2022
KATA PENGANTAR
Segala puji syukur kami panjatkan kepada Allah SWT. Atas rahmat dan karunia-Nya,
kami dapat menyelesaikan tugas penulisan makalah mata kuliah Sistem Informasi Akuntansi
tepat waktu.Sholawat serta salam tak lupa kita haturkan kepada baginda Rasulullah SAW, yang
telah membawa kita dari zaman jahiliyah menuju zaman terang benderang ini dan yang
syafa’atnya kita nantikan kelak.
Tidak lupa kami ucapkan terima kasih kepada bapak Arifa Kurniawan, S.E., M.S.A
selaku dosen pengampu mata kuliah Sistem Informasi Akuntansi yang telah membimbing
penulisan makalah berjudul “ Pengendalian Untuk Keamanan Informasi ” dapat diselesaikan.
Selain itu, kami juga berharap agar pembaca mendapatkan sudut pandang baru setelah membaca
makalah ini.
Penulis
ii
DAFTAR ISI
KATA PENGANTAR.............................................................................................. ii
A. Kesimpulan ................................................................................................... 11
B. Saran dan Kritik ............................................................................................ 11
iii
iv
BAB I
PENDAHULUAN
A. LATAR BELAKANG
Selama siklus hidup, control dapat dibagi menjadi control-kontrol yang berhubungan
dengan pengembangan, desain dan operasi. Manajer dapat memperoleh control dalam ketiga area
secara langsung melalui ahli lain, seperti auditor. Sebuah pengendalian dikatakan berhasil Ketika
kesalahan-kesalahan dapan di minimalisir. Betapa pentingnya informasi dalam kehidupan
manusia, sehingga informasi yang datang tidak boleh terlambat, tidak boleh bias (berat sebelah)
harus bebas dari kesalahan-kesalahan yang relevan dengan penggunaannya, sehingga informasi
tersebut menjadi informasi yang berkualitas dan berguna akan mendukung sebuah keputusan
bagi pemakainya. Pendekatan system adalah suatu prosedur langkah demi langkah yang
digunakan dalam memecahkan masalah. Tiap Langkah mencakup satu keputusan atau lebih dan
untuk tiap keputusan diperlukan informasi.
B. Rumusan Masalah
C. Tujuan Penelitian
1
BAB II
PEMBAHASAN
1. Keamanan (security)
Akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta
terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality)
Informasi keorganisasian yang sensitif (seperti rencana pemasaran, rahasia dagang)
terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy)
Informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya
dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari
pengungkapan yang tanpa izin.
5. Ketersediaan (availability)
Sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan
kontraktual.
2
2. Manajemen senior juga harus mengotorisasi investasi sumber daya yang diperlukan untuk
mengatasi ancaman yang teridentifikasi serta mencapai level keamanan yang
dikehendaki.
1. Defense-in-depth
Penggunaan kombinasi perlindungan preventif, detektif, korektif yang melindungi aset informasi
cukup lama agar memungkinkan organisasi untuk mengenali bahwa sebuah serangan tengah
terjadi dan mengambil langkah-langkah untuk menggagalkannya sebelum informasi hilang atau
dirusak.
Langkah-langkah dasar yang dilakukan para penjahat untuk menyerang sistem informasi suatu
perusahaan adalah:
Rekayasa sosial (social engineering) tipuan untuk mendapatkan akses tanpa terhadap sumber
daya informasi.
D. Pengendalian Preventif
Manajemen harus menciptakan sebuah budaya "sadar keamanan" dan pegawai harus dilatih
untuk mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang
aman.
Secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari fasilitator
kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar
keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak
hanya harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu
3
dengan mencontohkannya. Budaya diciptakan tidak hanya dengan mengkomunikasikannya,
tetapi juga dengan mencontohkannya.
2. People : Pelatihan
Mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya
untuk keamanan informasi yang efektif. Para pegawai harus memahami cara untuk mengikuti
kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif
yang kritis. Pelatihan diadakan supaya pegawai dapat memahami cara
Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang
pegawai mungkin tidak puas karena berbagai alasan (contoh: tidak dipromosikan) dan mencoba
balas dendam, atas mungkin melakukan korupsi karena kesulitan keuangan, atau mungkin juga
memaksa untuk diberi informasi sensitif. Oleh karena itu, organisasi perlu menerapkan satu set
pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan
akses tanpa izin yang dilakukan oleh pegawai.
Memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Tiga
tanda bukti yang dapat digunakan untuk memverifikasi identitas seseorang :
1) Sesuatu yang mereka ketahui, sepertu kata sandi atau personal identification number
(PIN).
2) Sesuatu yang mereka miliki, seperti kartu pintar atau badge ID.
3) Beberapa karakteristik fisik atau perilaku (disebut dengan pengidentifikasi biometri
(biometric identifier): sebuah karakteristik fisik atau perilaku yang digunakan sebagai
informasi keaslian), seperti sidik jari atau pola tulisan.
Meskipun tidak satupun dari ketiga tanda bukti autentikasi, yang dengan sendirinya, sangat
mudah digunakan, maka diperlukan autentikasi multifaktor dan atau autentikasi multi modal.
penggunaan dua atau lebih jenis tanda bukti autentikasi secara bersamaan untuk mencapai
tingkat keamanan yang lebih ketat.
4
b. Pengendalian Otorisasi
1) Otorisasi (authorization)
Proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi
tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Salah satu dari bagian COBIT 5 DSS05.01 mendaftar perlindungan malware sebagai salah
satu dari kunci keamanan yang efektif, merekomendasikan secara spesifik :
Sebagian besar organisasi menyediakan para pegawai, pelanggan, dan pemasok dengan akses
jarak jauh terhadap sistem informasi mereka. Biasanya, akses ini dilakukan melalui internet,
tetapi beberapa organisasi masih mengelola jaringan hak milik mereka sendiri atau menyediakan
akses dial-up langsung melalui modem.
Metode yang digunakan untuk menunjukkan keamanan jaringan organisasi dan seluruh
upaya untuk tersambung ke dalamnya :
1) Pertahanan Perimeter
Pertahanan Perimeter terdiri dari Router, Firewall, Dan Sistem Pencegahan Gangguan.
Border router merupakan sebuah perangkat yang menghubungkan sistem informasi
organisasi ke internet. Firewall ialah sebuah perangkat keras yang bertujuan khusus atau
5
perangkat lunak yang bekerja pada sebuah komputer bertujuan umum yang mengendalikan
baik komunikasi masuk maupun keluar antara sistem di balik firewall dan jaringan lainnya.
Sedangkan Demilitarized zone (DMZ) adalah sebuah jaringan terpisah yang berada di luar
sistem informasi internal organisasi serta mengizinkan akses yang dikendalikan dari internet.
2) Bagaimana arus informasi pada jaringan : tinjauan menyeluruh TCP/IP dan Ethernet
• Mengendalikan paket dengan jaringan
• Menggunakan defence-in-depth untuk membatasi akses jaringan
3) Mengamankan koneksi dial-up
4) Mengamankan akses nirkabel
1) Endpoint
Endopoint istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang
meliputi jaringan organisasi.
Para pemogram harus dilatih untuk memperlakukan seluruh input dari pengguna eksternal
sebagai hal yang tidak dapat dipercaya dan mengeceknya dengan cermat sebelum melakukan
6
tindakan lebih lanjut. Limpahan buffer, injeksi SQL, dan cross-site scripting adalah contoh
umum dari serangan terhadap perangkat lunak yang dijalankan dalam situs.
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin
terhadap informasi sensitif.
Sudah menjadi hal mendasar untuk mengendalikan akses fisik terhadap sumber daya
informasi karena seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses
fisik langsung tanpa pengawasan untuk menembus pengendalian keamanan informasi yang ada.
Pengendalian perubahan dan manajemen perubahan (change control and change management)
merupakan proses formal yang digunakan untuk memastikan bahwa modifikasi pada perangkat
keras, perangkat lunak, atau pada proses tidak mengurangi keandalan sistem.
Beberapa karakteristik proses pengendalian perubahan dan manajemen perubahan yang didesain
dengan baik melibatkan:
7
E. Pengendalian Detektif
1. Analisis Log
Analisis Log merupakan sebuah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan.
Intrusion detection system (IDS) adalah sebuah sistem yang menghasilkan sejumlah log dari
seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis
log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
3. Pengujian Penetrasi
Uji penetrasi (penetration test) adalah upaya terotorisasi untuk menerobos ke dalam sistem
informasi organisasi.
4. Pengawasan Berkelanjutan
F. Pengendalian Korektif
Pembentukan sebuah tim perespons insiden komputer (computer incident response team –
CIRT). Computer Incident Response Team (CIRT) Tim perespons insiden komputer
(computer incident response team- CIRT): sebuah tim yang bertanggung jawab untuk
mengatasi insiden keamanan utama.
8
Exploit adalah sebuah program yang didesain untuk memanfaatkan dari
kerentanan yang diketahui. Patch merupakan kode yang dirilis oleh pengembang
perangkat lunak untuk memperbaiki kerentanan tertentu. Sedangkan Manajemen patch
(patch management) adalah proses untuk secara teratur menerapkan patch dan
memperbarui perangkat lunak. Penetapan serta penerapan sistem manajemen path yang
didesain dengan baik.
1. Virtualisasi (virtualization)
Virtualisasi yaitu menjalankan berbagai sistem secara bersamaan pada satu komputer fisik.
Komputasi Cloud yaitu menggunakan sebuah browser untuk mengakses perangkat lunak,
penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.untuk mengikuti kebijakan
keamanan organisasi.
Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet banking
milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandung
dan juga merupakan salah satu karyawan media online (satunet.com) yang bernama Steven
Haryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika, melainkan
Insinyur Kimia. Ide ini timbul ketika Steven juga pernah salah mengetikkan alamat website.
Kemudian dia membeli domain-domain internet dengan harga sekitar US$20 yang
menggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan tampilan yang
sama persis dengan situs internet banking BCA, http://www.klikbca.com , seperti:
• wwwklikbca.com
• kilkbca.com
• clikbca.com
• klickbca.com
• klikbac.com
Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatu sistem
milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebut sebagai
hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker
dan black-hat hacker, dimana Steven hanya mencoba mengetahui seberapa besar tingkat
keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebut white-hat hacker
karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan User ID dan password
milik nasabah yang masuk dalam situs internet banking palsu. Namun tindakan yang
dilakukan oleh Steven, juga termasuk black-hat hacker karena membuat situs palsu dengan
9
diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukan Steven antara lain
scans, sniffer, dan password crackers.
Karena perkara ini kasus pembobolan internet banking milik bank BCA, sebab dia telah
mengganggu suatu sistem milik orang lain, yang dilindungi privasinya dan pemalsuan situs
internet banking palsu. Maka perkara ini bisa dikategorikan sebagai perkara perdata.
Melakukan kasus pembobolan bank serta telah mengganggu suatu sistem milik orang lain,
dan mengambil data pihak orang lain yang dilindungi privasinya artinya mengganggu privasi
orang lain dan dengan diam-diam mendapatkan User ID dan password milik nasabah yang
masuk dalam situs internet banking palsu.
10
BAB III
PENUTUP
A. KESIMPULAN
Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi.
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat
berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan
manajemen senior juga jelas menjadi dasar untuk keberhasilan. Manajemen harus
menciptakan sebuah budaya "sadar keamanan" dan pegawai harus dilatih untuk
mengikuti kebijakan-kebijakan keamanan serta mempraktikkan perilaku komputasi yang
aman. Sebuah organisasi dapat meningkatkan keamanan sistem informasinya dengan
menambahkan pengendalian preventif pada perimeter jaringan serta pengendalian
preventif tambahan statsiun kerja, server, printer dan perangkat lain (secara kolektif yang
disebut endpoint).
11
DAFTAR PUSTAKA
1. Romney and Steinbart. 2017. Sistem Informasi Akuntansi Edisi 13: Accounting
Information System. Jakarta: Salemba Empat.hlm 272
2. https://www.coursehero.com/file/pes3edl/A-Dua-Konsep-Keamanan-Informasi-
Fundamental-1-Keamanan-Merupakan-Masalah/ diakses pada 10 Oktober 2022
pukul 10.30
3. Arazakibsr 30 Agustus 2021 https://canducation.com/pengendalian-untuk-
keamanan-informasi-materi-sia/ diakses pada 10 Oktober 2022 pada pukul 11:00
4. Jody David https://kel6keamanan6j.files.wordpress.com/2014/04/studi-kasus-
keamanan-dan-pengendalian-sistem-informasi.docx
12
13