Keamanan Sistem Teknologi Informasi dan Auditing Information System

KEAMANAN SISTEM TEKNOLOGI INFORMASI

Keamanan Sistem Informasi

Pentingnya Pengamanan

Data atau informasi mungkin  diakses dan dibaca atau diubah oleh orang yang tidak memiliki kuasa (unauthirized person), selain itu berbagai fasilitas komputer juga dapat rusak karena bencana, sehingga penting untuk menjaga fasilitas tersebut dari berbagai risiko yang mungkin akan timbul, termasuk yang alami atau karena perbuatan manusia, kekacauan, kecelakaan, keajaiban sabotase sering dilakukan oleh karyawan yang tidak puas. Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan. 

Ancaman terhadap sistem informasi dapat dibagi menjadi dua macam, yaitu ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer, sedangkan ancaman pasif, mencakup kegagalan sistem, kesalahan manusia, dan bencana alam. Kegagalan sistem menyatakan kegagalan dalam peralatan-peralatan komponen (misalnya hard disk). Berbagai bentuk ancaman terhadap sistem informasi diperlihatkan pada tabel berikut.

Macam ancaman	Contoh
Bencana alam	Gempa bumi, banjir, kebakaran, perang.
Kesalahan manusia	Kesalahan pemasukan data. Kesalahan penghapusan data. Kesalahan operator(salah memberi label pada pita magnetik.
Kegagalan perangkat lunak dan perangkat keras	Gangguan listrik. Kegagalan peralatan. Kegagalan fungsi perangkat lunak.
Kecurangan dan kejahatan komputer	Penyelewengan aktivitas. Penyalagunaan kartu kredit. Sabotase. Pengaksesan oleh orang lain yang tidak berhak
Program yang jahat/usil	Virus, cacing, bom waktu dll.

Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi serta operasi, evaluasi, dan pengendalian. Tujuan dari setiap tahap siklus ini adalah sbb :

Tabel 1. Tujuan setiap tahapan siklus hidup sistem

FASE SIKLUS HIDUP SISTEM	TUJUAN
Analisis sistem	Analisis kerentanan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistem	Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistem	Menerapkan ukuran keamanan sistem seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistem	Mengoperasikan sistem dan menaksir efektivitas dan efisiensi, membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada.

Sumber: Bodnar, 2004

Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran pengendalian risiko komprehensif, termasuk ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif, keempat fase tersebut disebut dengan ”manajemen risiko sistem informasi”.  Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer.

Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh Chief Security Officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup sistem.

Tabel 2. Laporan CSO

FASE SIKLUS HIDUP	LAPORAN KEPADA DEWAN DIREKSI
Analisis sistem	Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain sistem	Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem informasi keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistem	Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

Sumber: Bodnar, 2004

Mengalisis Kerentanan dan Ancaman

Terdapat dua pendekatan dasar yang dipakai untuk mengalisis kerentanan dan ancaman sistem, yaitu:

1) Pendekatan Kuantitatif

Pendekatan ini dipergunakan untuk menaksir risiko dengan cara menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Kesulitan dari penerapan pendekatan ini adalah:

• Mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
• Mengestimasi kemungkinan terjadinya suatu kerugian dimasa yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer.

Laporan Analisis Ancaman
	Kerugian Potensial ($)	Risiko	Eksposur Kerugian
Pencurian Data	700,000,000	0.050	35,000,000
Kecurangan dan Serangan Virus	1,200,000,000	0.025	30,000,000
Sabotase	2,500,000,000	0.010	25,000,000
Perubahan File	400,000,000	0.050	20,000,000
Perubahan Program	80,000,000	0.020	1,600,000
Pencurian Peralatan	15,000,000	0.100	1,500,000
Bencana Alam	100,000,000	0.008	800,000

Sebagai contoh, pada gambar di atas, ancaman yang paling banyak terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan paling kecil.

2) Pendekatan Kualitatif

Pendekatan ini dipergunakan untuk menaksir risiko keamanan komputer dengan cara merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan. 

Apapun metode yang digunakan, analisis eksposur kerugian tersebut harus mencakup area berikut: (1) interupsi bisnis, (2) kerugian perangkat keras, (3) kerugian data, (4) kerugian perangkat lunak, (5) kerugian fasilitas, (6) kerugian jasa dan personel.

Kerentanan dan Ancaman 

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman, yaitu:

1) Ancaman aktif

Mencakup kecurangan sistem informasi dan sabotase komputer.

2) Ancaman pasif

Mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai.

Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan hard disk, matinya aliran listrik, dan lain sebagainya. Kerentanan, ancaman, dan kegagalan merupakan masalah yang serius dalam sistem informasi. Selain itu, kejahatan kerah putih merupakan kejahatan berbasis komputer yang sangat marak dilakukan saat ini. Keamanan sistem informasi merupakan masalah internasional yang harus segera dilakukan pencegahan karena dapat menimbulkan kerugian yang sangat material.

Orang-Orang yang Menimbulkan Ancaman pada Sistem Komputer

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang sensitif, atau program yang kritis. Semua ini dilakukan oleh kelompok individu yang ingin merusak sistem informasi. Terdapat tiga kelompok individu memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut, yaitu: 

1) Personel sistem kerap kali merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses terhadap data dan program yang sensistif. Personel sistem meliputi :

• Personel Pemeliharaan Sistem. Personel Pemeliharaan Sistem menginstal perangkat keras dan perangkat lunak, memperbaiki perangkat keras dan membetulkan kesalahan kecil di dalam perangkat lunak. Dalam banyak kasus, personel pemeliharaan bisaanya memiliki kemampuan untuk berselancar di dalam sistem dan mengubah file data dan file program dengan cara yang tidak legal.
• Programmer. Programmer sistem menulis program untuk memodifikasi dan memperluas sistem operasi jaringan. Individu-individu semacam ini biasanya diberi account dengan kewenangan akses universal ke semua file perusahaan. Programmer aplikasi bisa saja membuat modifikasi yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru guna menjalankan hal-hal yang tidak semestinya.
• Operator Jaringan. Adalah individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi. Biasanya, operator diberikan tingkat keamanan yang cukup tinggi sehingga memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi, dan juga mengakses semua file di dalam sistem.
• Personel Administrasi Sistem Informasi. Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau untuk memberi password pada account yang sudah ada.
• Karyawan Pengendali Data. Adalah yang bertanggung jawab terhadap penginputan data ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk memberi password pada account yang sudah ada.

2) Pengguna, di sisi lain, diberi akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan kecurangan. Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing, seperti informasi mengenai memo kredit, kredit rekening, dan lain sebagainya.

3) Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada perusahaan. Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak legal disebut dengan penyusup (intruder). Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan tanpa tantangan disebut dengan hacker. Tipe lain dari penyusup mencakup

• Unnoticed Intruder. Seorang hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
• Wire Tapper. Wiretapping atau penyadapan bisa dilakukan terhadap jaringan yang rentan seperti internet. Penyadapan ini bisa dilakukan bahkan dengan peralatan yang tidak mahal yang memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
• Piggy-Backer. Dengan metode piggybacker, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah.
• Impersonating Intruders. Adalah individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan. Tipe lain dari penyusup adalah hacker yang mendapatkan akses melalui internet dengan menebak password seseorang. Tipe penyusup selanjutnya adalah mata-mata industri yang professional, yang biasanya memasuki sistem melalui pintu samping dengan menggunakan seragam karyawan servis atau reparasi.
• Eavesdroppers. CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video menghasilkan interferensi elektromagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi sederhana. Setiap informasi publik yang lewat melalui jaringan komunikasi publik rentan terhadap eavesdropping dan piggybacking.

Ancaman Aktif Sistem Komputer

1) Manipulasi Input

Manipulasi input mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuna mengenai cara operasi sistem komputer. Misalnya operator pengolah data dengan sengaja membuat cacat beberapa cek yang akan diproses dengan komputer. Karena cacat, cek ditolak oleh komputer dan mesti diproses secara manual. Dia menggunakan cek tersebut untuk kepentingan pribadinya.

2) Mengubah Program

Mengubah program mungkin metode yang paling jarang digunakan untuk melakukan kejahatan komputer karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Suatu kasus contohnya, manajer pusat data suatu perusahaan broker mencuri $81.000 selama beberapa tahun dengan menggunakan skema pengubahan yang tidak legal. Dia menarik cek dari perusahaan dan mengirim cek tersebut ke rekening-rekening palsu yang ia buat.

3) Mengubah File Secara Langsung

Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasilnya adalah bencana. Seorang penyusup mengganti master file piutang dagang yang asli dengan master file versi penyusup.

4) Pencurian Data

Pencurian data penting merupakan salah satu masalah yang cukup serius selama dunia bisnis dewasa ini. Dalam industri dengan tingkat persaingan yang tinggi, informasi kuantitatif dan kualitatif terkait dangan salah seorang pesaing merupakan salah satu informasi yang cukup diburu. Seseorang di California dituntut karena melakukan koneksi ke jaringan komputer pesaing, dengan menembus sistem keamanan komputer dan menyalin informasi yang diperlukan.

5) Sabotase

Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Pabrik Cleveland keluar dari bisnis pada saat seorang karyawan yang tidak puas ditinggalkan sendirian di dalam tempat penyimpanan data. Karyawan tersebut menghapus file data dengan sebuah magnet tangan.

6) Penyalahgunaan atau Pencurian Sumber Daya Informasi

Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer untuk kepentingan pribadi. Beberapa karyawan mencuri komputer mainframe perusahaan dalam satu hari, bagian demi bagian, dilarikan lewat pintu belakang.

Sistem Keamanan Komputer

Variasi  Pengukuran Keamanan

Ukuran keamanan cukup memungkinkan dipastikan untuk menyediakan perlindungan berkesinambungan tentang fasilitas komputer dan fasilitas fisik lain, memelihara integritas dan privacy data file, serta menghindari kerusakan atau kerugian.

Keamanan mengukur fokus pada keamanan fisik dan keamanan data atau informasi. Dalam hal ini terdapat dua kategori yaitu (1) keamanan untuk semua sumber daya fisik kecuali fasilitas komputer dan (2) keamanan untuk fasilitas perangkat keras komputer. Sistem keamanan komputer merupakan bagian dari SPI perusahaan secara keseluruhan, yang meliputi:

1) Lingkungan Pengendalian

Merupakan dasar keefektifan seluruh sistem pengendalian. Faktor-faktor yang terkait dengan lingkungan pengendalian adalah:

• Filosofi manajemen dan gaya manajemen. Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Hubungan yang baik harus dibina dengan seluruh karyawan. Moral yang rendah dapat menyebabkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat mengurangi masalah rendahnya moral. Keseluruhan karyawan harus mendapatkan pendidikan mengenai keamanan sistem informasi, agar meningkatkan perhatian karyawan terhadap sistem informasi.
• Struktur organisasi. Suatu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang bertanggungjawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur akuntansi. Sebagaimana telah didiskusikan, harus ada orang yang bertanggung jawab terhadap sistem keamanan komputer. Dalam banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya diorganisir dibawah CIO (Chief Information Officer).
• Dewan direksi dan komitenya. Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik terkait dengan keamanan komputer. Komite audit harus berkonsultasi secara berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamanan komputer.
• Metode pembagian otoritas dan tanggung jawab. Yaitu tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan struktur organisasi, manual kebijakan, deskripsi pekerjaan, dan lain sebagainya.
• Aktivitas pengendalian manajemen. Yaitu dengan menyusun anggaran terkait dengan menyusun anggaran terkait dengan akuisisi, biaya operasi, dan penggunaan sistem teknologi informasi. Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi. Karyawan sering meminta perangkat keras yang lebih baik, perangkat lunak, dan jasa yang sebenarnya tidak mereka butuhkan. 
• Fungsi audit internal. Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan perusahaan yang terus berkembang. Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi.
• Kebijakan dan praktik personalia. Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, dan pengecekan ganda semua merupakan praktik personalia yang penting. Praktik personalia terkait dengan perekrutan dan pemecatan karyawan juga merupakan hal yang penting. Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-hati karena karyawan yang di-PHK tercatat sebagai pelaku utama dalam sabotase.
• Pengaruh eksternal. Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi local. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data dan juga mengatur pengiriman informasi ke negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu dari area ini akan dapat menjadi suatu tuntutan kriminal.

2) Pengendalian Ancaman Aktif

Cara utama untuk mencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah dengan mengimplementasikan urutan lapisan dan pengendalian akses. Pengendalian ini meliputi:

• Pengendalian akses lokasi. Tujuan pengendalian akses lokasi ialah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Semua ruangan yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci.  Lebih baik jika kunci tersebut diprogram sehingga pintu dapat menolak kunci yang tidak memiliki hak akses. Lokasi data dan peralatan sebisa mungkin harus dirahasiakan.
• Pengendalian akses sistem. Tujuan pengendalian akses sistem adalah untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan perangkat-perangkat keras. Sementara pengertian dari pengendalian akses sistem sendiri ialah suatu pengendalian dalam bentuk perangkat lunak yang didesain untuk mencegah penggunaan sistem yang ilegal. Dalam beberapa sistem operasi, untuk setiap account diberi batasan maksimum akses yang melanggar keamanan dalam kurun waktu tertentu, dengan sistem ini, memasukkan password yang salah akan dianggap sebagai pelanggaran keamanan.
• Pengendalian akses file. Pengendalian akses file merupakan upaya pencegahan akses ilegal ke data file dan program. Pengendalian akses file yang paling fundamental ialah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah file. Batasan khusus harus diberikan kepada programmer yang memang memiliki pengetahuan untuk mengubah program. Semua program penting harus disimpan di dalam file terkunci. Ini berarti program dapat dijalankan, tetapi tidak dapat diubah. Hanya bagian keamanan yang dapat mengetahui password untuk membuka file program.

3) Pengendalian Ancaman Pasif

Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ini meliputi:

• Pengendalian preventif, yaitu dengan melakukan pengawasan dan redudancy.
• Pengendalian korektif, yaitu dengan melakukan backup file yang memadai, sehingga file yang penting dalam dilindungi.

4) Keamanan internet

Keamanan internet merupakan permasalahan yang cukup penting bagi perusahaan karena koneksi perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada. Kerentanan terkait dengan internet dapat muncul sebagai akibat dari kelemahan-kelemahan berikut ini:

• Sistem operasi atau konfigurasi sistem operasi. Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan inilah administrator keamanan harus mengamankan sistem operasi.
• Web server atau konfigurasi web server. Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan informasi dan pembaharuan keamanan perihal konfigurasi web server.
• Jaringan privat. Risiko khusus terjadi saat sebuah server web diletakkan pada sebuah komputer utama yang dihubungkan dengan berbagai komputer pemakai melalui jaringan LAN, dan hacker bisa menyerang satu komputer melalui komputer yang lain.
• Berbagai program server. Banyak komputer utama server web yang bukan saja menjalankan server web tetapi juga server lainnya, termasuk server FTP, server mail, dan server kontrol jarak jauh.
• Prosedur keamanan secara umum. Suasana keamanan yang secara keseluruhan baik adalah  salah satu hal yang sangat penting. Perangkat lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika administrator sistem tidak menegakkan kebijakan keamanan.

Beberapa tujuan kunci dari pengukuran keamanan adalah :

1) Perlindungan dari akses ilegal.

2) Perlindungan dari bencana.

3) Perlindungan dari  gangguan dan  interuptions.

4) Perlindungan dari akses yang tidak dikenal.

5) Perlindungan dari kerugian atau perubahan tidak pantas.

6) Pemulihan dan rekonstruksi data yang hilang..

Keamanan untuk Sumber Daya Fisik Non Komputer 

1) Perlindungan dari akses ilegal

Kategori umum dari pengukuran keamanan untuk sumber daya fisik dikenal dengan pengendalian akses (access controls). Pengendalian ini membatasi akses bagi orang yang tidak terotorisasi. Pengendalian akses termasuk penjaga keamanan (security guards), receptionist, pagar pada area, pencahayaan, alarm pencuri dan kebakaran, alarm pendeteksi gerakan, penguncian pintu, sirkuit layar monitor televisi, register kas yang terkunci, dan file cabinet yang terkunci.

2) Perlindungan dari bencana. 

Kategori ukuran keamanan yang lain, melindungi sumber daya phisik dari pembinasaan dalam kaitan dengan yang disebabkan alam. Sistem alat penyemprot air tersedia untuk mematikan api yang tiba-tiba terjadi di gudang barang dagangan Infoage, sebagai contoh. Suatu gudang bawah tanah tahan api yang dirawat oleh Infoage untuk melindungi uang tunai dan dokumen berharga dari api.

3) Perlindungan dari uraian dan gangguan 

Sepertiga kategori ukuran keamanan melindungi sumber daya dari uraian dan gangguan bisnis. Pemeliharaan pencegahan mobil, permesinan kantor, permesinan produksi, dan harta lain adalah suatu contoh utama. 

4) Memonitor Pengukuran Keamanan

Suatu program keamanan perusahaan yang besar menyediakan jaminan yang mengendalikan terpenuhi sasaran hasil yang efektif dan efisien seluruh organisasi. Suatu kelompok keamanan formal harus dibentuk dalam organisasi besar. Perusahaan dari ukuran lebih kecil, perlu juga mengembangkan program keamanan yang menjadi lebih informal. Di dalam perusahaan besar, manajemen perlu menyiapkan suatu kebijakan keamanan tertulis yang boleh meliputi janji temu suatu pengurus keamanan. Pengurus ini memimpin suatu kelompok keamanan yang dibentuk untuk merekomendasikan dan menerapkan prosedur keamanan efektif. 

Keamanan Untuk Data Dan Informasi

Sumber daya data atau informasi suatu perusahaan sangat bervariasi antara lain meliputi data stored dalam file dan data sets, program aplikasi, dan informasi. Ukuran keamanan dirancang untuk menghilangkan penipuan dan menyediakan perlindungan yang berasal dari :

1) Perlindungan dari ketidaklegalan persetujuan terhadap data & informasi

Berbagai cara untuk membatasi suatu persetujuan sangat diperlukan (1) Orang-orang yang tidak mempunyai hak mulai dari serikat para pekerja dan (2) Teknik penetrasi yang jumlahnya sangat banyak dan sangat canggih. Dua faktor tambahan mempersulit langkah-langkah pemikiran persetujuan dari data dan informasi. Pertama, sebagian besar orang-orang setuju untuk mengakses hanya sebagian database. Kedua, berbagai jenis tindakan dalam pengaksesan harus dikerjakan. Pembatasan akses sangat diperlukan, yaitu:

• untuk mencegah pengaksesan data dan informasi oleh orang-orang yang tidak berhak, dan
• untuk membatasi persetujuan oleh orang-orang yang berhak membatasi informasi dan data tertentu.

Tindakan keamanan sangat bermanfaat untuk membatasi persetujuan dalam pekerjaan seperti pemisahan, pengesahan dan otorisasi para pekerja, pembatasan pada pemakaian terminal, encryption dan penghancuran. Tindakan ini berhubungan dengan sistem komputer. 

2) Perlindungan dari akses tidak terdeteksi terhadap data & informasi

Mencegah akses orang yang tidak berwenang tidaklah cukup. Semua akan mencoba untuk mengakses sistem komputer dan semua akses yang tidak memiliki otoritas seharusnya dimonitor. Dua tipe dari log dan jenis khusus dari software controll access yang memfasilitasi proses monitoring ini adalah:

•  Access Log. Sebuah access log umumnya merupakan sebuah komponen dari sebuah modul sistem keamanan operasi, merekam semua percobaan untuk berinteraksi dengan database. Log ini mereflesikan waktu, data, kode dari seseorang yang mencoba mengakses, tipe dari pemeriksaan atau mode dari permintaan akses dan data dapat diakses. Hal ini menciptakan jejak audit yang seharusnya di-review oleh sistem keamanan.
• Console Log. Console log atau sebuah internal run log cocok untuk komputer mainframe yang menggunakan pemrosesan batch. Hal itu merekam semua aktivitas atau kegiatan dari sistem operasi dan operator komputer. 

Access Controll Software. Menyediakan pengendalian akses level paling tinggi dibanding akses lain atau console log. Seperti software yang berhubungan dengan sistem operasi komputer untuk membatasi akses file. Paket ini juga dapat menghasilkan jejak audit dan dapat mendeteksi akses yang tidak berhak. 

System dan Program Change Log. Dapat memonitor perubahan ke program, file, dan kontrol. Seorang manajer pengembangan sistem memasukkan ke dalam log ini semua perubahan yang tidak berhak. Pemasukan ini seharusnya di-review oleh internal auditor untuk taat terhadap pemberian perintah mengubah prosedur.

Perlindungan dari kerugian atau perubahan yang tidak benar terhadap data & informasi

Dua tambahan log yang berguna dalam mencegah kerugian dari data atau informasi dalam sistem komputer, adalah:

• Library Log. Log ini akan mengubah data file, program dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas lain. Sebuah peralatan library log yang baik dapat menolong librarian data dalam mengklaim kembali dengan cepat item setelah digunakan. Sebuah versi on line dalam library log dapat menolong dalam mencari pengguna data file dan program stored pada direct access storage device.
• Transaction Log. Log ini merekam transaksi individual. Log ini menyediakan bagian penting dari jejak audit dalam sistem pemrosesan on line. Termasuk dalam transaksi, log akan menjadi terminal number yang mengidentifikasikan dimana transaksi telah dimasukkan, waktu dan data dimasukkan, identifikasi dari seseorang yang sedang memasukkan data, identifikasi seseorang yang menyetujui data, kode transaksi, dan jumlahnya. 

Pemulihan dan Rekonstruksi Data yang Hilang

Dalam pengukuran keamanan, terkadang terjadi kerugian karena data yang tidak normal. Mungkin hardware-nya terlalu banyak fungsi dan disebabkan oleh bencana alam dari pusat komputer, atau operator komputer mengalami kerusakan. Vital Record Program. Melindungi komputer dan non komputer untuk operasi pencatatan yang penting.

Backup and Reconstruction Procedures. Backup terdiri dari salinan duplikat dan dokumen vital, files, set data, dan dokumen relasi. Reconstruction procedure (prosedur rekonstruksi) digunakan untuk memperbaiki data atau program yang rusak. Backup dan prosedur rekonstruksi digunakan untuk menemukan strorage medium yang berisi set data dan file.  

Rekonstruksi dari data base dapat mendatangkan masalah yang luas, jika semua bagian data base rusak, perbaikan dapat dilakukan dengan menggunakan roolforward procedure.

Pengendalian Keamanan Jaringan Dan Keamanan Web

Jaringan distribusi komputer dari berbagai tipe mengimplementasikan keamanan yang komplek dan solusi pengendalian untuk mainframe sistem dalam sentral tradisional jaringan ini terdiri dari berbagai hadware untuk akunting dan aplikasi bisnis, yang menghubungkan perusahaan dengan customer, dan berbagai jaringan yang digunakan pemilik untuk mengakses data base. Konsekuensinya, akuntan (internal auditor) membutuhkan evaluasi dari elemen dari lingkungan pengendalian yang relevan untuk jaringan/web server site. Sebelum mengidentifikasikan obyektif yang spesifik dari jaringan/ web server site, risikonya harus diketahui risiko tersebut antara lain :

• Kehilangan kapabilitas terhadap pentransferan dan pemrosesan data karena sistem operasi jaringan;
• Kehilangan kapabilitas terhadap pentransferan dan pemrosesan data yang berhubungan dengan power outages, virus, dan bencana alam;
• Unouthorized access data dapat menggunakan jalar komunikasi dari mantan karyawan.

Manajemen Risiko Bencana 

Manajemen risiko bencana sangat penting di dalam menjamin kelanjutan dari sistem operasional perusahaan. Manajemen risiko bencana memerhatikan pencegahan dan perencanaan kontigensi, yang sering dikenal dengan sebutan disaster contingency and recovery planning. Sebuah Disaster Contingency and Recovery Plan (DCRP) adalah rencana yang komprehensif untuk me-recovery gangguan dari alam dan manusia yang dapat mempengaruhi tidak hanya kemampuan pengolahan komputer suatu perusahaan tetapi juga cara kerja bisnis perusahaan yang penting. Melakukan recovering dari gangguan-gangguan dengan cepat sangat penting sekali untuk kelangsungan perusahaan. Proses perencanaan mungkin akan menjadi kurang formal, kurang terstruktur dan kurang komprehensif pada perusahaan yang lebih kecil. Manajemen risiko ini terdiri dari dua bagian, yaitu:

1) Mencegah terjadinya bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Bencana yang  berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan perencanaan keamanan yang baik. Sementara risiko bencana alam harus menjadi pertimbangan pada saat membangun lokasi gedung.

2) Perencanaan kontingensi untuk mengatasi bencana, yang meliputi:

• Menilai kebutuhan penting perusahaan. Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital dan SDM.
• Membuat daftar prioritas untuk pemulihan dari bencana. Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama. Oleh karena itu, harus dibuat prioritas terkait dengan kebutuhan perusahaan yang paling penting.daftar prioritas mengindikasikan aktivitas dan jasa yang memang genting yang perlu segera dibangun kembali setelah terjadinya bencana.
• Strategi dan prosedur pemulihan. Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detil sehingga pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya dan berapa lama hal tersebut harus dilakukan. Ada beberapa strategi dan prosedur pemulihan, diantaranya : pusat respons darurat, prosedur eskalasi, menentukan pemrosesan komputer alternatif, rencana relokasi karyawan, rencana penggantian karyawan, perencanaan penyelamatan, dan perencanaan pengujian sistem.

AUDITING INFORMATION SYSTEMS (IS)

Konsep-konsep Audit Sistem Informasi

Istilah audit sistem informasi umumnya digunakan untuk menjelaskan dua jenis aktivitas berbeda yang terkait dengan komputer, yaitu menjelaskan proses pengkajian ulang dan mengevaluasi pengendalian internal dalam sebuah sistem pemrosesan data elektronik. Tujuan dan tanggung jawab utama dari auditor eksternal adalah untuk menilai kewajaran dari laporan keuangan sebuah entitas usaha. Audit dibagi menjadi dua komponen dasar, yaitu:

• Komponen pertama (Audit sementara/interm audit), memiliki tujuan untuk menilai struktur pengendalian intern
• Komponen kedua (Audit laporan keuangan), melibatkan pengujian substantif.

Struktur dari audit laporan keuangan dapat digambarkan sebagai berikut:

Gambar 1. Struktur audit

Jenis Audit

Audit mungkin dilakukan dalam suatu jenis operasional perusahaan, compliance, pengembangan sistem, pengawasan intern, keuangan, dan audit kecurangan. Beberapa tipe dari audit yaitu :

• Audit operasional mempunyai kaitan dengan efisiensi dan efektivitas dengan mana semua sumber daya yang digunakan untuk memenuhi tugas, seperti halnya tingkat untuk praktek dan memeriksa prosedur sesuai dengan kebijakan yang ditetapkan.
• Audit complience mempunyai kaitan dengan tingkat hukum, peraturan bidang pemerintah, kendali, dan kewajiban lain ke badan eksternal yang telah diikuti.
• Audit manajemen proyek dan audit kontrol mempunyai kaitan dengan efisiensi dan dengan mana berbagai tahap dari jalan kehidupan pengembangan sistem sedang diselenggarakan.
• Audit internal control mempunyai kaitan dengan mengevaluasi struktur pengendalian intern.
• Audit keuangan mempunyai kaitan dengan kewajaran laporan keuangan yang menyajikan posisi keuangan perusahaan, hasil operasi, dan arus kas.
• Audit penipuan (fraud) adalah suatu audit non-recurring yang diselenggarakan untuk mengumpulkan bukti, untuk menentukan jika penipuan sedang terjadi, telah terjadi, atau akan terjadi, dan untuk memecahkan perihal dengan tanggung jawab penyematan.

Empat jenis auditor dilibatkan dalam penyelenggaraan audit adalah sebagai berikut :

• Auditor internal, adalah karyawan perusahaan, yang pada umumnya melaksanakan compliance, operasional, pengembangan sistem, pengawasan intern, dan penipuan audit.
• Auditor eksternal, adalah akuntan publik yang ditugaskan oleh perusahaan, secara khas melaksanakan audit keuangan. Dalam berbagai audit keuangan, auditor eksternal menerima bantuan dari auditor internal. Bagaimanapun, auditor eksternal bertanggung jawab untuk menegaskan kewajaran dari  laporan keuangan.
• Auditor pemerintah, melaksanakan audit compliance atau menguji arsip perusahaan di bawah pengawasan para agen pemerintah.
• Auditor kecurangan adalah yang mengkhususkan dalam menyelidiki penipuan dan pekerjaan yang lekat dengan auditor internal dan pengacara. Banyak auditor kecurangan dipekerjakan dalam unit penyelidikan penipuan FBI, perusahaan akuntan publik besar, IRS, perusahaan asuransi, dan jenis lain korporasi besar.

Pertimbangan Dasar Auditing 

Etika dan  Standar Auditing

Kode etika profesional dinyatakan dalam bentuk tertulis adalah agar dapat dijelaskan, dipraktekkan, dan peraturan dapat dilaksanakan. Kode etika untuk auditor menyatakan prinsip dan sikap untuk berperan dalam audit secara efektif, yang melindungi dari kepentingan pemilik perusahaan yang sedang diaudit dan masyarakat, agar mendorong hubungan auditor klien yang saling memuaskan.

Standar audit menentukan kualitas profesional dan pelaksanaan. Mereka dapat dibagi menjadi dua kelompok, yaitu kelompok standar audit yang menetapkan karakteristik profesional berkenaan dengan kecakapan dan pelatihan teknis yang cukup dan standar audit yang menyinggung kepada lingkup dari audit. Walaupun masing-masing jenis audit mempunyai lingkup sendiri, audit keuangan harus meliputi: (1) suatu evaluasi menyangkut struktur pengawasan intern untuk mengontrol risiko, (2) suatu tinjauan ulang dari semua arsip dan dokumen yang bersangkutan.

Ketika suatu perusahaan menginstal suatu komputer berdasarkan AIS, tindakan komputerisasi ini mempengaruhi prosedur audit untuk diterapkan. Auditor diharapkan untuk memperlihatkan profesionalisme yang meliputi kecakapan dan pelatihan teknis yang cukup. Mereka juga diharapkan untuk mengikuti proses auditing secara saksama. Proses ini harus meliputi evaluasi dari semua pengawasan intern, termasuk yang berorientasi komputer.

2.3.2. Dampak Komputerisasi Pada Prosedur Audit

 Tingkat dimana pengolahan komputer digunakan dalam aplikasi akuntansi yang signifikan, seperti halnya kompleksitas pengolahan, dapat juga mempengaruhi alam, pemilihan waktu, dan luas prosedur audit.

Oleh karena itu, suatu jenis auditor khusus sistim informasi komputer (CISA) diperlukan. CISAs memiliki ketrampilan khusus, seperti melalui pengetahuan perangkat keras dan lunak komputer, teknologi database, komunikasi data teknologi, dan pengorientasian dan pengendalian komputer teknik audit. 

Pendekatan Siklus Transaksi ke Audit

Survei proses transaksi telah diorientasikan kepada pendekatan siklus. Pendekatan siklus perlu dalam auditing. Dengan pengujian kendali dalam suatu proses lengkap, auditor memperoleh suatu pemahaman lebih besar dari struktur pengendalian intern. 

Proses Auditing

Lima tahap suatu audit keuangan adalah meliputi: perencanaan audit, persiapan penilaian struktur pengendalian internal, pengujian tahap pengendalian dari audit, tahap pengujian substantif dari audit, dan pelaporan audit.

Pendekatan dan Teknik Auditing Berbasis-Komputer 

Teknik spesifik hanya dapat diterapkan untuk sistem informasi yang mengotomatiskan pengolahan transaksi. Walaupun tidak ada audit tunggal yang akan mempekerjakan semua teknik orientasi komputer untuk diuji, oleh karena berhubungan dengan biaya-biaya yang berlebihan, masing-masing teknik dapat mendukung dalam pengujian pengendalian dan pengujian substantif. Bagaimanapun pengujian ini tidak menggantikan penggunaan sistem flowchart, diagram arus data, dan daftar pertanyaan dalam meninjau ulang struktur pengawasan intern. Ketiga teknik orientasi komputer yang diuji adalah Auditing Around Computer (auditing disekitar komputer), Auditing Through The Computer (auditing melalui komputer), dan Auditing With The Computer (auditing dengan komputer. Baik auditor internal ataupun eksternal dapat menggunakan teknik ini.

Auditing Around Computer (Auditing di Sekitar Komputer)

Pendekatan auditing around computer merupakan suatu metode data non-processing. Auditor tidak menyiapkan simulasi transaksi atau penggunaan file klien riil untuk memproses dengan program komputer klien. Pendekatan auditing di sekitar komputer adalah pantas apabila tiga kondisi-kondisi dibawah ini dipenuhi :

1. Jejak audit lengkap dan kelihatan. Merupakan dokumen sumber yang digunakan untuk semua transaksi, merinci jurnal yang dicetak, dan acuan transaksi yang dipindahkan dari jurnal ke buku besar dan ringkasan laporan.
2. Pengolahan operasi secara langsung,  tidak diperumit, dan volume rendah.
3. Dokumentasi lengkap, seperti diagram arus data dan sistem flowcharts, tersedia untuk auditor.

Auditing Through The Computer  (Auditing melalui Komputer)

Alternatif pendekatan ini akan membuka “kotak hitam” dan secara langsung berfokus kepada tahap-tahap proses data, edit pemeriksaan dan program pemeriksaan. Jika diasumsikan bahwa proses program data dapat memperkuat dan mampu menggabungkan program pemeriksaan, kesalahan dan ketidakpastian maka data yang dihasilkan layak dapat diterima dan diandalkan.

Audit pendekatan melalui komputer ini dapat diterapkan pada proses komputer secara otomatis dan kompleks, fakta utama yang mendukung proses dilakukan secara langsung dan tepat waktu agar jejak audit mudah untuk dilacak. 

Auditing With The Computer  (Auditing dengan Komputer)

Pendekatan ketiga ini mempergunakan kerangka induk atau mikrokomputer yang membantu pelaksanaan proses detail audit program. Audit dengan pendekatan komputer mempergunakan secara otomatis beberapa aspek audit proses, dimana mikrokomputer akan mengubah audit scene pada pemberian nomor fungsi audit seperti: pengujian pengendalian dan pengujian substantif.

Audit mikrokomputer dengan berbantuan software. Sebagian auditor membawa mikrokomputer portable seperti laptop dalam melaksanakan tugasnya di kantor. Mikrokomputer ini perlu dikembangkan secara luas untuk digunakan oleh auditor. 

Audit Perangkat lunak. Audit Perangkat lunak biasanya terdiri dari suatu koleksi program rutin. Jenis perangkat lunak yang utama digunakan dalam audit disamaratakan dalam general audit software (GAS), yang terdiri dari satu atau lebih program yang rutin yang dapat digunakan untuk situasi audit yang luas  dalam organisasi. 

Tipe fungsi audit tersedia dalam suatu paket GAS, yang  didaftarkan dalam uraian sebagai berikut: Penyulingan data dari file, Kalkulasi dengan data, Melakukan perbandingan dengan data, Peringkasan data, Penelitian data, Menyusun kembali data, Pemilihan data sample untuk pengujian, Pengumpulan data statistik, dan Pencetakan konfirmasi permintaan, analisis, dan keluaran lain. 

Paket GAS memiliki beberapa keuntungan atau kelebihan yaitu :

1. Mengijinkan seorang auditor untuk mengakses catatan komputer-readable untuk jenis secara luas
2. Memungkinkan seorang auditor untuk menguji lebih banyak data daripada dapat diuji melalui alat manual
3. Dengan cepat dan teliti melaksanakan berbagai fungsi audit rutin
4. Mengurangi ketergantungan pada personel nonauditing dalam melaksanakan fungsi rutin, seperti meringkas atau merangkum data, dengan demikian memungkinkan auditor untuk memelihara control yang lebih baik atas audit
5. Hanya memerlukan minimal komputer yang mengetahui atau mengenal pihak auditor.

Pembatasan utama dari arus paket GAS adalah bahwa mereka tidak secara langsung menguji program aplikasi dan pemeriksaan yang diprogramkan. Dengan demikian mereka tidak bisa menggantikan audit melalui teknik komputer.

Audit Operasional Departemen Pemrosesan Informasi

Sifat Audit Operasional Departemen Pemrosesan

Audit operasional dari pemrosesan data secara sistematis menilai keefektifan unit dalam menerima tujuan dan mengidentifikasi keadaan yang memerlukan peningkatan. Pemrosesan Data (DP) audit operasional mungkin meluas secara alami, meliputi semua aktivitas DP, atau mungkin yang terkait dengan segmen spesifik dari aktivitas tersebut. 

Proses Audit Operasional Departemen Pemrosesan

Kemajuan audit ini melalui beberapa langkah berikut ini :

1) Tahap Perencanaan Audit

Penting bagi auditor memperoleh dan meninjau ulang latar belakang informasi atas unit, aktivitas, atau fungsi yang akan diaudit. Auditor perlu mengumpulkan informasi dari klien untuk memperoleh suatu pemahaman menyangkut departemen DP dan sasaran hasilnya.

2) Tahap Survei Persiapan

Survei ini membantu auditor untuk mengidentifikasi area permasalahan, area sensitif, dan operasi yang rumit atas kesuksesan audit dari departemen DP. 

3) Tahap Audit yang Terperinci

Kunci aktivitas untuk menguji dan mengevaluasi sepanjang tahap audit yang terperinci meliputi (1) organisasi menyangkut fungsi pengolahan informasi, (2) praktek dan kebijakan sumber daya manusia, (3) operasi komputer, (4) pertimbangan implementasi dan pengembangan sistem, dan (5) pengoperasian sistem aplikasi. 

4) Pelaporan

Pada penyelesaian dari audit operasional, suatu laporan dibagi-bagikan ke manajemen dan panitia audit perusahaan. Isi dari laporan ini bervariasi menurut harapan manajemen.

Sumber: Berbagai sumber