Pengelolaan Pengendalian

SISTEM TEKNOLOGI INFORMASI, JOGIYANTO

ALLPPT.com _ Free PowerPoint Templates, Diagrams and Charts

DIPRESENTASIKAN OLEH : KELOMPOK 1

Auliya Azizah (417061)

Amelia Luluk L (417059)
Zaim A (402079)
Gangguan-Gangguan Terhadap Sistem Informasi
Kategori Gangguan
Kesalahan Sengaja
Secara Tidak Sengaja

a. Computer Abuse
a. Kesalahan Teknis
b. Computer Crime
b. Gangguan
Lingkungan c. Computer Related Crime
c. Kesalahan Manusia Dilakukan dengan cara:
1. Sistem Informasi merupakan target kejahatan
2. Komputer menjadi alat untuk melakukan kejahatan
3. Komputer digunakan untuk mengintimidasi
4. Komputer menjadi perantara untuk melakukan kejahatan
 Cara Melakukan Gangguan
Sistem Informasi
Cara 1. Cara 2. Cara 3.
Data Tempering Programming Fraud Penetrasi

(Data Diddling) Virus Worm Trojan Horse Piggybacking Masquerading

Round Down Salami

1. Diganti Trap Door Impersonation Scavenging
Technique Slicing
2. Dihapus
3. Ditambah Super Logic Time Eavesdroopping
Penetrasi
Zapping Bomb
 Programming Fraud
Program komputer dimodifikasi untuk maksud kejahatan tertentu

Virus Worm Trojan Horse

Kode mesin yang Program tersendiri y Program komputer tida
kecil yang melekat ang bersembunyi di k legal yang berada dal
dalam program dalam program lain, am komputer lain yang
komputer -Berlipat ganda- sah dan diaktipkan pad
a saat tertentu
Cth: Wannacry
 ADMw0rm: melakukan ekspolitasi terhadap layanan
WORM jaringan Berkeley Internet Name Domain (BIND),
dengan melakukan buffer-overflow.

Code Red: Worm yang dapat melakukan eksploitasi terhad

ap layanan Internet Information Services (IIS) versi 4 dan ver
si 5, dengan melakukan serangan buffer-overflow.

LoveLetter: Worm yang menyebar dengan cara mengirimka

n dirinya melalui e-mail kepada semua akun yang terdaftar
dalam Address Book Microsoft Outlook Express/daftar konta
k dalam Microsoft Outlook dengan cara menggunakan kode
Visual Basic Script (VBScript).

Nimda

SQL-Slammer

Sumber : Wikipedia
Pencuri password: Jenis Trojan ini dapat mencari
password yang disimpan di dalam sistem operasi (/etc/pa
sswd atau /etc/shadow dalam keluarga sistem operasi UN
IX atau berkas Security Account Manager (SAM) dalam ke
luarga sistem operasi Windows NT) dan akan
mengirimkannya kepada si penyerang yang asli.

Pencatat penekanan tombol (keystroke logger/keylog

ger): Jenis Trojan ini akan memantau semua yang
diketikkan oleh pengguna dan akan mengirimkannya kep
ada penyerang.

DDoS Trojan atau Zombie Trojan: Jenis Trojan ini

digunakan untuk menjadikan sistem yang terinfeksi agar
dapat melakukan serangan penolakan layanan secara terd
istribusi terhadap host target.

Sumber : Wikipedia
 Programming Fraud
Program komputer dimodifikasi untuk maksud kejahatan tertentu
Round down technique Salami Slicing Trap Door

Bagian Program yang akan Bagian Program yang memotong Bagian program yang
membulatkan nilai pecahan sebagian kecil transaksi dari trans disisipkan ke dalam kode
kedalam nilai bulat dan me aksi besar, dan mengumpukanya program resmi tidak
ngumpulkan nilai pecahan pada periode tertentu mendeteksi pengendalian
yang dibulatkan tersebut normal
 Programming Fraud
Program komputer dimodifikasi untuk maksud kejahatan tertentu
Super Zapping
Penggunaan tidak sah dari program
utility Superzap yang dikembangkan
oleh IBM untuk melewati beberapa
pengendalian kemudian melakukan
tindakan tidak legal
Cth:
Logic Time Bomb
Program yang tetap tidak aktif sampai
suatu kejadian atau waktu tertentu
yang menyebabkanya aktif.
Cth: Perusahaan asuransi di Forth Worth. seor
ang programmer pada perusahaan tersebut, Do
nal Burkson, dipecat karena sesuatu hal. Dua
hari kemudian, sebuah bom waktu mengaktifk
an dirinya sendiri dan menghapus kira-kira
160.000 rekaman-rekaman penting pada komp
uter perusahaan tersebut.
 Penetrasi (hacking atau cracking)
Menyadap jalur komunikasi dan ikut masuk ke dalam sistem komputer bersama-
Piggybacking sama dengan pemakai sistem komputer resmi

Masqueranding Penetrasi ke sistem komputer dengan memakai pasword dari orang lain
yang sah
(impersonating)

Penetrasi ke sistem komputer dengan memperoleh identitas dan pasword di

Scavening dokumen perusahaan

Eavesdropping Penyadapan di jalur transmisi privat

Mengelola Gangguan-Gangguan

1. Membina Pelaku Dalam

2. Memasang Pengendalian-pengendalian di Sistem Informasi
3. Memeriksa keefektifan pengendalian-pengendalian yang dipasang
4. Merencanakan perbaikan akibat gangguan-gangguan (Disaster Recovery Planni
ng)
MEMBINA PELAKU DALAM
Meminimalkan gangguan-gangguan dapat dilakukan den
gan:
Prosedur yang jelas dari rekrutmen, pemindahan, dan pe
nghentian karyawan.
Melatih karyawan.
Memberi perhatian terhadap karyawan yang tidak puas.
Memasang Pengendalian-Pengendalian Di Sis
tem Informasi

Pengendalian-pengendalian dalam sistem informasi yaitu:

Pengendalian secara umum (general controls)
Pengendalian aplikasi (application controls)
Pengendalian-pengendalian Secara Umum (general c
ontrols)
Pengendalian Organisasi Pemisahan Tugas (segregation of duties)
Mempelajari cara mengoperasikan sistem
Sebagai bahan pelatihan
Pengendalian Dokumentasi Dasar pengembangan sistem lebih lanjut
Pemriksaan pariti
Dasar bila akan memodifikasi atau perbaikan sistem
Pemeriksaan
Materi acuan gaung
bagi auditor
Pengendalian Kerusakan
Pemeriksaan baca setelah rekam
Perangkat Keras
Pemeriksaan baca ulang
Pengawasan terhadap pengaksesan fisik
Pengendalian Keamanan Pemeriksaan validitas
Pengaturan lokasi fisik
Fisik Penerapan alat-alat keamanan
Dipergunakan Data Log
Pendeteksi kebakaran
Pengendalian Keamanan Proteksi file
Data Pembatasan pengaksesan
Pengendalian-Pengendalian Aplikasi (a
pplication controls)
Pengendalian- Data capture (penangkapan data)
pengendalian masukan
Data entry (pemasukan data)
Kesalahan logika program
Pengendalian- Logika program yang tidak lengkap
pengendalian pengolahan Kesalahan urutan data
Kesalahan data di file acuan
Pengendalian- Hard copy
pengendalian keluaran Soft copy
Memeriksa Keefektifan Pengendalia
n-Penngendalian yang Dipasang

Weber (1999) Information systems audit suat

u proses mengumpulkan dan mengevaluasi bukti u
ntuk menentukan apakah suatu sistem computer te
lah menjaga aktiva-aktiva, menjaga integritas data,
membuat sasaran organisasi dicapai secara efektif
dan menggunakan sumber daya secara efisien.
Tujuan Sistem Pengauditan:

1. Meningkatkan keamanan aktiva.

2. Meningkatkan integritas data.
3. Meningkatkan efektivitas sistem; dan
4. Meningkatkan efisiensi sitem.
Prosedur Pengauditan Sistem Inf
ormasi
1. Prosedur untuk mendapatkan pemahaman dari penge
ndalian-pengendalian yang ada.
2. Pengujian terhadap pengendalian-pengendalian (tests
of controls).
3. Pengujian terhadap nilai-nilai transaksi secara terinci (s
ubstantive tests of details of transactions).
4. Pengujian terhadap nilai-nilai di saldo rekening secara
terinci (substantive tests of details of account balaces).
5. Prosedur-prosedur kaji analitikal (analytical review pro
cedures).
Merencanakan Perbaikan Akibat Gangguan-Gangguan

Disaster Recovery Planning (DRP)

Prosedur penyelamatan dan pemulihan, khususnya fasilita
s IT dan sistem informasi yang berisikan tindakan-tindaka
n konsisten yang harus dilakukan sebelum, selama, dan s
etelah adanya kejadian (bencana) yang mengakibatkan hil
angnya sumber daya sistem informasi.
 Cybersecurity, Risk
Management, and Financial Crime
INFORMATION TECHNOLOGY FOR MANAGEMENT,
E. TURBAN, LINDA VOLONIO, GREGORY R. WOOD

ALLPPT.com _ Free PowerPoint Templates, Diagrams and Charts

Data Breaches and Cybersecurity
Chalenge
Learning Outcomes
1. Menjelaskan ancaman cyber paling merusak, pelanggaran data, malware, risiko keamanan
organisasi IT lainya dan mengapa begitu sulit untuk dilawan

2. Jelaskan mengapa manajemen risiko maya adalah prioritas bisnis; garis besar model
organisasi untuk cybersecurity; dan menggambarkan proses cybersecurity. Menilai
kemampuan untuk mempertahankan operasi bisnis jika terjadi kecelakaan jaringan,
melemahkan serangan hacker, atau gangguan TI lainnya

3. Jelaskan mengapa perangkat mobile, apps, dan Layanan berbasis cloud adalah vektor
serangan berisiko tinggi, pentingnya kebijakan BYOD (bring your own devices), dan
pertahanan yang dibutuhkan untuk mengatasi pengungkapan terhadap mobile malware

4. Menjelaskan karateristik fraud dan bagaimana perusahaan dapat melawan dan mendeteksi
aktivitas fraudulent
 Break Down of the 2015
Data Breach Statistics:

1.9 million records

compromised every day

80,766 records
compromised every hour

1,346 records
compromised every minute

22 records compromised
every second

Sumber : blog.gemalto.com
Sumber : blog.gemalto.com
Sources of Data Breaches 2015

Sumber : blog.gemalto.com
 Opening Case
Hampir 40% Korea Selatan Diretas dalam Pencurian Data Insider

Regulator keuangan Seul melaporkan hacker telah mencuri data dari 104
miliar bank dan akun kartu kredit yang dimiliki 20 Miliar Orang di Korea
Selatan sekitar 40% dari total orang di negara tersebut.
IT Risk Management
Resiko

Mengeksploit
Kerentanan Ancaman asi

Aset
Internet Untouchables
Weak Passwords
Hacking is an
Threaten
Industry
Accounts

Phishing and
Internal Threats Web-based
Threats
 COBIT Governance Model

Prinsip Penggunaan Sumber Daya Ekonomi

Prinsip Legalitas

Prinsip Akuntansi
 Industry Data Security Standards
Senior management commitment and support

Acceptable use policies and IT security training

IT security procedures and enforcement

Hardware and software (kept up-to-date)

 Types Of Malware

Types-types of malware:
Viruses
Worms
Trojans
Rootkits
Backdoors
Botnets
keyloggers
Business Continuity

Risk
Management

-business process

-assets

-human resources

-business partners
Business
Continuity
Plan
Mobile, App, and Cloud Security Challenges

Apps and Business operations are controlled by a

mobile cre pps, systems, and networks that are so
ate attack interconnected that anyones mobile d
vectors evice is an entry point for attacks.

Cloud serv
Cloud services have created vulnerabili
ices create
ties in systems and apps that are surpri
vulnerabilit
sing even the experts.
ies
Financial Crime and Fraud Defenses
Violent
Crime
Nonviolent

oFraud is nonviolent crime because instead of a gun or knife, fraudsters use d

eception, confidence, and trickery.

oOccupational fraud refers to the deliberate misuse of the assets of ones em

ployer for personal gain.

5-34
 Corporate Governance

Internal Fraud Pre

Intelligent Analysis and Anomaly
vention and Dete
Detections
ction

Identify Theft