PENGENDALIAN UNTUK KEAMANAN INFORMASI

Mata Kuliah Sistem Informasi Akuntansi

Dosen Pengampu : Dr. Mulia Saputra, SE.Ak., M.Si.

Oleh:
Kelompok 3

1. Zulkiram 2101103010022
2. Khairunnisa 2101103010056
3. Alief Azizi 2101103010057
4. Fadilla Nurul Humairah 2101103010061
5. Alya Sahakira Putri Irawan 2101103010065
6. Farhansyah Putra 2101103010073
7. M. Ridho Syahputra 2101103010074

UNIVERSITAS SYIAH KUALA

FAKULTAS EKONOMI DAN BISNIS
BANDA ACEH
2023
 KATA PENGANTAR
Alhamdulillah segala puji dan syukur penulis panjatkan kehadirat
Allah SWT yang telah memberi rahmat dan karunia-Nya sehingga penulis
dapat menyelesaikan makalah ini yang berjudul “Kontrol Keamanan
Informasi”. Shalawat beriring salam selalu tercurahkan kepada junjungan
Nabi Besar Muhammad S.A.W yang telah membawa umat manusia dari
zaman kebodohan sampai pada zaman yang penuh dengan ilmu pengetahuan
seperti saat ini.

Kami sebagai penulis berharap semoga makalah yang kami buat ini
dapat menambah pengetahuan dan pengalaman bagi pembaca. Bahkan kami
berharap agar makalah ini bisa dipraktikkan oleh pembaca dalam kehidupan
sehari-hari.

Kami mengucapkan terima kasih kepada semua pihak yang terlibat

dalam penulisan makalah ini. Kami mengucapkan kepada terima kasih
kepada dosen pengampu mata kuliah Sistem Informasi Akuntansi yaitu
Bapak Dr. Mulia Saputra, SE.Ak., M.Si.

Kami sebagai penyusun makalah ini merasa jika makalah ini masih
terdapat banyak kekurangan dalam penyusunannya karena keterbatasan
pengetahuan dan pengalaman pada kami. Untuk itu kai sangat berharap pada
para pembaca terhadap kritik dan saran yang membangun.

Banda Aceh, 31 Januari 2023

Penulis
 DAFTAR ISI

PENGENDALIAN UNTUK KEAMANAN INFORMASI.....................................i

KATA PENGANTAR.............................................................................................ii
DAFTAR ISI..........................................................................................................iii
BAB III....................................................................................................................4
KONTROL KEAMANAN INFORMASI...............................................................4
PENDAHULUAN...................................................................................................4
DUA KONSEP DASAR KEAMANAN INFORMASI.......................................5
Mengetahui Target Serangan................................................................................7
Pengendalian Preventif.......................................................................................10
Pengendalian Detektif........................................................................................16
Pengendalian korektif.........................................................................................17
Implikasi Keamanan Virtualisasi dan Cloud......................................................22
DAFTAR PUSTAKA............................................................................................24

iii
 BAB III

KONTROL KEAMANAN INFORMASI

PENDAHULUAN
Tujuan pemantauan keamanan data adalah agar system pendataan
perusahaan dapat diandalkan, serta organisasi patuh kepada peraturan dan
ketentuan yang ada. AICPA dan CICA mengembangkan suatu Kerangka
Layanan Kepercayaan untuk memberikan panduan tentang kepercayaan dalam
system informasi. Kerangka Layanan Kepercayaan ini memiliki lima prinsip
dalam mengatur pengendalian teknologi informasi (TI) yaitu: 50

1. Ketentraman
2. Ketertutupan
3. Privasi
4. Pengelolaan integritas
5. Kesiapan

Pengendalian untuk keamanan informasi dilakukan untuk mencegah dan

mendeteksi kesalahan-kesalahan yang ada. Pengendalian tersebut dapat berhasil
apabila kesalahan dapat diminimalisir. Hal tersebut juga dilakukan karena masih
banyaknya kejadian akibat kurangnya keamanan informasi dan masih sedikit
yang mengetahui kegunaan sistem keamanan informasi. Suatu perusahaan
membutuhkan pengendalian internal dengan adanya sistem keamanan informasi.

Keamanan sistem informasi dapat berupa aplikasi yang memiliki prinsip

pengendalian internal yang khusus dimanfaatkan untuk memecahkan masalah
pada sistem informasi. Tugas system keamanan informasi adalah mengelola risiko
yang terkait dengan system informasi terkomputerisasi. Sebuah system keamanan
informasi terdiri dari elemen-elemen utama seperti hardware, database, prosedur,

50
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
dan pelaporan. Tujuan diciptakannya pengendalian keamanan yaitu agar tidak
banyak terjadi kerusakan komputer akibat tidak adanya sistem keamanan,
petunjuk untuk mengendalikan atau mengontrol sistem keamanan, dan untuk
mengetahui hal terkait dengan sistem keamanan informasi.51

Setiap perusahaan memiliki informasi yang bersifat rahasia dan hanya boleh
diketahui oleh orang-orang tertentu. Oleh sebab itu, perusahaan menciptakan
sebuah pengendalian yang mampu menjaga keamanan serta melindungi informasi
sehingga tidak dipergunakan oleh orang-orang yang tidak memiliki kepentingan.
Untuk membuat suatu sistem ini, perusahaan bergantung pada teknologi
informasi. Pengendalian sistem informasi memiliki peran untuk dapat mendeteksi
adanya kesalahan pada suatu sistem.

DUA KONSEP DASAR KEAMANAN INFORMASI

1. Keamanan bukanlah masalah teknologi, tetapi juga merupakan masalah
manajemen
Teknologi dapat membantu keamanan system informasi agar lebih ampuh,
tetapi dukungan manajemen senior juga sangat penting karena dengan adanya
profesional pada keamanan informasi organisasi dapat mengidentifikasi ancaman
dan dampaknya. Sulit untuk mengelola keamanan komputer dan jaringan,
terutama dalam manajemen perusahaan. Manajer keamanan informasi
bertanggung jawab untuk mengembangkan dan menerapkan langkah-langkah
keamanan informasi yang menjamin kerahasiaan, integritas, dan aksesibilitas
sistem informasi perusahaan. Keamanan informasi mencakup perlindungan
system computer, situs, informasi, dan data dari akses yang tidak sah.52
Informasi merupakan bagian dari asset perusahaan yang berkedudukan sama
seperti asset lainnya. Karena itu, keamanan informasi haru mampu melindungi
informasi dari ancaman. Manajer keamanan informasi hendaknya menciptakan
dan mengimplementasikan proyek keamanan informasi yang mengutamakan 3
hal, yaitu kerahasiaan, integritas, dan ketersediaan.
51
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”
52
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

5
 Sebuah perusahaan dapat berhasil apabila didukung oleh manajemen senior
terhadap manajemen yang ada dibawahnya. Hal ini merupakan faktor pendukung
untuk menciptakan keamanan informasi yang efektif bagi perusahaan. Selain itu,
teknologi canggih juga menjadi pendukung lain untuk terciptanya keamanan
informasi. 53

2. Pertahanan Secara Mendalam dan model keamanan informasi berbasis waktu

Gagasan menggunakan banyak pengontrol untuk menghindari kesalahan
disebut defense-in-depth. Kata sandi, misalnya, digunakan untuk membatasi akses
ke sistem informasi perusahaan. Ada tiga jenis kontrol dalam Defense-In-Depth
yaitu preventif, detektif, dan korektif. Pengendalian berlapis ini bertujuan apabila
salah satu pengendalian gagal, maka yang lain dapat berfungsi untuk melindungi
sistem informasi yang ada sudah sesuai dengan yang direncanakan. Tujuan
lainnya yaitu untuk melindungi informasi perusahaan dalam jangka waktu yang
lama, sehingga apabila terjadi serangan pada sistem informasi dapat diatasi
sebelum informasi tersebut hilang atau dirusak.54
Model keamanan berbasis pertahanan dan berbasis waktu digunakan karna
hal itu merupakan pendekatan yang paling handal. Pendekatan itu melakukan
pemeriksaan dan monitoring sistem secara terus menerus. Dalam model keamanan
ini, administrator jaringan dilibatkan dan jika ada masalah dengan sistem, maka
adminlah yang paling bertanggung jawab.
Sebuah folder maupun sistem yang terdapat pada perangkat computer
maupun laptop milik pribadi karyawan. Hal ini bertujuan agar isi folder tersebut
tidak bisa dilihat oleh pihak lain, dengan begitu hanya pemilik yang dapat
mengakses kata sandi dari computer maupun perangkat laptopnya. Sama halnya
dengan defense-in-depth, ada tiga perpaduan dari sisi pengawasan pencegahan,
investigasi, dan pembenaran agar dapat melindungi sistem informasi sebuah
perusahaan dari serangan serangan yang ingin mencuri maupun merusak
informasi yang dimiliki perusahaan. Ketiga dari pengendalian ini merupakan
pengendalian yang berlapis dimaksudkan untuk, jika pengedalian awal bisa
53
“Talang, 2009, “Keamanan Informasi”, diakses dari
http://tunjanglebong.blogspot.co.id/2009/06/keamananinformasi.html#!/tcmbck, pada tanggal 26 Maret 2016
pukul 20.00”
54
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

6
dirusak oleh pihak yang dapat mengaksesnya tanpa izin, maka pengendalian
berikutnya dapat bekerja untuk melindungi informasi yang termuat di sistem
tersebut dalam jangka waktu yang lama, sehingga memungkinkan dari pihak
perusahaan untuk dapat mengenali dan menemukan dari ancaman tersebut
sehingga dapat mengambil tindakan untuk memusnahkan ancaman tersebut.

Mengetahui Target Serangan

Terdapat banyak ancaman yang dapat mengancam keamanan sebuah
informasi yang dimiliki organisasi, contohnya seperti kegagalan perangkat keras,
virus, bencana alam, dan kesalahan yang diperbuat oleh manusia itu sendiri. Atau
bisa kita katakan kejadian yang tidak terduga atau tidak ditargetkan. Tidak
hanya itu, organisasi juga sangat sering dijadikan sebagai sasaran yang disengaja.
Adapun langkah awal yang dapat dilakukan oleh oknum-oknum yang menjadi
ancaman sistem iformasi perusahaan, yaitu:
 Sebelum mengambil informasi terhadap sebuah peruahaan maka mereka
akan melakukan pengintaian terlebih dahulu, yang dimana pada awalnya
mereka bakal mengumpulkan banyak informasi informasi terkait
perusahaan tersebut.
 Melakukan rekayasa sosial, rekayasa sosial bisa dilakukan melalui
email,telepon, bahkan menyamar sebagai karyawan sementara yang belum
mampu memahami bagaimana suatu sistem pada perusahaan, kemudian
mereka bakal menghubungi pihak helpdesk untuk mencari bantuan.
 Setelah berhasil mengelabui targetnya melalui rekayasa sosial, mereka
akan memindai dan memetakan target dengan melakukan pengintaian yang
lebih jelas agar mengetahui versi software apa yang dijalankan perusahaan.
 Penelitian. Setelah mengetahui perangkat lunak apa yang sedang
dijalankan perusahaan dan mengetahui lebih banyak informasi penting,
maka mereka akan mempelajari kerentanan-kerentanan yang dapat
terdeteksi oleh program tersebut dan mepelajari manfaatnya.
 Mengeksekusi serangan. Karena sudah mengetahui kerentanan yang
terdeteksi oleh program, maka mereka akan memenfaatkan kerentanan
tersebut agar mendapatkan akses sehingga mereka akan mendapatkan

7
 terkait informasi yang mereka inginkan.
 Menutupi jejak.55

Personel sistem sendiri merupakan salah satu dari hambatan dan ancaman
yang potensial, karena mereka berwenang mengakses program dan data-data
sensitive pengguna, mereka memang memiliki akses secara terbatas, namun
mereka mempunyai cara lain untuk menipu. Meskipun penyusup mungkin tampak
tidak memiliki akses apa pun, mereka biasanya adalah individu yang sangat
cerdas yang berpotensi menyebabkan kerusakan signifikan pada organisasi.
metode yang digunakan untuk melakukan penipuan system informasi adalah
sebagai berikut:
1. Metode manipulasi input digunakan secara luas dan membutuhkan keterampilan
teknis yang sangat sedikit. Seseorang dapat mengubah masukan bahkan jika
mereka tidak tahu bagaimana sistem informasi bekerja.
2. Pemrograman ulang adalah metode yang jarang dipakai untuk melakukan
kejahatan di komputer karena membutuhkan keterampilan pemrograman yang
hanya dimiliki sedikit orang. Selain itu, perusahaan besar memiliki metode
pengujian perangkat lunak untuk mendeteksi atau menemukan perubahan pada
perangkat lunak.
3. Mengedit file degan langsung, Dengan mengubah file secara langsung,
beberapa orang dapat menghindari prosedur standar untuk memasukkan
data ke dalam program komputer.
4. Pembobolan data, Pembobolan data adalah masalah sangat serius bagi
bisnis. Informasi kuantitatif dan kualitatif tentang pesaing sangat dicari
dalam industri dengan banyak persaingan. Ketika informasi dikirim dari
satu perusahaan ke perusahaan lain melalui internet, sebagian dapat
diakses oleh pihak yang tidak berwenang.
5. Sabotase, salah satu perusakan sebuah perangkat computer atau
perangkat lunak yang mampu menyebabkan kebangkrutan yang terjadi
pada sebuah perusahaan. Dari beberapa kasus yang terjadi penyusup
menggunakan sabotase dalam menggunakan kecurangan menjadi susah

55
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

8
 dan dapat membingungkan dalam pengungkapannya.
6. Ketika karyawan memakai sumber daya organisasi berupa computer
untuk penggunaan atau keuntungan pribadi mereka sendiri, ini dikenal
sebagai pencurian dan penyalahgunaan sumber daya informasi.56

Dari sini sang penulis menyimpulkan bahwasannya sangat banyak serangan

yang diarahkan pada sebuah perusahaan untuk dicuri atau dihancurkan
informasinya. Serangan-serangan tersebut data berupa serangan yang telah
ditargetkan ataupun serangan yang tidak ditargetkan sebelumnya. Contoh dari
serangan yang ditargetkan adalah bisa berupa sebuah serangan yang bisa berasal
dari orang diluar perusahaan yang ingin mencuri terkait dengan informasi yang
dimiliki oleh perusahaan. Sedangkan contoh dari serangan yang tidak ditargetkan
adalah bisa berupa bencana alam, virus, kesalahan saat pengoperasian, dan
sebagainya. Dalam kasus ini, sangat penting bagi perusahaan untuk mengetahui
perbuatan orang-orang yang ingin merusak dan mencuri sistem keamanan
perusahaannya. Pertama, mereka melaksanakan proses pengintaian pada
perusahaan tempat mereka merusak dan mencuri dat. Kemudian, mereka akan
melakukan penyamaran atau bisa disebut dengan “rekayasa sosial”, untuk
membohongi pihak perusahaan agar dapat mempercayai mereka agar mereka
dapat memasuki sebuah perusahaan dengan mudah. Misalnya seperti penyamaran
sebagai pegawai baru yang belum memahami sistem kerja yang ada pada
perusahaan dengan benar. Setelah mengetahui segala hal terkait dengan seluk
beluk perusahaan, maka selanjutnya mereka akan langsung memindai dan
memetakan target mereka dengan melakukan penelitian terhadap perangkat lunak
tersebut dan nantinya mereka akan lebih mempelajari dengan baik untuk
kemudian bisa diakses kembali oleh mereka. Setelah itu mereka akan menuupi
jejaknya agar apa yang dilakukan tidak dapat diketahui oleh perusahaan.

Pengendalian Preventif
Dalam pembahasan ini, akan dibahas tekait dengan pengendalian preventif
yang biasa digunakan oleh sebuah organisasi agar bisa membatasi terkait akses

56
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”

9
sumber daya informasinya. Meskipun pengendalian preventif ini dikatakan
penting, namun dari segi komponen orang orang yang terlibat didalamny jauh
lebih penting. Karena pihak manajemen perusahaan harus bisa menyadarkan
seluruh pegawai akan keamanan dari informasi sebuah perusahaan dan dapat
melatih mereka agar bisa mengikuti dari kebijakan yang telah dibuat dan
mempraktika perilaku komputasi yang aman.57

Pengendalian ini dapat dilakukan agar mencegah kekeliruan yang terjadi

seperti penipuan, terutapa dalam tahap memasukkan dan memproses transaksi.
Contoh pengendalian tersebut adalah menghindari penggunaan software
shareware ataupun freeware yang bersumber tidak jelas, memeriksa program baru
atau file baru yang Berisi program makro dan antivirus sebelum menggunakannya
dipercaya, memeriksa dari program baru atau dari berkas baru yang mengandung
makro dan program anti virus sebelum dipakai, dalam hal ini berarti setiap
pengguna tahu bahwa mereka bisa tetap terjaga. Pengendalian dalam pencegahan
(preventive control) bertujuan mencegah masalah yang belum terjadi. Penggunaan
staf akuntansi yang berkualifikasi tinggi, pemisahan tugas karyawan yang tepat,
dan pengendalian asset, data, dan fasilitas yang efektif melalui pengendalian fisik
adalah control preventif yang efektif.58
Pengarang menarik kesimpulan bahwa kontrol pencegahan adalah sebuah
kontrol fase permulaan yang digunakan dalam sistem keamanan data. Entitas
menggunakan kontrol keamanan sebagai pembatas untuk dapat mengakses
sumber data yang mereka miliki. Sehingga, tidak semua orang dapat mengakses
sumber data atau informasi tersebut. Kontrol ini memiliki peranan yang penting,
namun jika orang yang memiliki keterkaitan langsung tidak menguasainya dengan
baik dan benar, maka kontrol pencegahan ini tidak memiliki makna apapun. Pihak
tata usaha entitas perlu membuat pekerjanya paham, terutama pekerja yang
memiliki keterlibatan dalam pengimplementasian sistem keamanan data. Pihak
tata usaha entitas hendaknya melatih pekerjanya agar bisa mengikuti prosedur
yang telah ditetapkan dengan baik dan kemudian mengaplikasikan perilaku
komputasi secara baik sehingga tidak terjadi kerusakan atau pencurian data atau
57
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
58
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”

10
informasi entitas oleh orang lain.

a) Lahirnya Suatu Budaya “Paham-Keamanan”

Agar terciptanya suatu kultur “Paham-Keamanan” di suatu entitas,
manajemen hendaknya memastikan pekerjanya mengikuti prosedur
organisasi yang sudah ditetapkan, hal tersebut dapat dilakukan dengan
cara menyampaikannya kepada para pegawai dan juga mengarahkan
serta memberikan contoh kepada pegawai entitas. Pekerja memiliki
kecenderungan untuk mengikuti suatu prosedur jika mereka menyaksikan
pimpinannya melakukan hal yang serupa. Kebalikannya, jika pekerja
menyaksikan pimpinannya tidak mengikuti prosedur atau peraturan maka
mereka akan mengikuti apa yang dilakukan oleh pimpinannya. Sebagai
contoh, seorang manajer dengan teledor meletakkan kode sandi di layar
monitor, yang semestinya kode sandi tersebut merupakan hal yang
dirahasiakan agar tidak sembarangan oleh dapat mengakses monitor.

b) Training
Segenap pekerja harus diarahkan mengenai betapa krusialnya standar-
standar keamanan bagi kesinambungan entitas mereka, dan juga
diperlukan training untuk pekerja mengenai bagaimana cara
pengoperasian komputer dengan baik yang bertujuan agar terciptanya
pelaksanaan komputasi yang aman. Misalnya, lampiran yang dirasa tidak
penting tidak perlu dibuka, tidak berbagi kode sandi kepada orang lain
yang tidak terkait dengan program yang dimaksud, dan menjaga secara
fisik perangkat laptop atau komputer yang dimiliki pekerja. Training
menjadi hal yang utama untuk dilakukan, dengan tujuan agar pekerja
mampu melalui ancaman rekayasa sosial. Tak hanya pekerja, pihak
manajemen senior juga membutuhkan training keamanan dikarenakan
belakangan ini terdapat banyak ancaman rekayasa sosial yang ditujukan
kepada manajemen senior. Ancaman- ancaman yang ada sudah tidak
dapat lagi diselesaikan menggunakan solusi ataupun cara lawas, karena
ancaman yang ada sekarang ini merupakan ancaman dalam bentuk yang
baru akibat terus berkembangnya pengetahuan dan teknologi.

11
c) Proses : Pengelolaan Akses Pemakai
Risiko kemungkinan terjadinya kebocoran informasi suatu organisasi
atau entitas tidak semata-mata berasal dari individu yang berada di luar
entitas, tetapi hal tersebut juga dapat berasal dari individu yang berada di
dalam entitas tersebut. Kebocoran informasi suatu organisasi dapat
terjadi akibat berbagai macam alasan, contohnya adalah kemarahan
seorang pekerja karena tidak mendapatkan promosi jabatan, ataupun
karena hal lain seperti keinginan untuk melakukan tindakan korupsi yang
dipicu oleh keadaan ekonomi yang sulit. Oleh karena itu, sudah
seharusnya organisasi menetapkan satu set pengendalian yang dibuat
untuk menjaga aset dari pemakaian dan akses yang tidak memiliki izin
yang dilakukan oleh pekerja. Pengimplementasian manajemen COBIT 5
DSS05.04 mengutamakan pentingnya pengendalian pengelolaan identitas
pemakai dan akses valid, yang mampu mengetahui siapa saja yang bisa
membuka sistem informasi entitas dan juga mencari tahu apa yang
mereka lakukan menggunakan sistem tersebut.

d) Penyelesaian TI : Pengelolaan Antimalware

Malware adalah serangan luar biasa bagi suatu entitas, misalnya virus,
worm, software keystroke logging, dan lain-lain. Malware mampu
melenyapkan informasi atau mampu menciptakan suatu cara agar bisa
mendapatkan akses tidak berizin. Maka dari itu, COBIT DSS05.01
menyarankan pemakaian perlindungan malware sebagai salah satu
metode paling efektif untuk menghindari serangan dari dalam ataupun
luar organisasi. Adapun terdapat beberapa rekomendasi lain yang
disarankan, berupa:
 Bimbingan mengenai pengetahuan tentang malware
 Pengimplementasian alat anti-malware di semua perangkat.
 Manajemen terfokus pada penambalan dan peningkatan
berkelanjutan software anti-malware
 Kajian yang terstruktur dari serangan malware yang terbaru
 Mengurutkan lalu lintas masuk untuk memblokir potensi
dumber malware

12
  Menempa pekerja agar tidak menggunakan perangkat lunak
yang diberikan.

e) Penyelesaian TI : Pengelolaan Akses Jaringan

Umumnya akses yang dilaksanakan oleh pekerja, konsumen, dan
penyuplai dilaksanakan melalui internet. Tetapi, terdapat beberapa
organisasi yang tetap menggunakan modem dalam mempersiapkan akses
dial-up atau menjalankan jaringan yang mereka miliki.

f) Penyelesaian TI : Pengelolaan Pengesahan Peralatan dan Perangkat

Lunak
Suatu software yang bertindak sebagai pengontrol computer dan
secara khusus mengontrol transmisi data disebut sebagai Firewall.
Komunikasi yang dimaksud adalah komunikasi yang terjadi antara sistem
dibelakang firewall maupun jaringan lainnya baik itu berupa komunikasi
keluar atau masuk. Sementara itu, sistem yang memiliki fungsi sebagai
penangkal gangguan disebut sebagai Inturstion Prevention System. IPS
adalah jaringan yang mengontrol bentuk arus lalu lintas yang bertujuan
mengetahui dan memblokir ancaman yang ditujukan pada suatu sistem
secara spontan. Untuk dapat menjaga perimeter jaringan pada
pengelolaan pengesahan peralatan dan perangkat lunak, maka didesainlah
firewall dan IPS. Sama halnya dengan tempat tinggal, yang dirancang
agar terjamin keamanannya dengan penambahan kunci pintu bagian luar,
pemasangan alarm dan kamera pengawas, serta penyimpanan barang
berharga di dalam brangkas. Hal-hal tersebut dilakukan dengan tujuan
memberikan kemanaan pada tempat tinggal dan aset si pemilik tempat
tinggal. Sama halnya dengan entitas, entitas mampu mengoptimalkan
keamanan atas sistem informasi yang dimiliki dengan cara menambahkan
pengendalian pencegahan untuk parimeter jaringan, terminal kerja,
peladen, printer, maupun perangkat yang lain yang menjadi bagian
jaringan entitas atau organisasi.

g) Penyelesaian TI : Sandi
Sandi menjadi salah satu bentuk upaya kemanan terakhir pada

13
 berbagai macam pertahanan yang digunakan untuk bisa melindungi
informasi atau data organisasi, terutama menghindari akses yang tidak
memiliki izin terhadap informasi yang rentan atau sensitive ataupun
informasi yang bersifat penting dan rahasia pada suatu entitas.

h) Keamanan Fisik : Pengelolaan Akses

Pengelolaan akses fisik, lebih baik diawali dari pintu masuk suatu
bangunan. Biasanya, suatu bangunan hanya memiliki satu pintu masuk
utama yang selalu buka selama jam operasional. Dalam suatu bangunan
tentunya terdapat suatu pintu emergency yang penggunaannya
diperuntukkan apabila terjadi situasi-situasi emergency, misalnya
kebakaran. Alangkah baiknya, pintu emergency yang berada pada suatu
bangunan tidak memperbolehkan orang berlalu-lalang menggunakan
pintu tersebut sebagai akses keluar masuk suatu bangunan, dan akan
menjadi lebih baik lagi apabila pintu tersebut tersambung dengan alarm,
sehingga alarm akan berbunyi secara otomatis apabila orang-orang
menggunakan itu sebagai akses keluar masuk kapanpun. Disamping itu,
bagian penerima tamu dan penjaga keamanan bangunan harus berjaga di
pintu utama bangunan yang bertujuan membantu pekerja untuk
mengkonfirmasi identitasnya. Para tamu yang ingin masuk ke dalam
bangunan perlu melakukan registrasi di meja penerima tamu dengan
dibantu oleh pekerja yang bekerja di bangunan tersebut mengenai
kemana tamu tersebut akan berkunjung. Sesudah tamu masuk ke dalam
bangunan, harus adanya pembatasan untuk dapat mengakses menuju
ruangan yang didalamnya terdapat komputer. Ruangan yang memiliki
komputer di dalamnya hendaknya selalu dalam keadaan terkunci dan
dipantau oleh kamera pengawas untuk menjaga dan menghindari dari
sesuatu yang buruk. Untuk ruangan yang berisi peladen dan data penting
suatu entitas, hendaknya difasilitasi oleh sistem keamanan yang sangat
canggih, misalnya card reader, voice recognition, retina scanner,
fingerprint reader, dan lain- lain. Sebaiknya, semua data entitas yang
berada pada computer, smartphone, dan peralatan pribadi lainnya milik
pekerja tidak diperkenankan menyimpan data mengenai perusahaan. Hal

14
 tersebut disarankan untuk menghindari kemungkinan terjadinya
kebocoran maupun hilangnya data entitas yang sudah dijaga dengan baik.
Meskipun diharuskan menyimpan data dalam perangkat pribadi,
perangkat tersebut harus dilindungi dengan sandi agar data mengenai
entitas tersebut tidak dengan mudah diakses sembarangan orang.

i) Pengendalian Perubahan dan Manajemen Perubahan

Untuk tetap bertahan seiring perkembangan teknologi informasi,
organisasi akan melakukan pembaharuan-pembaharuan system informasi
agar mampu bersaing, mempertahankan keberadaannya, menjadi
pemenang, dan penentu arah bisnis. Proses seperti kontrol perubahan dan
manajemen perubahan itu sendiri digunakan untuk memastikan bahwa
pembaruan sistem informasi perangkat lunak atau perangkat keras
organisasi tidak memperlambat sistem. Ini akan menghasilkan kinerja
yang baik dan mengurangi biaya jika terjadi pelanggaran keamanan
dengan kontrol yang efektif. Ciri-ciri perusahan yang telah melaksanakan
pengendalian perubahan dan manajemen perubahannya dengan baik,
yaitu:
1. Mendokumentasikan permintaan perubahan, termasuk
perubahannya, justifikasinya, tanggal permintaan, dan hasilnya.

2. Mendokumentasikan persetujuan manajemen atas permintaan

perubahan.

3. Menguji perubahan dengan menggunakan system yang berbeda.

4. Memastikan data pada system yang lama sudah ditransfer
seluruhnya ke dalam system yang baru.

5. Memastikan system tersebut dapat di implementasikan dan

membawa perubahan.
6. Apabila terjadi kondisi kritis atau darurat, harus segera dilakukan
langkah-langkah diatas dengan tetap mendokumentasikan
perubahan-perubahan yang terjadi untuk keperluan pemeriksaan
atau audit.

7. Mengarsip semua data dengan baik pada system informasi

15
 sebelumnya agar mempermudah pengembalian bentuk ke bentuk
awal jika system informasi yang baru menciptakan masalah.

8. Selama proses perubahan, tinjau dan awasi pengguna untuk

memastikan bahwa tugas dibagi sebagaimana ditentukan.

Pengendalian Detektif
Pengendalian detektif adalah kegiatan pengendalian yang memetakan risiko
dan kemudian melakukan audit investigatif untuk mengidentifikasi masalah
dengan proses bisnis dan menentukan sumber masalah jika sistem keamanan telah
berhasil disusupi atau dihindari. Adapun 4 jenis pengendalian detektif, yaitu:59
 Analisis Log
Log adalah catatan yang membentuk jejak audit akses system.
Sebagian besar system keamanan yang diciptakan memiliki kemampuan
menyimpan log-log pengguna sehingga seluruh aktivitas pengguna dapat
terekam secara rinci. Log harus rutin diperiksa dan dianalisis agar jika
terjadi serangan dapat segera terdeteksi.

 System Deteksi Gangguan

Yaitu suatu system berupa alarm atau sejenis unit pemantau yang
dapat menganalisa log-log yang diizinkan melewati firewall untuk
mendeteksi tanda-tanda gangguan pada sistem. System ini dapat dipasang
pada perangkat tertentu untuk memantau tindakan peretasan/pembobolan
yang ingin mengubah konfigurasi perangkat.

 Pengujian Penetrasi
Yaitu simulasi serangan yang dilakukan oleh tim pemeriksa yang
dibentuk perusahaan atau perusahaan konsultan keamanan eksternal
untuk meretas, membobol, atau tindakan lainnya yang mencoba merusak
system, jaringan, atau aplikasi dengan sengaja guna menguji keefektifan
keamanan informasi organisasi.

 Pengawasan Berkelanjutan

59
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

16
 Yaitu bagian pengendalian detektif yang mengidentifikasi masalah
signifikan secara tepat waktu, dengan menjalankan hal-hal sebagai
berikut:
1. Menjaga kepatuhan pegawai terhadap peraturan perusahaan
mengenai keamanan informasi serta kinerja keseluruhan proses
bisnis.

2. Menyusun prosedur tentang cara mendeteksi jika adanya

permasalahan yang berpotensi merusak system keamanan

3. Rutin menjalankan program anti-virus pada system keamanan

informasi

4. Melakukan pembandingan ukuran berkas dan tanggal-tanggal

berkas untuk mendeteksi perubahannya.60

Dapat disimpulkan bahwa, definisi singkat dari pengendalian detektif ialah

suatu pengendalian yang bisa dilaksanakan jika pengendalian preventif batal
dilakukan. Poin penting keamanan jaringan adalah bagaimana informasi dapat
terjaga keamanannya. Beberapa hal penting yang termasuk di dalam pengendalian
detektif adalah bagaimana penggunaan antivirus untuk melindungi keamanan
informasi tersebut.

Pengendalian korektif
Mengidentifikasi suatu perkara dalam waktu yang sesuai tidaklah sempurna,
namun organisasi juga membutuhkan suatu tindakan korektif pada waktu yang
sesuai. Ada beberapa pengendalian korektif yang membutuhkan keputusan
manusia sehingga harus bergantung pada perancangan dan persiapan yang tepat.61
Suatu pengendalian korektif dapat berjalan dengan cara membuat
pembackup- an. Pengendalian tersebut bertujuab untuk memeriksa kesalahan.
Pengendalian Korektif (Corrective Control) dapat mengatasi perkara-perkara
keliru yang didapatkan. Pengendalian tersebut melingkupi suatu prosedur yang

60
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”
61
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

17
dikerjakan untuk mencari pemicu dari suatu perkara, pengubahan system yang
dapat mencegah timbulnya masalah di masa yang akan dating, dan mengoreksi
masalah atau kerumitan yang ditemukan. Di antara contoh dari pengendalian
tersebut adalah perlindungan kopian cadangan (backup copies) dari file utama dan
transaksi, juga mengikuti metode yang bertujuan untuk mengoreksi kekeliruan
dalam pemasukan data.62

Dapat disimpulkan oleh pengarang bahwa, suatu pengendalian korektif

hanya bisa diterapkan apabila pembackupan sudah dilakukan. Ada beberapa hal
yang dapat membuat pengendalian korektif tidak dapat dilakukan, salah satu
penyebabnya ialah Control korektif sebagian besar didorong oleh keputusan
menusia, sehingga menyebabkan efektivitas tergantung pada perencanaan yang
tepat.

Pengendalian Korektif terbagi menjadi 3 :

a) Tim Tanggap Insiden Komputer (CIRT)

Tim Tanggap Insiden Komputer membutuhkan tim tim perespons insiden
perangkat komputer Agar dapat memberikan keamanan yang baik dan cepat
terhadap system komputer. Dalam menjaga keamanan system sebaiknya tim
perespons tidak hanya berasal dari spesialis teknis saja, akan tetapi harus juga
mencakup para manajer senior agar lebih efektif dalam penjagaan system
keamanan tersebut. Tim tanggap harus menyelesaikan 4 langkah dalam
menerapkan langkah-langkah keamanan, diantaranya :

1. Pelaporan terkait adanya masalah ataupun perkara terkait keamanan.

Pelaporan ini biasanya dapat diketahui melalui IPS dan IDS yang
menampilkan adanya sinyal serangan, akan tetapi juga dapat
diketahui dari analisis log yang dikerjakan oleh administrator
system.
2. Penghalauan atau proteksi masalah, sesudah adanya serangan yang
telah diketahui, maka perlu diambilnya sikap untuk mengatasi
masalah tersebut.

62
“George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi (Yogyakarta: Penerbit Andi,
2006)”

18
 3. Perbaikan. Masalah yang ditimbulkan akibat penyerangan harus
segera diperbaiki. Perbaikan dapat berupa pemasangan kembali
program yang rusak dan penyimpanan ulang data.
4. Tindak Lanjut. Sesudah Perbaikan dilakukan, bagi tim perespons
hendaknya mengambil pelajaran dengan menyelidiki mengapa
masalah tersebut dapat timbul, ada kemungkinan system yang
dimiliki sudah mulai berkurang terkait keamanan sehingga dapat
dipelajari agar masalah tersebut tidak muncul lagi di kemudian hari.
Salah satu langkah yang juga hendaknya diambil terkait pelaku
penyerangan agar dapat diperiksa dan diberi hukuman terkait
perilakunya yang dapat membuat kerugian bagi organisasi. Jika
keputusan diambil dengan adanya penangkapan, maka harus
menyertakan ahlinya untuk mengumpulkan alat bukti dan
memudahkan dalam proses penyelidikan untuk menuju tahap
pengendalian. 63

Computer Incident Response Team merupakan suatu kelompok tim yang

perekrutannya dilakukan dengan sangat teliti dan kompeten. Tim ini
beranggotakan orang-orang yang mempunyai keahlian yang mumpuni di
bidang keamanan computer sehingga jika terjadi suatu masalah yang terkait
keamanan mereka dapat mengatasinya dengan baik dan efektif. Ada beberapa
hal yang menjadi tugas dari Tim ini yaitu sebagai alat penyalur informasi jika
terjadi masalah terkait informasi keamanan, menetapkan ide penyelesaian
masalah jika terjadi penyerangan system, membuat pengkajian dan penelitian,
membuat penganalisaan terkait masalah, menyalurkan pengetahuan dan
kesadaran terkait pentingnya keamanan informasi kepada sesama. Ada
beberapa contoh konstituen CIRT adalah Pemerintah, kelompok besar
ataupun kecil, dan militer. Salah satu tugas nasional CIRT ialah sebagai
penyedia pelayanan 24 jam.64
Dari informasi tersebut penulis dapat menarik kesimpulan bahwasanya
Computer Incident Response dibentuk sebagai pengendali keamanan jikalau
63
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”
64
“SANS Institute InfoSe”

19
 terjadi penyerangan terkait informasi keamanan. Perekrutan para anggota ini
dilakukan dengan sangat teliti sehingga menghasilkan para ahli yang
kompeten dalam bidang keamanan system informasi.

b) Chief Information Security Officer (CISO)

Dari sudut pandang organisasi, sangat penting untuk mengalihkan
tangungjawab keamanan informasi ke manajemen senior. Solusinya dengan
membentuk posisi CISO. Posisi tersebut harus dapat menguasai keadaan
lingkungan dan berkolaborasi dengan CIO untuk menciptakan kreatifitas
terkait kebijakan dan metode pemeliharaan keamanan yang baik dan efektif.
CISO juga hendaknya menjadi juru nilai dan evaluasi dalam lingkungan TI.
Oleh karena itu CISO harus bertanggung jawab penuh dalam pengawasan
agar penilaian yang dikerjakan berlangsung secara tersistematis dan audit
keamanan dikerjakan dengan metode periodic. CISO juga hendaknya
melakukan kerja sama dengan bagian yang berwenang terhadap keamanan
fisik dikarenakan bagian itu mampu dikerjakan oleh pihak tersebut. 65

Chief Information Security Officer merupakan eksekutif tahapan senior

dalam sebuah kelompok yang memiliki wewenang untuk menjaha visi
perusahaan, strategi, dan program untuk pengawasan asset agar tetap
terlindungi. CISO memberikan pengarahan kepada staf dalam
pengidentifikasian, pengembangan, pelaksanaan dan pemeliharaan proses
pada setiap organisasi dalam mengurangi resiko. CISO juga mempunyai
wewenang Penetapan Insiden, penetapan standar dan pengendalian yang
sesuai, pengelolaan keamanan, dan pengarahan kebijakan suatu metode.
Disamping itu CISO mempunyai tanggung jawab diantaranya :
 Keamanan Cyber
 Computer Emergency Response Team keamanan Komputer
 Privasi terkait Informai
 Keamanan dan jaminan informasi
 Investigasi IT, eDiscovery, forensic digital

65
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

20
  Kontrol teknologi informasi untuk system keuangan dan lainnya
 Perancang keamanan
 Perbaikan bencana dan manajemen bisnis kontinuitas
 Informasi kepatuhan terhadap peraturan Informasi manajemen risiko
 Keamanan Informasi Pusat Operasi ISOC
 Manajemen identitas dan akses

Pada tahun 2009, sekitar 85 persen organisasi besar mempunyai manajer

keamanan informasi, dibandingkan dengan 56 persen pada tahun 2008, dan
43 persen pada tahun 2006. Dalam survei tahun 2011 yang dilakukan oleh
Pricewaterhouse Coopers untuk Survey Keamanan Informasi Tahunannya, 80
persen organisasi mempunyai CISO atau setara. Diperkirakan sepertiga dari
manajer keamanan informasi memberi tahu ke Chief Information Officer
(CIO), 35 persen untuk Chief Executive Officer (CEO), dan 28 persen kepada
dewan direksi. Ketajaman bisnis dan pengetahuan teknologi merupakan tren
CISO di organisasi. CISO terkadang memiliki permintaan tinggi dan dibayar
pada level yang sama dengan posisi C lainnya yang juga membentuk
perusahaan yang sama.
Penulis menyimpulkan bahwa, CISO merupakan sub-organisasi yang
bertanggung jawab untuk selalu memastikan bahwa penilaian asset dan audit
keamanan dilakukan secara berkala. Selain itu, CISO memiliki peranan untuk
memantau informasi terkait. Umumnya, pengaruh CISO ini menjangkau
semua perusahaan. CISO hendaklah mampu bertindak sebagai penilai dan
evaluator yang baik terhadap lingkungan TI.

c) Management Patch
Suatu kode yang diciptakan oleh developer dengan tujuan memperbaiki
kerentanan tertentu disebut sebagai Patch. Manajemen patch merupakan
prosedur yang bersifat rutin untuk mengimplementasikan dan memperbarui
semua software yang dipakai suatu perusahaan. Perubahan program pada
Patch sangat sulit untuk diimplementasikan. Sehingga, patch bisa
menimbulkan efek samping tak terduga tambahan yang mengakibatkan
masalah baru. Maka perusahaan diharuskan untuk menguji efek dari patch

21
 yang akan diaplikasikan dengan cermat sebelum patch tersebut disebarkan.
Jika hal tersebut tidak dikerjakan, kelak perusahaan akan menanggung risiko
yaitu mengalami kerusakan terhadap aplikasi yang penting. Masalah lain
yaitu, kemungkinan adanya berbagai patch yang dirilis setiap tahunnya ,
menyebabkan organisasi harus menggunakan ratusan patch pada ribuan mesin
yang dipakai oleh organisasi setiap tahunnya.66
Manajemen patch adalah daerah manajemen sistem yang melibatkan
memperoleh, pengujian, dan menginstal beberapa patch yang es (perubahan
kode) kepada sistem komputer yang diberikan. Tugas manajemen patch
meliputi: mempertahankan pengetahuan saat ini patch yang ada, menentukan
apa saja patch yang pantas untuk sistem tertentu, meyakinkan bahwa patch
diinstal dengan baik dan benar, pengujian sistem setelah instalasi, dan
mendokumentasikan semua prosedur terkait, seperti spesifik konfigurasi
diperlukan.
Penulis menyimpulkan bahwa, Patch merupakan sebuah kode yang
diciptakan Oleh developer software dengan tujuan memperbaiki kerentanan
tertentu. Tugas manajemen patch adalah mempertahankan pengetahuan saat
ini patch yang tersedia, menentukan apa patch yang cocok untuk sistem
tertentu, meyakinkan bahwa patch diinstal dengan benar, pemeriksaan sistem
setelah instalasi, dan mendokumentasikan semua prosedur terkait, seperti
spesifik konfigurasi diperlukan.

Implikasi Keamanan Virtualisasi dan Cloud

Banyak organisasi yang telah melibatkan virtualisasi dan komputasi cloud
untuk mengembangkan keefektifan dan efisiensi dalam sistem perusahaan.
Virtualisasi sendiri berupa pemanfaatan kekuatan dan kecepatan pada suatu
komputer agar dapat melaksanakan beragam sistem dalam waktu yang bersamaan
pada satu komputer saja. Maka hal ini dapat mengoptimalkan biaya yang
dikeluarkan oleh perusahaan dalam pembelian komputer, sebab mereka tidak
perlu membeli banyak komputer untuk seluruh sistem yang digunakan. Mesin
yang minim, tandanya biaya untuk perawatan atau pemeliharaannya akan
berkurang. Pada saat yang sama, komputasi cloud memanfaatkan bandwidth
66
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

22
tinggi jaringan telekomunikasi global untuk saat ini agar memudahkan karyawan
dalam menggunakan software hanya dengan browser web, perangjat penyimpanan
data, dan semua lingkungan aplikasi Komputasi cloud dapat menghemat biaya
secara signifikan dan lebih fleksibel.67

Cloud computing selalu didasarkan pada virtualisasi, dengan infrastruktur

virtualisasi menjadi blok bangunan utama. Organisasi dapat berbagi data penting
dan aplikasi bisnis dengan perangkat keras fisik melalui virtualisasi. Ini adalah
rute yang cepat dan efektif ke cloud. Keuntungan berinvestasi dalam virtualisasi
menjadi semakin nyata bagi semakin banyak bisnis. Virtualisasi digunakan oleh
sejumlah bisnis untuk server dan pusat data, dan banyak dari mereka bekerja
untuk meningkatkan virtualisasi guna meningkatkan kemampuan pemulihan
bencana dan kelangsungan bisnis mereka. Konsumen masih mempertanyakan
apakah komputasi awan aman karena cara kerjanya dengan cara ini. Selain itu,
perusahaan harus terlebih dahulu memanfaatkan virtualisasi pusat datanya secara
internal sebelum menerapkan komputasi awan. Penulis menyimpulkan bahwa,
virtualisasi merupakan pemanfaatan kekuatan serta kecepatan suatu komputer
untuk dapat menjalankan beraneka ragam sistem dalam waktu yang bersamaan
pada satu komputer saja. Virtualisasi yang digunakan untuk dasar komputasi
cloud secara teratur mengungkapkan bahwa infrastruktur virtualisasi merupakan
komponen utama komputasi cloud. Virtualisasi memperkenankan perusahaan
untuk berbagi data penting dan aplikasi bisnis dengan perangkat fisik.

DAFTAR PUSTAKA

Bodnar, George H dan Hopwood, William S. (2006). sistem informasi

akuntansi. (Yogyakarta: Penerbit Andi.)
Romney, Marshall B dan Steinbart, Paul John. (2015). sistem
informasi akuntansi, Terj. Kikin Sakinah Nur Safirah dan
Novita Puspasari. jakarta: salemba empat.
SANS Institite InfoSec.

67
“Marshall B. Romney dan Paul John Steinbart, Sistem Informasi Akuntansi, Terj. Kikin Sakinah Nur Safira
dan Novita Puspasari (Jakarta: Salemba Empat, 2015)”

23
Talang. (2009). Talang leak sadeiku: KEAMANAN INFORMASI.
Retrieved from tunjanglebong.blogspot.com.

24