9.2. Risiko apa yang muncul dari offshore outsourcing berbagai fungsi sistem informasi yang digunakan untuk memenuhi prinsip-prinsip kerahasiaan dan privasi?

Jawab:

9.4. Apa yang menjadi perhatian privasi yang mungkin timbul dari penggunaan teknik otentikasi biometrik? bagaimana dengan melekatkan Radio Frequency Identification (RFID) pada produk seperti pakaian? teknologi lainnya apa yang dapat menimbulkan masalah privasi? Jawab:

Otentikasi biometrik merupakan suatu metode otentikasi (untuk mendapatkan hak

akses) komputerisasi  yang menggunakan aspek-aspek biologi terutama karakteristik unik

yang dimiliki oleh manusia (sidik jari,retina mata,suara,dsb).

Ketersediaan informasi pribadi dari identitas otentikasi tersebut dapat membuat beberapa

individu takut dengan adanya kemungkinan organisasi mengumpulkan informasi dan

menggunakannya untuk memantau mereka.

Beberapa biometrik dapat mengungkapkan informasi sensitif. Misalnya, scan retina dapat

mendeteksi masalah kesehatan tersembunyi - dan karyawan mungkin takut bahwa teknik

tersebut akan digunakan oleh pengusaha dan perusahaan asuransi untuk mendiskriminasi

mereka

Masalah privasi yang mungkin timbul dari penggunaan teknik otentikasi biometrik adalah

identitas yang sudah disimpan yang akan digunakan untuk otentikasi secara biometric

dapat dicuri dan copy (dengan teknologi canggih dan keahlian khusus). Dengan demikian

kemungkinan penyalahgunaan identitas untuk otentikasi ini sangat besar. Orang yang

tidak berkepentingan dapat mengakses data rahasia yang seharusnya hanya dapat diakses

oleh orang yang bersangkutan. Apabila ada ancaman identitas ontentikasi ternyata telah

dicuri dan disalahgunakan, tidak dapat diganti lagi dengan yang lain karena teknik ini

tidak seperti password yang mudah disimpan atau diganti (kecuali mendaftarkan identitas

jenis lain).

RFID (adalah sebuah metode identifikasi dengan menggunakan label RFID atau

transponder untuk menyimpan dan mengambil data jarak jauh. Label RFID adalah benda

yang bisa dipasang atau dimasukkan di dalam sebuah produk, hewan atau bahkan

manusia dengan tujuan untuk identifikasi menggunakan gelombang radio)

Privasi seseorang akan secara otomatis menjadi berkurang, karena siapa saja dapat

membaca informasi dari diri seseorang dari jarak jauh selama orang tersebut memiliki

alat pembaca. Hal ini dapat membuat ketakutan akan adanya pelacakan tersembunyi

(clandestine tracking) dan pengumpulan data secara diam-diam (clandestine

inventorying). Jika RFID dilekatkan pada produk pakaian maka masalah privasi yang

dapat muncul adalah:

Ø Jika pakaian yang mengandung RFID tag dibeli dengan menggunakan kartu

kredit,maka akan sangat mungkin untuk mengasosiasikan ID tersebut dengan

identitas pembeli.

Ø Pembeli pakaian (yang dilengkapi RFID tag) tidak akan tahu keberadaan dari

RFID tag atau bahkan tidak dapat untuk melepasnya.

Ø RFID tag dapat dibaca oleh pihak lain dalam jarak yang jauh tanpa

sepengetahuan pemiliknya.

Ponsel yang memiliki kemampuan GPS yang dapat digunakan untuk melacak gerakan

seseorang - dan informasi tersebut sering dikumpulkan oleh "apps" yang kemudian

mengirimkannya ke pengiklan. Data GPS juga disimpan oleh penyedia layanan ponsel.

Situs jejaring sosial juga dapat menciptakan masalah privasi. Informasi pribadi yang

orang posting di situs jejaring sosial dapat memfasilitasi pencurian identitas. Selain itu

dengan situs jejaring sosial ada kemungkinan pencurian informasi mengenai alamat,

identitas pribadi bahkan dapat memberikan informasi mengenai posisi keberadaan

seseorang (foursquare,path) yang dapat disalahgunakan misalnya untuk tindakan

pencurian.

9.11. Cari salinan COBIT dan baca tujuan pengendalian yang berhubungan dengan encryption (DS5.8 dan DS5.11). Bagaimana pentingnya prosedur kontrol yang harus diterapkan organisasi ketika menggunakan encryption?

Jawab:

(Enkripsi yaitu suatu proses pengaman suatu data yang disembunyikan atau proses konversi data (plaintext) menjadi bentuk yang tidak dapat dibaca/ dimengerti. Sedangkan Dekripsi yaitu kebalikan dari proses enkripsi yaitu proses konversi data yang sudah dienkripsi ( ciphertext ) kembali menjadi data aslinya ( Original Plaintext ) sehingga dapat dibaca/ dimengerti kembali.)

Tujuan pengendalian COBIT DS5.8 sehubungan dengan enkripsi mencakup prosedur mengenai:

• Panjang minimum kata kunci

• Penggunaan algoritma yang disetujui

• Prosedur untuk mengotentikasi penerima

• Pendistribusian kunci secara aman

• Penyimpanan kunci secara aman

• Kebijakan Escrow Key (membuat cadangan kunci pribadi yang dibutuhkan untuk mendekripsi atau mengenkripsi data pengguna,sehingga pihak ketiga yang berwenang dapat mengakses data tersebut).

• Kebijakan yang mengatur kapan harus menggunakan enkripsi dan informasi yang harus dienkripsi

• Prosedur untuk mencabut kunci.

Sedangkan berdasarkan COBIT DS5.11, membahas penggunaan enkripsi selama transmisi informasi. Hal ini harus mencakup prosedur mengenai:

• Prosedur untuk memastikan informasi dienkripsi sebelum ditransmisi

• Spesifikasi untuk menyetujui algoritma enkripsi

• Pengendalian akses atas informasi terenkripsi yang masuk

• Penyimpanan yang Aman untuk kunci enkripsi

10.3. Pada setiap tiga pilihan dasar untuk mengganti infrastruktur TI (cold site, hot side dan real time mirroring), berikan sebuah contoh dari organisasi yang dapat menggunakan pendekatan tersebut sebagai bagian dari DRP-nya (Discovery Recovery Plan).

Jawab:

DRP: prosedur untuk mengembalikan fungsi TI akibat hancurnya pusat data karena bencana alam atau tindakan terorisme.

Cold site: bangunan kosong yang sebelumnya telah diberi kabel untuk akses telepon daninternet yang memadai, ditambah kontrak dengan satu vendor atau lebih untuk menyediakan seluruh peralatan yang diperlukan dalam satu periode waktu tertentu.

Hot side: Fasilitas yang sebelumnya tidak hanya diberi kabel untuk akses telepon dan internet, tetapi juga terdiri atas seluruh peralatan komputasi dan peralatan kantor yang dibutuhkan organisasi untuk menjalankan aktivitas bisnis pokoknya.

Real time mirroring: membackup seluruh data ke beberapa hardisk lainnya secara realtime.

Recovery Time Objective (RTO): waktu maksimum yang dapat ditoleransi untuk mengembalikan sebuah sistem informasi setelah terjadi bencana.

3 metode tersebut menghasilkan RTO yang tepat untuk organisasi. Cold site menghasilkan RTO diukur dalam hari; hot site menghasilkan RTO diukur dalam jam; dan real-time mirroring memiliki RTO diukur dalam menit.

Contoh organisasi yang dapat menerapkan Cold site: usaha kecil, seperti kantor akuntan publik local, kantor notaries, kantor pengacara, dsb. Dalam kebanyakan situasi, Kantor-

kantor tersebut mungkin bisa berfungsi tanpa sistem informasi utama mereka untuk satu hari atau beberapa hari. Sebagian besar karyawan memiliki laptop dan bisa terus melakukan pekerjaan mereka dan kemudian meng-upload pekerjaan mereka ke server utama cold site dan semuanya dapat berjalan hingga menunggu situasi pulih.

Hot site: Banyak perusahaan dapat berfungsi selama beberapa jam menggunakan formulir berbasis kertas sampai data center mereka kembali berjalan. Sebagai contoh, jika sistem informasi yang digunakan untuk berhubungan dengan pengecer sedang down, order penjualan baru dari pengecer sementara dapat diproses di atas kertas dan dimasukkan kemudian setelah sistem kembali seperti semula.

Real-time mirroring: Perbankan membutuhkan sistem cadangan yang tersedia setiap saat karena transaksi di bank rata-rata berjalan secara rela time.

10.8. MonsterMed Inc (MMI) adalah sebuah perusahaan farmasi online. MMI memiliki seorang staf sistem kecil yang mendesain dan membuat perangkat lunak pesanan MMI. Pusat data di pasangkan di lantai dasar dalam bangunan bertingkat dua milik MMI. Pusat data dilengkapi dengan peralatan pemadam kebakaran dan sebuah uninterruptible power supply (UPS). Oleh karena staf pemrograman kecil dan permintaan mengalami peningkatan pekerjaan, maka backup hanya dibuat pada saat yang diizinkan. File backup disimpan dalam sebuah lemari terkunci di pusat data. Akhir-akhir ini karena hujan deras selama berhari-hari, bangunan MMI tegenang banjir yang parah, sehingga menghancurkan tidak hanya perangkat keras komputer, tetapi juga seluruh file data dan program yang ada di tempat.

a. Identifikasi setidaknya lima kelemahan dalam prosedur backup dan DRP milik MMI

b. Evaluasi perubahan pengendalian pada MonsterMed Inc.

Jawab:

a. Lima kelemahan dalam prosedur backup dan DRP milik MMI:1) Backup dalam bentuk tertulis 2) Tidak ada prosedur rencana pemulihan bencana. 3) Backup tidak dilakukan secara teratur .4) Tidak ada pengujian terhadap pemulihan backup.5) Sistem dokumentasi disiapkan ketika seseorang memiliki waktu untuk

melakukannya; akibatnya, dokumentasi akan tidak lengkap dan tidak mutakhir.6) Staf pemrograman memiliki akses ke ruang komputer tanpa pengawasan staf

operasi. Para programer bisa mengubah file data atau program operasional. 7) Lokasi fasilitas komputasi di ruang bawah tanah meningkatkan risiko kerusakan

akibat banjir.8) Tidak ada permintaan tertulis, proses persetujuan, atau proses pengujian terhadap

perubahan sistem.

b. Mengevaluasi perubahan pengendalian di MonsterMed Inc 1) Tidak tampak sebagai pengujian dan pengembangan sistem yang terpisah,

sehingga perubahan langsung diperlukan dalam sistem produksi.2) Perubahan permintaan dibuat secara lisan, tanpa persetujuan formal atau

dokumentasi.

TUGAS SISTEM INFORMASI DAN PENGENDALIAN INTERNAL

Oleh:

1. Agatha Nike Primarini W. M (14MPAXXIXC01)2. Melani Halim (14MPAXXIXA21)3. Purni Hastuti (14MPAXXIXA24)

Kelas 29 APendidikan Profesi Akuntansi FEB UGM

2014