PENDAHULUAN
Setiap organisasi pasti bergantung pada teknologi informasi (TI).
Tidak sedikit perusahaan yang memindahkan sebagian dari sistem
informasinya ke cloud. Tujuan dari hal ini adalah, manajemen
menginginkan agar informasi perusahaan yang dihasilkan dari sistem
akuntansi adalah reliabel, manajemen juga menginginkan agar
organisasinya patuh terhadap peraturan dan ketentuan yang ada. Pada
bab ini akan dibahas mengenai prinsip-prinsip dari Trust Services
Framework yang dikembangkan oleh AICPA dan CICA untuk
menyediakan panduan mengenai keandalan suatu sistem informasi.
Trust Service Framework mengatur pengendalian TI ke dalam lima
prinsip, diantaranya :50
1. Keamanan
2. Kerahasiaan
3. Privasi
4. Integritas Pemrosesan
5. Ketersediaan
50
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
76
pengendalian internal merupakan aspek penting dalam sistem keamanan
computer. Keamanan sistem informasi merupakan sebuah aplikasi
prinsip-prinsip pengendalian internal yang secara khusus digunakan
untuk mengatasi masalah-masalah dalam sistem informasi. Sistem
keamanan informasi merupakan suatu sub sistem dalam suatu organisasi
yang bertugas mengendalikan resiko terkait dengan sistem informasi
berbasis computer. Sistem keamanan informasi memiliki elemen utama
sistem informasi, seperti perangkat keras, database, prosedur, dan
pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan
dalam database, dan digunakan untuk menghasilkan laporan. Tujuan
dari sistem keamanan itu sendiri adalah agar tidak banyak terjadinya
kerusakan komputer akibat tidak adanya sistem keamanan, sebagai
petunjuk bagaimana cara mengendalikan atau mengontrol sistem
keamanan, dan untuk lebih mengetahui hal apa saja yang terkait dengan
sistem keamanan informasi.51
Penulis menyimpulkan bahwa, setiap perusahaan pasti memiliki
informasi yang tidak boleh diketahui oleh orang lain, termasuk orang
yang bekerja pada perusahaan itu sendiri. Informasi ini sifatnya rahasia
dan hanya boleh diketahui oleh orang-orang tertentu dalam suatu
perusahaan. Maka, untuk menjaga keamanan informasi tersebut,
perusahaan membuat suatu sistem yang dapat melindungi informasi
yang ada di dalamnya agar tidak dapat diakses oleh sembarang orang.
Tentunya untuk membuat suatu sistem ini, perusahaan sangat
bergantung pada teknologi informasi. Pengendalian sistem informasi
mempunyai peran untuk dapat mendeteksi adanya kesalahan-kesalahan
pada suatu sistem.
51
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)
77
mengestimasi kemungkinannya serta dampak yang akan ditimbulkan.
Manajemen senior harus berpatisipasi dalam pengembangan kebijakan
perusahaan, karena nantinya mereka akan memutuskan sanksi apa yang
akan dikenakan pada ketidakpatuhan. Manajemen senior juga harus
memastikan bahwa pelatihan dan komunikasi dalam perusahaan berjalan
dengan baik. 52
Informasi adalah aset perusahaan yang sama pentingnya
dengan aset yang lain, seperti gedung, mesin produksi, SDM, dsb.
Sebagai konsekuensinya keamanan informasi harus dilindungi dari
berbagai ancaman. Mengelola keamanan komputer dan jaringan
semakin lama menjadi pekerjaan yang sangat menantang bagi para
pegawai, khususnya manajemen perusahaan. Manajer keamanan
informasi harus membuat dan menjalankan inisiatif keamanan informasi
yang memastikan tiga hal utama, yaitu kerahasian, integritas, dan
ketersediaan sistem informasi perusahaan. Keamanan Informasi atau
Information Security adalah proteksi peralatan computer, fasilitas, data,
dan informasi, baik computer maupun non-komputer dari
penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidak
berwenang. Dengan akses Internet yang berkembang dengan cepat,
seseorang mungkin berpikir bahwa halangan terbesar bagi perdagangan
elektronik mungkin adalah luasnya bidang. Namun masalah utamanya
terletak pada keamanan. Selain itu, bagian dari masalah tersebut adalah
Internet yang dibangun untuk Interoperabilitas, bukan kekebalan. 53
Penulis menyimpulkan, suatu keberhasilan sebuah perusahaan
dapat dilihat dari dukungan dari para manajemen seniornya terhadap
manajemen yang ada di bawahnya. Karena dengan begitu, manajemen
senior dapat berbagi pengalamannya dalam menanggapi berbagai
masalah perusahaan dengan cara yang tepat dan cepat. Karena, mereka
telah memiliki pengalaman yang lebih banyak dalam menghadapi
berbagai masalah di perusahaan, khususnya ancaman-ancaman yang
datang dan mereka juga sudah terlatih untuk mengestimasi dampak yang
akan ditimbulkan. Hal ini juga merupakan faktor pendukung penting
52
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
53
Talang, 2009, “Keamanan Informasi”, diakses dari
http://tunjanglebong.blogspot.co.id/2009/06/keamanan-
informasi.html#!/tcmbck, pada tanggal 26 Maret 2016 pukul 20.00
78
demi terciptanya suatu keamanan informasi yang efektif dalam suatu
perusahaan. Dalam hal keamanan informasi yang efektif, teknologi
tingkat tinggi juga menjadi pendukung lain selain manajemen senior
untuk terciptanya keamanan informasi.
54
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
79
sebuah folder atau sistem yang ada pada komputer perusahaan atau
laptop pribadi milik karyawan. Hal ini dimaksudkan agar orang lain
tidak bisa melihat apa isi dari folder tersebut, karna hanya si pemiliklah
yang mengetahui kata sandi dari komputer atau laptopnya. Begitu juga
dengan defense-in-depth. Defense-in-depth melibatkan tiga kombinasi
dari pengendalian preventif, detektif, dan korektif untuk melindungi
suatu sistem informasi perusahaan dari ancaman ataupun serangan yang
ingin mencuri ataupun merusak informasi perusahaan. Ketiga
pengendalian ini merupakan pengendalian berlapis yang dimaksudkan
untuk, apabila pengendalian pertama dapat dirusak oleh orang yang
mengaksesnya tanpa izin, maka pengendalian yang kedua dan yang
ketiga tadi akan bekerja untuk tetap melindungi informasi yang ada di
dalam sistem tersebut dalam kurun waktu yang lama, sehingga
memungkinkan pihak perusahaan menemukan dan mengenali ancaman
tersebut dan dapat dengan cepat mengambil tindakan untuk
menghancurkan ancaman itu.
80
terperinci untuk mengetahui jenis versi perangkat lunak
yang dijalankan perusahaan tersebut.
Penelitian. Setelah mengetahui lebih banyak informasi
penting dan mengetahui perangkat lunak apa yang
digunakan perusahaan, mereka akan mempelajari
kerentanan yang terdeteksi oleh program tersebut dan
mempelajari bagaimana memanfaatkannya.
Mengeksekusi serangan. Setelah mengetahui kerentanan
yang terdeteksi oleh program, mereka memanfaatkan
kerentanan tersebut untuk mendapatkan akses sehingga
mereka mendapatkan informasi yang mereka inginkan dari
perusahaan tersebut.
Menutupi jejak. 55
55
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
81
3. Mengubah file secara langsung, individu tertentu
menemukan cara untuk memotong (bypass) proses normal
untuk menginput data ke dalam program computer.
4. Pencurian data, merupakan salah satu masalah yang cukup
serius dalam dunia bisnis. Dalam industry dengan tingkat
persaingan yang sangat tinggi, informasi kuantitatif dan
kualitatif terkait dengan salah seorang pesaing merupakan
salah satu informasi yang cukup diburu. Sejumlah
informasi ditransmisikan antarperusahaan melalui internet
dan informasi ini rentan terhadap pencurian saat transmisi.
5. Sabotase, merupakan perusakan sebuah computer atau
pengkat lunak yang dapat menyebabkan kebangkrutan
suatu perusahaan. Dalam beberapa kasus seorang penyusup
menggunakan sabotase untuk membuat kecurangan
menjadi sulit dan membingungkan untuk diungkapkan.
6. Penyalahgunaan atau pencurian sumber daya informasi,
salah satu jenis penyalahgunaan informasi terjadi pada saat
seorang karyawan menggunakan sumber daya computer
organisasi untuk kepentingan pribadi. 56
Penulis menyimpulkan bahwa, ada banyak serangan yang ditujukan
pada suatu perusahaan untuk dicuri atau dirusak informasinya. Serangan
tersebut dapat berupa serangan yang ditargetkan dan serangan yang
tidak ditargetkan. Serangan yang ditargetkan adalah serangan yang
berasal dari orang dari luar perusahaan yang ingin mencuri informasi
perusahaan lain contohnya. Sedangkan serangan yang tidak ditargetkan
contohnya seperti virus, bencana alam, kesalahan dari pengoperasian,
dsb. Dalam hal ini, penting kiranya untuk pihak perusahaan mengetahui
apa saja yang dilakukan oleh orang-orang yang ingin mencuri atau
merusak sistem keamanan informasi perusahaan mereka. Pada awalnya
mereka pasti melakukan proses pengintaian terhadap perusahaan yang
ingin mereka curi atau rusak informasinya. Selanjutnya, mereka akan
menyamar atau dengan kata lain “rekayasa sosial”, untuk mengelabui
pihak perusahaan agar mempercayai mereka agar dapat memasuki
perusahaan dengan mudah. Contohnya saja seperti menyamar sebagai
pegawai baru yang belum memahami sistem perusahaan dengan baik.
Setelah mengetahui seluk beluk perusahaan, mereka selanjutnya akan
56
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)
82
memetakan dan memindai target mereka dengan melakukan penelitian
yang lebih terperinci untuk mengetahui jenis versi perangkat lunak
perusahaan. Kemudian, mereka melakukan penelitian terhadap
perangkat lunak tersebut dan mempelajarinya dengan baik untuk
kemudian diakses oleh mereka. Setelah mereka mengakses sistem
tersebut dan mendapatkan apa yang mereka inginkan, mereka akan
menutupi jejak mereka agar tidak diketahui oleh pihak perusahaan.
Pengendalian Preventif
Pada bagian ini, akan dibahas mengenai pengendalian preventif yang
digunakan oleh suatu organisasi untuk membatasi akses sumber daya
informasinya. Meskipun pengendalian preventif itu penting, namun
komponen orang-orang yang terlibat di dalam jauh lebih penting.
Manajemen perusahaan haruslah membuat para pegawainya sadar akan
keamanan dari informasi organisasinya dan harus melatih mereka untuk
dapat mengikuti kebijakan yang ada dan mempraktikan perilaku
komputasi yang aman. 57
Pengendalian preventif dilakukan untuk mencegah kekeliruan dan
penipuan sebelum keduanya terjadi, terutama pada tahap masukkan dan
pemrosesan pada pemrosesan transaksi. Contoh dari pengendalian
preventif diantaranya menghindari pemakaian perangkat lunak freeware
atau shareware dari sumber yang belum bisa dipercaya, memeriksa
program baru atau berkas-berkas baru yang mengandung makro dengan
program anti virus sebelum dipakai, menyadarkan pada setiap pemakai
untuk waspada terhadap virus. Pengendalian untuk pencegahan
(preventive control) mencegah timbulnya suatu masalah sebelum
mereka muncul. Mempekerjakan personil akuntansi yang berkualifikasi
tinggi, pemisahan tugas pegawai yang memadai, dan secara efektif
mengendalikan akses fisik atas aset, fasilitas dan informasi, merupakan
pengendalian pencegahan yang efektif. 58
Penulis menyimpulkan bahwa, pengendalian preventif merupakan
sebuah pengendalian tahap awal yang digunakan dalam sistem
57
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
58
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)
83
keamanan informasi. Pengendalian preventif digunakan oleh organisasi
atau perusahaan untuk membatasi akses terhadap sumber daya informasi
mereka. Hanya orang-orang tertentu saja yang dapat mengakses
informasi tersebut. Meskipun pengendalian ini penting, namun apabila
ornag-orang yang terlibat di dalamnya tidak memahami dengan baik
pengendalian ini, maka pengendalian preventif ini tidak akan ada
gunanya. Manajemen perusahaan harus membuat para pegawainya
sadar, khususnya pegawai yang terlibat dalam pengaplikasian sistem
keamanan informasi. Manajemen perusahaan sebaiknya melatih mereka
untuk dapat mengikuti kebijakan yang telah ada dengan benar dan
mempraktikkan perilaku komputasi dengan baik agar informasi
perusahaan tidak dirusak atau dicuri oleh orang lain.
a) Orang-orang : Penciptaan Sebuah Budaya “Sadar-Keamanan”
Untuk menciptakan sebuah budaya “sadar-keamanan” dalam
suatu organisasi, manajemen haruslah membuat para
pegawainya mematuhi kebijakan organisasi yang telah dibuat,
tidak hanya dengan cara mengkomunikasikannya pada para
karyawan, namun harus dipandu dan juga dicontohkan. Para
pegawai cenderung akan lebih mematuhi suatu peraturan atau
kebijakan, apabila mereka melihat atasan mereka melakukan
hal sama, dalam hal ini atasan yang dimaksud adalah manajer.
Maka sebaliknya, apabila para pegawai melihat manajer
mereka tidak mematuhi kebijakan yang ada, mereka pun akan
melakukan hal yang sama. Contohnya, jika manajer dengan
ceroboh menempelkan kata sandi di monitor. Padahal
seharusnya, kata sandi tersebut sifatnya rahasia yang tidak
boleh diketahui oleh sembarang orang.
b) Orang-orang : Pelatihan
Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamanan bagi keberlangsungan orgnanisasi atau
perusahaan mereka. Mereka juga harus dilatih untuk dapat
mengoperasikan komputer secara baik, atau dengan kata lain
praktik komputasi yang aman. Contohnya seperti tidak perlu
membuka lampiran e-mail yang tidak penting, membagikan
kata sandi kepada orang lain yang tidak berkepentingan dengan
program yang bersangkutan, dan melindungi laptop atau
komputer mereka secara fisik. Pelatihan sangat penting
dilakukan, agar para pegawai dapat menghadapi serangan
84
rekayasa sosial. Pelatihan keamanan juga penting bagi
manajemen senior, karena akhir-akhir ini semakin banyak
serangan rekayasa sosial yang diarahkan kepada mereka.
Serangan-serangan tersebut pun sudah tidak mempan lagi untuk
diatasi dengan solusi atau metode lama, karna serangan yang
terjadi merupakan yang baru akibat dari perkembangan
teknologi saat ini.
85
Manajemen terpusat pada sejumlah patch dan selalu
memperbaharui perangkat lunak anti-malware
Tinjauan yang teratur atas ancaman malware yang
baru
Menyaring lalu lintas masuk untuk mengeblok
sumber malware potensial
Melatih pegawai untuk tidak memasang perangkat
lunak yang dibagikan atau disetujui.
86
server, printer, dan perangkat lainnya yang termasuk dalam
jaringan perusahaan atau organisasi.
g) Solusi TI : Enkripsi
Enkripsi merupakan sistem keamanan terakhir yang ada pada
lapisan pertahanan yang dipakai untuk menjaga informasi
oraganisasi, khususnya mencegah akses tanpa izin terhadap
informasi sensitif atau informasi penting pada suatu
perusahaan.
87
perangkat pribadi lainnya. Karena, hal tersebut berpotensi
untuk terjadinya pencurian dan hilangnya informasi yang telah
disimpan dengan mudah. Kalau pun informasi sensitif tersebut
harus disimpan dalam laptop, maka informasi tersebut harus
dienkripsi, sehingga apabila laptop tersebut hilang,
informasinya tidak akan bisa diakses oleh orang lain.
88
pada proses dan sistem tersebut dapat membantu
keberlangsungan organisasi.
3. Seluruh perubahan yang sudah disetujui kemudian
dilakukan pengujian dengan menggunakan sebuah sistem
yang terpisah.
4. Pengendalian konversi harus memastikan bahwa data
sudah ditransfer secara akurat dan lengkap, dari sistem
yang lama ke sistem yang baru.
5. Pembaharuan yang dilakukan menunjukkan implementasi
perubahan yang baru.
6. Seluruh proses di atas harus dilakukan dengan cepat dan
tepat waktu, segera setelah krisis terjadi. Apabila setelah
terjadi krisis tidak langsung dilakukan perubahan terhadap
sistem informasi tersebut, kemungkinan besar sistem
informasi yang lain pun akan dapat dirusak oleh orang-
orang yang tidak bertanggungjawab. Seluruh perubahan
yang dilakukan juga harus dicatat agar menyediakan jejak
audit.
7. Dilakukannya pengembangan dan dokumentasi “mundur”
untuk dapat dengan mudah mengembalikan perubahan
yang telah dilakukan ke konfirgurasi sebelumnya, apabila
perubahan yang baru menciptakan masalah yang tidak
diharapkan oleh organisasi.
8. Pengawasan dan peninjauan yang dilakukan dengan cermat
atas hak dan keistimewaan bagi pengguna selama proses
perubahan untuk dapat memastikan bahwa pemisahan
tugas yang sesuai sudah ditetapkan.
Pengendalian Detektif
Seperti yang sudah pernah dibahas sebelumnya bahwa pengendalian
preventif tidak pernah 100% dapat mencegah atau mendeteksi dan
mengeblok serangan yang terjadi terhadap suatu sistem. Maka, COBIT 5
DSS05.07 menjelaskan aktivitas-aktivitas lain yang dapat dilakukan
oleh organisasi guna mendeteksi gangguan-gangguang yang ada secara
89
tepat waktu yang dibagi ke dalam empat jenis pengendalian detektif,
yaitu : 59
a) Analisis Log
Merupakan pemerikasaan yang dilakukan terhadap log untuk
mengidentifikasi bukti bahwa adanya kemungkinan serangan
yang dilakukan terhadap suatu sistem informasi organisasi.
Sebagian besar sistem mempunyai kemampuan yang dapat
mencatat (logging) siapa saja yang mengakses sistem tersebut
dan tindakan apa yang dilakukan oleh si pengakses pada sistem
tersebut. Log-log tersebut akan lebih bernilai apabila diperiksa
secara rutin, karena dengan begitu kita dapat melihat dan
menganalisis kegagalan-kegagalan apa saja yang terjadi pada
saat pengguna mencoba mengakses atau masuk ke dalam
sistem informasi tersebut. Dengan menganalisis log secara
rutin, organisasi dapat mendeteksi masalah secara cepat atau
tepat waktu.
59
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
90
c) Pengujian Penetrasi
Pengujian penetrasi merupakan suatu cara yang lebih cermat
untuk menguji efektivitas suatu keamanan informasi yang pada
organisasi. Uji penetrasi ini sendiri merupakan sebuah upaya
yang terotorisasi yang dilakukan oleh tim audit internal
maupun konsultasi keamanan eksternal untuk menerobos ke
dalam sistem informasi organisasi. Mereka mencoba berbagai
cara untuk bisa merusak sistem organisasi.
d) Pengawasan Berkelanjutan
Pengendalian detektif dilakukan untuk mengatasi kekeliruan dan
penipuan setelah keduanya terjadi. Praktik COBIT 5 menekankan
pentingnya pengawasan yang berkelanjutan dan kepatuhan para pegawai
terhadap kebijakan ataupun peraturan perusahaan mengenai keamanan
informasi serta kinerka keseluruhan proses bisnis. Pengawasan ini
merupakan pengendalian detektif yang dapat mendeteksi ancaman
secara tepat waktu. Sehingga, sebelum sistem tersebut dirusak, maka
pihak perusahaan dapat dengan cepat melakukan upaya-upaya
pencegahan yang dirasa tepat. Untuk menerapkan perlindungan yang
akan dilakukan dibutuhkan prosedur cara mendeteksi adanya
permasalahan yang potensial pada sisi keamanan. Semakin cepat suatu
masalah bisa dideteksi maka akan semakin cepat pula cara memperbaiki
dan membersihkan permasalahan yang berhasil ditemukan. Response
(Tanggapan) Setiap organisasi/perusahaan membutuhkan suatu rencana
pengembangan terhadap sistem keamanan seperti apa yang harus
dilakukan bila timbul suatu masalah, siapa yang harus
bertanggungjawab bila masalah itu timbul.Keamanan Informasi
(Information Security) Yang terpenting dari keamanan jaringan adalah
melindungi asset perusahaan berupa informasi. Hal-hal yang termasuk
ke dalam pengendalian detektif adalah dengan secara rutin menjalankan
program antivirus untuk mendeteksi infeksi virus yang ada pada sistem
keamanan informasi. Kemudian melakukan pembandingan ukuran-
ukuran berkas untuk mendeteksi perubahan ukuran pada berkas dan
melakukan pembandingan tanggal berkas untuk mendeteksi perubahan
tanggal berkas. 60
60
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)
91
Penulis menyimpulkan bahwa, pengendalian detektif adalah
pengendalian yang dilakukan apabila pengendalian preventif berhasil
dirusak. Yang terpenting dari keamanan jaringan adalah melindungi
asset perusahaan berupa informasi. Hal-hal yang termasuk ke dalam
pengendalian detektif adalah dengan secara rutin menjalankan program
antivirus untuk mendeteksi infeksi virus yang ada pada sistem keamanan
informasi
Pengendalian Korektif
Mendeteksi masalah pada waktu yang tepat tidaklah cukup, karena
organisasi juga memerlukan prosedur untuk melakukan tindakan
korektif pada waktu yang tepat pula. Banyak pengendalian korektif yang
bergantung pada pertimbangan manusia yang mengakibatkan efektivitas
mereka bergantung pada perencanaan dan persiapan yang sesuai. 61
Pengendalian korektif dapat dilakukan dengan memastikan pemback-
up-an. Pengendalian ini dilakukan untuk mengoreksi kekeliruan.
Pengendalian korektif (corrective control) dapat memecahkan masalah
yang ditemukan oleh pengendalian untuk pemeriksaan. Pengendalian ini
mencakup prosedur yang dilaksanakan untuk mengidentifikasi penyebab
masalah, memperbaiki kesalahan atau kesulitan yang ditimbulkan, dan
mengubah sistem agar masalah di masa mendatang dapat
diminimalisasikan atau dihilangkan. Contoh dari pengendalian ini
termasuk pemeliharaan kopi cadangan (backup copies) atas transaksi
dan file utama, dan mengikuti prosedur untuk memperbaiki kesalahan
memasukkan data, seperti juga kesalahan dalam menyerahkan kembali
transaksi untuk proses lebih lanjut. 62
Penulis menyimpulkan bahwa, pengendalian korektif hanya dapat
dilakukan jika sudah terjadi back-up. Banyak hal yang menyebabkan
pengendalian korektif tidak dapat diterapkan, salah satunya ialah karena
pengendalian ini bergantung pada pertimbangan manusia yang
mengakibatkan efektivitas mereka bergantung pada perencanaan dan
persiapan yang sesuai.
61
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
62
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)
92
Terdapat tiga pengendalian korektif, yaitu:
a) Computer Incident Response Team (CIRT)
Computer Incident Response Team atau tim perespons insiden
komputer. Sebuah komponen memerlukan tim perespons insiden
komputer untuk dapat merespon insiden keamanan dengan cepat dan
efektif. Tim perespons insiden komputer ini sebaiknya tidak hanya
didominasi oleh para ahli atau spesialis teknis saja, namun di
dalamnya juga harus melibatkan para manajer senior karena,
beberapa respons potensial insiden keamanan memiliki konsekuensi
ekonomi yang signifikan. Sebuah tim perespons insiden komputer
harus mengarahkan proses respon insiden melalu empat tahapan,
diantaranya :
1. Pemberitahuan adanya masalah. Biasanya, IPS dan IDS akan
memberikan sinyal adanya serangan yang terdeteksi dalam lalu
lintas jaringan. Namun juga terkadang dapat berasal dari analisis
log yang dilakukan oleh administrator sistem.
2. Penahahan masalah. Setelah gangguan atau serangan tersebut
terdeteksi, maka diperlukan tindakan yang tepat untuk menahan
dan mengentikan gangguan tersebut.
3. Pemulihan. Bahaya yang disebabkan oleh serangan harus segera
diperbaiki. Hal ini mungkin dapat dilakukan dengan
penyimpanan ulang data dan pemasangan kembali program-
program yang rusak.
4. Tindak lanjut. Setelah pemulihan dilakukan, tim perespons
insiden komputer harus dapat menganalisi bagaimana insiden
tersebut dapat terjadi. Mungkin ada beberapa kebijakan dan
prosedur keamanan yang harus dimodifikasi agar kemungkinan
terjadinya kejadian serupa dapat diminimalisir di masa yang akan
datang. Keputusan penting yang harus dibuat adalah, apakah si
pelaku perusakan tersebut dapat ditangkap dan dikenai sanksi
atas perbuatannya tersebut. Jika organisasi memutuskan untuk
menangkap dan menuntut si pelaku pengerusakkan, maka
organisasi perlu melibatkan pakar forensik untuk memastikan
bahwa seluruh bukti yang memungkinkan telah dikumpulkan dan
93
dikelola dengan cara yang tepat yang dapat mempermudah kita
dalam proses administrasi si pengadilan nanti. 63
Computer Incident Response Team adalah sebuah tim yang
diseleksi dengan hati-hati dan berisi orang-orang yang ahli dalam
menangani insiden (khususnya insiden pada aset informasi),
sehingga suatu insiden dapat dengan cepat dideteksi, diinvestigasi,
dan diatasi.Hal-hal yang dilakukan oleh CIRT diantaranya menjadi
single point of contact (sebagai penghubung bila terjadi insiden
informasi), melakukan identifikasi / menganalisa dari suatu
serangan, menentukan kebijakan / prediksi cara mengatasi bila
terjadi serangan, melakukan penelitian, membagi pengetahuan,
memberikan kesadaran bersama, dan memberikan respon bila terjadi
serangan. Contoh-contoh konstituen CIRT adalah Pemerintahan,
Grup kecil atau besar, dan Military. Contoh tugas nasional CIRT
adalah Singel point of contact danMenyediakan layanan secara 24
jam. 64
Penulis menyimpulkan bahwa, Computer incident response
dibentuk dengan tujuan apabila terjadi suatu masalah pada asset
informasi, maka computer incident response yang akan menangani
hal tersebut. Orang-orang yang tergabung dalam CIR ini merupakan
orang-orang terpilih sehingga ketika terjadi masalah, penanganannya
akan cepat dan penyelesaiannya juga cepat.
63
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
64
SANS Institute InfoSec
94
teratur dan audit keamanannya dilakukan secara periodik. CISO juga
harus bekerja sama dengan pihak yang berwenang atas keamanan
fisik, karena akses atas fisik yang dilakukan tanpa izin dapat
memungkinkan masuknya penyusup untuk menerobos pengendalian
akses yang paling rumit sekalipun. 65
Sebuah Chief Information Security Officer (CISO) adalah
eksekutif tingkat senior dalam sebuah organisasi yang bertanggung
jawab untuk membangun dan mempertahankan perusahaan visi,
strategi dan program untuk memastikan aset informasi dan teknologi
yang memadai dilindungi. The CISO mengarahkan staf dalam
mengidentifikasi, mengembangkan, melaksanakan dan memelihara
proses di seluruh organisasi untuk mengurangi informasi
dan teknologi informasi (IT) risiko. Mereka menanggapi insiden,
menetapkan standar dan pengendalian yang tepat, mengelola
teknologi keamanan, dan mengarahkan pembentukan dan
pelaksanaan kebijakan dan prosedur.CISO juga biasanya
bertanggung jawab atas kepatuhan informasi terkait.Biasanya,
pengaruh CISO ini mencapai seluruh organisasi. Tanggung jawabnya
meliputi:
Computer Emergency Response Team Response Team Insiden /
Keamanan Komputer
Keamanan cyber
Pemulihan bencana dan manajemen bisnis kontinuitas
Manajemen identitas dan akses
privasi informasi
Informasi kepatuhan terhadap peraturan Informasi manajemen
risiko
Keamanan informasi dan jaminan informasi
Keamanan Informasi Pusat Operasi ISOC
Kontrol teknologi informasi untuk sistem keuangan dan lainnya
Investigasi IT, forensik digital , eDiscovery
Arsitektur keamanan
Memiliki CISO atau fungsi setara dalam organisasi telah
menjadi standar di sektor bisnis, pemerintah dan non-profit. Di
65
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
95
seluruh dunia, semakin banyak organisasi memiliki CISO.Pada tahun
2009, sekitar 85% dari organisasi besar memiliki eksekutif
keamanan, naik dari 56% pada tahun 2008, dan 43% pada tahun
2006. Pada tahun 2011, dalam survei oleh PricewaterhouseCoopers
untuk Survey Keamanan Informasi Tahunan mereka, [1] 80% dari
bisnis memiliki sebuah CISO atau setara. Sekitar sepertiga dari
kepala keamanan melapor ke Chief Information Officer (CIO), 35%
untuk Chief Executive Officer (CEO), dan 28% untuk dewan
direksi.Di perusahaan, tren untuk CISOs untuk memiliki
keseimbangan yang kuat dari ketajaman bisnis dan pengetahuan
teknologi. CISOs sering dalam permintaan tinggi dan kompensasi
sebanding dengan posisi C-tingkat lain yang juga mengadakan
serupa judul Perusahaan .
Penulis menyimpulkan bahwa, CISO merupakan sub-organisasi
yang memiliki tanggung jawab untuk selalu memastikan bahwa
penilaian yang dilakukan berlangsung secara teratur dan audit
keamanannya dilakukan secara periodik. CISO juga biasanya
bertanggung jawab atas kepatuhan informasi terkait.Biasanya,
pengaruh CISO ini mencapai seluruh organisasi.CISO harus dapat
menjadi penilai dan pengevaluasi yang baik terhadap lingkungan TI.
c) Management Patch
Patch, merupakan kode yang dibuat oleh pengembang
perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen
patch adalah proses yang dilakukan secara teratur oleh pihak
perusahaan atau manajemen untuk menerapkan dan memperbaharui
seluruh perangkat lunak yang digunakan oleh perusahaan.
Menerapkan patch bukanlah hal yang mudah, karena patch
merepresentasikan modifikasi dari perangkat lunak yang sungguh
rumit untuk diaplikasikan. Akibatnya, patch dapat menciptakan
masalah yang baru karena dampak lain yang tidak diantisipasi. Maka
perusahaan diharuskan untuk menguji efek dari patch yang akan
diaplikasikan dengan cermat sebelum patch tersebut disebarkan.
Kalau hal tersebut tidak lakukan, maka perusahaan akan
menanggung risiko yaitu mengalami kerusakan terhadap aplikasi
yang penting. Masalah lain yaitu, kemungkinan adanya berbagai
patch yang dirilis pada tiap tahunnya, membuat organisasi harus
96
menerapkan ratusan patch pada ribuan mesin yang digunakan oleh
organisasi setiap tahunnya. 66
Manajemen patch adalah daerah manajemen sistem yang
melibatkan memperoleh, pengujian, dan menginstal beberapa patch
yang es (perubahan kode) ke sistem komputer diberikan. Tugas
manajemen patch meliputi: mempertahankan pengetahuan saat ini
patch yang tersedia, memutuskan apa patch yang sesuai untuk sistem
tertentu, memastikan bahwa patch diinstal dengan benar, pengujian
sistem setelah instalasi, dan mendokumentasikan semua prosedur
terkait, seperti spesifik konfigurasi diperlukan.
Penulis menyimpulkan bahwa, Patch merupakan kode yang
dibuat oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu. Tugas manajemen patch adalah
mempertahankan pengetahuan saat ini patch yang tersedia,
memutuskan apa patch yang sesuai untuk sistem tertentu,
memastikan bahwa patch diinstal dengan benar, pengujian sistem
setelah instalasi, dan mendokumentasikan semua prosedur terkait,
seperti spesifik konfigurasi diperlukan.
66
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
97
Komputasi cloud dapat menghemat biaya secara signifikan dan lebih
fleksibel. 67
Virtualisasi sebagai fondasi komputasi cloud secara konsisten
menyatakan infrastruktur virtualisasi sebagai komponen pembangun
utama dari komputasi cloud. Virtualisasi memungkinkan organisasi
memisahkan aplikasi bisnis dan informasi kritikal dengan piranti keras
fisik. Hal ini menjadi cara yang efektif dan cepat menuju awan. Semakin
banyak organisasi menyadari manfaat dari investasi di virtualisasi.
Sebagian besar perusahaan menggunakan virtualisasi untuk server dan
data center, banyak di antaranya berfokus memberdayakan virtualisasi
untuk meningkatkan kemampuan pemulihan bencana dan
kesinambungan bisnis. Cara kerja komputasi awan yang seperti itu yang
masih mengundang keraguan konsumen, apakah teknologi tersebut
aman atau tidak. Selain itu, sebelum melangkah ke komputasi awan,
sebuah perusahaan terlebih dahulu harus menerapkan virtualisasi data
centernya secara internal.
Penulis menyimpulkan bahwa, virtualisasi merupakan
pemanfaatan kekuatan serta kecepatan suatu komputer untuk dapat
menjalankan berbagai sistem dalam waktu yang bersamaan pada satu
komputer saja. Virtualisasi sebagai fondasi komputasi cloud secara
konsisten menyatakan infrastruktur virtualisasi sebagai komponen
pembangun utama dari komputasi cloud. Virtualisasi memungkinkan
organisasi memisahkan aplikasi bisnis dan informasi kritikal dengan
piranti keras fisik.
Daftar Pustaka
Romney, Marshall B dan Steinbart, Paul John. 2015. Sistem Informasi
Akuntansi, Terj. Kikin Sakinah Nur Safira dan Novita Puspasari.
(Jakarta: Salemba Empat).
SANS Institute InfoSec.
Bodnar, George H dan Hopwood, William S. 2006. Sistem Informasi
Akuntansi. (Yogyakarta: Penerbit Andi).
Talang. 2009. “Keamanan Informasi”, diakses dari
http://tunjanglebong.blogspot.co.id/2009/06/keamanan-
informasi.html#!/tcmbck, (26 Maret 2016).
67
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
98