Keamanan Teknologi Informasi

Institut Bisnis dan Komputer Kosgoro 1957

Syamsu Hidayat,S.T,M.Kom
Ancaman Terhadap Keamanan Sistem
Informasi
Seiring peningkatan transaksi dan tersedianya bermacam-
macam teknik pemrosesan dengan penggunaan computer
yang memungkinkan untuk berinteraksi dengan sistem lain,
banyak perusahaan menjadi sangat tergantung dengan
komputerisasi

Disisi lain dengan pesatnya laju teknologi muncul resiko

ancaman baru yang berkaitan dengan komputerisasi
Tujuan Keamanan Terhadap Sistem Informasi

Perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
computer didalam perusahaan. Agar tercipta sistem keamaan terhadap hardware maupun
software

Tujuan pengamanan :
 Integritas (Integrity) Informasi
 Kerahasiaan (Confidentiality) Informasi
 Ketersediaan (Avaibility) Informasi
Tujuan Keamanan Terhadap Sistem Informasi
Integrasi : Data tidak dirubah dari aslinya oleh orang yang tidak berhak, sehingga konsistensi,
akurasi dan validitas data tersebut masih terjaga, dengan kata lain mencoba memastikan data
yang disimpan benar adanya, tidak ada pengguna yang berkepentingan atau software
berbahaya yang mengubahnya. Integrity berusaha memastikan data diproteksi dengan aman
dari ancaman yang disengaja(serangan Hacker) maupun ancaman yang tidak disengaja (mis.
Kecelakaan)
Integrity dapat dicapai dengan :
• Menerapkan strong encryption pada media penyimpanan dan transmisi data
• Menerapkan strong authentication dan validation pada setiap akses file/akun
login/action yang diterapkan . Authentication dan validation untuk menjamin legalitas
dari akses yang dilakukan
• Menerapkan acces control yang ketat ke sistem, yakni setiap akun yang ada harus
dibatasi hak aksesnya, Misal tidak semua memiliki hak akses untuk mengedit, lainnya
hanya bisa melihat saja
Tujuan Keamanan Terhadap Sistem Informasi
Kerahasiaan : Dalam hal ini adalah informasi yang kita miliki pada sistem/database kita, adalah
hal yang rahasi dan pengguna atau orang yang tidak berkepentingan tidak dapat
melihat/mengaksesnya. Atau dengan kata lain, hanya pihak yang berhak dan berwenang saja
yang dapat mengakses informasi tersebut. Untuk itu umumnya organisasi mengklasifikasikan
informasi / data untuk mencapai kerahasiaan (Confidentiality) yakni :
1. Internal use only, hanya digunakan dilingkungan internal perusahaan
2. Public, biasanya disebarkan melalui website atau media sosial perusahaan
3. Confidential (sangat rahasia), contoh data-data terkait planning,finansial, business process,
dll.
Ancaman terhadap aspek Confidentiality adalah :
1. Password Strenght (lemahnya password yang digunakan, sehingga mudah ditebak
ataupun di bruteforce)
2. Malware (masuknya virus yang dapat membuat backdoor ke sistem maupun
mengumpulkan informasi pengguna
3. Social Engineering (lemahnya security awareness pengguna dimana mudah sekali
dibohongi oleh attacker, yang biasanya adalah orang yang sudah dikenalnya
Tujuan Keamanan Terhadap Sistem Informasi
Avaibility : Memastikan sumber daya yang ada siap diakses kapanpun oleh
user/application/sistem yang membutuhkannya. Sama seperti aspek integrity, rusaknya aspek
avaibility dari sistem juga bisa diakibatkan karena faktor kesengajaan dan faktor accidental.
Faktor kesengajaan bisa dari serangan Denial of Services (DOS), malware, maupun
hacker/cracker, untuk faktor accidential bisa karena hardware failure, korsleting listrik,
kebakaran, banjir, gempa bumi dan bencana alam lainnya.

Untuk mencapai aspek avaibility , perusahaan bisa menerapkan beberapa hal :

1. Disaster recovery plan (memiliki cadangan baik tempat dan resource apabila terjadi
bencana pada sistem)
2. Redundant hardware (missal memiliki banyak power supply)
3. RAID (salah satu cara menanggulangi disk failure
4. Data backup (rutin melakukan backup data)
Asset
Informasi adalah asset organisasi yang sangat berharga dan penting seperti asset-asset yang
lain misal gedung, mesin dll.
Sebagai konsekuensinya keamanan sistem informasi merupakan suatu keharusan untuk
melindungi asset perusahaan dari berbagai ancaman

Adapun asset-asset yang dimasukan kedalam sistem informasi dapat dikategorikan sebagai
berikut :
• Personel, Misal Sistem analis, Programmer, Operatorm database administrator, spesialis
jaringan
• Hardware, Misal CPU, printer, terminal/monitor, routers,switch
• Software aplikasi, misal sistem debtors, creditors, penggajian, GL, ERP
• System software, Misal Operating System, compilers, utilities, database system
• Data, missal master file, backup file, file transaksi
• Fasilitas, missal mebel, ruang kantor, filling cabinet
• Penunjang, missal tapes, CD,DVD, disk pack,kertas, tinta printer atau pita printer
Ancaman
Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang
mengakibatkan kerugian bisa berupa uang/biaya, tenaga upaya,kemungkinan
berbisnis(business opportunity), reputasi nama baik dan paling parah dapat membuat
organisasi pailit

Beberapa kategori ancaman :

• Hardware failure, dikarenakan misal padamnya listrik, korsleting, disk crashes

• Software failure, dikarenakan kesalahan sistem operasi, kesalahan program update, tidak
memadainya ujicoba program
• Kegagalan SDM, missal minimnya training bagi personel yang sangat pasif dan tidak
memiliki inisiatif, kemasabodoan, tidak loyal, tidak memiliki rasa memiliki
• Alam, missal cuaca panas atau dingin yang ekstrim, banjir, gempa , dll
• Keuangan, missal tuntutan hokum pihak ketiga, pailit, mogok kerja, huru-hara
• Eksternal, Sabotase, spionase, huru-hara
• Internal, misal kecurangan, pencurian, perbuatan jahat (memasukan virus, membangun
malicious software)
Informasi
Informasi merupakan asset perusahaan yang harus dilindungi dari ancaman penyalahgunaan.
Adapun pengklasifikasian informasi adalah sebagai berikut
• Sangat rahasia (top secret), apabila informasi ini disebarkan akan berdampak sangat parah
terhadap keuntungan berkompetisi dan strategi bisnis organisasi
• Konfidensial, apabila informasi ini tersebar menyebabkan merugikan privasi perorangan,
merusak reputasi organisasi
• Restricted, Informasi ditujukan hanya untuk pihak pihak tertentu untuk menopang bisnis
perusahaan
• Internal user, Informasi ini hanya bisa digunakan oleh pegawai perusahaan untuk
melaksanakan tugasnya
• Public, informasi ini dapat disebarluaskan kepada umum melalui jalur yang resmi
Kebijakan Keamanan
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasaran.
Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam
melaksanakan tugasnya

Contoh : Penentuan jam kerja dari pukul 08:00 sampai pukuk 16:30 dengan waktu istirahat 30
menit, maka waktu ini harus secara disiplin dipegang. Karyawan tidak dapat mengatur jadwal
kerjanya sendiri, setiap output tugas merupakan input tugas untuk karyawan yang lain, hal ini
akan menjadi penghambat operasional dan tentunya akan merugikan organisasi

Prosedur organisasi biasanya disusun oleh pimpinan organisasi beserta pimpinan bagian
personalia yang kadangkali juga melibatkan senior manajer yang lain

Untuk kebijakan keaman sistem informasi biasanya disusun oleh pimpinan operasional beserta
pimpinan ICT (Information Communication Technology)
Konsep Dasar dari Prosedur Keamanan Informasi
Rangkaian konsep secara garis besar dan dasar dari prosedur keamanan sistem informasi adalah
1. Keamanan Sistem Informasi merupakan urusan tanggung jawab semua karyawan
Karyawan diwajibkan “melek” keamanan sistem informasi. Mereka harus mengetahui dan dapat
membayangkan dampak bila mengabaikan peraturan keamaanan, semua manager bertanggung
jawab untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang
dilalukan diperusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua
peraturan diperusahaan dan bagiannya

Contoh: tidak ada gunanya atau artinya apabila password untuk mengakses data dengan pertolongan
computer, diberikan kepada atau diketahui oleh pihak yang tidak berwenang. Misal menempelkan
passwordnya diatas keyboard atau monitor
Konsep Dasar dari Prosedur Keamanan Informasi
2. Penetapan pemilik sistem informasi
Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau subsistem) yang
bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia berhak untuk mengajukan
permintaan diatas pengembangan sistem lebih lanjut atau pembetulan didalam sistem yang
menyangkut bagiannya

Contoh: pemilik dapat menentukan siapa saja yang dapat mengakases ke sistem informasi tertentu dan
sejauhmana wewenang otoritas yang dapat diberikan kepada yang berkepentingan, permohonan
pengaksesan ini harus dapat dijustifikasi oleh pemohon dan manajer terkait
Konsep Dasar dari Prosedur Keamanan Informasi
3. Langkah keamanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah
ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta

Contoh: bank yang menggunakan kompuyer harus mematuhi peraturan yang dikeluarkan oleh Bank
Sentral, misalnya untuk pengiriman uang
Konsep Dasar dari Prosedur Keamanan Informasi
4. Antisipasi terhadap kesalahan
Dengan meningkatnya proses transaksi secara online & realtime dan terkoneksi sistem jaringan
internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik dengan tidak
melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung
diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya

Antisipasi dan pencegahan dengan tindakan kemanan yang ketat akan memberikan
garansi atas integritas, kelanjutan dan kerahasian transaksi yang terjadi serta meyakinkan
untuk proses audit

Contoh: transaksi semacam ini biasanya terjadi pada perbankan misalnya pemindahan dana melalui
ATM (Automated Teller Machine/ Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya
pemesanan barang yang tidak langsung dikirim, kesalahan pemesanan masih dapat dikoreksi misal
dengan telepon yang akan ditindaklanjuti dengan konfirmasi secara tertulis
Konsep Dasar dari Prosedur Keamanan Informasi
5. Pengaksesan ke dalam sistem harus berdasarkan fungsi
User harus dapat meyakinkan kebutuhannnya untuk mengakses ke sistem sesuai dengan prinsip
“Need to Know”. Pemilih sistem harus bertanggungjawab atas pemberian akses ini

Contoh: untuk pemrosesan sistem penggajian, personel bagian terkait, tidak diperbolehkan untuk
mengakses data hasil penjualan dari setiap pesonel bagian pemasaran. Atau tidak semua personel
bagian personalia diperbolehkan untuk memiliki akses ke dara penggajian karyawan
Konsep Dasar dari Prosedur Keamanan Informasi
6. Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan
Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi
kepentingan bisnis perusahaan. Data perusahaan hanya diperbolehkan dipakai untuk bisnis
perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap
data tersebut
Contoh: data atau informasi mengenai penjualan tidak diperkenankan untuk disebarluaskan kepada yang
tidak berkepentingan
Konsep Dasar dari Prosedur Keamanan Informasi
7. Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahan, maka
perusahaan harus dilindungi oleh keamanan atas informasi perusahaan . Didalam kontrak harus
didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem informasi perusahaan.
Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan
yang telah dirumuskan

Contoh:apabila pengembangan sistem informasi dilakukan oleh pihak ketiga / software house, sudah
tentu pada ujicoba akhir harus memakai data yang sesungguhnya. Data ini tidak diperbolehkan oleh pihak
ketiga di-copy dan disebarluaskan atau output baik yang berbentuk hardcopy maupun softcopy dipakai
sebagai contoh untuk perusahaan lain apalagi untuk pesaing
Konsep Dasar dari Prosedur Keamanan Informasi
8. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem dan pemakai akhir sistem
informasi
Untuk menjaga kestabolan sistem informasi dilingkungan perusahaan, dianjurkan agar diadakan
pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai
akhir. Untuk mencapai tujuan ini,pihak ICTterutama bagian pengembangan sistem tidakdibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem. Tugas ini agar diberikan kepada
bagian tersendiri yang disebut System Administrator yang secara organisasi struktur tidak dibawah ICT
Konsep Dasar dari Prosedur Keamanan Informasi
9. Implementasi Sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus
melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan
(Change Request)
Perubahan terhadap sistem informasi harus melalui prosedur yang berlaku utuk pengembagan dan
implementasi sistem baru , setiap permintaan perubahan program harus disertai alasan yang kuat serta
keuntungan yang ia akan dapatkan dan pemohon harus dapat meyakini manajer terkait dan pemilik
sistem mengenai perubahan ini

Contoh:tidak dibenarkan apabila pemakai secara individu meminta perubahan terhadap sistem dengan
tidak sepengetahuan dari pemilik sistem. Dalam praktiknya hal ini sangat sering terjadi. Semua
perubahan harus melalui prosedur change request, sehingga ICT memiliki dokumentasi dan bukti lengkap
untuk menghindari permasalahan dikemudian hari. Pihak ICT harus dapat dengan tegas menolak
permintaan user apabila permintaan tidak disertai dengan change request
Konsep Dasar dari Prosedur Keamanan Informasi
10. Sistem yang akan dikembangkan harus sesuai dengan standar metode pengembangan sistem yang
diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telah ditetapkan. Tidak
dibenarkan apabila programmer membutannya dengan bermacam-macam bahasa pemrograman.
Begitu pula dengan sistem database yang digunakan, harus memiliki keseragaman. Patut
dipertimbangkan semua resiko keamaanan bersama penanggulangannya dalam sistem. Sebelum
sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keandalan
keamanan didalam aplikasi tersebut
Konsep Dasar dari Prosedur Keamanan Informasi
11. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode
identitasnya (user-id)
Semua pemakai harus berhati-hati menyimpan password User-Idnya. Semua aktivitas yang
dilakukan dengan ID ini akan terekam di dalam audit trail. Pemakai tidak dapat memungkiri bukti ini,
apabila terjadi kesalahan fatal yang mengakibtkan kerugian terhadap perusahaan. Kesalahan beserta
bukti ini dapat mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik User-id ini
Mengapa Butuh Strategi Keamanan Sistem
Informasi
Keamanan Sistem Informasi
Dengan munculnya computer dilingkungan organisasi, asset perusahaan akan bertambah sehingga
diperlukan pemikiran untuk melindunginya merupakan sebuah keharusan atau kewajiban

Integritas, kerahasiaan, dan ketersediaan informasi menjadi penting apabila perusahaan masih tetap ingin
berkompetisi didalam dunia bisnis

Integrity Confidentiality Availability

Keamanan Sistem Informasi
Prinsip pertama , adalah integritas (integrity) informasi, apabila pelangan datang ke toko membeli barang,
namun tidak menemukannya, maka ia akan mendatangi pramunianga dan menanyakan tentang barang
tersebut. Pramuniaga tersebut akan memeriksa dikomputer akan ketersediaan barang yang diminati dan
mendapat informasi bahwa barang tersebut masih ada katakana 10 buah. Bersama dengan pramuniaga
pelanggan pergi ke tempat barang tersebut diletakkan namun kenyataan barang tersebut tidak dapat
ditemukan. Dengan contoh ini maka pelanggan dapat menilai bagaimana integritas informasi data toko
tersebut meskipun memakai computer, bila ini sering terjadi makan kepercayaan pelanggan akan
berkurang

Prinsip kedua , Kerahasiaan (confidentiality) informasi. Menurut ISO 17799, kerahasiaan adalah
memastikan informasi hanya dapat diakses oleh orang yang berwenang , atau bagi orang yang memiliki
otoritas. Untuk menjaga kerahasiaan , informasi yang bersifat rahasia harus tetap dilindungi. Apapun
alasannya informasi ini hanya diperuntukkan untuk orang-orang tertentu. Bagaimana perasaaan nasabah
Bank apabil informasi data perbankannya dapat diketahui oleh orang lain , atau bagaimana perasaan
seorang karyawan apabila semua rekan kerjanya mengetahui gaji yang ia terima
Keamanan Sistem Informasi
Prinsip ketiga, adalah ketersediaan (avaibility) informasi. ISO 17799 mendefinisikan ketersediaan
sebagai kepastian tersediannya informasi pada saaat yang dibutuhkan oleh orang yang memiliki
wewenang untuk mengetahuinnya atau mengakses data. Tampaknya sangat gampang namun banyak
faktir yang dapat mengganggunya. Beberapa faktor yang dapat dikemukanan misalanya kerusakan
hardware, user yang jahat (malicious users) . Penyusup dari luar perusahaan yang berusahana
mengahancurkan data perusahaan, virusn dan sebagainya.

ISO 17799

Diatas telah dibahas mengenai ISO 17799, dan sekarang jadi pertanyaan apa itu ISO 17799, ISO 17799
adalah standard keamanan sistem informasi yang diakui dunia dan disahkan pada tahun 2000, dimana ia
mengalami revisi pada tahun 2005 (ISO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005)
Manfaat ISO 17799
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur dan telah
diakui oleh dunia internasional. Proses terdefinisikan dengan baik, kebijakan, dan prosedur dapat
disesuaikan dengan kondisi organisasi dan lain-lain

ISO 17799 terdiri dari:

1. Business Continuity Planning, merupakan langkah yang dilakukan pada saat terjadi gangguan atau
bencana (disaster) sehingga tidak mengganggu atau menginterupsi aktivitas dan proses bisnis
2. System Control Acces, yaitu
 Akses kontrol terhadap informasi
 Mencegah agar individu yang tidak berwenang dapat mengakses ke sistem informasi
 Menjamin proteksi jaringan
 Mencegah pengaksesan oleh yang tidak berwenang
 Mendeteksi aktivitas yang tidak memiliki kewenangan
 Menjamin keamanan sistem informasi yang dapat diakses melalui fasilitas mobile dan telenetworking
Manfaat ISO 17799
3. System Development dan Maintenance , system development dan maintenance akan membahas
cara:
 Untuk menjamin agar keamanan dan kontrol diimplementasikan didalam sistem operasional
 Untuk menghindari agar data user tidak hilang, disalahgunakan atau dimodifikasi didalam sistem
aplikasi
 Melindungi informasi atas integritasnya, kerahasiannya, dan ketersediaannya
 Menjamin agar aktivitas proyek IT beserta dukungannya dilakukan /dilaksanakan sesuai dengan yang
telah ditetapkan
 Memelihara keamanan software dan sistem aplikasi beserta datanya

4. Physical and Environtment Security, akan membahas :

 Pencegahan pengaksesan, perusakan oleh orang yang tak berwenang ditempat bisnis, dan informasi
perusahaan
 Pencegahan terhadap hilangnya, atau aksi yang akan membahayakan asset perusahaan sehingga
mengganggu aktivitas bisnis
 Mencegah agar tidak ada pencurian informasi atau membahayakan fasilitas pemrosesan informasi
Manfaat ISO 17799
5. Compliance, tujuannya adalah agar tidak ada pelanggaran hukum, kriminalitas atau sipil, undang-
undang, kontrak dan lain-lain yang berkaitan dengan hukum. Selain itu , menjaga agar sistem
memenuhi persyaratan dan standar keamanan perusahaan

6. Personnel Security, adalah dengan mengurangi resiko kesalahan orang, kecurangan atau
penyalahgunaan fasilitas. Memastikan agars Users menyadari kemungkinan ancaman yang akan
terjadi terhadap keamanan sistem informasi serta membekali mereka dengan peraturan keamanan
sistem informasi dalam melaksanakan tugas mereka

7. Security Organization, membahas bagaimana mengelola keamanan sistem keamanan didalam

organisasi sendiri, menjaga agar sistem tidak dapat diakses oleh pihak ketiga. Selain itu, pembahasan
mengenai bagamaimana mengurus keamanan informasi jikalau pemroses pengolahan data diberikan
kepada pihak ketiga
Manfaat ISO 17799
8. Computer and Network Management, yaitu
• Memastikan agar fasilitas pengoperasian informasi dapat berjalan dengan lancar dan benar
• Memperkecil kemungkinan untuk kegagalan sistem (failure)
• Melindungi integritas software dan informasi
• Memastikan akan ketersediaan fasilitas komunikasi
• Melindungi jaringan dan infrastruktur pendukungnya
• Menjamin agar tidak ada informasi yang hilang, disalahgunakan dan dimodifikasi pada saat pertukaran
informasi antar organisasi
9. Asset Classification and Control, yakni membahas proteksi yang tepat bagi asset perusahaan dan
memastikan agar asset informasi memiliki tingkat keamanan yang tepat dan baik

10. Security Policy, tujuannya memberikan arahan dan bantuan kepada manajemen mengenai keamanan
sistem informasi
Dampak Pemanfaatan Komputer
Dampak dari penggunaan computer yang merupakan alat bantu di dunia bisnis demi meningkatkan
efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah
tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau terpikirkan

1. Sentralisasi data
sebelum zaman computer, masing-masing department bertanggung jawab sendiri atas masing-
masing informasi yang masih berupa kertas-kertas akan disimpan kedalam lemari arsip atau lebih
parah lagi disimpan didalam laci masing-masing karyawan yang menanganinya

Saat ini data karyawan telah berupa dokumen digital disimpan dikomputer departem/pusat computer.
Namun ada juga departemen yang telah memiliki sistem sendiri dan menyimpan datanya didalam
sistem computer departemen terkait. Apabila pada saat itu setiap departemen memiliki sistem yang
berdiri sendri, maka akan sulit untuk mengintegrasi data mereka kedalam satu sistem terpadu, yang
mengakibatkan terjadinya redundansi data

2. Pengaksesan data
Dengan kemajuan teknologi informasi , semua informasi dapat diakses oleh karyawan organisasi yang
bersangkutan (tergantung kewenangan) dengan memanfaatkan terminal-terminal didalam jaringan
organisasi tersebut. Oleh karena itu pengontrolan akses terhadap informasi perusahaan sekarang
merupakan suatu pekerjaan sendiri dan sangat rumit
Dampak Pemanfaatan Komputer
3. Pemisahan tugas/segregation of duties
Pemisahan tugas dan tanggung jawab yang secara tradisional tidak dapat diterapkan dan
diimplementasikan lagi , sehingga pemisahan tugas dan tanggung jawab merupakan pekerjaan yang
tidak mudah

4. Kekurangan audit trail (bukti secara fisik)

Pada masa yang lalu tidak semua computer sistem yang dibekali dengan audit trail.Apabila saat itu
terjadi kejanggalan, maka pelacakan akan sulit dan membutuhkan banyak waktu untuk menemukan
penyebabnya. Tidak menutup kemungkinan untuk tidak menemukan kesalahan ini. Namun rata-rata
sekarang mereka sudah dibekali dengan fasilitas informasi yang dibutuhkan oleh audit sehinga
auditor dapat mendeteksi kejanggalan transaksi

5. Tidak tersedianya prosedur dan dokumentasi yang memadai

Harus diakui bahwa dokumentasi merupakan pekerjaan yang membosankan untuk para pembuat
sistem, namun suka tidak suka mereka harus dipaksakan untuk membuat dokumentasi yang memadai
dan tidak asal jadi. Para programmer harus sadar bahwa tanpa dokumentasi para penerusnya akan
sulit mengupgrade dan menindaklanjuti program yang telah ada. Harus juga disadari bahwa pemakai
tidak akan diam saja dan puas dengan sistem yang telah jadi, karena mereka sudah tentu akan
memiliki gagasan baru dan meminta untuk mengimplementasikannya
Research Presentation End