Statement of Authorship

“Saya yang bertandatangan dibawah ini menyatakan bahwa tugas terlampir adalah murni hasil
pekerjaan saya sendiri. Tidak ada pekerjaan orang lain yang saya gunakan tanpa menyebutkan
sumbernya.

Materi ini tidak/belum pernah disajikan/digunakan sebagai bahan untuk makalah/tugas pada
mata ajaran lain kecuali saya menyatakan dengan jelas bahwa saya menyatakan
menggunakannya.

Saya memahami bahwa tugas yang saya kumpulkan ini dapat diperbanyak dan atau
dikomunikasikan untuk tujuan mendeteksi adanya plagiarisme.”

Nama : Rizka Rifki Nisfiarani

NPM : 2221031019

Tandatangan :

Mata Ajaran : sistem informasi akuntansi dan audit

Judul Makalah/Tugas : Resum Materi SIA dan Audit BAB 6 dan 8 (Pertemuan ke-4)
Tanggal : 15 September 2022
Dosen : Dr. Fitra Dharma, S.E., M.Si.
 BAB 6

PENIPUAN KOMPUTER DAN TEKNIK PENYALAHGUNAAN

A. SERANGAN DAN PENYALAHGUNAAN KOMPUTER

Semua komputer yang terhubung ke Internet, terutama yang memiliki rahasia
dagang penting atau aset TI yang berharga, terus-menerus diserang oleh peretas,
pemerintah asing, kelompok teroris, karyawan yang tidak puas, mata-mata industri,
dan pesaing. Orang-orang ini menyerang komputer untuk mencari data berharga
atau mencoba merusak sistem komputer. Hacking adalah akses tidak sah,
modifikasi, atau penggunaan perangkat elektronik atau beberapa elemen dari sistem
komputer. Sebagian besar peretas membobol sistem menggunakan kelemahan yang
diketahui dalam sistem operasi atau program aplikasi, atau sebagai akibat dari
kontrol akses yang buruk. Satu perusahaan pemantau perangkat lunak
memperkirakan ada lebih dari 7.000 kelemahan yang diketahui dalam perangkat
lunak yang dirilis pada tahun tertentu. Contoh berikut menggambarkan serangan
peretasan dan kerusakan yang ditimbulkannya :
 Peretas Rusia membobol sistem Citibank dan mencuri $10 juta dari
rekening nasabah.
 Acxiom mengelola informasi pelanggan untuk penerbit kartu kredit, bank,
pabrikan otomotif, dan pengecer. Administrator sistem untuk perusahaan
yang berbisnis dengan Acxiom melampaui akses resminya, mengunduh file
kata sandi terenkripsi, dan menggunakan program peretas kata sandi untuk
mengakses ID rahasia. Intrusi tersebut menelan biaya Acxiom lebih dari
$5,8 juta.
 Seorang peretas menembus komputer pemasok perangkat lunak dan
menggunakan "pipa terbuka"-nya ke bank pelanggan untuk menginstalkuda
Trojan yang kuat di computer bank.
 Dalam pelanggaran keamanan terburuk dalam sejarah game, 101 juta akun
Sony PlayStation diretas, membuat jaringan mogok selama lebih dari
sebulan. Lebih dari 12 juta nomor kartu kredit, alamat email, kata sandi,
alamat rumah daan data lainnya dicuri.

B. REKAYASA SOSIAL
Rekayasa sosial mengacu pada teknik atau trik psikologis yang digunakan
untuk membuat orang mematuhi keinginan pelaku untuk mendapatkan akses fisik
atau logis ke gedung, komputer, server, atau jaringan — biasanya untuk
mendapatkan informasi yang diperlukan untuk mengakses sistem dan memperoleh
data rahasia. Seringkali, pelaku melakukan percakapan dengan seseorang untuk
menipu, membohongi, atau jika tidak menipu korban. Seringkali pelaku memiliki
informasi, pengetahuan, otoritas, atau kepercayaan diri yang membuat seolah-olah
dia termasuk atau tahu apa yang mereka lakukan. Cisco melaporkan bahwa penipu
memanfaatkan tujuh sifat manusia berikut untuk membujuk seseorang agar
mengungkapkan informasi atau mengambil tindakan tertentu:
1. Welas Asih, Keinginan untuk membantu orang lain yang menunjukkan diri
mereka benar-benar membutuhkan Anda tolong
2. Keserakahan, Orang-orang lebih cenderung bekerja sama jika mereka
mendapatkan sesuatu yang gratis atau menurut mereka untuk mendapatkan
kesepakatan sekali seumur hidup.
3. Daya Tarik Seks, Orang lebih cenderung bekerja sama dengan seseorang
yang genit atau dipandang sebagai “panas”
4. Kemalasan, Hanya sedikit orang yang ingin melakukan sesuatu dengan cara
yang sulit, membuang waktu, atau melakukan sesuatu yang tidak
menyenangkan semut, penipu memanfaatkan kebiasaan dan kecenderungan malas
kita.
5. Kepercayaan, Orang lebih mungkin bekerja sama dengan orang yang
mendapatkan kepercayaan mereka.
6. Urgensi, Rasa urgensi atau kebutuhan mendesak yang harus dipenuhi
membuat orang menjadi lebih kooperatif dan akomodatif.
7. Kesombongan, Orang-orang lebih cenderung bekerja sama jika Anda menarik
kesombongan mereka dengan memberi tahu mereka akan menjadi lebih
populer atau sukses.

Menetapkan kebijakan dan prosedur dan melatih orang untuk mengikutinya dapat
membantu meminimalkan rekayasa social :

1. Jangan biarkan orang mengikuti anda ke gedung terlarang

2. Jangan pernah login untuk orang lain di komputer, terutama jika Anda
memiliki akses administrative
3. Jangan pernah memberikan informasi sensitif melalui telepon atau email.
4. Jangan pernah membagikan kata sandi atau ID pengguna.
5. Berhati-hatilah terhadap siapa pun yang tidak Anda kenal yang mencoba
mendapatkan akses melalui Anda

Pencurian identitas mengasumsikan identitas seseorang, biasanya untuk

keuntungan ekonomi, dengan memperoleh dan menggunakan informasi rahasia
secara ilegal, seperti nomor Jaminan Sosial atau nomor rekening bank atau nomor
kartu kredit. Sebuah laporan baru-baru ini menunjukkan bahwa lebih dari 12 juta
korban telah dicuri lebih dari $21 miliar dalam satu tahun kalender baru-baru ini.
Laporan itu juga mengatakan bahwa ada korban penipuan identitas baru setiap tiga
detik sekali dan satu dari empat konsumen yang menerima pemberitahuan
pelanggaran data dari sebuah perusahaan juga menjadi korban pencurian identitas.
 Pretexting menggunakan skenario yang diciptakan (dalih) untuk meningkatkan
kemungkinan bahwa korban akan membocorkan informasi atau melakukan sesuatu.
Biasanya melibatkan penciptaan legitimasi dalam pikiran target yang
memungkinkan peniruan identitas. Salah satu pendekatan yang digunakan pretexters
adalah berpura-pura melakukan survei keamanan dan meninabobokan korban untuk
mengungkapkan informasi rahasia dengan mengajukan 10 pertanyaan yang tidak
bersalah sebelum menanyakan yang rahasia. Mereka juga menelepon meja bantuan
dan mengaku sebagai karyawan yang lupa kata sandi. Mereka memanggil pengguna
dan mengatakan bahwa mereka sedang menguji sistem dan membutuhkan kata
sandi. Mereka menyamar sebagai pembeli, calon karyawan, atau tenaga penjual
untuk mendapatkan wisata pabrik.

Mereka menggunakan perangkat pengubah suara untuk membuat suara laki-laki

terdengar seperti suara perempuan atau menggunakan perangkat spoofing untuk
membuatnya tampak bahwa mereka menelepon dari telepon korban yang
ditujuSalah satu pendekatan yang digunakan pretexters adalah berpura-pura
melakukan survei keamanan dan meninabobokan korban untuk mengungkapkan
informasi rahasia dengan mengajukan 10 pertanyaan yang tidak bersalah sebelum
menanyakan yang rahasia. Mereka juga menelepon meja bantuan dan mengaku
sebagai karyawan yang lupa kata sandi. Mereka memanggil pengguna dan
mengatakan bahwa mereka sedang menguji sistem dan membutuhkan kata sandi.
Mereka menyamar sebagai pembeli, calon karyawan, atau tenaga penjual untuk
mendapatkan wisata pabrik. Mereka menggunakan perangkat pengubah suara untuk
membuat suara laki-laki terdengar seperti suara perempuan atau menggunakan
perangkat spoofing untuk membuatnya tampak bahwa mereka menelepon dari
telepon korban yang dituju.

Berpose adalah menciptakan bisnis yang tampaknya sah (seringkali menjual

produk baru dan menarik), mengumpulkan informasi pribadi saat melakukan
penjualan, dan tidak pernah mengirimkan produk. Penipu juga membuat situs daftar
pekerjaan internet untuk mengumpulkan informasi rahasia.

Phishing adalah mengirim pesan elektronik yang berpura-pura menjadi

perusahaan yang sah, biasanya lembaga keuangan, dan meminta informasi atau
verifikasi informasi dan sering kali memperingatkan beberapa konsekuensi negatif
jika tidak diberikan. Penerima diminta untuk menanggapi permintaan palsu atau
mengunjungi halaman web dan mengirimkan data. Pesan tersebut sering kali berisi
tautan ke halaman web yang tampak sah. Halaman web memiliki logo perusahaan,
grafik yang familiar, nomor telepon, dan tautan Internet yang tampaknya milik
perusahaan yang menjadi korban. Ini juga memiliki formulir yang meminta
semuanya mulai dari alamat rumah hingga PIN kartu ATM.
 BAB 8

KONTROL UNTUK INFORMASI

Saat ini, setiap organisasi bergantung pada teknologi informasi (TI). Banyak organisasi
juga memindahkan setidaknya sebagian dari sistem informasi mereka ke cloud.
Manajemen menginginkan jaminan bahwa informasi yang dihasilkan oleh sistem akuntansi
organisasi itu sendiri dapat diandalkan dan juga tentang keandalan penyedia layanan cloud
yang dikontraknya. Selain itu, manajemen juga menginginkan jaminan bahwa organisasi
sesuai dengan standar yang terus meningkat serangkaian persyaratan peraturan dan industri
termasuk Sarbanes-Oxley (SOX), Undang-Undang Portabilitas dan Akuntabilitas Asuransi
Kesehatan (HIPAA), dan Data Industri Kartu Pembayaran standar keamanan (PCI-DSS).
Kerangka layanan kepercayaan mengantur control terkait TI menjadi 5 prinsip yang
berkontribusi pada keandalan system sebagai berikut :

1. Keamanan—akses (baik fisik maupun logis) ke sistem dan datanya dikendalikan

dan dibatasi untuk pengguna yang sah.
2. Kerahasiaan— informasi organisasi yang sensitif (misalnya, rencana pemasaran,
secrets yang dilindungi dari pengungkapan yang tidak sah.
3. Privasi—informasi pribadi tentang pelanggan, karyawan, pemasok, atau mitra bisnis
dikumpulkan, digunakan, diungkapkan, dan dipelihara hanya sesuai dengan
kebijakan internal dan persyaratan peraturan eksternal dan dilindungi dari
pengungkapan yang tidak sah.
4. Integritas Pemrosesan—data diproses secara akurat, lengkap, tepat waktu serta
dengan otoritas yang tepat.
5. Ketersediaan— sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontrak.

A. KONSEP DASAR KEAMANAN INFORMASI

1. Keamanan adalah masalah manajemen, bukan hanya masalah teknologi. Kemanan
informasi yang efektif memerlukan penyebaran penyebaran alat teknologi seperti fire
well dan enkripsi . keterlibatan dan dukungan manajer senior ini ada pase siklus hidup
keamanan, berikut adalah gambar siklus hidup keamanan :

menilai ancaman &

pilih resiko tanggapan

Mengembangkan
Memantau dan menyampaikan
pertunjukan aturan

Mendapatkan &
melaksanakan
solusi
 Langkah pertama dalam siklus hidup keamanan adalah menilai ancaman
terkait keamanan informasi yang dihadapi organisasi dan memilih respons yang
sesuai. Profesional keamanan informasi memiliki keahlian untuk mengidentifikasi
potensi ancaman dan memperkirakan kemungkinan dan dampaknya. Namun,
manajemen senior harus memilih mana dari empat tanggapan risiko. Langkah 2
melibatkan pengembangan kebijakan keamanan informasi dan
mengkomunikasikannya kepada semua karyawan. Manajemen senior harus
berpartisipasi dalam mengembangkan kebijakan karena mereka harus memutuskan
sanksi yang bersedia mereka berikan karena ketidakpatuhan. Selain itu, dukungan
aktif dan keterlibatan manajemen puncak diperlukan untuk memastikan bahwa
pelatihan dan komunikasi keamanan informasi dilakukan secara serius. Agar
efektif, komunikasi ini harus melibatkan lebih dari sekadar menyerahkan dokumen
tertulis kepada orang-orang atau mengirim mereka pesan email dan meminta
mereka untuk menandatangani pengakuan bahwa mereka telah menerima dan
membaca pemberitahuan tersebut.
Langkah 3 dari siklus hidup keamanan melibatkan akuisisi atau pembangunan
alat teknologi tertentu. Manajemen senior harus mengizinkan investasi sumber daya
yang diperlukan untuk mengurangi ancaman yang diidentifikasi dan mencapai
tingkat keamanan yang diinginkan. Terakhir, langkah 4 dalam siklus hidup
keamanan memerlukan pemantauan kinerja secara berkala untuk mengevaluasi
efektivitas program keamanan informasi organisasi. Kemajuan TI menciptakan
ancaman baru dan mengubah risiko yang terkait dengan ancaman lama. Oleh
karena itu, manajemen harus secara berkala menilai kembali respons risiko
organisasi dan, bila perlu, membuat perubahan pada kebijakan keamanan informasi
dan berinvestasi dalam solusi baru untuk memastikan bahwa upaya keamanan
informasi organisasi mendukung strategi bisnisnya dengan cara yang konsisten
dengan selera risiko manajemen.
2. Model keamanan informasi si berbasis waktu
Tujuan dari model keamanan informasi berbasis waktu adalah untuk
menggunakan kombinasi kontrol preventif, detektif, dan korektif untuk melindungi
aset informasi cukup lama bagi organisasi untuk mendeteksi bahwa serangan
sedang terjadi dan untuk mengambil langkah tepat waktu untuk menggagalkan
serangan sebelum informasi apa pun hilang atau dikompromikan Organisasi
berusaha untuk memenuhi tujuan model keamanan berbasis waktu dengan
menerapkan strategi pertahanan mendalam, yang memerlukan penggunaan beberapa
lapisan kontrol untuk menghindari satu titik kegagalan. Defense-in-depth mengakui
bahwa meskipun tidak ada kontrol yang bisa 100% efektif. Model keamanan
berbasis waktu menyediakan sarana bagi manajemen untuk mengidentifikasi
pendekatan yang paling hemat biaya untuk meningkatkan keamanan dengan
membandingkan efek tambahan investasi dalam pengendalian preventif, detektif,
atau korektif.
B. SERANGAN BERTARGET
Banyak ancaman keamanan informasi, seperti virus, worm, bencana alam,
kegagalan perangkat keras, dan kesalahan manusia sering kali merupakan kejadian
acak (tidak ditargetkan). Organisasi juga sering menjadi sasaran serangan yang
disengaja, berikut ini langkah-langkah dasar yang digunakan penjahat untuk
menyerang sistem informasi organisasi :
1. Melakukan pengintaian
2. Mencoba rekayasa social
3. Pindai dan petakan target
4. Penelitian
5. Jalankan serangan

C. MELINDUNGI SUMBER DAYA INFORMASI

Melindungi sumber informasi dengan pengendalian preventif, dektektif dan korektif
berikut adalah cara melindungi sumber daya informasi pada suatu perusahaan :
1. Perlindungan :
a. Orang
1) Penciptaan budaya “sadar keamanan”
2) Pelatihan
b. Proses : control akses pengguna (otentikasi dan otorisasi)
c. Proses : pengujian penetrasi
d. Proses : control perubahan dan manajemen perubahan
e. Solusi TI
1) Anti-malware
2) Control akses jaringan (firewall, system pencegahan intrusi dll)
3) Pengerasan perangkat dan perangkat lunak (control konfigurasi)
4) Enkripsi
f. Keamanan fisik : control akses (kunci, penjaga dll)
2. Deteksi serangan
a. Analisis log
b. System deteksi penyusup
c. Pemantauan berkelanjutan
3. Tanggapan dari serangan
a. Tim respon insiden computer
b. Kepala petugas keamanan informasi