PERTEMUAN 6
SISTEM PENGENDALIAN
INTERNAL DALAM ORGANISASI
Rangkuman
Trust Services Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem, yaitu keamanan,
kerahasiaan, privasi, integritas pemrosesan, dan ketersediaan. Cara mengidentifikasi
ancaman pada keamanan informasi:
1. Memilih salah satu dari empat respons risiko (menurunkan, menerima, membagi,
atau menghindari) mana yang sesuai untuk diadopsi sehingga sumber daya yang
diinvestasikan pada keamanan informasi menunjukkan kebutuhan risiko organisasi.
2. Para pegawai harus menerima pemberitahuan yang teratur dan periodik terkait
kebijakan keamanan serta melatih bagaimana cara untuk mematuhinya.
3. Mengotorisasi investasi sumber daya yang diperlukan untuk mengatasi ancaman
yang teridentifikasi serta mencapai level keamanan yang dikehendaki.
4. Secara periodik menilai ulang respons risiko organisasi dan membuat perubahan
terhadap kebijakan keamanan informasi serta berinvestasi pada solusi baru.
Perlindungan preventif, detektif, korektif melindungi aset informasi yang cukup lama
agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah terjadi
dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau
dirusak.
COBIT 5 mengidentifikasikan bahwa manajemen harus:
1. Dalam pengendalian preventif, menciptakan sebuah budaya sadar keamanan dan
para pegawai harus dilatih untuk mengikuti kebijakan-kebijakan keamanan serta
mempraktikkan perilaku komputasi yang aman dengan melibatkan pengendalian
autentikasi dan pengendalian otorisasi.
2. Dalam pengendalian detektif, menjelaskan aktivitas-aktivitas yang juga dibutuhkan
organisasi untuk memungkinkan deteksi gangguan dan masalah secara tepat watu.
Terdapat empat jenis pengendalian detektif, yaitu: Analisis log, Sistem deteksi
gangguan, Uji penetrasi, dan Pengawasan berkelanjutan.
4. Dalam pengendalian korektif, dilakukan dengan tiga metode diantaranya adalah:
Computer Incident Respons Team (CIRT), Chief Information Security Officer (CISO),
Patch Management.
Pengendalian virtualisasi dan komputasi cloud untuk meningkatkan baik efisiensi
maupun efektivitas. Virtualisasi menjalankan berbagai sistem secara bersamaan pada
satu komputer fisik. Sedangkan Komputasi cloud memanfaatkan high bandwith dari
jaringan telekomunikasi global modern agar memungkinkan para pegawai menggunakan
sebuah browser untuk mengakses perangkat lunak, penyimpanan data, perangkat keras,
dan aplikasi dari jarak jauh.
Langkah-langkah untuk melindungi kerahasiaan kekayaan intelektual dan informasi
bisnis sensitif lainnya adalah:
1. Mengidentifikasi dan mengklarifikasi informasi untuk dilindungi (identify and classify
information)
2. Mengenkripsi informasi (encryption)
3. Mengendalikan akses atas informasi (access control)
4. Melatih para pegawai untuk menangani informasi secara tepat (training).
Latihan
1. Apakah perbedaan antara autentikasi dan otorisasi?
2. Apa saja keterbatasan, jika ada, dari ketergantungan pada hasil uji penetrasi
untuk menilai keseluruhan tingkat keamanan?
3. Bagaimana pendapat Anda tentang tugas atau tanggung jawab sebuah organisasi
untuk melindungi privasi informasi pribadi para pelanggannya? Jelaskan alasannya!
4. Asumsikan bahwa Anda telah diwawancarai secara online untuk sebuah pekerjaan
dan sekarang menerima sebuah tawaran kerja. Pekerjaan tersebut mengharuskan
Anda untuk berpindah melintasi negara. Perusahaan tersebut mengirimkan sebuah
tanda tangan digital bersama dengan kontrak. Bagaimana hal tersebut dapat
memberikan jaminan yang cukup bagi Anda untuk memercayai penawaran tersebut,
sehingga Anda rela berpindah-berpindah?
5. Apa saja beberapa proses bisnis yang memungkinkan sebuah organisasi untuk
menggunakan pemrosesan batch?
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS BUDI LUHUR
Jl. Raya Ciledug, Petukangan Utara, Pesanggrahan
Jakarta Selatan, 12260
Telp: 021-5853753 Fax : 021-5853752
http://feb@budiluhur.ac.id