Akuntansi
Bab 8
Saat ini, setiap organisasi bergantung pada
teknologi informasi (TI-information technology).
Banyak juga organisasi yang setidaknya
memindahkan sebagian dari sistem
informasinya ke cloud. Manajemen
menginginkan jaminan bahwa informasi yang
dihasilkan oleh sistem akuntansi milik
perusahaan adalah reliabel serta keandalan
penyedia layanan cloud dengan rekan
kontraknya.
Dalam rangka mencapai keinginan
manajemen tersebut, maka:
Keamanan (security)
Kerahasiaan (confidentiality)
Privasi (privacy)
Integritas Pemrosesan (processing integrity)
Ketersediaan (availability)
Hubungan antara Lima Prinsip Trust Services
Framework untuk Keandalan Sistem
Dua Konsep Keamanan Informasi
Fundamental
Terdapat beberapa
macam jenis
pencegahan yang
IT
bergabung seperti Sol
sebuah puzzle yang utio
akan membangun
sistem pertahanan n
berlapis
Manajemen harus
menciptakan suatu
Phys Cha budaya sadar akan
keamanan dan karyawan
ical nge harus dilatih untuk
Mana mengikuti kebijakan
Sec geme keamanan dan
urity nt mempraktikkan perilaku
penggunaan komputer
yang aman.
PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont
Manusia: Pelatihan
COBIT 5 mengidentifikasi skil dan kompetensi pegawai sebagai suatu hal
yang penting untuk efektifitas keamanan informasi. Karyawan harus
memahami bagaimana mematuhi kebijakan keamanan perusahaan. Oleh
karena itu pelatihan adalah pengendalian pencegahan yang baik bahkan
begitu pentingnya, fakta bahwa pelatihan kesadaran keamanan
didiskusikan sebagai sebuah kegiatan kunci yang mendukung beberapa
proses manajemen dalam COBIT 5. Pelatihan ini juga penting bagi
manajemen senior, karena beberapa tahun terakhir ini beberapa serangan
social engineering seperti phising juga ditargetkan ke mereka.
PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont
Antimalware
Pendidikan kesadaran akan software yang mengganggu
Pemasangan alat perlindungan anti malware pada semua perangkat
Manajemen yang terpusat untuk patches dan updatenya bagi software antimalware
Reviu secara reguler terhadap ancaman malware baru
Memfilter lalu lintas data untuk membentengi dari sumber-sumber yang berpotensi membawa
malware
Pelatihan karyawan supaya tidak menginstall software gratisan atau ilegal.
Terdapat 3 area yang perlu mendapat perhatian khusus yaitu: (1) Konfigurasi
Endpoint, (2) Manajemen akun pengguna, dan (3) Desain software
Enkripsi
PENGENDALIAN PENCEGAHAN
(PREVENTIVE CONTROLS) Cont
Penetration
Yaitu percobaan untuk menembus sistem informasi
organisasi. COBIT 5 control processes MEA01 dan MEA02
menyatakan perlunya melakukan pengujian secara periodik
Monitoring
COBIT 5 management practice APO01.08 menekankan
pentingnya memantau secara berkelanjutan terkait
kepatuhan karyawan terhadap kebijakan keamanan
CIRT
CIRT tidak hanya terdiri dari ahli teknis tetapi juga
manajemen operasi senior, karena penanganan
masalah keamanan mempunyai dampak yang
signifikan terhadap ekonomi.
Recogniti
on Recovery Follow-
Containm (Kerusakan
(Pengakuan ent akibat up
bahwa serangan
masalah (Meminimali (Tindak
sir masalah) harus
sedang diperbaiki) lanjut)
terjadi)
PENGENDALIAN KOREKSI (CORRECTIVE CONTROL)
(Cont)
Patch management
adalah proses yang secara reguler memutakhirkan
software. Hal ini dilakukan untuk mengatasi exploit. Exploit
adalah program yang didesain untuk mengambil
keuntungan dari kelemahan sistem.
DAMPAK KEAMANAN DARI
VIRTUALIZATION DAN CLOUD