KOMPUTER DAN KEAMANAN SISTEM INFORMASI

Diajukan untuk memenuhi salah satu mata kuliah Konsep Sistem Informasi Akuntansi

Disusun Oleh :

Prilia Annisa A (28214515)

Putri Lestari (28214608)

Rafie Fauzi (28214741)

Rifdah Wijdaan (29214345)

Rizky Amalia (29214665)

Rizky Ramadhan (29214717)

Serly Huzaima (2A214162)

Silvia Nindy Y (2A214276)

Thio Prima A (2A214732)

Windra Patria A (2C214276)

FAKULTAS EKONOMI

JURUSAN AKUNTANSI

UNIVERSITAS GUNADARMA

2016

KATA PENGANTAR

Puji syukur kami panjatkan ke hadirat Allah SWT, karena berkat rahmat-Nya kami dapat

menyelesaikan makalah yang berjudul Komputer dan Keamanan Sistem Informasi. Makalah ini

diajukan guna memenuhi tugas mata kuliah Konsep Sistem Informasi Akuntansi.

Kami mengucapkan terima kasih kepada semua pihak yang telah membantu sehingga

makalah ini dapat diselesaikan tepat pada waktunya. Makalah ini masih jauh dari sempurna, oleh

karena itu, kritik dan saran yang bersifat membangun sangat kami harapkan demi sempurnanya

makalah ini. 

Semoga makalah ini memberikan informasi bagi masyarakat dan bermanfaat untuk

pengembangan wawasan dan peningkatan ilmu pengetahuan bagi kita semua.

Depok, Maret 2016

Penyusun

DAFTAR ISI

KATA PENGANTAR i

DAFTAR ISI ii

BAB I PENDAHULUAN

1.1 Latar Belakang 1

1.2 Rumusan Masalah 1

1.3 Tujuan Penulisan 1

BAB II PEMBAHASAN

2.1 Keamanan Komputer : Tinjauan Sekilas 2

2.2 Kerentanan Dan Hambatan-Hambatan 5

2.3 Sistem Keamanan Komputer 15

2.4 Manajemen Risiko Bencana 18

BAB III PENUTUP

3.1. Kesimpulan 21

KATA PENUTUP

DAFTAR PUSTAKA

BAB I

PENDAHULUAN

1.1 Latar Belakang

Pada era informasi dan globalisasi menyebabkan lingkungan bisnis mengalami perubahan

yang sangat pesat dengan tingkat persaingan ketat. Oleh karena itu perusahaan dituntut

untuk melakukan kegiatan operasionalnya secara efektif dan efisien umtuk

mempertahankan eksistensinya, sehingga pengetahuan merupakan kekuatan yang sangat

penting untuk membantu manajer dalam pengambilan keputusan. Informasi yang

berkualitas yaitu informasi yang akurat, relevan, dan tepat waktu sehingga keputusan

bisnis yang tepat dapat dibuat dan disesuaikan dengan sistem informasi yang diterapkan

di masing – masing perusahaan. Dengan demikian, pengelolaan sistem informasi

merupakan hal yang sangat penting untuk dilakukan.

1.2 Rumusan Masalah

Dalam penulisan tugas ini, maka penulis perlu membuat berbagai rumusan yang akan

membantu mengungkap berbagai hal yang dapat dinyatakan baik secara langsung maupun

secara tidak langsung. Adapun rumusan masalah yang dimaksudkan tersebut dapat

dinyatakan sebagai berikut:

1. Bagaimana Keamanan Komputer : Tinjauan Sekilas?

2. Bagaimana Kerentanan dan Hambatan – hambatan?

3. Bagaimana Sistem Keamanan Komputer?

4. Bagaimana Manajemen Risiko Bencana?

1.3 Tujuan Penulisan

Berdasarkan rumusan masalah di atas, maka dapat dituliskan beberapa tujuan dari tugas

yang dibuat. Adapun tujuan penulisan yang dimaksudkan sebagai berikut:

1. Dapat mengetahui Keamanan Komputer : Tinjauan Sekilas.

2. Dapat mengetahui Kerentanan dan Hambatan – hambatan.

3. Dapat mengetahui Sistem Keamanan Komputer.

4. Dapat mengetahui Manajemen Risiko Bencana.

BAB II

PEMBAHASAN

2.1 Keamanan Komputer : Tinjauan Sekilas

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang

bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem

keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,

database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan

sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan

dalam database, dan digunakan untuk menghasilkan laporan.

Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu,

pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus

hidup sistem. Sistem keamanan komputer dikembangkan dengan menerapkan

metode analisis, desain, implementasi, serta operasi, evaluasi, dan pengendalian.

Tujuan setiap tahap siklus hidup ini adalah sebagai berikut :

Fase Siklus Hidup TujuanAnalisis Sistem Analisis kerentanan sistem

dalam arti mengacu yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.

Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.

Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.

Operasi, Evaluasi, & Pengendalian Sistem Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.

Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi.

Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan

laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk

mendesain serangkaian ukuran pengendalian risiko yang komprehensif, termasuk

ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk

menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif,

keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen

risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan

risiko sistem komputer.

Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security

officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi

demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan

kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini

mencakup setiap fase dari siklus hidup.

Fase Siklus Hidup Laporan kepada Dewan Direksi

Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.

Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.

Implementasi Sistem, Operasi, Evaluasi, dan Pengendalian Sistem

Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem.

Pendekatan kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian

sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan

terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa sebuah kerugian

dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1. Kemudian laporan

analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1. Dalam contoh

tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan

kecurangan dan serangan virus (serangan yang diakibatkan oleh program

komputer yang memang didesain untuk menyabotase file – file penting).

Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa

ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur

kerugian terbesar. Sebagai contoh, pada Gambar 5.1, ancaman yang paling banyak

terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur

kerugian akibat ancaman tersebut bisa dikatakan paling kecil.

Laporan Analisis Ancaman

Kerugian Potensial ($) Risiko Eksposur Kerugian ($)

Pencurian data 700.000.000 0.050 35.000.000Kecurangan dan serangan virus

1.200.000.000 0.025 30.000.000

Sabotase 2.500.000.000 0.010 25.000.000Perubahan file 400.000.000 0.050 20.000.000Perubahan program 80.000.000 0.020 1.600.000Pencurian peralatan 15.000.000 0.100 1.500.000Bencana alam 100.000.000 0.008 800.000

Gambar 5.1 Laporan Analisis Ancaman

Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir

eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item

kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal

yang sulit. Biaya yang relevan untuk satu kerugian adalah turunnya profitabilitas

perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit

diestimasi karena estimasi melibatkan estimasi biaya interupsi bisnis yang sulit

diprediksi atau estimasi biaya penggantian komputer yang hanya dapat diganti

dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang

kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan

peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan

teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak

manajer gagal melihat masalah di masa yang akan datang terkait dengan virus

komputer. Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan

yang disengaja terhadap suatu sistem, seseorangan harus mengestimasi biaya dan

manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi

mengenai preferensi risiko penyerang. Sebagai contoh, seorang penyerang

mungkin bersedia untuk menerima risiko yang lebih besar dibandingkan dengan

penyerang lain untuk mendapatkan sejumlah dollar yang sama. Penyerang yang

sangat suka risiko mungkin akan bersedia menerima risiko sangat besar untuk

mendapatkan sedikit upah.

Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer

adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar

kerentanan dan ancaman terhadap sistem, kemudian secara subjektif maranking

item-item tersebut berdasarkan kontribusi setiam item tersebut terhadap total

eksposur kerugian perusahaan. Baik pendekatan kualitatif maupun pendekatan

kuantitatif sering digunakan di dalam praktik. Banyak perusahaan

mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai,

analisis eksposur kerugian tersebut harus mencakup area berikut ini :

Interupsi bisnis

Kerugian perangkat lunak

Kerugian data

Kerugian perangkat keras

Kerugian fasilitas

Kerugian jasa dan personel

Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu

dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada

pihak ketiga (yang disebabkan oleh ketidakmampuan perusahaan memenuhi suatu

kontrak), dan interupsi bisnis.

2.2 Kerentanan dan Hambatan – hambatan

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan

suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok

ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan

sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam,

seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem

menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk,

matinya aliran listrik, dan lain sebagainya.

Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan

kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius.

Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan

lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini

mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di

dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan

yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public

mengetahui kelemahan pengendalian internal perusahaan. Manager enggan

berhadapan dengan sisi negative publisitas yang bisa menimbulkan penghakiman

masyarakat.

Keamanan sistem informasi merupakan masalah internasional. Banyak negara

memiliki undang-undang yang ditujukan pada masalah keaman komputer (lihat

Gambar 5.2). Di Amerika Serikat, berbagai undang-undang, regulasi, dan

publikasi ditunjukan pada masalah kejahatan komputer. Banyak negara bagian

telah mengeluarkan statula kriminal guna menentang kejahatan komputer.

Computer Fraud and Abuse Act Tahun 1986 menyatakan akses tidak legal yang

dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga

keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau

komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah

kejahatan federal. Pencurian password untuk akses komputer juga dilarang.

Tindakan kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau

lebih; pencurian barang berwujud, jasa, atau uang; atau akses tanpa atau dengan

perubahan terhadap catatan medis. Denda tanpa mencapai $250,000 atau dua kali

lipat nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu

sampai dengan lima tahun.

National Commission on Fraudulent Financial Reporting (Treadway Commission)

mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan

manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh

manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan

keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka

yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan

mereka melanggar pengendalian akuntansi. Memang bisa saja manajemen

melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau

investor, namun biasanya istilah kecurangan namajemen mengacu pada

manipulasi laporan keuangan.

Undang-Undang Keamanan Komputer InternasionalCanada Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa

Otoritas legal, menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.

Denmark Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi atau program pengolahan data orang lain.

Firlandia  Penal Provision of Personal Registers Act,1987, Pasal 45, Personal Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses data personal yang disimpan dalam pemrosesan data komputer.

Perancis Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2 sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.

Switserland Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan menambah atau

menghapus record data dengan tujuan untuk kepentingan diri sendiri.

Gambar 5.2 Undang-Undang Keamanan Komputer Internasional

Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai

perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai

melakukan sesuatu, yang menghasilkan laporan keuangan yang secara material

menyesatkan. Komisi memelajari 456 kasus siding terhadap auditor. Kecurangan

manajemen ditemukan pada separuh dari total kasus tersebut. Komisi mengamati

bahwa sistem informasi berbasis komputer menggandakan potensi

penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko

kecurangan dalam peloporan keuangan.

Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap

hardware, file data yang sensitive, atau program yang kritis. Tiga kelompok

individu-personal sistem, pengguna, dan penyusup-memiliki perbedaan

kemampuan untuk mengakses hal-hal tersebut di atas. Personal sistem kerap kali

merupakan ancaman potensial karena mereka diberi berbagai kewenangan akses

terhadap data dan program yang sensitive. Pengguna,di sisi lain, hanya diberi

akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan

kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka sering

merupakan orang-orang yang sangat cerdas yang bisa menimbulkan kerugian yang

sangat besar pada perusahaan.

Personal Sistem Komputer

Personal sistem meliputi:

a. Personal Pemeliharaan Sistem menginstal perangkat keras dan

perangkat lunak, memperbaiki perangkat keras, dan membetulkan

kesalahan kecil di dalam perangkat lunak.

b. Programer Sistem sering menulis program untuk memodifikasi

dan memperluas sistem operasi jaringan. Programer aplikasi bisa

saja membuat modifikasi yang tidak diharapkan terhadap program

yang ada saat ini atau menulis program baru guna menjalankan hal-

hal yang tidak semestinya.

c. Operator Jaringan Individu yang mengamati dan memonitor

operasi komputer dan jaringan komunikasi disebut operasi jaringan.

d. Personal Administrasi Sistem Informasi Supervisor sistem

menempati posisi kepercayaan yang sangat tinggi. Orang ini

biasanya memiliki akses ke rahasia keamanan, file, program, dan

lain sebagainya.

e. Karyawan Pengendali Data Mereka yang bertanggung jawab

terhadap penginputan data ke dalam komputer. Posisi ini memberi

peluang bagi karyawan untuk melakukan manipulasi data input.

Pengguna

Pengguna terdiri dari sekelompok orang yang heterogen dan dapat

dibedakan dengan yang lain karena area fungsional mereka bukan

merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses

ke data yang sensitif yang dapat mereka bocorkan kepada pesaing

perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap

input komputer yang cukup penting, seperti memo kredit, kredit rekening,

dan lain sebagainya.

Penyusup

Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file

tanpa hak yang legal merupakan penyusup. Penyusup yang menyerang

sistem informasi sebagai sebuah kesenangan dan tantangan dikenal dengan

nama hacker. Tipe lain dari penyusup mencakup :

a. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke

dalam area yang tidak dijaga dan melihat data yang sensitif di

dalam komputer personal yang sedang tidak ada orangnya. Seorang

hacker bisa saja masuk ke dalam sistem dan merusak website

perusahaan.

b. Wiretapper Sebagian besar dari informasi diproses oleh komputer

perusahaan melewati kabel. Sebagian informasi ditransmisikan

hanya dari satu ruang ke ruang lain. Informasi yang lain mungkin

saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan

terhadap kemungkinan wiretapping (penyadapan). Penyadapan ini

bisa dilakukan, bahkan dengan peralatan yang tidak mahal seperti

sebuah tape recorder dan sepotong kabel yang memungkinkan

terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi

penyadapan.

c. Piggybacker Salah satu jenis penyadapan canggih, dengan metode

ini, penyadap menyadap informasi legal dan menggantinya dengan

informasi yang salah.

d. Impersonating Intruder yakni individu-individu tertentu yang

bertujuan melakukan kecurangan terhadap perusahaan. Salah satu

tipe penyusup menggunakan user ID dan password yang diperoleh

dengan cara yang tidak legal untuk mengakses sumber daya

elektronik perusahaan.

e. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak

digunakan di unit display video menghasilkan interferensi

elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan

seperangkat televisi sederhana.

Ancaman Aktif pada Sistem Informasi

Manipulasi Input

Dalam banyak kasus kejahatan komputer, manipulasi input merupakan

metode yang biasa digunakan. Metode ini mensyaratkan kemampuan

teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa

memiliki pengetahuan mengenai cara operasi sistem komputer.

Mengubah Program

Metode yang paling jarang digunakan untuk melakukan kejahatan

komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan

keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang

terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian

program yang dapat digunakan untuk mendeteksi adanya perubahan dalam

program.

Mengubah File Secara Langsung

Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk

memotong proses normal untuk menginputkan data ke dalam program

komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.

Pencurian Data

Pencurian data merupakan salah satu masalah yang cukup serius dalam

dunia bisnis hari ini. Dalam industri dengan tingkat persaingan yang sangat

tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang

pesaing merupakan salah satu informasi yang cukup diburu. Pengadilan

sejak lama telah mengakui bahwa data yang tersimpan dalam komputer

perusahaan merupakan data pribadi yang tidak dapat digunakan tanpa izin

dari perusahaan yang bersangkutan. Lebih jauh, individu-individu dengan

akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia

dan mengirim informasi tersebut ke luar perusahaan lewat internet. Dengan

menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar

informasi hanya dalam hitungan menit.

Sabotase

Sabotase komputer membahayakan sistem informasi. Perusakan sebuah

komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu

perusahaan. Karyawan yang tidak puas, khususnya yang telah dipecat,

biasanya merupakan pelaku sabotase utama. Sabotase telah menjadi isu

besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang

dikeluarkan untuk keamanan elektronik lebih dari $6 miliar. Pda sisi lain,

keberhasilan hacker menyerang website semakin meningkat. Bahkan

perusahaan besar dengan sistem yang canggih pun harus menjadi korban.

Hampir setiap hari media keuangan secara terus menerus melaporkan

kasus hacker yang berhasil mengambil alih Website perusahaan.

Penyalahgunaan atau Pencurian Sumber Daya Informasi

Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang

karyawan menggunakan sumber daya komputer organisasi untuk

kepentingan pribadi. Luasnya permasalahan tersebut, seperti tipe kejahatan

komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin

masalah ini terjadi di banyak perusahaan.

Sistem Keamanan Sistem Informasi

Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran

keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada

pencegahan dan pendeteksian ancaman; rencana kontingensi fokus pada perbaikan

terhadap akibat dampak suatu ancaman. Sebuah doktrin yang dipercaya dalam

keamanan sistem informasi adalah sebagian ancaman tidak dapat dicegah tanpa

pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak ada sistem

keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.

Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur

pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar

pengendalian internal (supervise yang memadai, rotasi pekerjaan, batch kontrol

total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting dalam

sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah

aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk

mengatasi masalah-masalah dalam sistem informasi.

Lingkungan Pengendalian

Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem

pengendalian. Pembangu-nan lingkungan pengendalian yang bagus tergantung

pada tujuh faktor yaitu :

Filosofi Manajemen dan Gaya Operasi

Aktivitas pertama dan terpenting dalam keamanan sistem adalah

menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk

mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu

sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh

karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan

pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan

dengan banyak cara.

Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan

pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian

terhadap keamanan. Keamanan harus diperlakukan dengan sangat serius.

Semua pelanggaran harus mengakibatkan adanya rasa bersalah dalam diri

karyawan. Mereka yang memegang tanggung jawab harus memberikan

teladan yang baik.

Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah

dilupakan. Hubungan yang baik harus selalu dibina dengan seluruh

karyawan. Moral yang rendah dapat menyeb abkan tingginya probabilitas

terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat

mengurangi masalah rendahnya moral.

Struktur Organisasi

Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data

semuanya diorganisasi di bawah chief information officer (CIO). Divisi

semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi

tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan

banyak masalah dalam upaya membuat dan menjaga pola otoritas dan

wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis

wewenang yang jelas untuk menentukan siapa yang bertanggung jawab

mengambil keputusan terkait dengan perangkat lunak akuntansi dan

prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap

sistem keamanan komputer.

Dewan Direksi dan Komitenya

Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk

atau menyetujui pemilihan auditor internal. Idealnya, auditor internal

seharusnya memiliki pengalaman yang baik terkait dengan keamanan

komputer dan bertindak sebagai chief computer security officer. Dalam

situasi apa pun, individu-individu tersebut harus melapor secara periodic

kepada komite audit mengenai semua fase sistem keamanan komputer.

Aktivitas Pengendalian Manajemen

Penting untuk membangun pengendalian terkait dengan penggunaan dan

pertanggung jawaban semua sumber daya sistem komputer dan informasi.

Fungsi Audit Internal

Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi

untuk memenuhi kebutuhan yang terus berubah. Chief security officer

harus membangun kebijakan keamanan yang relevan dengan sistem yang

ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua

modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia,

harus diimplementasikan sesuai dengan kebijakan keamanan yang telah

dibuat.

Kebijakan dan Praktik Personalia

Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib,

dan penge-cekan ganda semua merupakan praktik personalia yang penting.

Peraturan yang terpenting barangkali adalah memisahkan pekerjaan

pengguna komputer dan persona-lia sistem komputer.

Pengaruh Eksternal

Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi

local, federal, dan Negara bagian. Hukum dan regulasi mengatur keamanan

dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan

kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah.

Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara

lain.

Keamanan Internet

Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi

perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi

sasaran setiap hacker yang ada di dunia. Internet menciptakan jendela elektronik

bagi dunia luar yang mengeliminasi semua isolasi fisik sumber daya informasi

perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait dengan

pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya

dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan

internet dapat muncul akibat kelemahan-kelemahan berikut ini :

Kerentanan Sistem Operasi

Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya,

setiap kelemahan di dalam keamanan sistem operasi juga menjadi

kelemahan keamanan web server. Untuk alasan inilah administrator

keamanan harus pertama dan terpenting mengamankan sistem operasi.

Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker

selalu menemukan kelemahan baru di dalam sistem operasi. Oleh karena

itu, administrator harus secara konstan memonitor bulletin keamanan yang

dipublikasikan oleh vendor sistem operasi dan oleh jasa advisory pihak

ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan

untuk Windows melalui webside perusahaan di www.microsoft.com/.

Kerentanan Web Server

Web server serupa dengan sistem operasi, dalam arti, pengelola web server

perlu selalu memonitor buletin terkait dengan informasi dan pembaruan

keamanan perihal konfigurasi web server. Pengawasan informasi terkini

semacam ini penting karena web server dan web browser lebih sering

mengalami pembaruan dibandingkan sistem operasi.

Kerentanan Jaringan Privat

Ketika web server ditempatkan pada suatu komputer host yang terkoneksi

ke berbagai komputer melalui suatu LAN, akan timbul suatu risiko, Hacker

dapat menyerang satu komputer melalui satu komputer yang lain. Jika

pengguna komputer memiliki akses ke komputer yang memiliki host web

server, maka hacker pertama kali akan masuk ke dalam komputer

pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na

yang asli untuk melakukan invasi ke dalam komputer host web server.

Kerentanan Berbagai Program Server

Banyak komputer host suatu web server tidak hanya menjalankan web

server, tetapi juga server-server yang lain, seperti FTP server (untuk

transfer file dari dank e komputer lain), e-mail server, dan remote control

server (yang memungkinkan komputer yang lokasinya jauh mengendalikan

komputer host). Yang menjadi masalah adalah setiap tambahan server

merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu

server dapat menjadi pintu masuk bagi hacker untuk menyerang semua

server yang lain dan samua file di dalam komputer, bahkan komputer-

komputer lain yang terhubung ke server dalam LAN.

Prosedur Keamanan Umum

Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang

penting. Perangkat lunak keamanan yang terbaik di dunia tidaka akan

banyak membantu jika administrator sistem tidak menegakkan kebijakan

keamanan.

2.3 Sistem Keamanan Komputer

o Sistem adalah suatu sekumpulan elemen atau unsur yang saling berkaitan dan

memiliki tujuan yang sama.

o Keamanan adalah suatu kondisi yang terbebas dari resiko.

o Komputer adalah suatu perangkat yang terdiri dari software dan hardware serta

dikendalikan oleh brainware (manusia). Dan jika ketiga kata ini dirangkai maka

akan memiliki arti suatu sistem yang mengkondisikan komputer terhindar dari

berbagai resiko.

Jadi sistem keamanan komputer adalah suatu cabang teknologi yang dikenal dengan

nama keamanan informasi yang diterapkan pada komputer. Sasaran keamanan

komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau

korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan

keamanan. Beberapa hal yang menjadikan kejahatan komputer terus terjadi dan

cenderung meningkat adalah sebagai berikut :

Meningkatnya pengguna komputer dan internet

Banyaknya software yang pada awalnya digunakan untuk melakukan audit

sebuah system dengan cara mencari kelemahan dan celah yang mungkin

disalahgunakan untuk melakukan scanning system orang lain.

Banyaknya software-software untuk melakukan penyusupan yang tersedia di

Internet dan bisa di download secara gratis.

Meningkatnya kemampuan pengguna komputer dan internet

Desentralisasi server sehingga lebih banyak system yang harus ditangani,

sementara SDM terbatas.

Kurangnya hukum yang mengatur kejahatan komputer.

Semakin banyaknya perusahaan yang menghubungkan jaringan LAN mereka

ke Internet.

Meningkatnya aplikasi bisnis yang menggunakan internet.

Banyaknya software yang mempunyai kelemahan (bugs).

Ada beberapa hal yang bisa menjawab diperlukannya pengamanan sistem komputer,

antara lain :

Menghindari resiko penyusupan, harus dipastikan bahwa system tidak ada

penyusup yang bisa membaca, menulis dan menjalankan program-program

yang bisa mengganggu atau menghancurkan system.

Mengurangi resiko ancaman, hal ini biasa berlaku di institusi dan perusahaan

swasta. Ada beberapa macam penyusup yang bisa menyerang system yang

dimiliki, antara lain :

a. Ingin Tahu, jenis penyusup ini pada dasarnya tertarik menemukan

jenis system yang digunakan.

b. Perusak, jenis penyusup ini ingin merusak system yang digunakan atau

mengubah tampilan layar yang dibuat.

c. Menyusup untuk popularitas, penyusup ini menggunakan system

untuk mencapai popularitas dia sendiri, semakin tinggi system

keamanan yang kita buat, semakin membuatnya penasaran. Jika dia

berhasil masuk ke sistem kita maka ini menjadi sarana baginya untuk

mempromosikan diri.

d. Pesaing, penyusup ini lebih tertarik pada data yang ada dalam system

yang kita miliki, karena dia menganggap kita memiliki sesuatu yang

dapat menguntungkannya secara finansial atau malah merugikannya

(penyusup).

Melindungi system dari kerentanan, kerentanan akan menjadikan system

berpotensi untuk memberikan akses yang tidak diizinkan bagi orang lain yang

tidak berhak.

Melindungi system dari gangguan alam seperti petir dan lain-lainnya.

Subsistem Sistem Informasi Akuntansi

Subsistem sistem informasi akuntansi terdiri dari 5 sistem, yaitu :

a. Sistem Pengeluaran (Expenditure System)

Segala peristiwa yang berhubungan dengan usaha mendapatkan sumber-

sumber ekonomis yang diperlukan oleh perusahaan, baik berupa barang

ataupun jasa, baik pemasok dari luar maupun dari karyawan didalam

perusahaan.

b. Sistem Pendapatan (Revenue System)

Berhubungan dengan penjualan barang atau jasa yang dihasilkan oleh

perusahaan kepada konsumen dan mendapatkan pembayaran dari mereka.

c. Sistem Produksi (Production Systeme)

Berhubungan dengan pengumpulan, penggunaan dan pengubahan bentuk

suatu sumber ekonomi.

d. Sistem Manajemen Sumber Daya (Resources Management System)

Meliputi peristiwa-peristiwa yang berkaitan dengan manajemen dan

pengendalian sumber daya seperti investasi dan aktiva tetap (fasilitas).

e. Sistem Buku Besar dan Laporan Keuangan (General Ledger And Financial

Accounting)

Manfaat Sistem Informasi Akuntansi

Menyediakan informasi yang akurat dan tepat waktu sehingga dapat

melakukan aktivitas utama pada value chain secara efektif dan efisien.

Meningkatkan kualitas dan mengurangi biaya produk dan jasa yang

dihasilkan

Meningkatkan efisiensi

Meningkatkan kemampuan dalam pengambilan keputusan

Meningkatkan sharing knowledge

Menambah efisiensi kerja pada bagian keuangan

2.4 Manajemen Risiko Bencana

Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan

salah satu contoh dari bencana yang tidak diharapkan yang secara serius telah

menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sistem

komputer untuk mendukung operasi bisnisnya sehari-hari. Konsekuensi dari

ketergantungan ini adalah, jika pemrosesan sistem komputer tertunda atau terinterupsi,

organisasi mesti menanggung kerugian yang cukup signifikan. Pengelolaan risiko

bencana merupakan satu hal yang penting untuk memastikan kontinuitas operasi bisnis

jika terjadi suatu bencana.

Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.

Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi

banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar,

khususnya perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang

mungkin terjadi.

Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat

suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:

Bencana alam 30 %

Tindakan kejahatan yang terencana 45 %

Kesalahan manusia 25 %

Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya

bencana dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.

Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan

kebijakan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik

yang memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal

yang penting. Sistem semprotan air dapat membahayakan komponen elektronik.

Banyak perusahaan menggunakan sistem pemadam api yang berbasis sesuatu

selain air, seperti gas, busa, atau bedak.

Perencanaan Kontingensi Untuk Mengatasi Bencana

Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di

dalam perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan

dari dewan direksi sebagai bagian dari perencanaan keamanan komputer secara

umum. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah

adanya dukungan dari manajemen senior dan penetapan komite perusahaan.

Seletah kedua hal tersebut, rencana pemulihan dari bencana harus

didokumentasikan dangan hati-hati dan disetujui oleh kedua pihak tersebut. Hasil

estimasi menyatakan bahwa biaya awal yang diperlukan guna

mengimplementasikan perencana-an pemulihan dari bencana berkisar antara 2 %

sampai 10 % dari total anggaran sistem informasi.

Menaksir Kebutuhan Penting Perusahaan

Semua sumber daya penting harus diidentifikasi. Sumber daya yang

penting ini mencakup perangkat keras, perangkat lunak, peralatan listrik,

peralatan pemeliharaan, ruang gudang, catatan yang vital, dan sumber daya

manusia.

Daftar Prioritas Pemulihan dari Bencana

Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama,

bahkan sekalipun perusahaan memiliki perencanaan yang baik. Oleh

karena itu, harus dibuat prioritas terkait dengan kebutuhan perusahaan

yang paling penting. Daftar prioritas mengindikasi aktivitas dan jasa yang

memang genting yang perlu segera dibangun kembali dalam hitungan

menit atau hitungan jam setelah terjadinya suatu bencana. Disisi lain,

perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang harus

dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu

bencana.

Strategi dan Prosedur Pemulihan

Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang

penting. Perenca-naan ini mesti mencakup hal-hal yang cukup detail

sedemikian rupa sehingga, pada saat bencana benar-benar terjadi,

perusahaan segera tahu apa yang harus dilakukan, siapa yang harus

melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut

harus dilaku-kan.

Pusat Respons Darurat

Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi

komputer dialihkan kepada tim respons darurat, yang dipimpin oleh

direktur operasi darurat. Individu-individu ini memimpin jalannya

perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang

memang ditetapkan sebelumnya.

Prosedur Eskalasi

Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan

perlunya pengumu-man terjadinya bencana, siapa yang harus

mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya

bencana.

Rencana Relokasi Karyawan

Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya

memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan

perencanaan ynag hati-hati karena banyak karyawan sulit dipindahkan

dalam sementara waktu.

Rencana Penggantian Karyawan

Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya

bencana juga perlu dipertimbangkan. Penggantian seorang karyawan

dengan kemampuan yang tinggi merupakan satu hal yang tidak mudah.

Penggantian karyawan semacam ini memerlukan pelatihan yang sangat

ekstensif.

Perencanaan Penyelamatan

Dalam beberapa bencana, perusahaan masih dapat menyelamatkan

peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika

perusahaan dapat mengambil tindakan yang tepat secara cepat. Sebagai

contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan

badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan.

Dalam situasi semacam ini, kerugian dapat diminimalkan jika tindakan

penyelamatan segera dilakukan.

Perencanaan Pengujian Sistem dan Pemeliharaan Sistem

Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat.

Oleh karena itu, setiap perencanaan pemulihan dari bencana mesti diuji

setiap enam bulan sekali. Perencanaan yang kadaluwarsa atau tidak teruji

barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

BAB III

PENUTUP

3.1 KesimpulanSistem keamanan sistem informasi merupakan subsistem organisasi yang berperan mengen-

dalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan

dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisis sistem,

desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.

Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam

perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti

eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan

probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendaftar

dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk

menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.

Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi eksploitasi

suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada masalah kejahatan

komputer. Keberhasilan serangan terhadap suatu sistem komputer mensyaratkan akses ke

perangkat keras, file data yang sensitive, atau program-program yang penting. Setiap orang yang

punya akses keperalatan data komputer atau file tanpa otorisasi legal, adalah penyusup. Ada

berbagai jenis penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper,

piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan kejahatan komputer,

yaitu manipulasi input, pengubahan program, pengubahan file secara langsung, pencurian data,

sabotase, dan penyalagunaan atau pencurian sumber daya komputer.

Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada banyak cara

untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan sabotase.

Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm. Pengendalian

ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran keamanan dan peren-

canaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman.

Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai dampak terjadinya suatu

ancaman. Lingkungan pengendalian organisasi merupakan dasar keefektifan seluruh sistem

pengendalian.

Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah

dengan menerapkan pengendalian akses berlapis.

Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan

bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan dari

bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Rencana tersebut

disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan komputer secara

umum.

KATA PENUTUP

Demikianlah makalah yang kami buat ini. Kami mohon maaf apabila terdapat kesalahan ejaan

dalam penulisan kata dan kalimat yang kurang jelas, kurang dimengerti, dan lugas. Dan kami

juga sangat mengharapkan saran dan kritik dari para pembaca demi kesempurnaan makalah ini.

Semoga makalah ini bermanfaat dan menambah pengetahuan para pembaca.

DAFTAR PUSTAKA

http://kamaria-akis.blogspot.co.id/2013/11/komputer-dan-keamanan-sistem-informasi.html

H. Bodnar George dan William S. Hopwood. 2007. Sistem Informasi Akuntansi. . Andi