BAB III

PENGENDALIAN UNTUK KEAMANAN

INFORMASI

PENDAHULUAN
Setiap organisasi pasti bergantung pada teknologi informasi (TI).
Tidak sedikit perusahaan yang memindahkan sebagian dari sistem
informasinya ke cloud. Tujuan dari hal ini adalah, manajemen
menginginkan agar informasi perusahaan yang dihasilkan dari sistem
akuntansi adalah reliabel, manajemen juga menginginkan agar
organisasinya patuh terhadap peraturan dan ketentuan yang ada. Pada
bab ini akan dibahas mengenai prinsip-prinsip dari Trust Services
Framework yang dikembangkan oleh AICPA dan CICA untuk
menyediakan panduan mengenai keandalan suatu sistem informasi.
Trust Service Framework mengatur pengendalian TI ke dalam lima
prinsip, diantaranya :50
1. Keamanan
2. Kerahasiaan
3. Privasi
4. Integritas Pemrosesan
5. Ketersediaan

Pengendalian yang dimaksud adalah sejauh mana pengendalian

informasi mempunyai peran dalam mencegah dan mendeteksi adanya
kesalahan-kesalahan . Sebuah pengendalian dapat berhasil ketika
kesalahan dapat diminimalisir. Karena masih banyak kejadian yang
terjadi akibat masih kurangnya keamanan informasi dan masih sedikit
orang yang mengetahui kegunaan sistem keamanan informasi. Sistem
keamanan computer merupakan bagian dari struktur pengendalian
internal perusahaan secara keseluruhan. Ini berarti, elemen dasar

50
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

76
pengendalian internal merupakan aspek penting dalam sistem keamanan
computer. Keamanan sistem informasi merupakan sebuah aplikasi
prinsip-prinsip pengendalian internal yang secara khusus digunakan
untuk mengatasi masalah-masalah dalam sistem informasi. Sistem
keamanan informasi merupakan suatu sub sistem dalam suatu organisasi
yang bertugas mengendalikan resiko terkait dengan sistem informasi
berbasis computer. Sistem keamanan informasi memiliki elemen utama
sistem informasi, seperti perangkat keras, database, prosedur, dan
pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan
dalam database, dan digunakan untuk menghasilkan laporan. Tujuan
dari sistem keamanan itu sendiri adalah agar tidak banyak terjadinya
kerusakan komputer akibat tidak adanya sistem keamanan, sebagai
petunjuk bagaimana cara mengendalikan atau mengontrol sistem
keamanan, dan untuk lebih mengetahui hal apa saja yang terkait dengan
sistem keamanan informasi.51
Penulis menyimpulkan bahwa, setiap perusahaan pasti memiliki
informasi yang tidak boleh diketahui oleh orang lain, termasuk orang
yang bekerja pada perusahaan itu sendiri. Informasi ini sifatnya rahasia
dan hanya boleh diketahui oleh orang-orang tertentu dalam suatu
perusahaan. Maka, untuk menjaga keamanan informasi tersebut,
perusahaan membuat suatu sistem yang dapat melindungi informasi
yang ada di dalamnya agar tidak dapat diakses oleh sembarang orang.
Tentunya untuk membuat suatu sistem ini, perusahaan sangat
bergantung pada teknologi informasi. Pengendalian sistem informasi
mempunyai peran untuk dapat mendeteksi adanya kesalahan-kesalahan
pada suatu sistem.

DUA KONSEP KEAMANAN INFORMASI FUNDAMENTAL

1. Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah
Teknologi
Keamanan informasi yang efektif didukung dengan
penggunaan alat-alat berteknologi, namun dukungan dari manajemen
senior merupakan dasar yang penting untuk mencapai sebuah
keberhasilan. Para profesional keamanan informasi memiliki
kemampuan untuk dapat mengidentifikasi suatu ancaman dan

51
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)

77
mengestimasi kemungkinannya serta dampak yang akan ditimbulkan.
Manajemen senior harus berpatisipasi dalam pengembangan kebijakan
perusahaan, karena nantinya mereka akan memutuskan sanksi apa yang
akan dikenakan pada ketidakpatuhan. Manajemen senior juga harus
memastikan bahwa pelatihan dan komunikasi dalam perusahaan berjalan
dengan baik. 52
Informasi adalah aset perusahaan yang sama pentingnya
dengan aset yang lain, seperti gedung, mesin produksi, SDM, dsb.
Sebagai konsekuensinya keamanan informasi harus dilindungi dari
berbagai ancaman. Mengelola keamanan komputer dan jaringan
semakin lama menjadi pekerjaan yang sangat menantang bagi para
pegawai, khususnya manajemen perusahaan. Manajer keamanan
informasi harus membuat dan menjalankan inisiatif keamanan informasi
yang memastikan tiga hal utama, yaitu kerahasian, integritas, dan
ketersediaan sistem informasi perusahaan. Keamanan Informasi atau
Information Security adalah proteksi peralatan computer, fasilitas, data,
dan informasi, baik computer maupun non-komputer dari
penyalahgunaan oleh pihak-pihak yang tidak terotorisasi/ tidak
berwenang. Dengan akses Internet yang berkembang dengan cepat,
seseorang mungkin berpikir bahwa halangan terbesar bagi perdagangan
elektronik mungkin adalah luasnya bidang. Namun masalah utamanya
terletak pada keamanan. Selain itu, bagian dari masalah tersebut adalah
Internet yang dibangun untuk Interoperabilitas, bukan kekebalan. 53
Penulis menyimpulkan, suatu keberhasilan sebuah perusahaan
dapat dilihat dari dukungan dari para manajemen seniornya terhadap
manajemen yang ada di bawahnya. Karena dengan begitu, manajemen
senior dapat berbagi pengalamannya dalam menanggapi berbagai
masalah perusahaan dengan cara yang tepat dan cepat. Karena, mereka
telah memiliki pengalaman yang lebih banyak dalam menghadapi
berbagai masalah di perusahaan, khususnya ancaman-ancaman yang
datang dan mereka juga sudah terlatih untuk mengestimasi dampak yang
akan ditimbulkan. Hal ini juga merupakan faktor pendukung penting

52
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
53
Talang, 2009, “Keamanan Informasi”, diakses dari
http://tunjanglebong.blogspot.co.id/2009/06/keamanan-
informasi.html#!/tcmbck, pada tanggal 26 Maret 2016 pukul 20.00

78
demi terciptanya suatu keamanan informasi yang efektif dalam suatu
perusahaan. Dalam hal keamanan informasi yang efektif, teknologi
tingkat tinggi juga menjadi pendukung lain selain manajemen senior
untuk terciptanya keamanan informasi.

2. Defense-In-Depth dan Model Keamanan Informasi Berbasis Waktu

Defense-In-Depth merupakan suatu gagasan di mana
penggunaan berbagai lapisan pengendalian untuk menghindari
kegagalan. Contohnya seperti penggunaan kata sandi, yang bertujuan
untuk membatasi akses terhadap sistem informasi yang dimilki oleh
suatu perusahaan. Defense-In-Depth sendiri melibatkan tiga kombinasi
dari pengendalian preventif, detektif, dan korektif. Pengendalian yang
berlapis ini dimaksudkan agar apabila pengendalian yang satu gagal,
maka yang lainnya dapat berfungsi untuk melindungi sistem informasi
yang ada di dalamnya sesuai dengan yang telah direncanakan. Tujuan
dari model keaamanan informasi berbasis waktu itu sendiri adalah untuk
menggunakan kombinasi dari ketiga pengendalian di atas untuk
melindungi informasi perusahaan dengan waktu yang lama sehingga
memungkinkan organisasi menemukan dan mengenali serangan yang
terjadi terhadap sistem informasinya dan mengambil langkah yang tepat
untuk mnghancurkan atau menggagalkannya, sebelum informasi
tersebut hilang atau bahkan dirusak.54
Pendekatan yang paling handal adalah dengan menggunakan
defense in depth dan model keamanan informasi berbasis waktu. Model
ini melakukan pemeriksaan dan monitoring system secara terus-
menerus. Setiap sistem melakukan pertahanan sendiri-sendiri.
Monitoring dilakukan baik dibagian internal sistem maupun di daerah
garis pertahanan. Model perlindungan seperti ini melibatkan admin
jaringan dan apabila terjadi masalah pada sistem tersebut maka admin
tersebut yang paling bertanggung jawab akan hal tersebut.
Penulis menyimpulkan bahwa, Defense-In-Depth merupakan
suatu gagasan yang dibuat untuk dapat mengendalikan suatu sistem agar
tidak dapat dengan mudah dirusak oleh orang yang mengaksesnya tanpa
izin. Contoh dari pengendalian ini adalah pemberian kata sandi pada

54
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

79
sebuah folder atau sistem yang ada pada komputer perusahaan atau
laptop pribadi milik karyawan. Hal ini dimaksudkan agar orang lain
tidak bisa melihat apa isi dari folder tersebut, karna hanya si pemiliklah
yang mengetahui kata sandi dari komputer atau laptopnya. Begitu juga
dengan defense-in-depth. Defense-in-depth melibatkan tiga kombinasi
dari pengendalian preventif, detektif, dan korektif untuk melindungi
suatu sistem informasi perusahaan dari ancaman ataupun serangan yang
ingin mencuri ataupun merusak informasi perusahaan. Ketiga
pengendalian ini merupakan pengendalian berlapis yang dimaksudkan
untuk, apabila pengendalian pertama dapat dirusak oleh orang yang
mengaksesnya tanpa izin, maka pengendalian yang kedua dan yang
ketiga tadi akan bekerja untuk tetap melindungi informasi yang ada di
dalam sistem tersebut dalam kurun waktu yang lama, sehingga
memungkinkan pihak perusahaan menemukan dan mengenali ancaman
tersebut dan dapat dengan cepat mengambil tindakan untuk
menghancurkan ancaman itu.

Memahami Serangan yang Ditargetkan

Ada banyak ancaman yang mengancam keamanan informasi suatu
perusahaan, contohnya seperti virus, bencana alam, kegagagalan
perangkat keras, dan kesalahan dari manusia itu sendiri. Dengan kata
lain kejadian yang tidak ditargetkan. Namun, organisasi juga sering
dijadikan sasaran yang ditargetkan atau disengaja. Adapun langkah-
langkah dasar yang dilakukan oleh orang-orang yang menyerang sistem
informasi perusahaan, yaitu:
 Mereka akan melakukan pengintaian terhadap perusahaan
yang akan mereka ambil informasinya. Awalnya mereka
mengumpulkan informasi sebanyak mungkin mengenai
perusahaan tersebut.
 Mengupayakan rekayasa sosial. Rekayasa sosial dapat
dilakukan dengan melalui telepon, e-mail, atau menyamar
sebagai karyawan sementara yang belum memahami
dengan baik suatu sistem perusahaan, kemudian ia
menghubungi bagian helpdesk untuk meminta bantuan.
 Memindai dan memetakan target. Jika mereka sudah
berhasil mengelabui targetnya melalui rekayasa sosial,
selanjutnya mereka akan memindai dan memetakan
targetnya dengan melakukan pengintaian yang lebih

80
 terperinci untuk mengetahui jenis versi perangkat lunak
yang dijalankan perusahaan tersebut.
 Penelitian. Setelah mengetahui lebih banyak informasi
penting dan mengetahui perangkat lunak apa yang
digunakan perusahaan, mereka akan mempelajari
kerentanan yang terdeteksi oleh program tersebut dan
mempelajari bagaimana memanfaatkannya.
 Mengeksekusi serangan. Setelah mengetahui kerentanan
yang terdeteksi oleh program, mereka memanfaatkan
kerentanan tersebut untuk mendapatkan akses sehingga
mereka mendapatkan informasi yang mereka inginkan dari
perusahaan tersebut.
 Menutupi jejak. 55

Personel sistem kerap kali merupakan hambatan atau ancaman

potensial karena mereka diberi berbagai kewenangan akses terhadap
data dan program yang sensitive. Pengguna, hanya diberi akses terbatas,
tetapi mereka masih memiliki cara untuk melakukan kecurangan.
Penyusup tidak diberi akses sama sekali, tetapi mereka sering
merupakan orang-orang yang sangat cerdas yang biasa menimbulkan
kerugian yang sangat besar pada perusahaan. Berikut akan didiskusikan
enam metode yang dapat digunakan untuk melakukan kecurangan
sistem informasi. Metode ini meliputi :
1. Manipulasi input, merupakan metode yang biasa digunakan
dan mensyaratkan kemampuan teknis yang paling minimal.
Seseorang bisa saja mengubah input tanpa memiliki
pengetahuan mengenai cara operasi sistem informasi.
2. Mengubah program, merupakan metode yang paling jarang
digunakan untuk melakukan kejahatan computer. Hal ini
dimungkinkan karena dibutuhkan keahlian pemrograman
yang hanya dimiliki oleh sejumlah orang. Selain itu,
banyak perusahaan besar memiliki metode pengujian
program yang dapat digunakan untuk mendeteksi adanya
perubahan dalam program.

55
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

81
 3. Mengubah file secara langsung, individu tertentu
menemukan cara untuk memotong (bypass) proses normal
untuk menginput data ke dalam program computer.
4. Pencurian data, merupakan salah satu masalah yang cukup
serius dalam dunia bisnis. Dalam industry dengan tingkat
persaingan yang sangat tinggi, informasi kuantitatif dan
kualitatif terkait dengan salah seorang pesaing merupakan
salah satu informasi yang cukup diburu. Sejumlah
informasi ditransmisikan antarperusahaan melalui internet
dan informasi ini rentan terhadap pencurian saat transmisi.
5. Sabotase, merupakan perusakan sebuah computer atau
pengkat lunak yang dapat menyebabkan kebangkrutan
suatu perusahaan. Dalam beberapa kasus seorang penyusup
menggunakan sabotase untuk membuat kecurangan
menjadi sulit dan membingungkan untuk diungkapkan.
6. Penyalahgunaan atau pencurian sumber daya informasi,
salah satu jenis penyalahgunaan informasi terjadi pada saat
seorang karyawan menggunakan sumber daya computer
organisasi untuk kepentingan pribadi. 56
Penulis menyimpulkan bahwa, ada banyak serangan yang ditujukan
pada suatu perusahaan untuk dicuri atau dirusak informasinya. Serangan
tersebut dapat berupa serangan yang ditargetkan dan serangan yang
tidak ditargetkan. Serangan yang ditargetkan adalah serangan yang
berasal dari orang dari luar perusahaan yang ingin mencuri informasi
perusahaan lain contohnya. Sedangkan serangan yang tidak ditargetkan
contohnya seperti virus, bencana alam, kesalahan dari pengoperasian,
dsb. Dalam hal ini, penting kiranya untuk pihak perusahaan mengetahui
apa saja yang dilakukan oleh orang-orang yang ingin mencuri atau
merusak sistem keamanan informasi perusahaan mereka. Pada awalnya
mereka pasti melakukan proses pengintaian terhadap perusahaan yang
ingin mereka curi atau rusak informasinya. Selanjutnya, mereka akan
menyamar atau dengan kata lain “rekayasa sosial”, untuk mengelabui
pihak perusahaan agar mempercayai mereka agar dapat memasuki
perusahaan dengan mudah. Contohnya saja seperti menyamar sebagai
pegawai baru yang belum memahami sistem perusahaan dengan baik.
Setelah mengetahui seluk beluk perusahaan, mereka selanjutnya akan

56
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)

82
memetakan dan memindai target mereka dengan melakukan penelitian
yang lebih terperinci untuk mengetahui jenis versi perangkat lunak
perusahaan. Kemudian, mereka melakukan penelitian terhadap
perangkat lunak tersebut dan mempelajarinya dengan baik untuk
kemudian diakses oleh mereka. Setelah mereka mengakses sistem
tersebut dan mendapatkan apa yang mereka inginkan, mereka akan
menutupi jejak mereka agar tidak diketahui oleh pihak perusahaan.

Pengendalian Preventif
Pada bagian ini, akan dibahas mengenai pengendalian preventif yang
digunakan oleh suatu organisasi untuk membatasi akses sumber daya
informasinya. Meskipun pengendalian preventif itu penting, namun
komponen orang-orang yang terlibat di dalam jauh lebih penting.
Manajemen perusahaan haruslah membuat para pegawainya sadar akan
keamanan dari informasi organisasinya dan harus melatih mereka untuk
dapat mengikuti kebijakan yang ada dan mempraktikan perilaku
komputasi yang aman. 57
Pengendalian preventif dilakukan untuk mencegah kekeliruan dan
penipuan sebelum keduanya terjadi, terutama pada tahap masukkan dan
pemrosesan pada pemrosesan transaksi. Contoh dari pengendalian
preventif diantaranya menghindari pemakaian perangkat lunak freeware
atau shareware dari sumber yang belum bisa dipercaya, memeriksa
program baru atau berkas-berkas baru yang mengandung makro dengan
program anti virus sebelum dipakai, menyadarkan pada setiap pemakai
untuk waspada terhadap virus. Pengendalian untuk pencegahan
(preventive control) mencegah timbulnya suatu masalah sebelum
mereka muncul. Mempekerjakan personil akuntansi yang berkualifikasi
tinggi, pemisahan tugas pegawai yang memadai, dan secara efektif
mengendalikan akses fisik atas aset, fasilitas dan informasi, merupakan
pengendalian pencegahan yang efektif. 58
Penulis menyimpulkan bahwa, pengendalian preventif merupakan
sebuah pengendalian tahap awal yang digunakan dalam sistem

57
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
58
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)

83
keamanan informasi. Pengendalian preventif digunakan oleh organisasi
atau perusahaan untuk membatasi akses terhadap sumber daya informasi
mereka. Hanya orang-orang tertentu saja yang dapat mengakses
informasi tersebut. Meskipun pengendalian ini penting, namun apabila
ornag-orang yang terlibat di dalamnya tidak memahami dengan baik
pengendalian ini, maka pengendalian preventif ini tidak akan ada
gunanya. Manajemen perusahaan harus membuat para pegawainya
sadar, khususnya pegawai yang terlibat dalam pengaplikasian sistem
keamanan informasi. Manajemen perusahaan sebaiknya melatih mereka
untuk dapat mengikuti kebijakan yang telah ada dengan benar dan
mempraktikkan perilaku komputasi dengan baik agar informasi
perusahaan tidak dirusak atau dicuri oleh orang lain.
a) Orang-orang : Penciptaan Sebuah Budaya “Sadar-Keamanan”
Untuk menciptakan sebuah budaya “sadar-keamanan” dalam
suatu organisasi, manajemen haruslah membuat para
pegawainya mematuhi kebijakan organisasi yang telah dibuat,
tidak hanya dengan cara mengkomunikasikannya pada para
karyawan, namun harus dipandu dan juga dicontohkan. Para
pegawai cenderung akan lebih mematuhi suatu peraturan atau
kebijakan, apabila mereka melihat atasan mereka melakukan
hal sama, dalam hal ini atasan yang dimaksud adalah manajer.
Maka sebaliknya, apabila para pegawai melihat manajer
mereka tidak mematuhi kebijakan yang ada, mereka pun akan
melakukan hal yang sama. Contohnya, jika manajer dengan
ceroboh menempelkan kata sandi di monitor. Padahal
seharusnya, kata sandi tersebut sifatnya rahasia yang tidak
boleh diketahui oleh sembarang orang.

b) Orang-orang : Pelatihan
Seluruh pegawai harus diajarkan tentang pentingnya ukuran-
ukuran keamanan bagi keberlangsungan orgnanisasi atau
perusahaan mereka. Mereka juga harus dilatih untuk dapat
mengoperasikan komputer secara baik, atau dengan kata lain
praktik komputasi yang aman. Contohnya seperti tidak perlu
membuka lampiran e-mail yang tidak penting, membagikan
kata sandi kepada orang lain yang tidak berkepentingan dengan
program yang bersangkutan, dan melindungi laptop atau
komputer mereka secara fisik. Pelatihan sangat penting
dilakukan, agar para pegawai dapat menghadapi serangan

84
 rekayasa sosial. Pelatihan keamanan juga penting bagi
manajemen senior, karena akhir-akhir ini semakin banyak
serangan rekayasa sosial yang diarahkan kepada mereka.
Serangan-serangan tersebut pun sudah tidak mempan lagi untuk
diatasi dengan solusi atau metode lama, karna serangan yang
terjadi merupakan yang baru akibat dari perkembangan
teknologi saat ini.

c) Proses : Pengendalian Akses Pengguna

Ancaman terhadap tersebarnya informasi suatu organisasi tidak
hanya datang dari orang luar organisasi saja. Ancaman tersebut
juga dapat datang dari orang dalam organisasi itu sendiri. Hal
tersebut dapat saja terjadi karena berbagai alasan, misalnya
karena seorang pegawai merasa marah karna ia tidak
dipromosikan. Adapun alasan lain seperti, melakukan korupsi
karena sedang dalam kesulitan keuangan. Maka dari itu,
organisasi harus menerapkan satu set pengendalian yang
dirancang untuk melindungi aset dari penggunaan dan akses
tanpa izin yang dilakukan oleh pegawai. Praktik manajemen
COBIT 5 DSS05.04 menekankan bahwa perlunya pengendalian
untuk mengelola identitas pengguna dan akses logis, yang
dapat mengidentifikasi siapa saja yang dapat mengakses sistem
informasi organisasi serta melacak tindakan apa yang mereka
lakukan terhadap sistem tersebut.

d) Solusi TI : Pengendalian Antimalware

Malware merupakan ancaman besar bagi suatu organisasi,
contohnya seperti virus, worm, perangkat lunak keystroke
logging, dsb. Malware dapat menghancurkan informasi atau
dapat menghasilkan sebuah cara untuk memperoleh akses tanpa
izin. Oleh sebab itu, COBIT DSS05.01 merekomendasikan
penggunaan perlindungan malware untuk organisasi sebagai
salah satu kunci keamanan yang efektif untuk menghindari
ancaman, baik dari luar organisasi maupun dari dalam
organisasi itu sendiri. Rekomendasi yang diberikan antara lain:
 Edukasi mengenai kesadaran akan perangkat lunak
jahat
 Pemasangan alat perlindungan anti-malware pada
seluruh perangkat

85
  Manajemen terpusat pada sejumlah patch dan selalu
memperbaharui perangkat lunak anti-malware
 Tinjauan yang teratur atas ancaman malware yang
baru
 Menyaring lalu lintas masuk untuk mengeblok
sumber malware potensial
 Melatih pegawai untuk tidak memasang perangkat
lunak yang dibagikan atau disetujui.

e) Solusi TI : Pengendalian Akses Jaringan

Biasanya akses yang dilakukan oleh para pegawai, pelanggan,
dan pemasok dilakukan melalui internet. Namun ada beberapa
organisasi yang masih mengelola jaringan hak milik sendiri
atau menyediakan akses dial-up langsung melalui modem.
Adapun yang menyediakan akses nirkabel terhadap sistem
mereka.

f) Solusi TI : Pengendalian Pengukuhan Peralatan dan Perangkat

Lunak
Firewall, merupakan sebuah perangkat lunak yang ada pada
sebuah komputer yang berguna sebagai alat pengendali
terhadap komunikasi yang terjadi baik itu komunikasi masuk
atau keluar antara sistem dibalik firewall dan jaringan lainnya.
Sedangkan IPS (inturstion prevention system), merupakan
sistem pencegahan gangguan. Di mana, IPS ini merupakan
jaringan yang mengawasi pola-pola arus lalu lintas untuk
mengidentifikasi dan mengeblok serangan yang terjadi
terhadap suatu sistem secara otomatis. Pada pengendalian
pengukuhan peralatan dan perangkat lunak, firewall dan IPS ini
didesain untuk melindungi perimeter jaringan. Seperti halnya
rumah, yang didesain agar terjaga keamanannya yaitu dengan
menambah kunci pada pintu luarnya, memasang alarm dan
cctv, juga menyimpan barang di dalam brangkas, yang di mana
hal-hal tersebut dirasa dapat mengamankan rumah dan harta
benda si pemilik rumah. Begitu juga dengan perusahaan.
Perusahaan dapat meningkatkan keamanan terhadap sistem
informasi perusahaan mereka dengan menambahkan
pengendalian preventif pada parimeter jaringan, stasiun kerja,

86
 server, printer, dan perangkat lainnya yang termasuk dalam
jaringan perusahaan atau organisasi.

g) Solusi TI : Enkripsi
Enkripsi merupakan sistem keamanan terakhir yang ada pada
lapisan pertahanan yang dipakai untuk menjaga informasi
oraganisasi, khususnya mencegah akses tanpa izin terhadap
informasi sensitif atau informasi penting pada suatu
perusahaan.

h) Keamanan Fisik : Pengendalian Akses

Pengendalian akses fisik, sebaiknya dimulai dari pintu masuk
sebuah gedung. Di mana, hanya ada satu pintu masuk saja yang
tetap terbuka selama jam kerja. Di sebuah gedung pasti ada
sebuah pintu darurat yang digunakan apabila terjadi keadaaan-
keadaan darurat, seperti kebakaran. Sebaiknya, pintu darurat
tersebut tidak memperkenankan sembarang orang untuk
menggunakan pintu tersebut untuk jalur masuk dan keluar
gedung dan alangkah baiknya, pintu darurat tersebut terhubung
dengan sistem alarm, sehingga kapan pun pintu darurat itu
dibuka oleh orang-orang yang keluar masuk melalui pintu
tersebut, dengan otomatis alarm tersebut pun akan berbunyi.
Selain itu, resepsionis dan keamanan gedung harus bertugas di
pintu masuk utama gedung untuk mendampingi para pegawai
dalam dan memverifikasi indentitas mereka. Para pengunjung
yang masuk ke dalam gedung haruslah mendaftar terlebih
dahulu dan didampingi oleh pegawai gedung ke mana
pengunjung itu pergi. Setelah pengunjung masuk ke dalam
gedung, akses fisik terhadap ruangan-ruangan yang di
dalamnya terdapat komputer haruslah segera dibatasi.
Ruangan-ruangan tersebut haruslah dikunci dan dipasangkan
cctv untuk memantau keadaan disekitar agar tidak terjadi hal-
hal yang tidak diinginkan. Berbagai upaya akses yang gagal,
haruslah memicu alarm. Ruangan-ruangan yang di dalamnya
menyimpan server dan informasi penting mengenai perusahaan,
haruslah difasilitasi dengan keamaan tingkat tinggi, seperti
pembaca kartu, pengenal suara, pemindai retina, pembaca sidik
jari, dsb. Idealnya, para pegawai tidak boleh menyimpan segala
informasi perusahaan di dalam laptop, telepon seluler, dan

87
 perangkat pribadi lainnya. Karena, hal tersebut berpotensi
untuk terjadinya pencurian dan hilangnya informasi yang telah
disimpan dengan mudah. Kalau pun informasi sensitif tersebut
harus disimpan dalam laptop, maka informasi tersebut harus
dienkripsi, sehingga apabila laptop tersebut hilang,
informasinya tidak akan bisa diakses oleh orang lain.

i) Pengendalian Perubahan dan Manajemen Perubahan

Organisasi secara bertahap memodifikisi sistem informasi
mereka untuk menunjukkan praktik-praktik bisnis yang baru
dan mengambil manfaat atas penguasaan TI tersebut.
Pengendalian perubahan dan manajemen perubahan ini
mengarah pada proses formal yang digunakan untuk
memastikan bahwa modifikasi yang dilakukan atas sistem
informasi mereka tidak mengurangi keandalan sistem tersebut.
Dengan kata lain, pengendalian ini dilakukan agar terciptanya
pengoperasian yang dilakukan oleh pegawai dalam
mengoperasikan sistem informasi yang telah dimodifikasi.
Pengendalian yang dilakukan dengan baik, maka akan
menghasilkan kinerja pengoperasian yang baik pula.
Perusahaan yang memiliki pengendalian perubahan dan
manajemen perubahan yang baik tentunya akan mengalami
penurunan biaya apabila terjadi suatu insiden keamanan, karena
mereka sudah dapat mengidentifikasi dengan cepat terhadap
perubahan-perubahan yang terjadi dalam sistem informasi
mereka dan terdapat pula sanksi bagi pegawai yang
bertanggung jawab karena melalaikan proses pengendalian
perubahan dan manajemen perubahan. Adapun beberapa
karakterisitik yang menunjukkan perusahaan telah mendesain
proses pengendalian perubahan dan manajemen perubahannya
dengan baik, yaitu :
1. Mendokumentasikan seluruh permintaan perubahan,
tanggal permintaannya, hasil permintaan, rasionalitas, dan
pengidentifikasian sifat perubahan. Dengan adanya
dokumentasi, semua perubahan menjadi jelas dan terarah.
2. Dilakukannya persetujuan terdokumentasi atas permintaan
perubahan yang dilakukan oleh tingkat manaemen yang
sesuai dengan bidang yang bersangkutan untuk
memastikan bahwa permintaan perubahan yang dilakukan

88
 pada proses dan sistem tersebut dapat membantu
keberlangsungan organisasi.
3. Seluruh perubahan yang sudah disetujui kemudian
dilakukan pengujian dengan menggunakan sebuah sistem
yang terpisah.
4. Pengendalian konversi harus memastikan bahwa data
sudah ditransfer secara akurat dan lengkap, dari sistem
yang lama ke sistem yang baru.
5. Pembaharuan yang dilakukan menunjukkan implementasi
perubahan yang baru.
6. Seluruh proses di atas harus dilakukan dengan cepat dan
tepat waktu, segera setelah krisis terjadi. Apabila setelah
terjadi krisis tidak langsung dilakukan perubahan terhadap
sistem informasi tersebut, kemungkinan besar sistem
informasi yang lain pun akan dapat dirusak oleh orang-
orang yang tidak bertanggungjawab. Seluruh perubahan
yang dilakukan juga harus dicatat agar menyediakan jejak
audit.
7. Dilakukannya pengembangan dan dokumentasi “mundur”
untuk dapat dengan mudah mengembalikan perubahan
yang telah dilakukan ke konfirgurasi sebelumnya, apabila
perubahan yang baru menciptakan masalah yang tidak
diharapkan oleh organisasi.
8. Pengawasan dan peninjauan yang dilakukan dengan cermat
atas hak dan keistimewaan bagi pengguna selama proses
perubahan untuk dapat memastikan bahwa pemisahan
tugas yang sesuai sudah ditetapkan.

Pengendalian Detektif
Seperti yang sudah pernah dibahas sebelumnya bahwa pengendalian
preventif tidak pernah 100% dapat mencegah atau mendeteksi dan
mengeblok serangan yang terjadi terhadap suatu sistem. Maka, COBIT 5
DSS05.07 menjelaskan aktivitas-aktivitas lain yang dapat dilakukan
oleh organisasi guna mendeteksi gangguan-gangguang yang ada secara

89
tepat waktu yang dibagi ke dalam empat jenis pengendalian detektif,
yaitu : 59
a) Analisis Log
Merupakan pemerikasaan yang dilakukan terhadap log untuk
mengidentifikasi bukti bahwa adanya kemungkinan serangan
yang dilakukan terhadap suatu sistem informasi organisasi.
Sebagian besar sistem mempunyai kemampuan yang dapat
mencatat (logging) siapa saja yang mengakses sistem tersebut
dan tindakan apa yang dilakukan oleh si pengakses pada sistem
tersebut. Log-log tersebut akan lebih bernilai apabila diperiksa
secara rutin, karena dengan begitu kita dapat melihat dan
menganalisis kegagalan-kegagalan apa saja yang terjadi pada
saat pengguna mencoba mengakses atau masuk ke dalam
sistem informasi tersebut. Dengan menganalisis log secara
rutin, organisasi dapat mendeteksi masalah secara cepat atau
tepat waktu.

b) Sistem Deteksi Gangguan

Merupakan sebuah sistem yang dapat menghasilkan sejumlah
log yang berasal dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall dan kemudian menganalisis log-log
tersebut sebagai tanda atas adanya gangguan yang terjadi dalam
suatu sistem. Sistem deteksi gangguan dapat dipasang pada
perangkat tertentu guna mengawasi upaya-upaya tanpa izin
yang dilakukan oleh pihak luar ataupun pihak dalam peusahaan
untuk mengubah konfirgurasi pada perangkat atau sistem
tersebut. Sistem deteksi gangguan ini hanya dapat mendeteksi
dan menghasilkan sebuah tanda peringatan apabila telah terjadi
sebuah pola yang mencurigakan pada lalu lintas jaringan,
tindakan selanjutnya terserah kepada manusia yang
bertanggung jawan untuk memutuskan tindakan apa yang akan
diambil terhadap tanda peringatan tersebut.

59
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

90
 c) Pengujian Penetrasi
Pengujian penetrasi merupakan suatu cara yang lebih cermat
untuk menguji efektivitas suatu keamanan informasi yang pada
organisasi. Uji penetrasi ini sendiri merupakan sebuah upaya
yang terotorisasi yang dilakukan oleh tim audit internal
maupun konsultasi keamanan eksternal untuk menerobos ke
dalam sistem informasi organisasi. Mereka mencoba berbagai
cara untuk bisa merusak sistem organisasi.

d) Pengawasan Berkelanjutan
Pengendalian detektif dilakukan untuk mengatasi kekeliruan dan
penipuan setelah keduanya terjadi. Praktik COBIT 5 menekankan
pentingnya pengawasan yang berkelanjutan dan kepatuhan para pegawai
terhadap kebijakan ataupun peraturan perusahaan mengenai keamanan
informasi serta kinerka keseluruhan proses bisnis. Pengawasan ini
merupakan pengendalian detektif yang dapat mendeteksi ancaman
secara tepat waktu. Sehingga, sebelum sistem tersebut dirusak, maka
pihak perusahaan dapat dengan cepat melakukan upaya-upaya
pencegahan yang dirasa tepat. Untuk menerapkan perlindungan yang
akan dilakukan dibutuhkan prosedur cara mendeteksi adanya
permasalahan yang potensial pada sisi keamanan. Semakin cepat suatu
masalah bisa dideteksi maka akan semakin cepat pula cara memperbaiki
dan membersihkan permasalahan yang berhasil ditemukan. Response
(Tanggapan) Setiap organisasi/perusahaan membutuhkan suatu rencana
pengembangan terhadap sistem keamanan seperti apa yang harus
dilakukan bila timbul suatu masalah, siapa yang harus
bertanggungjawab bila masalah itu timbul.Keamanan Informasi
(Information Security) Yang terpenting dari keamanan jaringan adalah
melindungi asset perusahaan berupa informasi. Hal-hal yang termasuk
ke dalam pengendalian detektif adalah dengan secara rutin menjalankan
program antivirus untuk mendeteksi infeksi virus yang ada pada sistem
keamanan informasi. Kemudian melakukan pembandingan ukuran-
ukuran berkas untuk mendeteksi perubahan ukuran pada berkas dan
melakukan pembandingan tanggal berkas untuk mendeteksi perubahan
tanggal berkas. 60

60
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)

91
 Penulis menyimpulkan bahwa, pengendalian detektif adalah
pengendalian yang dilakukan apabila pengendalian preventif berhasil
dirusak. Yang terpenting dari keamanan jaringan adalah melindungi
asset perusahaan berupa informasi. Hal-hal yang termasuk ke dalam
pengendalian detektif adalah dengan secara rutin menjalankan program
antivirus untuk mendeteksi infeksi virus yang ada pada sistem keamanan
informasi

Pengendalian Korektif
Mendeteksi masalah pada waktu yang tepat tidaklah cukup, karena
organisasi juga memerlukan prosedur untuk melakukan tindakan
korektif pada waktu yang tepat pula. Banyak pengendalian korektif yang
bergantung pada pertimbangan manusia yang mengakibatkan efektivitas
mereka bergantung pada perencanaan dan persiapan yang sesuai. 61
Pengendalian korektif dapat dilakukan dengan memastikan pemback-
up-an. Pengendalian ini dilakukan untuk mengoreksi kekeliruan.
Pengendalian korektif (corrective control) dapat memecahkan masalah
yang ditemukan oleh pengendalian untuk pemeriksaan. Pengendalian ini
mencakup prosedur yang dilaksanakan untuk mengidentifikasi penyebab
masalah, memperbaiki kesalahan atau kesulitan yang ditimbulkan, dan
mengubah sistem agar masalah di masa mendatang dapat
diminimalisasikan atau dihilangkan. Contoh dari pengendalian ini
termasuk pemeliharaan kopi cadangan (backup copies) atas transaksi
dan file utama, dan mengikuti prosedur untuk memperbaiki kesalahan
memasukkan data, seperti juga kesalahan dalam menyerahkan kembali
transaksi untuk proses lebih lanjut. 62
Penulis menyimpulkan bahwa, pengendalian korektif hanya dapat
dilakukan jika sudah terjadi back-up. Banyak hal yang menyebabkan
pengendalian korektif tidak dapat diterapkan, salah satunya ialah karena
pengendalian ini bergantung pada pertimbangan manusia yang
mengakibatkan efektivitas mereka bergantung pada perencanaan dan
persiapan yang sesuai.

61
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
62
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi
(Yogyakarta: Penerbit Andi, 2006)

92
Terdapat tiga pengendalian korektif, yaitu:
a) Computer Incident Response Team (CIRT)
Computer Incident Response Team atau tim perespons insiden
komputer. Sebuah komponen memerlukan tim perespons insiden
komputer untuk dapat merespon insiden keamanan dengan cepat dan
efektif. Tim perespons insiden komputer ini sebaiknya tidak hanya
didominasi oleh para ahli atau spesialis teknis saja, namun di
dalamnya juga harus melibatkan para manajer senior karena,
beberapa respons potensial insiden keamanan memiliki konsekuensi
ekonomi yang signifikan. Sebuah tim perespons insiden komputer
harus mengarahkan proses respon insiden melalu empat tahapan,
diantaranya :
1. Pemberitahuan adanya masalah. Biasanya, IPS dan IDS akan
memberikan sinyal adanya serangan yang terdeteksi dalam lalu
lintas jaringan. Namun juga terkadang dapat berasal dari analisis
log yang dilakukan oleh administrator sistem.
2. Penahahan masalah. Setelah gangguan atau serangan tersebut
terdeteksi, maka diperlukan tindakan yang tepat untuk menahan
dan mengentikan gangguan tersebut.
3. Pemulihan. Bahaya yang disebabkan oleh serangan harus segera
diperbaiki. Hal ini mungkin dapat dilakukan dengan
penyimpanan ulang data dan pemasangan kembali program-
program yang rusak.
4. Tindak lanjut. Setelah pemulihan dilakukan, tim perespons
insiden komputer harus dapat menganalisi bagaimana insiden
tersebut dapat terjadi. Mungkin ada beberapa kebijakan dan
prosedur keamanan yang harus dimodifikasi agar kemungkinan
terjadinya kejadian serupa dapat diminimalisir di masa yang akan
datang. Keputusan penting yang harus dibuat adalah, apakah si
pelaku perusakan tersebut dapat ditangkap dan dikenai sanksi
atas perbuatannya tersebut. Jika organisasi memutuskan untuk
menangkap dan menuntut si pelaku pengerusakkan, maka
organisasi perlu melibatkan pakar forensik untuk memastikan
bahwa seluruh bukti yang memungkinkan telah dikumpulkan dan

93
 dikelola dengan cara yang tepat yang dapat mempermudah kita
dalam proses administrasi si pengadilan nanti. 63
Computer Incident Response Team adalah sebuah tim yang
diseleksi dengan hati-hati dan berisi orang-orang yang ahli dalam
menangani insiden (khususnya insiden pada aset informasi),
sehingga suatu insiden dapat dengan cepat dideteksi, diinvestigasi,
dan diatasi.Hal-hal yang dilakukan oleh CIRT diantaranya menjadi
single point of contact (sebagai penghubung bila terjadi insiden
informasi), melakukan identifikasi / menganalisa dari suatu
serangan, menentukan kebijakan / prediksi cara mengatasi bila
terjadi serangan, melakukan penelitian, membagi pengetahuan,
memberikan kesadaran bersama, dan memberikan respon bila terjadi
serangan. Contoh-contoh konstituen CIRT adalah Pemerintahan,
Grup kecil atau besar, dan Military. Contoh tugas nasional CIRT
adalah Singel point of contact danMenyediakan layanan secara 24
jam. 64
Penulis menyimpulkan bahwa, Computer incident response
dibentuk dengan tujuan apabila terjadi suatu masalah pada asset
informasi, maka computer incident response yang akan menangani
hal tersebut. Orang-orang yang tergabung dalam CIR ini merupakan
orang-orang terpilih sehingga ketika terjadi masalah, penanganannya
akan cepat dan penyelesaiannya juga cepat.

b) Chief Information Security Officer (CISO)

Sangat penting bagi organisasi untuk menentukan
pertanggungjawaban atas keamana informasi kepada seorang
manajemen senior. Salah satu caranya adalah dengan menciptakan
posisi CISO. CISO harus dapat memahami lingkungan teknologi
perusahaan dan bekerja sama dengan Chief Information Offivcer
(CIO) untuk mendesain, mengimplementasi, dan membangun suatu
kebijakan dan prosedur keamanan yang baik. CISO harus dapat
menjadi penilai dan pengevaluasi yang baik terhadap lingkungan TI.
Maka dari itu, CISO harus memiliki tanggung jawab untuk selalu
memastikan bahwa penilaian yang dilakukan berlangsung secara

63
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)
64
SANS Institute InfoSec

94
 teratur dan audit keamanannya dilakukan secara periodik. CISO juga
harus bekerja sama dengan pihak yang berwenang atas keamanan
fisik, karena akses atas fisik yang dilakukan tanpa izin dapat
memungkinkan masuknya penyusup untuk menerobos pengendalian
akses yang paling rumit sekalipun. 65
Sebuah Chief Information Security Officer (CISO) adalah
eksekutif tingkat senior dalam sebuah organisasi yang bertanggung
jawab untuk membangun dan mempertahankan perusahaan visi,
strategi dan program untuk memastikan aset informasi dan teknologi
yang memadai dilindungi. The CISO mengarahkan staf dalam
mengidentifikasi, mengembangkan, melaksanakan dan memelihara
proses di seluruh organisasi untuk mengurangi informasi
dan teknologi informasi (IT) risiko. Mereka menanggapi insiden,
menetapkan standar dan pengendalian yang tepat, mengelola
teknologi keamanan, dan mengarahkan pembentukan dan
pelaksanaan kebijakan dan prosedur.CISO juga biasanya
bertanggung jawab atas kepatuhan informasi terkait.Biasanya,
pengaruh CISO ini mencapai seluruh organisasi. Tanggung jawabnya
meliputi:
 Computer Emergency Response Team Response Team Insiden /
Keamanan Komputer
 Keamanan cyber
 Pemulihan bencana dan manajemen bisnis kontinuitas
 Manajemen identitas dan akses
 privasi informasi
 Informasi kepatuhan terhadap peraturan Informasi manajemen
risiko
 Keamanan informasi dan jaminan informasi
 Keamanan Informasi Pusat Operasi ISOC
 Kontrol teknologi informasi untuk sistem keuangan dan lainnya
 Investigasi IT, forensik digital , eDiscovery
 Arsitektur keamanan
Memiliki CISO atau fungsi setara dalam organisasi telah
menjadi standar di sektor bisnis, pemerintah dan non-profit. Di

65
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

95
 seluruh dunia, semakin banyak organisasi memiliki CISO.Pada tahun
2009, sekitar 85% dari organisasi besar memiliki eksekutif
keamanan, naik dari 56% pada tahun 2008, dan 43% pada tahun
2006. Pada tahun 2011, dalam survei oleh PricewaterhouseCoopers
untuk Survey Keamanan Informasi Tahunan mereka, [1] 80% dari
bisnis memiliki sebuah CISO atau setara. Sekitar sepertiga dari
kepala keamanan melapor ke Chief Information Officer (CIO), 35%
untuk Chief Executive Officer (CEO), dan 28% untuk dewan
direksi.Di perusahaan, tren untuk CISOs untuk memiliki
keseimbangan yang kuat dari ketajaman bisnis dan pengetahuan
teknologi. CISOs sering dalam permintaan tinggi dan kompensasi
sebanding dengan posisi C-tingkat lain yang juga mengadakan
serupa judul Perusahaan .
Penulis menyimpulkan bahwa, CISO merupakan sub-organisasi
yang memiliki tanggung jawab untuk selalu memastikan bahwa
penilaian yang dilakukan berlangsung secara teratur dan audit
keamanannya dilakukan secara periodik. CISO juga biasanya
bertanggung jawab atas kepatuhan informasi terkait.Biasanya,
pengaruh CISO ini mencapai seluruh organisasi.CISO harus dapat
menjadi penilai dan pengevaluasi yang baik terhadap lingkungan TI.

c) Management Patch
Patch, merupakan kode yang dibuat oleh pengembang
perangkat lunak untuk memperbaiki kerentanan tertentu. Manajemen
patch adalah proses yang dilakukan secara teratur oleh pihak
perusahaan atau manajemen untuk menerapkan dan memperbaharui
seluruh perangkat lunak yang digunakan oleh perusahaan.
Menerapkan patch bukanlah hal yang mudah, karena patch
merepresentasikan modifikasi dari perangkat lunak yang sungguh
rumit untuk diaplikasikan. Akibatnya, patch dapat menciptakan
masalah yang baru karena dampak lain yang tidak diantisipasi. Maka
perusahaan diharuskan untuk menguji efek dari patch yang akan
diaplikasikan dengan cermat sebelum patch tersebut disebarkan.
Kalau hal tersebut tidak lakukan, maka perusahaan akan
menanggung risiko yaitu mengalami kerusakan terhadap aplikasi
yang penting. Masalah lain yaitu, kemungkinan adanya berbagai
patch yang dirilis pada tiap tahunnya, membuat organisasi harus

96
 menerapkan ratusan patch pada ribuan mesin yang digunakan oleh
organisasi setiap tahunnya. 66
Manajemen patch adalah daerah manajemen sistem yang
melibatkan memperoleh, pengujian, dan menginstal beberapa patch
yang es (perubahan kode) ke sistem komputer diberikan. Tugas
manajemen patch meliputi: mempertahankan pengetahuan saat ini
patch yang tersedia, memutuskan apa patch yang sesuai untuk sistem
tertentu, memastikan bahwa patch diinstal dengan benar, pengujian
sistem setelah instalasi, dan mendokumentasikan semua prosedur
terkait, seperti spesifik konfigurasi diperlukan.
Penulis menyimpulkan bahwa, Patch merupakan kode yang
dibuat oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu. Tugas manajemen patch adalah
mempertahankan pengetahuan saat ini patch yang tersedia,
memutuskan apa patch yang sesuai untuk sistem tertentu,
memastikan bahwa patch diinstal dengan benar, pengujian sistem
setelah instalasi, dan mendokumentasikan semua prosedur terkait,
seperti spesifik konfigurasi diperlukan.

Implikasi Keamanan Virtualisasi dan Cloud

Banyak organisasi yang telah melibatkan virtualisasi dan
komputasi cloud untuk meningkatkan efektivitas dan efisiensi dalam
sistem perusahaan. Virtualisasi itu sendiri merupakan pemanfaatan
kekuatan serta kecepatan suatu komputer untuk dapat menjalankan
berbagai sistem dalam waktu yang bersamaan pada satu komputer saja.
Hal ini dapat meminimalkan biaya yang dikeluarkan oleh perusahaan
dalam pembelian komputer, karena mereka tidak perlu membeli banyak
komputer untuk banyak sistem yang digunakan. Mesin yang sedikit,
tandanya biaya untuk perawatan atau pemeliharaannya pun akan
berkurang atau lebih rendah. Sedangkan komputasi cloud memanfaatkan
high bandwidth dari jaringan telekomunikasi global modern untuk dapat
memudahkan kinerja para pegawai dalam mengakses perangkat lunak
dari jarak yang jauh hanya dengan menggunakan browser, sebagai
perangkat penyimpanan data, dan seluruh lingkungan aplikasi.

66
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

97
Komputasi cloud dapat menghemat biaya secara signifikan dan lebih
fleksibel. 67
Virtualisasi sebagai fondasi komputasi cloud secara konsisten
menyatakan infrastruktur virtualisasi sebagai komponen pembangun
utama dari komputasi cloud. Virtualisasi memungkinkan organisasi
memisahkan aplikasi bisnis dan informasi kritikal dengan piranti keras
fisik. Hal ini menjadi cara yang efektif dan cepat menuju awan. Semakin
banyak organisasi menyadari manfaat dari investasi di virtualisasi.
Sebagian besar perusahaan menggunakan virtualisasi untuk server dan
data center, banyak di antaranya berfokus memberdayakan virtualisasi
untuk meningkatkan kemampuan pemulihan bencana dan
kesinambungan bisnis. Cara kerja komputasi awan yang seperti itu yang
masih mengundang keraguan konsumen, apakah teknologi tersebut
aman atau tidak. Selain itu, sebelum melangkah ke komputasi awan,
sebuah perusahaan terlebih dahulu harus menerapkan virtualisasi data
centernya secara internal.
Penulis menyimpulkan bahwa, virtualisasi merupakan
pemanfaatan kekuatan serta kecepatan suatu komputer untuk dapat
menjalankan berbagai sistem dalam waktu yang bersamaan pada satu
komputer saja. Virtualisasi sebagai fondasi komputasi cloud secara
konsisten menyatakan infrastruktur virtualisasi sebagai komponen
pembangun utama dari komputasi cloud. Virtualisasi memungkinkan
organisasi memisahkan aplikasi bisnis dan informasi kritikal dengan
piranti keras fisik.

Daftar Pustaka
Romney, Marshall B dan Steinbart, Paul John. 2015. Sistem Informasi
Akuntansi, Terj. Kikin Sakinah Nur Safira dan Novita Puspasari.
(Jakarta: Salemba Empat).
SANS Institute InfoSec.
Bodnar, George H dan Hopwood, William S. 2006. Sistem Informasi
Akuntansi. (Yogyakarta: Penerbit Andi).
Talang. 2009. “Keamanan Informasi”, diakses dari
http://tunjanglebong.blogspot.co.id/2009/06/keamanan-
informasi.html#!/tcmbck, (26 Maret 2016).

67
Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi,
Terj. Kikin Sakinah Nur Safira dan Novita Puspasari (Jakarta: Salemba Empat,
2015)

98