9. hapzi ali, sistem informasi sumbedaya manusia (human resource informatiuon system), hris, ut
11 si pi, jemmy esrom serang, hapzi ali, sistem informasi dan pengendalian internal, universitas...
-
Upload
jemmy-esrom-serang -
Category
Education
-
view
40 -
download
0
Transcript of 11 si pi, jemmy esrom serang, hapzi ali, sistem informasi dan pengendalian internal, universitas...
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
Disusun Oleh : Jemmy Esrom Serang
NIM : 55516120030
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Program Studi Magister Akuntansi
FAKULTAS PASCA SARJANA
UNIVERSITAS MERCUBUANA
JAKARTA
2017
Tanggapi dan Jawab Forum minggu ini dengan baik dan relevan
Bagaimanakah Implementasi Sistem Informasi & Pengendalian Internal di perusahaan
saudara dan apa saja kendalanya serta apa rekomendasi saudara untuk perberbaikanya di
masa yang akan datang.
JAWABAN
Mengenai forum minggu ini, Implementasi Sistem Informasi dan Pengendalian Internal.
Perusahaan Adidas merupakan Perusahaan Multiinternasional karena Adidas memiliki kegiatan
produksi dan pemasaran lebih dari satu Negara. Bukan hanya dinegara asing saja Adidas terkenal,
tetapi d Indonesia pun produk-produk Adidas banyak diminati dan cukup terkenal di kalangan
masyarakat luas.
Adidas melalui Biaya, lebih mungkin untuk melakukan outsourcing logistik operasi perusahaan
sejenis yang lain untuk mengurangi biaya operasi.Pada awal pertengahan tahun 1996, perusahaan
Adidas membayar perhatian lebih pada pengendalian biaya logistic. Dengan berulang-ulang
penimbangan, Adidas pada tahun 1996 memutuskan untuk distribusi pakaian dalam outsourcing
US UPS Global perusahaan logistic.
Sejak berdirinya, salah satu kunci keberhasilan Adidas adalah kemampuannya dalam bidang
teknologi informasi. Sejak awal Adidas telah mempunyai suatu sistem database yang teratur dan
sangat baik. Database yang telah ada ini kemudian dimanfaatkan lebih jauh dan diintegrasikan
dengan kebutuhan masa kini. Beberapa sistem yang terjalin adalah sistem CRM (Customer
Relationship Management), sitem SCM (Supply Chain Management) dan ERP (Enterprise
Resource Planning).Untuk melakukan peralihan dari sistem database konvensional menjadi sistem
baru yang lebih terintegrasi, Adidas melakukan BPR (Business Process Engineering). Para mitra
utama juga dituntut untuk melakukan proses BPR, walaupun pada tingkat yang berbeda dari yang
dilakukan oleh Adidas.
1. Database Terpadu
Sejak berdirinya, salah satu kunci keberhasilan Adidas adalah kemampuannya dalam bidang
teknologi informasi. Sejak awal Adidas telah mempunyai suatu sistem database yang teratur dan
sangat baik. Database yang telah ada ini kemudian dimanfaatkan lebih jauh dan diintegrasikan
dengan kebutuhan masa kini. Beberapa sistem yang terjalin adalah sistem CRM (Customer
Relationship Management), sitem SCM (Supply Chain Management) dan ERP (Enterprise
Resource Planning). Untuk melakukan peralihan dari sistem database konvensional menjadi
sistem baru yang lebih terintegrasi, Adidas melakukan BPR (Business Process Engineering). Para
mitra utama juga dituntut untuk melakukan proses BPR, walaupun pada tingkat yang berbeda dari
yang dilakukan oleh Adidas.
2. Sistem CRM (Customer Relationship Management)
Sistem CRM adalah suatu sistem, metodologi, strategi, perangkat lunak (software) dan aplikasi
berbasis web yang mampu membantu sebuah perusahaan untuk mengelola hubungannya dengan
para pelanggan. CRM terdiri atas tiga unsur pokok yaitu manusia, teknologi dan proses Adidas
memanfaatkan sistem CRM secara cukup intensif. Antara lain pemanfaatannya adalah untuk
mengelola program membership. Setiap pelanggan diberikan kartu identitas untuk setiap produk
yang telah dibelinya. Dengan adanya kartu identitas tersebut Adidas dapat diakses langsung oleh
pelanggan untuk memberikan masukan terhadap produk yang dihasilkan sehingga mampu
meningkatkan kepuasan pelanggan. Strategi lain yang dilakukan Adidas adalah menjaga hubungan
dengan ritelnya di setiap wilayah sehingga mampu mempertahankan pertumbuhan pasar. Rencana
yang akan dijalankan adalah untuk menyediakan agen internal untuk melakukan layanan penjualan
yang solid dengan profil pelanggan kelas atas untuk retailers. Infesisensi juga itu harus dihilangkan
untuk menyediakan agen akses ke terintegrasi dan data pelanggan yang relevan. Dengan
menggunakan CRM untuk fokus pada kelompok konsumen utama, adidas berusaha untuk
memperkuat pangsa pasar dan mendukung perjalanan kembali ke nomor satu.
Berikut 8 kunci keberhasilan Adidas dengan CRM :
1. Menjaga hubungan baik dengan pihak ke-3, dalam hal ini berupa pengecer ritel kecil.
2. Membangun kasus bisnis. Sebelum implementasi, adidas mengembangkan kasus bisnis
menguraikan lingkup proyek, anggaran dan target kiriman, dan tujuan kuantitatif dan kualitatif.
3. Saldo efisiensi dan fokus pelanggan. Sejak tahun 2003, teknologi berbasis efisiensi dipotong
€ 758.000 dalam biaya dalam kelompok Layanan Compact sementara profil pelanggan yang
lengkap membantu Adidas menangkap ROI dari keintiman pelanggan yang lebih erat.
4. Percontohan pertama. adidas mengambil langkah-langkah tambahan dalam rencana CRM
dalam rangka untuk mengkompilasi takeaways untuk peluncuran lebih lanjut. Berdasarkan
keberhasilan seorang percontohan awal ini, adidas berencana untuk komponen CIC peluncuran
mySAP CRM di seluruh Eropa dan AS dalam beberapa bulan ke depan.
5. Fokus pada pelanggan berharga. adidas ritel dipisahkan ke dalam tiga kelompok sesuai
dengan nilai mereka untuk perusahaan. Hal ini memungkinkan Adidas untuk mengalokasikan
sumber daya yang optimal untuk pengecer yang tepat pada waktu yang tepat, mengurangi limbah
dan pemotongan biaya.
6. Maksimalkan setiap interaksi. Sebelum CRM , Jasa Compact di agen penjualan tidak
memanfaatkan peluang pendapatan sementara tangkas perintah. Melalui tahun 2003, agen yang
digunakan mySAP CRM CIC untuk membuat rekomendasi yang ditargetkan, sehingga € 257.000
pendapatan tambahan.
7. Membangun channnel ralationship.CRM strategi telah membantu Adidas memupuk
kemitraan yang kaya yang mampu mempengaruhi hasil akhirnya adalah hubungan pelangan.
Hasilnya adalah hubungan yang kuat dengan pengecer dan lebih memnghasilkan kepuasan
pelanggan dan lebih terintegrasi ke konsumen akhir.
8. Konsultasikan pengguna akhir. Tim adidas proyek CRM termasuk pengguna akhir dari solusi
CRM mySAP CIC. Hal ini terus pelaksanaan difokuskan pada pemberdayaan pengguna dalam
rangka untuk mendorong kembali untuk mencapai investasi serta indikator kunci keberhasilan
3. Sistem SCM (Supply Chain Management)
Sistem SCM adalah suatu sistem, metodologi, strategi, perangkat lunak (software) dan aplikasi
berbasis web yang mampu membantu sebuah perusahaan untuk mengelola hubungannya dengan
para pemasok. Supply Chain Management (SCM) adalah pengelolaan semua proses untuk
merancang, manufaktur operasi, koordinasi, dan pengendalian, layanan, dan sistem distribusi.
Untuk menggambarkan apa definisi abstrak berarti, kita berikutnya menjelaskan rantai pasokan
untuk sepatu olahraga disesuaikan dan menggambarkan beberapa aspek khas dari Supply Chain
Management. Contoh ini akan memberi Anda pemahaman yang baik tentang jenis tantangan kita
berurusan dengan dalam Manajemen Supply Chain. Beberapa tahun lalu, Adidas memulai sebuah
konsep baru untuk menyediakan pelanggan dengan produk baru dan inovatif: sepatu disesuaikan
dengan individu pelanggan . Inovasi adalah bahwa pelanggan dapat memesan sepatu olahraga yang
disesuaikan dengan kaki mereka.
Sebagai contoh, panjang dan lebar masing-masing sepatu disesuaikan dengan kaki pelanggan.
Selain itu, pelanggan dapat memilih dari berbagai macam pilihan desain seperti warna dan bordir.
Dan pelanggan dapat memutuskan pada profil pejantan, tergantung pada penggunaan yang
dimaksudkan sepatu. Ini menyediakan pelanggan dengan dimensi baru fleksibilitas. Sepatu buatan
tangan selalu dipasang ke kaki pelanggan. Layanan baru Adidas juga sesuai dengan sepatu untuk
kaki pelanggan , serta menghasilkan sepatu di fasilitas produksi massal. Oleh karena itu, harga
sebuah sepatu Adidas secara signifikan lebih rendah dari sepatu buatan tangan. Adidas berlabel
inisiatif baru untuk produk ini mi adidas.
4. Sistem ERP (Enterprise Resource Planning)
Sistem informasi ERP (Entreprise Resource Planning) merupakan suatu sistem informasi yang
diperuntukkan bagi perusahan manufaktur maupun jasa yang berperan mengintegrasikan dan
mengotomasikan proses bisnis yang berhubungan dengan aspek operasi, produksi maupun
distribusi di perusahaan bersangkutan. Dalam Perkembangan ERP tidak terlepas dari
perkembangan rekayasa pabrikasi (manufacturing) itu sendiri. Kebutuhan akan informasi dari
proses pabrikasi juga semakin banyak yang akan berguna bagi setiap pelaku dari pabrikasi baik
pelaksanan maupun pengambil keputusan. Perkembangan ERP melalui tahapan yang sangat lama
dengan mengembangkan dari sistem yang telah lahir sebelumnya. Adidas memanfaatkan sistem
ERP dengan . Pemanfaatan yang utama adalah perencanaan penggunaan bahan baku, dengan
mempertimbangkan pesanan, estimasi permintaan pasar dan ketersediaan bahan baku. Dalam
upaya untuk menghilangkan waktu respon yang lama, adidas bekerja sama dengan AT & T untuk
mengembangkan dan menerapkan manajemen pesanan sistem perangkat lunak untuk perwakilan
bidang penjualan. Sehingga Adidas tidak sendirian dalam melakukan usahanya.
5. Pemanfaatan Internet, Intranet dan Ekstranet
Salah satu komponen penting dari teknologi informasi adalah tersedianya jaringan komunikasi
yang dapat digunakan oleh berbagai individu atau perusahaan untuk meningkatkan efisiensi dan
efiktivitas. Sistem jaringan komunikasi terdiri atas beberapa lapisan, yaitu:
• Internet
• Intranet
• Extranet
Tentu saja Adidas tidak akan melewatkan kesempatan untuk memanfaatkan jaringan ini.
Terbentuknya suatu jaringan yang baik dapat mengatasi permasalahan rintangan geografis, waktu,
biaya dan struktur. Adidas Untuk memiliki kebijakan tersendiri dalam memanfaatkan setiap
lapisan jaringan. Dengan demikian dapat dikatakan bahwa Adidas adalah sebuah virtual company,
dimana terdapat sistem informasi yang digunakan untuk menjembatani Adidas, pemasok dan
pelanggannya. Sebagai virtual company Adidas memanfaatkan penggunaan E-Commerce,
Internet, dan World Wide Web.
· Internet
Internet adalah suatu jaringan komputer publik yang luas dan mendunia, yang dapat
menghubungkan jutaan pengguna komputer di seluruh dunia. Di dalamnya terdapat berbagai
sumber daya informasi baik statis, dinamis maupun interaktif. Fasilitas yang tersedia di internet
antara lain adalah layanan e-mail, network news, file transfer (FTP), remote login (telnet),
pencarian informasi (Gopher dan WWW), komunikasi audio dan video. Adidas mempergunakan
internet ini untuk menghubungkan seluruh pihak yang berkepentingan, mulai dari Adidas sendiri,
mitra, pemasok, pelanggan, dan instansi lainnya (misalnya pemerintah dan konsulat di luar negeri).
Penggunaan internet pada Adidas adalah:
· Sebagai media publikasi informasi dan promosi. Pengguna internet di seluruh dunia bisa
mendapatkan informasi mengenai profil perusahaan dan mitra-mitra utama, informasi mengenai
ukiran jati secara umum, serta informasi produk-produk ukiran secara spesifik.
· Sebagai media komunikasi antara Adidas, mitra-mitra utama, pemasok, pelanggan (dan
bahkan calon pelanggan), serta berbagai instansi.
· Pemanfaatan e-commerce yang memungkinkan terjadinya kontak transaksi perdagangan.
Dengan penggunaan internet, Adidas mempunyai jangkauan pasar yang sangat luas yaitu pasar
global. Pelanggan dapat berasal dari negara manapun dan dapat melakukan transaksi atau
pemesanan kapanpun. Untuk menunjang perluasan pasar, Adidas membuat website yang menarik
dengan katalog lengkap dan informatif yang dapat diakses kapan saja dan dari mana saja.
· Intranet
Intranet adalah suatu jaringan internal antara beberapa perusahaan atau instansi yang berafiliasi.
Akses intranet memerlukan identifikasi pengguna dan password, hingga hanya dapat diakses oleh
pengguna tertentu. Pengguna intranet secara otomatis memiliki akses internet, namun tidak berlaku
sebaliknya. Adidas memanfaatkan intranet sebagai sarana untuk melakukan komunikasi internal
antara Adidas sendiri dengan mitra-mitra utamanya. Seluruh karyawan Adidas dan mitra-mitra
utama memiliki user name dan password tersendiri.
· Ekstranet
Ekstranet adalah jaringan komputer yang digunakan oleh perusahaan dalam rangka menyediakan
informasi nonpublik kepada pihak-pihak tertentu, seperti rekan bisnis atau konsumen. Ekstranet
mungkin terlihat mirip dengan Web biasa, namun pengguna harus memasukan password atau
menggunakan enkripsi digital untuk menggunakannya. Sebagai contoh, jasa kurir Federal Express
menggunakan ekstranet yang memungkinkan konsumen melacak paket yang dikirim
menggunakan nomor pelacakan paket. Penggunaan ekstranet pada Adidas antara lain adalah:
· Sebagai media pertukaran informasi antara Adidas, mitra, pemasok dan pelanggan yang
telah terdaftar. Calon pelanggan yang mendaftarkan diri otomatis akan dapat mengakses ekstranet.
· Sebagai sarana pemantauan account secara online dan realtime bagi para pemasok dan
pelanggan yang terdaftar.
6. Pengamanan Sistem Informasi
Perkembangan teknologi di bidang informasi yang sangat pesat memiliki berbagai dampak, baik
positif maupun negatif, pada kehidupan manusia. Salah satu dampak negatif adalah timbulnya
kejahatan informasi. Selain itu sistem informasi juga memiliki berbagai kerawanan yang harus
dikenali agar dapat diantisipasi. Tindakan yang diambil untuk meminimalkan dampak negatif dan
mengelola kerawanan adalah merancang pengamanan sistem informasi. Beberapa unsur
pengamanan sistem informasi:
· Pengamanan fasilitas dan hardware secara fisik
· Pengamanan akses dan wewenang
· Pengamanan data elektronik, mencakup menjamin ketersediaan data, mencegah kerusakan
dan korupsi data, mencegah penggunaan data oleh pihak yang tidak berhak, menjamin
pemuktahiran dan validitas data.
· Pengamanan komunikasi jaringan dalam pemanfaatan internet, ekstranet dan intranet.
Dari berbagai metode yang tersedia untuk melakukan pengamanan sistem informasi, Adidas
memilih untuk menerapkan beberapa cara berikut ini:
· Pengaturan authentification. Setiap karyawan, baik Adidas maupun mitra-mitra utama,
memiliki Username dan password masing-masing.
· Pengaturan ruangan-ruangan khusus sebagai pusat kegiatan sistem informasi. Di setiap
kantor mitra-mitra utama terdapat ruangan khusus komputer, yang hanya dipakai selama jam kerja
normal. Sedangkan di kantor Adidas, terdapat ruangan komputer untuk pengguna, dan ruangan
server khusus, keduanya selalu dimonitor selama 24 jam sehari. Hal ini diperlukan, karena intranet
terhubung dengan seluruh dunia, dan kadang membutuhkan respon yang cepat pada jam
berapapun.
· Pengaturan akses penggunaan komputer. Setiap karyawan, baik Adidas maupun mitra-mitra
utama, memiliki pengaturan akses masing-masing, sesuai dengan jenis pekerjaan dan tanggung
jawabnya. Sebagai contoh, bagian penjualan mempunyai akses terhadap data pelanggan dan
transaksi penjualan, dan bagian pembelian mempunyai akses terhadap data pemasok dan transaksi
pembelian, sedangkan bagian akunting mempunyai akses terhadap segala jenis data transaksi, baik
penjualan maupun pembelian. Sistem komputer dan internetworking dapat mengenali tingkat
akses seseorang berdasarkan username orang tersebut.
· Penggunaan anti virus secara intensif.
· Penggunaan beberapa metoda pengamanan jaringan, misalnya firewall dan network scanner
· Pelaksanaan backup data secara periodik di media penyimpanan hard disk eksternal dan
DVD.
· Adanya tim khusus di Adidas yang bertugas untuk mengawasi penggunaan sistem informasi
baik internal maupun eksternal. Tim ini juga siap sedia setiap saat untuk menangani masalah-
masalah normal maupun tidak normal seputar sistem informasi dan internetworking, baik masalah
Adidas sendiri maupun masalah mitra, pemsok ataupun pelanggan-pelanggan utama.
· Pengamanan transaksi e-commerce
Jawablah Quiz minggu ini dengan baik dan benar:
Jelaskan apa yang dimaksud tiga pointer di bawah ini dalam Sistem Pengendalian
Internal (SPI) dan beri contohnya, baik yang di impelementasikan pada perusahaan
saudara atau yang saudara peroleh dari referensi lain:
1) Pengendalian preventif, detektif dan korektif.
2) Integritas dan keandalan pemrosesan.
3) Authorization/access control
Selamat menjawab Quiz..!
JAWABAN
1) Pengendalian preventif, detektif dan korektif.
A. Model Preventive adalah teknik pasif yang didesain untuk mengurangi frekuensi munculnya
pristiwa pristiwa yang tidak diinginkan. Pengendalian preventif sering disebut juga dengan
pengendalian sebelum fakta pengendalian ini digunakan untuk mencegah ketidak efisienan.
Contoh :
Memeriksa program baru atau berkas-berkas baru yang mengandung makro dengan
program anti virus sebelum dipakai.
Menyadarkan pada setiap pemakai untuk waspada terhadap virus.
B. Model Detektif adalah kontrol detektif disebut juga dengan kontrol pertahanan kedua. Yang
termasuk kontrol ini adalah perlatan, teknik dan prosedur yang didesain untuk
mengidentifikasikan dan mengekspos kejadian-kejadian yang tidak diinginkan yang terlepas
dari kontrol preventif.kontrol deteksi mengungkapkan kesalahan spesifik dengan
membandingkan data actual dan standar yang sudah ditetapkan sebelumnya.
Contoh :
Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus.
Melakukan pembandingan ukuran-ukuran berkas untuk mendeteksi perubahan ukuran
pada berkas
Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan tanggal berkas.
C. Tindakan-tindakan yang diambil untuk mengembalikan efek dari kesalahan yang telah
dideteksi dalam langkah sebelumnya. Perbedaan penegndalian deteksi dan koreksi adalah
penegndalian deteksi mengkalsikasikan pristiewa-pristiwa yang tidak diingikan sedangkan
penegedalian koreksi lebih pada memperbaiki pada masalah.
Contoh :
Memastikan pem-backup-an yang bersih
Memiliki rencana terdokumentasi tentang pemulihan infeksi virus
Menjalankan program antivirus untuk menghilangkan virus dan program yang tertular
Jika dikaitkan dengan sistem informasi sebagai contoh dokumen merupakan asset penting
bagi perusahaan. Sehingga dokumen-dokemen diproteksi dengan sebaik-baiknya oleh perusahaan,
salah satu tujuan dari pengendaliuan intern adalah mengamankan asset perusahaan. Salah satu
contoh penerapan model pengendalian intern pada perusahaan dengan mengamankan dokumen
atau asset perusahaan agar terhindar dari virus .
Sebagai perusahaan yang sudah terintegrasi dengan sistem informasi dokumen-dokumen
yang disimpan di komputer rentan sekali dengan terkena virus komputer yang dapat merusak atau
bahkan menghilangkan dokumen penting perusahaan. Untuk menghindari terjangkitnya virus.
Administrator perlu menggunakan pengendalian preventif, detektif dan korektif.
Kesimpulan
pengendalian intern sangat penting bagi perusahaan untuk mengurangi tingkat resiko yang
dihadapi perusahaan. Karena tujuan pengendalian intern adalah menjaga asset perusahaan. Dengan
adanya tiga model pengendalian intern resiko dapat dikurangi. Karena ketiga model tersebut saling
berkesinambungan jika diinterpretasikan bahwa pengendalian preventif adalah proses kehati-
hatian sedangkan detektif adalah proses dimana mengkalsifikasikan kesalahan, dan korektif adalah
mengeksekusi kesalahan.
2) Integritas dan keandalan pemrosesan
Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi
organisasi, harus menjadi prioritas pihak manajemen puncak. Oleh karena sistem informasi
berkembang, begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari sistem
manual ke sistem komputer utama, pengendalian baru harus dikembangkan untuk menurunkan
atau mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan komputer yang baru
ini. Oleh karena adanya pergeseran ke lingkungan e-commerce berdasarkan Internet, pengendalian
baru perlu dikembangkan untuk mengendalikan munculnya risiko-risiko baru.
Untungnya, perkembangan dalam sistem informasi dan dalam TI juga memberikan
kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.
Apa yang Terdapat dalam Sistem Andal?
Ada 4 prinsip secara umum untuk menetapkan apakah suatu sistem andal atau tidak, yaitu:
1. Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan digunakan dengan
mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.
2. Keamanan (security). Sistem dilindungi dari akses fisik maupun logis yang tidak memiliki
otorisasi. Hal ini akan membantu mencegah: a) penggunaan yang tidak sesuai, pemutarbalikan,
penghancuran atau pengungkapan informasi dan software, serta, b) pencurian sumber daya
sistem.
3. Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan tanpa
mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya perubahan dokumen
yang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistem dan data terkait. Bagi
seluruh perubahan yang telah direncanakan dan dilaksanakan, harus tersedia sumber daya yang
mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan perubahan ke pihak
manajemen dan para pemakai yang memiliki otorisasi.
4. Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu dan diotorisasi.
Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi yang
diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi sistem, baik
yang tidak diotorisasi maupun yang tidak disengaja.
Bagi setiap prinsip keandalan di atas, tiga kriteria berikut ini dikembangkan untuk mengevaluasi
pencapaian prinsip-prinsip tersebut, yaitu:
1. Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah
ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip
keandalan. Tujuan Kinerja didefinisikan sebagai tujuan umum yang ingin dicapai entitas.
Kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan,
dan mendorong kinerja. Standar merupakan prosedur yang dibutuhkan dalam implementasi,
agar sesuai dengan kebijakan.
2. Entitas menggunakan prosedur, sumber daya manusia, software, data dan infrastruktur untuk
mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar yang telah
ditetapkan.
3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan tujuan,
kebijakan, dan standar, untuk setiap prinsip keandalan.
Pengendalian yang Berhubungan dengan Beberapa Prinsip Keandalan
Pengendalian berikut ini sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan strategis dan
penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan dokumentasi.
Tabel Ringkasan Pengendalian Umum Utama Keandalan
Kategori Pengendalian Ancaman/Risiko Pengendalian
Perencanaan strategis dan
penganggaran
Sistem Informasi mendukung
strategi bisnis, kurangnya
penggunaan sumber daya,
kebutuhan informasi tidak
dipenuhi atau tidak dapat
ditanggung
Rencana strategis berlapis
yang secara periodik
dievaluasi, tim penelitian dan
pengembangan untuk menilai
dampak teknologi baru atas
jalannya bisnis, anggaran
untuk mendukung rencana
strategis.
Mengembangkan rencana
keandalan sistem
Ketidakmampuan untuk
memastikan keandalan sistem
Memberikan tanggung jawab
perencanaan ke pihak
manajemen puncak; secara
terus-menerus meninjau dan
memperbarui rencana;
mengidentifikasi,
mendokumentasikan, dan
menguji kebutuhan, tujuan,
kebijakan, dan standar
keandalan pemakai;
mengidentifikasi dan
meninjau seluruh persyaratan
hukum yang baru maupun
yang telah diubah; mencatat
permintaan pemakai atas
perubahan;
mendokumentasikan,
menganalisis, dan
melaporkan masalah dalam
hal keandalan sistem;
menetapkan tanggung jawab
kepemilikan, penyimpanan,
akses, dan pemeliharaan atas
sumber daya informasi;
mengembangkan program
kesadaran atas keamanan
serta mengkomunikasikannya
pada seluruh pegawai;
meminta pegawai baru untuk
menandatangani perjanjian
keamanan; melaksanakan
penilaian risiko atas seluruh
perubahan dalam lingkungan
sistem.
Dokumentasi Desain, operasi, tinjauan,
audit, dan perubahan sistem
yang tidak efektif
Dokumentasi dapat
diklasifikasikan menjadi 3
kategori dasar, yaitu: (1)
Dokumentasi administratif
(standar dan prosedur untuk
memproses, menganalisis,
mendesain, memprogram,
menangani file dan
menyimpan data), (2)
dokumentasi sistem (input
aplikasi, tahap pemrosesan,
output, kesalahan
penanganan), (3)
dokumentasi operasional
(konfigurasi perlengkapan,
program, file, susunan dan
pelaksanaan prosedur,
tindakan korektif).
3) Authorization/access control
Salah satu bagian mendasar dalam Information System Security adalah Access Control. Menurut
definisi dari CISSP (Certified Information System Security Profesional) Study Guide, Access
Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol siapa saja yang berhak
mengakses suatu resource-rosource tertentu yang terdapat di dalam sebuah sistem.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu
resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses
resource tersebut.
Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan oleh
orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di sini bisa berupa
melihat data (view) ataupun melakukan perubahan terhadapt suatu data (modify).
Dengan demikian Access Control mendukung terwujudnya
1. Confidentiality
Memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat data
tersebut atau dikenal dengan istilah No Unauthorized Read
2. Integrity
Memastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses untuk
melakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal dengan istilah No
Unauthorized Write
Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yang terlibat,
yaitu
1. Subject of the Access Control
Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk
melakukan akses ke data.
2. Object of the Access Control
Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau dengan
kata lain object adalah resource yang tersedia di dalam suatu sistem
Least Privilege
Dalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yang harus
dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di sini adalah hanya
memberikan hak akses yang memang dibutuhkan oleh subject yang bersangkutan untuk
melakukan tugas-tugas yang memang menjadi bagian dari tanggung jawabnya. Yang perlu dicatat
di sini adalah jangan pernah memberikan akses penuh (Full Access) terhadap semua resource yang
tersedia di dalam sistem kepada subject. Berikan hak akses sesuai dengan yang dibutuhkannya.
Tujuan utama dari prinsip ini adalah meminimalisir terjadinya Authorization Creep atau suatu
kejadian yang tidak disengaja di mana suatu subject diberi hak akses yang seharusnya tidak dia
miliki. Kondisi ini tentunya memiliki potensi untuk memunculkan threat / ancaman terhadap
sistem yang kita miliki.
Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control, Administrative
Access Control, dan Logical Access Control.
Physical Access Control
Physical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat hardware yang
membangun suatu sistem
Physical Access Control terbagi menjadi tiga bentuk, yaitu
1. Perimiter Security
Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi di mana perangkat
hardware berada. Contoh nyata dari penerapan Perimiter Security adalah penggunaan pagar dan
tembok, penerapan limited access room di mana hanya beberapa orang saja yang diijinkan
memasuki suatu ruangan tertentu. Pembatasan masuk ruangan bisa dilakukan menggunakan
kunci ruangan ataupun perangkat autentikasi semisal card reader dan perangkat biometric seperti
finger print scanner.
2. Cable Protection
Proteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk meningkatkan
ketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis kabel yang tahan
terhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk memproteksi kabel dari
gangguan kerusakan secara fisik seperti misalnya gigitan tikus.
Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkan melalui suatu
kabel dari gangguan EMI (protected the data). Sedangkan penggunaan conduit dimaksudkan
untuk memproteksi kabel itu sendiri secara fisik dari serangan yang mungkin mengakibatkan
kerusakan secara fisik (protected the cable).
3. Pembagian Area Kerja (separation of duties and work areas)
Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisir terjadinya
shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di mana seorang
karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh karyawan lainnya dengan
mengintip lewat balik bahu. Memang terdengar konyol, tetapi beberapa aksi pencurian password
juga dilakukan dengan mekanisme seperti ini. Selain itu, dengan membagi area kerja secara fisik
dapat menghidarkan seorang karyawan untuk mengetahui dan mempelajari keseluruhan proses
yang sifatnya sensitif. Seorang karyawan hanya mengetahui sebagian saja dari proses sensitif
tersebut yaitu proses yang memang menjadi bagian dari area kerja dan tanggung jawabnya.
Administrative Access Control
Administrative Access Control akan berisi sekumpulan peraturan dan strategi untuk membatasi
akses terhadap suatu resource tertentu dalam upaya pengaman terhadap sistem. Selain itu,
Administrative Access Control juga berbicara mengenai mekanisme monitoring / pengawasan dan
pendeteksian terhadap pelanggaran akses terhadap suatu resource.
Ada 4 point utama yang terkandung dalam Administrative Access Control, yaitu:
1. Policies and Procedure
Di sini berbicara mengenai penyusunan aturan / kebijakan dan prosedur yang jelas berkaitan
dengan akses terhadap resource-resource yang terdapat di dalam sistem. Dalam point ini peranan
dan dukungan dari pimpinan dalam tataran eksekutif sangatlah penting sehingga kebijakan dan
juga prosedur yang sudah disusun memiliki kekuatan (dan terkadang memang perlu agak
dipaksakan) untuk bisa diimplementasikan dan diikuti oleh semua karyawan yan terlibat di dalam
sistem. Tanpa adanya dukungan dari pimpinan maka kebijakan dan prosedur yang sudah disusun
menjadi powerless atau tak memiliki kekuatan apa-apa.
2. Hiring Pratices
Di sini berbicara mengenai mekanisme perekrutan karyawan baru. Dalam proses perekrutan,
salah satu point yang perlu diperhatikan adalah tanggapan dan pendapat dari si calon karyawan
tersebut berkenaan dengan kebijakan dan prosedur yang sudah disusun. Rekrutlah karyawan
yang memang sejalan dan sependapat dengan kebijakan dan prosedur yang berlaku di
perusahaan.