Oleh:
Kelompok 3
1. Zulkiram 2101103010022
2. Khairunnisa 2101103010056
3. Alief Azizi 2101103010057
4. Fadilla Nurul Humairah 2101103010061
5. Alya Sahakira Putri Irawan 2101103010065
6. Farhansyah Putra 2101103010073
7. M. Ridho Syahputra 2101103010074
Kami sebagai penulis berharap semoga makalah yang kami buat ini
dapat menambah pengetahuan dan pengalaman bagi pembaca. Bahkan kami
berharap agar makalah ini bisa dipraktikkan oleh pembaca dalam kehidupan
sehari-hari.
Kami sebagai penyusun makalah ini merasa jika makalah ini masih
terdapat banyak kekurangan dalam penyusunannya karena keterbatasan
pengetahuan dan pengalaman pada kami. Untuk itu kai sangat berharap pada
para pembaca terhadap kritik dan saran yang membangun.
Penulis
DAFTAR ISI
iii
BAB III
PENDAHULUAN
Tujuan pemantauan keamanan data adalah agar system pendataan
perusahaan dapat diandalkan, serta organisasi patuh kepada peraturan dan
ketentuan yang ada. AICPA dan CICA mengembangkan suatu Kerangka
Layanan Kepercayaan untuk memberikan panduan tentang kepercayaan dalam
system informasi. Kerangka Layanan Kepercayaan ini memiliki lima prinsip
dalam mengatur pengendalian teknologi informasi (TI) yaitu: 50
1. Ketentraman
2. Ketertutupan
3. Privasi
4. Pengelolaan integritas
5. Kesiapan
50
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
dan pelaporan. Tujuan diciptakannya pengendalian keamanan yaitu agar tidak
banyak terjadi kerusakan komputer akibat tidak adanya sistem keamanan,
petunjuk untuk mengendalikan atau mengontrol sistem keamanan, dan untuk
mengetahui hal terkait dengan sistem keamanan informasi.51
Setiap perusahaan memiliki informasi yang bersifat rahasia dan hanya boleh
diketahui oleh orang-orang tertentu. Oleh sebab itu, perusahaan menciptakan
sebuah pengendalian yang mampu menjaga keamanan serta melindungi informasi
sehingga tidak dipergunakan oleh orang-orang yang tidak memiliki kepentingan.
Untuk membuat suatu sistem ini, perusahaan bergantung pada teknologi
informasi. Pengendalian sistem informasi memiliki peran untuk dapat mendeteksi
adanya kesalahan pada suatu sistem.
5
Sebuah perusahaan dapat berhasil apabila didukung oleh manajemen senior
terhadap manajemen yang ada dibawahnya. Hal ini merupakan faktor pendukung
untuk menciptakan keamanan informasi yang efektif bagi perusahaan. Selain itu,
teknologi canggih juga menjadi pendukung lain untuk terciptanya keamanan
informasi. 53
6
dirusak oleh pihak yang dapat mengaksesnya tanpa izin, maka pengendalian
berikutnya dapat bekerja untuk melindungi informasi yang termuat di sistem
tersebut dalam jangka waktu yang lama, sehingga memungkinkan dari pihak
perusahaan untuk dapat mengenali dan menemukan dari ancaman tersebut
sehingga dapat mengambil tindakan untuk memusnahkan ancaman tersebut.
7
terkait informasi yang mereka inginkan.
Menutupi jejak.55
Personel sistem sendiri merupakan salah satu dari hambatan dan ancaman
yang potensial, karena mereka berwenang mengakses program dan data-data
sensitive pengguna, mereka memang memiliki akses secara terbatas, namun
mereka mempunyai cara lain untuk menipu. Meskipun penyusup mungkin tampak
tidak memiliki akses apa pun, mereka biasanya adalah individu yang sangat
cerdas yang berpotensi menyebabkan kerusakan signifikan pada organisasi.
metode yang digunakan untuk melakukan penipuan system informasi adalah
sebagai berikut:
1. Metode manipulasi input digunakan secara luas dan membutuhkan keterampilan
teknis yang sangat sedikit. Seseorang dapat mengubah masukan bahkan jika
mereka tidak tahu bagaimana sistem informasi bekerja.
2. Pemrograman ulang adalah metode yang jarang dipakai untuk melakukan
kejahatan di komputer karena membutuhkan keterampilan pemrograman yang
hanya dimiliki sedikit orang. Selain itu, perusahaan besar memiliki metode
pengujian perangkat lunak untuk mendeteksi atau menemukan perubahan pada
perangkat lunak.
3. Mengedit file degan langsung, Dengan mengubah file secara langsung,
beberapa orang dapat menghindari prosedur standar untuk memasukkan
data ke dalam program komputer.
4. Pembobolan data, Pembobolan data adalah masalah sangat serius bagi
bisnis. Informasi kuantitatif dan kualitatif tentang pesaing sangat dicari
dalam industri dengan banyak persaingan. Ketika informasi dikirim dari
satu perusahaan ke perusahaan lain melalui internet, sebagian dapat
diakses oleh pihak yang tidak berwenang.
5. Sabotase, salah satu perusakan sebuah perangkat computer atau
perangkat lunak yang mampu menyebabkan kebangkrutan yang terjadi
pada sebuah perusahaan. Dari beberapa kasus yang terjadi penyusup
menggunakan sabotase dalam menggunakan kecurangan menjadi susah
55
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
8
dan dapat membingungkan dalam pengungkapannya.
6. Ketika karyawan memakai sumber daya organisasi berupa computer
untuk penggunaan atau keuntungan pribadi mereka sendiri, ini dikenal
sebagai pencurian dan penyalahgunaan sumber daya informasi.56
Pengendalian Preventif
Dalam pembahasan ini, akan dibahas tekait dengan pengendalian preventif
yang biasa digunakan oleh sebuah organisasi agar bisa membatasi terkait akses
56
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”
9
sumber daya informasinya. Meskipun pengendalian preventif ini dikatakan
penting, namun dari segi komponen orang orang yang terlibat didalamny jauh
lebih penting. Karena pihak manajemen perusahaan harus bisa menyadarkan
seluruh pegawai akan keamanan dari informasi sebuah perusahaan dan dapat
melatih mereka agar bisa mengikuti dari kebijakan yang telah dibuat dan
mempraktika perilaku komputasi yang aman.57
10
informasi entitas oleh orang lain.
b) Training
Segenap pekerja harus diarahkan mengenai betapa krusialnya standar-
standar keamanan bagi kesinambungan entitas mereka, dan juga
diperlukan training untuk pekerja mengenai bagaimana cara
pengoperasian komputer dengan baik yang bertujuan agar terciptanya
pelaksanaan komputasi yang aman. Misalnya, lampiran yang dirasa tidak
penting tidak perlu dibuka, tidak berbagi kode sandi kepada orang lain
yang tidak terkait dengan program yang dimaksud, dan menjaga secara
fisik perangkat laptop atau komputer yang dimiliki pekerja. Training
menjadi hal yang utama untuk dilakukan, dengan tujuan agar pekerja
mampu melalui ancaman rekayasa sosial. Tak hanya pekerja, pihak
manajemen senior juga membutuhkan training keamanan dikarenakan
belakangan ini terdapat banyak ancaman rekayasa sosial yang ditujukan
kepada manajemen senior. Ancaman- ancaman yang ada sudah tidak
dapat lagi diselesaikan menggunakan solusi ataupun cara lawas, karena
ancaman yang ada sekarang ini merupakan ancaman dalam bentuk yang
baru akibat terus berkembangnya pengetahuan dan teknologi.
11
c) Proses : Pengelolaan Akses Pemakai
Risiko kemungkinan terjadinya kebocoran informasi suatu organisasi
atau entitas tidak semata-mata berasal dari individu yang berada di luar
entitas, tetapi hal tersebut juga dapat berasal dari individu yang berada di
dalam entitas tersebut. Kebocoran informasi suatu organisasi dapat
terjadi akibat berbagai macam alasan, contohnya adalah kemarahan
seorang pekerja karena tidak mendapatkan promosi jabatan, ataupun
karena hal lain seperti keinginan untuk melakukan tindakan korupsi yang
dipicu oleh keadaan ekonomi yang sulit. Oleh karena itu, sudah
seharusnya organisasi menetapkan satu set pengendalian yang dibuat
untuk menjaga aset dari pemakaian dan akses yang tidak memiliki izin
yang dilakukan oleh pekerja. Pengimplementasian manajemen COBIT 5
DSS05.04 mengutamakan pentingnya pengendalian pengelolaan identitas
pemakai dan akses valid, yang mampu mengetahui siapa saja yang bisa
membuka sistem informasi entitas dan juga mencari tahu apa yang
mereka lakukan menggunakan sistem tersebut.
12
Menempa pekerja agar tidak menggunakan perangkat lunak
yang diberikan.
g) Penyelesaian TI : Sandi
Sandi menjadi salah satu bentuk upaya kemanan terakhir pada
13
berbagai macam pertahanan yang digunakan untuk bisa melindungi
informasi atau data organisasi, terutama menghindari akses yang tidak
memiliki izin terhadap informasi yang rentan atau sensitive ataupun
informasi yang bersifat penting dan rahasia pada suatu entitas.
14
tersebut disarankan untuk menghindari kemungkinan terjadinya
kebocoran maupun hilangnya data entitas yang sudah dijaga dengan baik.
Meskipun diharuskan menyimpan data dalam perangkat pribadi,
perangkat tersebut harus dilindungi dengan sandi agar data mengenai
entitas tersebut tidak dengan mudah diakses sembarangan orang.
15
sebelumnya agar mempermudah pengembalian bentuk ke bentuk
awal jika system informasi yang baru menciptakan masalah.
Pengendalian Detektif
Pengendalian detektif adalah kegiatan pengendalian yang memetakan risiko
dan kemudian melakukan audit investigatif untuk mengidentifikasi masalah
dengan proses bisnis dan menentukan sumber masalah jika sistem keamanan telah
berhasil disusupi atau dihindari. Adapun 4 jenis pengendalian detektif, yaitu:59
Analisis Log
Log adalah catatan yang membentuk jejak audit akses system.
Sebagian besar system keamanan yang diciptakan memiliki kemampuan
menyimpan log-log pengguna sehingga seluruh aktivitas pengguna dapat
terekam secara rinci. Log harus rutin diperiksa dan dianalisis agar jika
terjadi serangan dapat segera terdeteksi.
Pengujian Penetrasi
Yaitu simulasi serangan yang dilakukan oleh tim pemeriksa yang
dibentuk perusahaan atau perusahaan konsultan keamanan eksternal
untuk meretas, membobol, atau tindakan lainnya yang mencoba merusak
system, jaringan, atau aplikasi dengan sengaja guna menguji keefektifan
keamanan informasi organisasi.
Pengawasan Berkelanjutan
59
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
16
Yaitu bagian pengendalian detektif yang mengidentifikasi masalah
signifikan secara tepat waktu, dengan menjalankan hal-hal sebagai
berikut:
1. Menjaga kepatuhan pegawai terhadap peraturan perusahaan
mengenai keamanan informasi serta kinerja keseluruhan proses
bisnis.
Pengendalian korektif
Mengidentifikasi suatu perkara dalam waktu yang sesuai tidaklah sempurna,
namun organisasi juga membutuhkan suatu tindakan korektif pada waktu yang
sesuai. Ada beberapa pengendalian korektif yang membutuhkan keputusan
manusia sehingga harus bergantung pada perancangan dan persiapan yang tepat.61
Suatu pengendalian korektif dapat berjalan dengan cara membuat
pembackup- an. Pengendalian tersebut bertujuab untuk memeriksa kesalahan.
Pengendalian Korektif (Corrective Control) dapat mengatasi perkara-perkara
keliru yang didapatkan. Pengendalian tersebut melingkupi suatu prosedur yang
60
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”
61
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
17
dikerjakan untuk mencari pemicu dari suatu perkara, pengubahan system yang
dapat mencegah timbulnya masalah di masa yang akan dating, dan mengoreksi
masalah atau kerumitan yang ditemukan. Di antara contoh dari pengendalian
tersebut adalah perlindungan kopian cadangan (backup copies) dari file utama dan
transaksi, juga mengikuti metode yang bertujuan untuk mengoreksi kekeliruan
dalam pemasukan data.62
62
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”
18
3. Perbaikan. Masalah yang ditimbulkan akibat penyerangan harus
segera diperbaiki. Perbaikan dapat berupa pemasangan kembali
program yang rusak dan penyimpanan ulang data.
4. Tindak Lanjut. Sesudah Perbaikan dilakukan, bagi tim perespons
hendaknya mengambil pelajaran dengan menyelidiki mengapa
masalah tersebut dapat timbul, ada kemungkinan system yang
dimiliki sudah mulai berkurang terkait keamanan sehingga dapat
dipelajari agar masalah tersebut tidak muncul lagi di kemudian hari.
Salah satu langkah yang juga hendaknya diambil terkait pelaku
penyerangan agar dapat diperiksa dan diberi hukuman terkait
perilakunya yang dapat membuat kerugian bagi organisasi. Jika
keputusan diambil dengan adanya penangkapan, maka harus
menyertakan ahlinya untuk mengumpulkan alat bukti dan
memudahkan dalam proses penyelidikan untuk menuju tahap
pengendalian. 63
19
terjadi penyerangan terkait informasi keamanan. Perekrutan para anggota ini
dilakukan dengan sangat teliti sehingga menghasilkan para ahli yang
kompeten dalam bidang keamanan system informasi.
65
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
20
Kontrol teknologi informasi untuk system keuangan dan lainnya
Perancang keamanan
Perbaikan bencana dan manajemen bisnis kontinuitas
Informasi kepatuhan terhadap peraturan Informasi manajemen risiko
Keamanan Informasi Pusat Operasi ISOC
Manajemen identitas dan akses
c) Management Patch
Suatu kode yang diciptakan oleh developer dengan tujuan memperbaiki
kerentanan tertentu disebut sebagai Patch. Manajemen patch merupakan
prosedur yang bersifat rutin untuk mengimplementasikan dan memperbarui
semua software yang dipakai suatu perusahaan. Perubahan program pada
Patch sangat sulit untuk diimplementasikan. Sehingga, patch bisa
menimbulkan efek samping tak terduga tambahan yang mengakibatkan
masalah baru. Maka perusahaan diharuskan untuk menguji efek dari patch
21
yang akan diaplikasikan dengan cermat sebelum patch tersebut disebarkan.
Jika hal tersebut tidak dikerjakan, kelak perusahaan akan menanggung risiko
yaitu mengalami kerusakan terhadap aplikasi yang penting. Masalah lain
yaitu, kemungkinan adanya berbagai patch yang dirilis setiap tahunnya ,
menyebabkan organisasi harus menggunakan ratusan patch pada ribuan mesin
yang dipakai oleh organisasi setiap tahunnya.66
Manajemen patch adalah daerah manajemen sistem yang melibatkan
memperoleh, pengujian, dan menginstal beberapa patch yang es (perubahan
kode) kepada sistem komputer yang diberikan. Tugas manajemen patch
meliputi: mempertahankan pengetahuan saat ini patch yang ada, menentukan
apa saja patch yang pantas untuk sistem tertentu, meyakinkan bahwa patch
diinstal dengan baik dan benar, pengujian sistem setelah instalasi, dan
mendokumentasikan semua prosedur terkait, seperti spesifik konfigurasi
diperlukan.
Penulis menyimpulkan bahwa, Patch merupakan sebuah kode yang
diciptakan Oleh developer software dengan tujuan memperbaiki kerentanan
tertentu. Tugas manajemen patch adalah mempertahankan pengetahuan saat
ini patch yang tersedia, menentukan apa patch yang cocok untuk sistem
tertentu, meyakinkan bahwa patch diinstal dengan benar, pemeriksaan sistem
setelah instalasi, dan mendokumentasikan semua prosedur terkait, seperti
spesifik konfigurasi diperlukan.
22
tinggi jaringan telekomunikasi global untuk saat ini agar memudahkan karyawan
dalam menggunakan software hanya dengan browser web, perangjat penyimpanan
data, dan semua lingkungan aplikasi Komputasi cloud dapat menghemat biaya
secara signifikan dan lebih fleksibel.67
DAFTAR PUSTAKA
67
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
23
Talang. (2009). Talang leak sadeiku: KEAMANAN INFORMASI.
Retrieved from tunjanglebong.blogspot.com.
24