Sistem Informasi

Akuntansi
Bab 8
Saat ini, setiap organisasi bergantung pada
teknologi informasi (TI-information technology).
Banyak juga organisasi yang setidaknya
memindahkan sebagian dari sistem
informasinya ke cloud. Manajemen
menginginkan jaminan bahwa informasi yang
dihasilkan oleh sistem akuntansi milik
perusahaan adalah reliabel serta keandalan
penyedia layanan cloud dengan rekan
kontraknya.
Dalam rangka mencapai keinginan
manajemen tersebut, maka:

ISACA mengembangkan COBIT 5,

Apa itu COBIT 5??

AICPA dan CICA mengembangkan Trust ServicesFramework,

Apa itu Trust Services Framework??
Prinsip COBIT 5

Memenuhi keperluan pemangku kepentingan.

Mencakup perusahaan dari ujung ke ujung.
Mengajukan sebuah kerangka terintegrasi dan
tunggal.
Memungkinkan pendekatan holistik.
Memisahkan tata kelola dari manajemen.
Prinsip Trust Services
Framework

Keamanan (security)
Kerahasiaan (confidentiality)
Privasi (privacy)
Integritas Pemrosesan (processing integrity)
Ketersediaan (availability)
Hubungan antara Lima Prinsip Trust Services
Framework untuk Keandalan Sistem
 Dua Konsep Keamanan Informasi
Fundamental

Keamanan merupakan masalah manajemen, bukan hanya

masalah teknologi.
Defense-in-depth dan model keamanan informasi berbasis waktu.
Model Keamanan Berbasis Waktu
(time-based model of security)

Jika P > D + C, prosedur keamanan efektif

Jika sebaliknya, prosedur keamanan tidak efektif
Di mana;
P = waktu yang diperlukan seorang penyerang untuk menerobos
pengendalian preventif organisasi.
D = waktu yang diperlukan untuk mendeteksi bahwa sebuah
serangan sedang dalam proses.
C = waktu yang diperlukan untuk merespon serangan dan
mengambil tindakan korektif.
Memahami Serangan yang Ditargetkan

Melakukan pengintaian (conduct reconnaissance)

Mengupayakan rekayasa sosial (attemp social
engineering)
Memindai dan memetakan target (scan and map
the target)
Penelitian (research)
Mengeksekusi serangan (execute the attack)
Menutupi jejak (cover tracks)
PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS)

Meskipun semua itu

Pros diperlukan, komponen
es manusia adalah
yang paling penting

Terdapat beberapa
macam jenis
pencegahan yang
IT
bergabung seperti Sol
sebuah puzzle yang utio
akan membangun
sistem pertahanan n
berlapis
Manajemen harus
menciptakan suatu
Phys Cha budaya sadar akan
keamanan dan karyawan
ical nge harus dilatih untuk
Mana mengikuti kebijakan
Sec geme keamanan dan
urity nt mempraktikkan perilaku
penggunaan komputer
yang aman.
 PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont

Manusia: Menciptakan budaya sadar akan keamanan

COSO dan COSO-ERM menekankan pada bagaimana perilaku manajemen
risiko puncak menciptakan lingkungan internal yang mendukung dan
memperkuat sistem pengendalian internal atau seseorang yang secara
efektif meniadakan kebijakan pengendalian yang tertulis. Untuk
menciptakan budaya sadar akan keamanan, manajemen seharusnya tidak
hanya mengkomunikasikan kebijakan-kebijakan tetapi harus memberikan
contoh kepada para karyawan.

Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal
yang penting untuk efektifitas keamanan informasi. Karyawan harus
memahami bagaimana mematuhi kebijakan keamanan perusahaan. Oleh
karena itu pelatihan adalah pengendalian pencegahan yang baik bahkan
begitu pentingnya, fakta bahwa pelatihan kesadaran keamanan
didiskusikan sebagai sebuah kegiatan kunci yang mendukung beberapa
proses manajemen dalam COBIT 5. Pelatihan ini juga penting bagi
manajemen senior, karena beberapa tahun terakhir ini beberapa serangan
social engineering seperti phising juga ditargetkan ke mereka.
 PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont

Proses: Pengendalian Akses Pengguna

COBIT 5 mempraktekkan DSS05.04 yang terdiri dari dua tipe pengendalian
akses pengguna yang saling berhubungan namun berbeda yaitu:
1. Pengendalian pembuktian keaslian (Authentication Control)
yaitu suatu proses memverifikasi identitas dari seseorang atau perangkat
yang mengakses suatu sistem. Ada 3 tipe surat/cara untuk memverifikasi
seseoarang yaitu:
Sesuatu yang diketahui yaitu password atau PIN
Sesuatu yang dimiliki yaitu id card atau smart card
Suatu karakteristik fisik atau perilaku (disebut juga biometric identifier)
seperti fingerprint atau typing patterns.
2. Pengendalian kewenangan (Authorization Control) yaitu proses
membatasi akses bagi pengguna yang berhak pada bagian tertentu saja
dari sebuah sistem dan membatasi tindakan apa yang diizinkan untuk bisa
dilakukan. COBIT 5 praktek manajemen DSS06.03 menjelaskan tujuannya
adalah untuk mengatur hak dan kewenangan pegawai dalam konteks
menyelenggarakan dan mengelola fungsi pemisahan tanggung jawab
 PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont

Antimalware
Pendidikan kesadaran akan software yang mengganggu
Pemasangan alat perlindungan anti malware pada semua perangkat
Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
Reviu secara reguler terhadap ancaman malware baru
Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa
malware
Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.

IT Pengendalian terhadap Akses Jaringan

Solutio Menggunakan pertahanan bertingkat untuk membatasi akses jaringan
n Mengamankan koneksi dial-up
Mengamankan akses wireless

Pengendalian mengenai Penguatan Perangkat dan Software

Terdapat 3 area yang perlu mendapat perhatian khusus yaitu: (1) Konfigurasi
Endpoint, (2) Manajemen akun pengguna, dan (3) Desain software

Enkripsi
PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont

Pengendalian akses fisik

dimulai dengan entry
point dari bangunan itu
Keamanan sendiri.
Idelanya seharusnya
Fisik: hanya ada satu entry
Pengendali point reguler yang tidak
terkunci selama jam kerja
an terkait kantor.
Ketika memasuki sebuah
Akses gedung, akses fisik ke
ruangan-ruangan
peralatan komputer harus
dibatasi dan harus
dimonitor sistem CCTV.
 PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont
Pengendalian dan Manajemen dalam Perubahan
Karakteristik dari proses change control dan change management yang baik
adalah:
1. Mendokumentasikan seluruh permintaan perubahan
2. Mendokumentasikan seluruh permintaan perubahan yang disetujui oleh
manajemen yang berwenang
3. Menguji seluruh perubahan dalam sistem yang terpisah
4. Pengendalian terhadap konversi perubahan yang telah dilakukan untuk
memastikan keakuratan dan dan kelengkapan data yang ditransfer dari sistem
lama ke sistem baru
5. Memutakhirkan seluruh proses dokumentasi untuk merefleksikan perubahan
baru yang diterapkan.
6. Proses khusus seperti reviu, persetujuan dan dokumentasi dari perubahan
darurat harus segara dilaksanakan
7. Pengembangan dan pendokumentasian rencana backout untuk
memfasilitasi mengembalikan ke konfigurasi semula jika perubahan baru tidak
sesuai harapan
8. Memantau dan mereviu hak-hak user selama proses perubahan untuk
memastikan pemisahan tanggung jawab dikelola dengan baik.
 PENGENDALIAN DETEKSI
(DETECTIVE CONTROL)
Yaitu proses menguji logs untuk
Log analysis mengidentifikasi bukti-bukti dari
kemungkinan serangan.

Yaitu sistem yang membuat logs dari semua

Intrusion detection lalu lintas jaringan yang diizinkan untuk
systems (IDS) melalui firewall kemudian menganalisa logs
tersebut terhadap jejak atau gangguan yang
berhasil.

Penetration
Yaitu percobaan untuk menembus sistem informasi
organisasi. COBIT 5 control processes MEA01 dan MEA02
menyatakan perlunya melakukan pengujian secara periodik

testing tentang efektifitas dari proses bisnis dan pengendalian

internal (termasuk prosedur keamanan)

Monitoring
COBIT 5 management practice APO01.08 menekankan
pentingnya memantau secara berkelanjutan terkait
kepatuhan karyawan terhadap kebijakan keamanan

berelanjutan informasi organisasi dan kinerja proses bisnis secara

keseluruhan.
 PENGENDALIAN KOREKSI
(CORRECTIVE CONTROL)

Pengendalian korektif yang penting utamanya adalah

sebagai berikut:

Mengembangkan sebuah tim yang menangani insiden

komputer atau computer incident response team (CIRT)

Mempekerjakan kepala keamanan informasi atau chief

information security (CISO),

Mengembangkan dan menerapkan sistem manajemen

pemutakhiran komputer (patch management system).
PENGENDALIAN KOREKSI (CORRECTIVE CONTROL)
(Cont)

adalah tim yang bertanggung jawab menyelesaikan

masalah keamanan utama komputer.

CIRT
CIRT tidak hanya terdiri dari ahli teknis tetapi juga
manajemen operasi senior, karena penanganan
masalah keamanan mempunyai dampak yang
signifikan terhadap ekonomi.

CIRT memimpin organisasi dalam hal penanganan masalah

keamanan dengan empat tahap yaitu:

Recogniti
on Recovery Follow-
Containm (Kerusakan
(Pengakuan ent akibat up
bahwa serangan
masalah (Meminimali (Tindak
sir masalah) harus
sedang diperbaiki) lanjut)
terjadi)
PENGENDALIAN KOREKSI (CORRECTIVE CONTROL)
(Cont)

Kepala keamanan informasi atau Chief

Information Security Officer (CISO).
COBIT 5 mengidentifikasi struktur organisasi sebagai suatu
hal yang memungkinkan tercapainya pengendalian dan
keamanan yang efektif. Hal ini penting bagi perusahaan
untuk memberikan tanggung jawab terhadap keamanan
informasi kepada sesorang pada tingkat manajemen yang
sesuai.

Patch management
adalah proses yang secara reguler memutakhirkan
software. Hal ini dilakukan untuk mengatasi exploit. Exploit
adalah program yang didesain untuk mengambil
keuntungan dari kelemahan sistem.
 DAMPAK KEAMANAN DARI
VIRTUALIZATION DAN CLOUD

Virtualization adalah menjalankan berbagai sistem secara

bersamaan pada satu komputer. Hal ini akan menekan
biaya hardware karena semakin sedikit server yang perlu
untuk dibeli.

Cloud computing adalah memanfaatkan bandwith yang besar dari

jaringan telekomunikasi global yang memungkinkan karyawan
menggunakan browser untuk mengakses dari jarak jauh sebagai
software untuk mengakses, perangkat untuk penyimpanan data,
hardware dan lingkungan keseluruhan aplikasi. Cloud computing dapat
menghemat biaya secara signifikan.

Virtualization dan cloud computing dapat meningkatkan risiko

ancaman bagi keamanan informasi. Dengan demikian virtualization
dan cloud computing sebenarnya mempunyai dampak positif dan
negatif terhadap keamanan informasi dari keseluruhan level,
tergantung bagaimana organisasi atau cloud provider menerapkan
pengendalian pencegahan, deteksi dan koreksi secara bertingkat.