan
kepada perusahaan dalam menentukan tingkat target keamanan. Contohnya: 
1. BS7799 milik Inggris. Standar Inggris menentukan satu set pengendalian dasar.
Standar ini pertama kali dipublikasikan oleh British Standards Institue pada tahun
1995, kemudian dipublikasikan oleh International Standards Organization sebagai
ISO 17799 pada tahun 2000, dan dibuat tersedia bagi para pengadopsi potensial
secara online pada tahun 2003.
2. COBIT. COBIT, dari Information Systems Audit and Control Association &
Foundation (ISACAF), berfokus pada proses yang dapat diikuti perusahaan dalam
menyusun standar, dengan berfokus pada proses yang dapat diikuti perusahaan
dalam menyusun standar, dengan berfokus pada penulisan dan pemeliharaan
dokumentasi.
3. GASSP. Generally Accepted System Security Principles (GASSP) adalah produk
dari Dewan Riset Nasional Amerika Serikat. Penekanannya adalah pada alasan
penentuan kebijakan keamanan.

2.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi

 Raymond dan George (2008) menyatakan pada bentuknya yang paling dasar, manajemen
keamanan informasi terdiri atas empat tahap: mengidentifikasi ancaman yang dapat menyerang
sumber daya informasi perusahaan, mendefinisikan risiko yang dapat disebabkan oleh ancaman-
ancaman tersebut, menentukan kebijakan keamanan informasi, serta mengimplementasikan
pengendalian untuk mengatasi risiko-risiko tersebut.

a.Ancaman.

Ancaman keamanan informasi (information security threat) adalah orang, organisasi,

mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang
dialami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancaman dapat bersifat
internal serta eksternal, dan dapat bersifat tidak sengaja maupun disengaja.

1.Ancaman internal dan eksternal.

Ancaman internal mencangkup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survei yang
dilakukan oleh Computer Security Institute menemukan bahwa 49% responden menghadapi
insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah, proporsi kejahatan
komputer yang dilakukan oleh karyawan diperkirakan mencapai 81%. Ancaman internal
diperkirakan menghasilkan kerusakan secara potensi lebih serius jika dibandingkan dengan
ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih mendalam akan
sistem tersebut.

2.Tindakan kecelakaan dan disengaja.

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang-orang didalam
ataupun di luar perusahaan. Sama halnya di mana keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.

b.Risiko.

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi

output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini
dibagi menjadi empat jenis:

1.Pengungkapan informasi yang tidak terotorisasi dan pencurian

 Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang
seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Sebagai
contoh, mata-mata industri dapat memperoleh informasi mengenai kompetisi yang berharga, dan
kriminal komputer dapat menyelundupkan dana perusahaan.

2.Penggunaan yang tidak terotorisasi

Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak
menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan
komputer tipe ini Contoh kejahatan komputer tipe ini adalah hacker yang memandang keamanan
informasi sebagai suatu tantangan yang harus diatasi. Hacker, misalnya, dapat memasuki
jaringan komputer sebuah perusahaan, mendapatkan akses ke dalam sistem telepon, dan
melakukan sambungan telepon jarak jauh tanpa otorisasi.

3.Penghancuran yang tidak terotorisasi dan penolakan layanan

Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga
menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat
komputer bahkan tidak harus berada di lokasi fisik tersebut. Mereka dapat memasuki jaringan
komputer perusahaan dan menggunakan sumber daya perusahaan (seperti e-mail) hingga
tingkatan tertentu sehingga operasional bisnis normal tidak berlangsung.

4.Modifikasi yang tidak terotorisasi

Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa
perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem
tersebut mengambil keputusan yang salah. Salah satu contoh adalah perubahan nilai pada catatan
akademis seorang siswa.

c.Kebijakan keamanan informasi

Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen risiko

atau kepatuhan terhadap tolok ukur maupun tidak, suatu kebijakan keamanan harus diterapkan
untuk mengarahkkan keseluruhan program. Perusahaan dapat menerapkan kebijakan
keamanannya dengan mengikuti pendekatan yang bertahap.
 Riyanarto dan Irsyat (2009) menyatakan keamanan bisa dicapai dengan beberapa cara yang
bisa dilakukan secara simultan atau dilakukan dalam kombinasi satu dengan lainnya. Strategi-
strategi dari Keamanan Informasi masing- masing memiliki fokus dan dibangun tujuan tertentu
sesuai kebutuhan. Contoh dari Keamanan Informasi antara lain :

a) Phsical Security adalah Keamanan Informasi yang memfokuskan pada strategi untuk
mengamankan individu atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai
ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
b) Personal Security adalah Keamanan Informasi yang berhubungan dengan keamanan
personil. Biasanya saling berhubungan dengan ruang lingkup physical security.
 c) Operation Security adalah Keamanan Informasi yang membahas bagaimana strategi
suatu organisasi untuk mengamankan kemampuan organisasi tersebut untuk beroperasi
tanpa gangguan.
d) Communications Security dalah Keamanan Informasi yang bertujuan mengamankan
media komunisasi, teknologi komunikasi serta apa yang ada di dalamnya. Serta
kemampuan untuk memanfaatkan media dan teknologi komunikasi untuk mencapai
tujuan organisasi.
e) Network Security adalah Keamanan Informasi yang memfokuskan pada bagaimana
pengamanan peralatan jaringan, data organisasi, jaringannya dan isinya, serta
kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi
data organisasi.
Metode - metode Keamanan Informasi

1.Password

Cara yang paling umum digunakan untuk mengamankan Informasi adalah dengan mengatur atau
membatasi akses ke Informasi tersebut melalui mekanisme “acces control”, dimana
implementasi dari mekanisme ini paling banyak dikenal dengan istilah “password”. Di sistem
Unix, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan userid dan password, Informasi yang diberikan ini
dibandingkan dengan userid dan password yang berada di dalam sistem.

a. Keamanan Password
Akses ke Informasi menggunakan sistem password sepenuhnya belum menjadikan
jaminan aman. Hacker bisa saja mencari file atau berkas tempat penyimpanan
password dari user- user yang tersimpan. Untuk itu kita perlu melakukan keamanan-
keamanan terhadap data password tersebut.
b. Shadow Password
Salah satu cara untuk mempersulit mendapatkan berkas yang berisi password
(meskipun terenkripsi) adalah dengan menggunakan “shadow password”. Contoh
untuk system UNIX Mekanisme ini menggunakan berkas /etc/ shadow untuk
menyimpan encrypted password, sementara kolom password diberkas /etc/password
yang berisi karakter “X”, berkas /etc/shadow tidak dapat dibaca secara langsung oleh
pemakai biasa (bersifat hidden) tetapi bisa diakses oleh user root.
c. Pemilihan Password
Cara lain untuk mempersulit menemukan password kita adalah dengan pemilihan
karakter password yang sulit ditebak, karena jika kita menggunakan karakter
password yang umum dengan menggunakan program password cracker maka
password akan mudah ditebak oleh karena itu pemilihan karakter password sangat
penting dan memerlukan perhatian khusus.
2.Enkripsi
 Enkripsi adalah proses pengubahan/ konversi/ penyajian suatu Informasi kebentuk lain
atau tertentu sehingga tidak dapat dimengerti / tidak dapat dimanfaatkan oleh pihak yang tidak
berhak. Enkripsi digunakan untuk melindungi data atau Informasi yang kita miliki agar hanya
kita saja atau orang lain yang telah kita tahu kode- kodenya dapat memanfaatkan Informasi kita.

3.Kriptografi

Kriptografi dapat didefinisikan sebagai metode untuk menyamarkan (merahasiakan) isi

dari data sehingga data tidak mudah untuk dibaca oleh orang yang tidak berhak untuk
membacanya. Dengan adanya Kriptografi, walaupun seseorang pada akhirnya bisa memperoleh
data dan melanggar aspek perolehan data, tapi paling tidak data yang sudah diperoleh tersebut
tidak dapat lagi dengan mudah untuk dibaca.

a. Kontrol Proses Pengembangan

Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA dan Manajer
Jaringan membangun fasilitas kontrol tertentu dalam disain system. Selama fase implementasi,
programmer menggabungkan kontrol tersebut ke dalam system. Disain system dikontrol dengan
cara menggabungkan kontrol software menjadi lima bagian pokok. Untuk memastikan bahwa
CBIS yg diimplementasikan dpt memenuhi kebutuhan pemakai atau berjalan sesuai rencana..

b.  Kontrol Pengoperasian Sistem

Kontrol pengoperasian sistem dimaksudkan untuk mencapai efisiensi dan keamanan. Kontrol

yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi 5 area :

1. Struktur organisasional.

Staf pelayanan informasi diorganisir menurut bidang spesialisasi. Analisis, Programmer, dan
Personel operasi biasanya dipisahkan dan hanya mengembangkan ketrampilan yang diperlukan
untuk area pekerjaannya sendiri.

2. Kontrol perpustakaan.

Perpustakaan komputer adalah sama dengan perpustakaan buku, dimana didalamnya ada

pustakawan, pengumpulan media, area tempat penyimpanan media dan prosedur untuk
menggunakan media tersebut. Yang boleh mengakses perpustakaan media hanyalah
pustakawannya.

4. Pemeliharaan Peralatan.
 Orang yang tugasnya memperbaiki computer yang disebut Customer Engineer (CE) /
Field Engineer (FE) / Teknisi Lapangan menjalankan pemeliharaan yang terjadwal / yang tak
terjadwal.

5. Kontrol lingkungan dan keamanan fasilitas.

Untuk menjaga investasi dibutuhkan kondisi lingkungan yang khusus seperti

ruang komputer harus bersih keamanan fasilitas yang harus dilakukan dengan penguncian ruang
peralatan dan komputer.

Perencanaan disaster:

1.Rencana Keadaan darurat.

Prioritas utamanya adalah keselamatan tenaga kerja perusahaan.

2.Rencana Backup.

Menjelaskan bagaimana perusahaan dapat melanjutkan operasinya dari ketika terjadi

bencana sampai ia kembali beroperasi secara normal.

3.Rencana Record.

Penting Rencana ini mengidentifikasi file data penting & menentukan tempat
penyimpanan kopi duplikat.

4.Rencana Recovery

Rencana ini mengidentifikasi sumber-sumber peralatan pengganti, fasilitas komunikasi

dan pasokan-pasokan.

BAB III
PENUTUP

3.1 Kesimpulan
Berdasarkan paparan yang terdapat dalam pembahasan, maka penulis dapat
menyimpulkan isi dari makalah ini adalah sebagai berikut:
 1. Sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan diolah
sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang berharga yang
dalam menampilkannya menggunakan berbagai media, informasi tersebut digunakan
dalam kegiatan strategi dari suatu organisasi atau perusahaan untuk dapat menyediakan
kepada pihak luar tertentu dalam bentuk informasi berupa laporan – laporan yang
diperlukan.
2. Pengendalian sistem merupakan pengendalian yang secara khusus dipasangkan pada
aplikasi tertentu atau suatu subsistem tertentu. Bertujuan untuk mencegah akses oleh
pengguna atau aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun
merugikan sistem operasi atau arsip data, mengendalikan pengguna yang satu dari
pengguna lainnya agar seorang pengguna tidak dapat menghancurkan atau mengkorupsi
program atau data pengguna lainnya, mencegah arsip-arsip atau program seorang
pengguna dirusak oleh program lainnya yang digunakan oleh pengguna yang sama,
mencegah sistem operasi dari bencana yang disebabkan oleh kejadian eksternal, seperti
kerusakan pada pembangkit listrik.
3.2 Saran
Sebaiknya para pengguna menggunakan strategi - strategi dari keamanan informasi untuk
mengamankan informasinya yang penting supaya dapat mencegah akses oleh pengguna atau
aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun merugikan sistem operasi
atau arsip data, mencegah arsip-arsip atau program seorang pengguna dirusak oleh program
lainnya yang digunakan oleh pengguna yang sama, dll. Serta diharapkan menggunakan metode -
metode keamanan Informasi seperti keamanan password, dll.

DAFTAR PUSTAKA

Arbie, E. 2000. Pengantar Sistem Informasi Manajemen. Edisi Ketujuh. Jilid 1. Jakarta:
Bina Alumni Indonesia
 Arief, M. 2013. Pengamanan dan Pengendalian Sistem Informasi. (online).
(http://sinformasi.files.wordpress.com/2013/02/bab-11-pengamanan.doc). Diakses tangal 10
Maret 2014.
Davis. G.B. 1991. Kerangka Dasar Sistem Informasi Manajemen Bagian 1. Jakarta: PT.
Pustaka Binamas Pressindo.
Jogiyanto, H.M. 1999. Analisis dan Disain Informasi: Pendekatan Terstruktur Teori dan
Praktek Aplikasi Bisnis. Yogyakarta: Andi Offset.
Mcleod, R. 2001. Sistem Informasi Manajemen. Jakarta: PT.Prenhallindo.
Mcleod, R. dan Schell, G. P. Sistem Informasi Manajemen. Terjemahan Ali Akbar
Yulianto; Afia R. Fitriati. 2008. Jakarta: Penerbit Salemba Empat.
Muhyuzir, T.D. 2001, Analisa Perancangan Sistem Pengolahan Data. Cetakan Kedua.
Jakarta: PT.Elex Media Komputindo.
O’Brein, J.A. 2005. Pengantar Sistem Informasi. Jakarta: Salemba 4.
Rosyid, Z.A. 2011. Keamanan dan Kontrol Sistem Informasi.(online).
(http://zaidarrosyid.blogspot.com/2011/11/keamanan-dan-kontrol-sistem-informasi.html).
Diakses tanggal 10 Maret 2014.
Sarno, R. & Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Penerbit: ITSPress
Surabaya.
Sidharta, L. 1995. Pengantar Sistem Informasi Bisnis. Jakarta: PT.ELEX Media
Komputindo.
Sutabri, T. 2005. Sistem Informasi Manajemen. 2005. Yogyakarta: Andi Offset.