KEAMANAN DAN KONTROL2.doc (73Kb)
SIM I
1
KEAMANAN DAN KONTROL
Pentingnya Kontrol
Tujuan pengontrolan adalah untuk memastikan bahwa CBIS
telah diimplementasikan seperti yang direncanakan, system
beroperasi seperti yang dikehendaki, dan operasi tetap dalam
keadaan aman dari penyalahgunaan atau gangguan.
Properti Sistem Yang Memberikan Keamanan
Sebuah system harus mempunyai tiga property (sifat), yaitu :
Integritas, system akan mempunyai integritas bila ia
berjalan
menurut
spesifikasinya.
Perancang
system
berusaha untuk mengembangkan system yang mempunyai
integritas fungsional, yaitu kemampuan untuk melanjutkan
operasi, apabila salah satu atau lebih dari komponennya
tidak berjalan.
Audibilitas, ia akan bersifat audible jika ia memiliki
visibilitas dan accountability (daya perhitungan). Bila system
memiliki audibilitas maka mudah bagi seseorang untuk
memeriksa,
memverifikasi
atau
menunjukkan
penampilannya.
Daya kontrol, daya kontrol memungkinan manajer untuk
menangani pengerahan atau penghambatan pengaruh
terhadap system. Teknik yang efektif untuk mendapatkan
daya kontrol system ini adalah dengan membagi system
menjadi subsistem yang menangani transaksi secara
terpisah.
UNIVERSITAS GUNADARMA
SIM I
2
Tugas Kontrol CBIS
Kontrol CBIS mencakup semua fase siklus hidup. Selama
siklus hidup, kontrol dapat dibagi menjadi kontrol-kontrol yang
berhubungan dengan pengembangan, disain dan operasi.
Manajer dapat memperoleh kontrol dalam ketiga area secara
langsung melalui ahli lain, seperti auditor.
AREA PENGONTROLAN CBIS
Kontrol Proses Pengembangan
Tujuan
dari
kontrol
pengembangan
adalah
untuk
memastikan bahwa CBIS yang diimplementasikan dapat
memenuhi kebutuhan pemakai.
Yang termasuk dalam kontrol pengembangan :
1. Manajemen puncak menetapkan kontrol proyek secara
keseluruhan
selama
fase
perencanaan
dengan
cara
membentuk komite MIS
2. Manajemen memberitahu pemakai mengenai orientasi
CBIS
3. Manajemen
menentukan
kriteria
penampilan
yang
digunakan dalam mengevaluasi operasi CBIS.
4. Manajemen dan bagian pelayanan informasi menyusun
disain dan standar CBIS
5. Manajemen dan pelayanan informasi secara bersama-sama
mendefinisikan program pengujian yang dapat diterima,
6. Manajemen melakukan peninjauan sebelum instalasi yang
dilakukan tepat setelah penggantian dan secara berkala
meninjau CBIS untuk memastikan apakah ia memenuhi
kriteria penampilan.
UNIVERSITAS GUNADARMA
SIM I
3
7. Bagian pelayanan informasi menetapkan prosedur untuk
memelihara dan memodifikasi CBIS dan prosedur yang
disetujui oleh manajemen.
Kontrol Disain Sistem
Selama fase disain dan analisis dari siklus hidup system,
Analis System, DBA dan Manajer Jaringan membangun
fasilitas kontrol tertentu dalam disain system. Selama fase
implementasi, programmer menggabungkan kontrol tersebut
ke dalam system. Disain system dikontrol dengan cara
menggabungkan kontrol software menjadi lima bagian pokok,
yaitu :
Permulaan Transaksi (Transaction Origination)
Tahap-tahap yang harus dilakukan pada permulaan
transaksi terdiri atas ;
Ö
. Permulaan dokumen sumber
Ö
. Kewenangan
Ö
. Pembuatan input computer
Ö
. Penanganan kesalahan
Ö
. Penyimpanan dokumen sumber
Entri Transaksi (Transaction Entry)
Entri transaksi mengubah data dokumen sumber menjadi
bentuk yang dapat dibaca oleh komputer. Kontrol ini
berusaha untuk menjaga keakuratan data yang akan
ditransmisikan ke jaringan komunikasi atau yang akan
dimasukkan secara langsung ke dalam komputer. Area
kontrolnya meliputi atas :
Ö
. Entri data
UNIVERSITAS GUNADARMA
SIM I
4
Ö
. Verifikasi data
Ö
. Penanganan kesalahan
Ö
. Penyeimbangan batch
Komunikasi Data (Data Communication)
Komputer yang ada dalam jaringan memberikan peluang
risiko keamanan yang lebih besar dari pada komputer
yang ada di dalam suatu ruangan. Area kontrol ini terdiri
dari :
Ö
. Kontrol pengiriman pesan
Ö
. Kontrol saluran (channel) komunikasi
Ö
. Kontrol penerimaan pesan
Ö
. Rencana pengamanan datacom secara menyeluruh
Pemrosesan Komputer (Computer Processing)
Pada umumnya semua elemen kontrol pada disain system
selalu dikaitkan dengan pemasukan data ke dalam
komputer. Area kontrol pada pemrosesan komputer terdiri
dari :
Ö
. Penanganan data
Ö
. Penanganan kesalahan
Ö
. Database dan perpustakaan software
Sebagian besar kontrol database dapat diperoleh melalui
penggunaan Sistem Manajemen Database (Database
Management System/DBMS)
Tingkat keamanan dalam DBMS terdiri dari
Ö . Kata kunci (Password)
Ö . Direktori pemakai (User Directory)
Ö . Direktori elemen data (Field Directory)
UNIVERSITAS GUNADARMA
SIM I
5
Ö . Enkripsi (Encryption)
Output Komputer (Computer Output)
Komponen
subsistem
ini
bertanggung
jawab
untuk
mengirimkan produk (output) kepada pemakai (user). Yang
termasuk dalam area ini adalah :
Ö . Penyeimbangan operasi komputer
Ö . Distribusi
Ö . Penyeimbangan departemen pemakai
Ö . Penanganan kesalahan
Ö . Penyimpanan record
Termi
nal
Encript
ion
device
Mod
em
Cha
nnel
Mod
em
Encript
ion
device
Termi
nal
Kontrol Terhadap Pengoperasian Sistem
Kontrol pengoperasian system didasarkan pada struktur
organisasional dari departemen operasi, aktivitas dari unit
yang ada dalam departemen tersebut.
Kontrol yang memberikan kontribusi terhadap tujuan ini dapat
diklasifikasikan menjadi lima area :
1. Struktur organisasional
2. Kontrol perpustakaan
3. Pemeliharaan peralatan
4. Kontrol lingkungan dan kemanan fasilitas
5. Perencanaan disaster, meliputi area :
UNIVERSITAS GUNADARMA
SIM I
6
- Rencana keadaan darurat (emergency plan)
- Rencana back-up (backup plan)
- Rencana record penting (vital record plan)
- Rencana recovery (recovery plan)
Metode Mendapatkan Dan Memelihara Kontrol
Manajemen dapat melakukan kontrol dengan tiga cara, yaitu :
Manajemen dapat melakukan kontrol langsung, yaitu
mengevaluasi kemajuan dan penampilan, dan menentukan
tindakan koreksi apa yang harus dilakukan
Manajemen mengontrol CBIS secara tidak langsung
dengan terus menerus melalui CIO.
Manajemen mengontrol CBIS secara tidak langsung
berkenan dengan proyeknya melalui pihak ketiga.
Indirect control
CIO
Management
Full-Time Representation
Direct control
Other
Experts
(Auditors)
CBIS
Indirect control
Project representation
Keamanan Sistem
Definisi Keamanan
Adalah proteksi perlindungan atas sumber-sumber fisik dan
konseptual dari bahaya alam dan manusia. Kemanan
terhadap sumber konseptual meliputi data dan informasi
UNIVERSITAS GUNADARMA
SIM I
7
Tujuan-tujuan Keamanan ; dimaksudkan untuk mencapai 3
tujuan utama , yaitu :
1.
Kerahasiaan, perusahaan berusaha melindungi data dan
informasi dari orang-orang yang tidak berhak.
2.
Ketersediaan, tujuan CBIS adalah menyediakan data dan
informasi
bagi
mereka
yang
berwenang
untuk
menggunakannya.
3.
Integritas, semua subsistem CBIS harus menyediakan
gambaran akurat dari sistem fisik yang diwakilinya.
Pengendalian Akses ; dicapai melalui suatu proses 3 langkah,
yang mencakup :
1.
Indentifikasi User.
2.
Pembuktian Keaslian User.
3.
Otorisasi User.
Strategi Pengulangan Biaya Manajemen Informasi
Strategi yang paling banyak dimanfaatkan adalah :
1.
Strategi Konsolidasi, dapat diikuti dengan mengurangi
jumlah lokasi sumber daya informasi yang terpisah.
Alasannya adalah sejumlah kecil pemusatan sumber daya
yang besar dapat beroperasi lebih efisien dari pada banyak
pemusatan sumber daya yang kecil.
2.
Downsizing, adalah transfer berbagai aplikasi berbasis
komputer perusahaan dari konfigurasi peralatan besar,
seperti mainframe ke platform yang lebih kecil seperti
komputer mini. Dalam beberapa kasus, platform yang lebih
kecil tetap berada dalam IS, dan dalam kasus lain
ditempatkan di area pemakai. Pemindahan ke sistem yang
UNIVERSITAS GUNADARMA
SIM I
8
kurang mahal tetapi penuh daya ini disebut Smartsizing.
Keuntungan downsizing : sistem yang user friendly.
3.
Outsourcing, ukuran pemotongan biaya yang dapat
berdampak lebih besar bagi IS dari pada downsizing adalah
outsourcing. Outsourcing adalah mengkontrakkan keluar
semua atau sebagian operasi komputer perusahaan kepada
organisasi jasa di luar perusahaan.
Jasa-jasa yang ditawarkan Outsourcers mencakup :
Entry data dan pengolahan sederhana.
Kontrak pemrograman.
Manajemen fasilitas, operasi lengkap dari suatu
pusat komputer.
Integrasi sistem, adalah kinerja semua tugas-tugas
siklus hidup pengembangan sistem.
Dukungan operasi untuk pemeliharaan, pelayanan
atau pemulihan dari bencana.
UNIVERSITAS GUNADARMA
SIM I
9
Strategi CIO Proaktif
CIO dapat menghadapi tantangan langsung dan menyediakan dukungan informasi
berkualitas dengan mengikuti suatu strategi yang terdiri dari elemen-elemen :
1.
Menekankan manajemen kualitas dari sumber daya informasi dengan mengidentifikasi
kualitas kebutuhan dari pelanggan informasi eksternal dan internal.
2.
Mencapai ikatan pemakai yang kuat dengan memastikan bahwa tujuan IS sesuai
dengan tujuan pemakai dan memastikan bahwa aplikasi bernilai strategis bagi
perusahaan mendapatkan dukungan kualitas tertinggi serta menekankan pengembangan
aplikasi bersama.
3.
Memperkuat ikatan eksekutif dengan menjadi pakar dalam bisnis perusahaan dan
menyediakan dukungan informasi perusahaan bagi eksekutif perusahaan.
4.
Menyusun tim IS yang memiliki kemampuan teknis dan manajerial yang diperlukan
untuk mengintegrasikan sumber daya informasi.
5.
Menyusun staf IS yang kompeten dalam teknologi dan metodologi yang canggih untuk
menyediakan dukungan user.
6.
Membangun sistem informasi pelayanan informasi yang memungkinkan CIO dan
manajemen IS mengelola sumber daya informasi dalam lingkungan perusahaan.
Rencana backup bisa terdiri atas computer backup. Persetujuan dengan pemakai lain yang
menggunakan peralatan yang sama, persetujuan hot sife dan empty shell. Manajer tertarik
menerapkan kontrol CBIS karena penembusan keamanan dapat melumpuhkan operasi
perusahaan, memutuskan hubungan manajer dengan system fisik, menghasilkan informasi
salah yang mengakibatkan terjadinya keputusan yang salah pula, dan menjadikan pesaing
bisa mencuri informasi. Dalam jangka panjang nanti, perlindungan terhadap informasi
mungkin akan lebih penting bagi penampilan perusahaan dari pada perlindungan asset
keuangan perusahaan.
UNIVERSITAS GUNADARMA
SIM I
10
UNIVERSITAS GUNADARMA
1
KEAMANAN DAN KONTROL
Pentingnya Kontrol
Tujuan pengontrolan adalah untuk memastikan bahwa CBIS
telah diimplementasikan seperti yang direncanakan, system
beroperasi seperti yang dikehendaki, dan operasi tetap dalam
keadaan aman dari penyalahgunaan atau gangguan.
Properti Sistem Yang Memberikan Keamanan
Sebuah system harus mempunyai tiga property (sifat), yaitu :
Integritas, system akan mempunyai integritas bila ia
berjalan
menurut
spesifikasinya.
Perancang
system
berusaha untuk mengembangkan system yang mempunyai
integritas fungsional, yaitu kemampuan untuk melanjutkan
operasi, apabila salah satu atau lebih dari komponennya
tidak berjalan.
Audibilitas, ia akan bersifat audible jika ia memiliki
visibilitas dan accountability (daya perhitungan). Bila system
memiliki audibilitas maka mudah bagi seseorang untuk
memeriksa,
memverifikasi
atau
menunjukkan
penampilannya.
Daya kontrol, daya kontrol memungkinan manajer untuk
menangani pengerahan atau penghambatan pengaruh
terhadap system. Teknik yang efektif untuk mendapatkan
daya kontrol system ini adalah dengan membagi system
menjadi subsistem yang menangani transaksi secara
terpisah.
UNIVERSITAS GUNADARMA
SIM I
2
Tugas Kontrol CBIS
Kontrol CBIS mencakup semua fase siklus hidup. Selama
siklus hidup, kontrol dapat dibagi menjadi kontrol-kontrol yang
berhubungan dengan pengembangan, disain dan operasi.
Manajer dapat memperoleh kontrol dalam ketiga area secara
langsung melalui ahli lain, seperti auditor.
AREA PENGONTROLAN CBIS
Kontrol Proses Pengembangan
Tujuan
dari
kontrol
pengembangan
adalah
untuk
memastikan bahwa CBIS yang diimplementasikan dapat
memenuhi kebutuhan pemakai.
Yang termasuk dalam kontrol pengembangan :
1. Manajemen puncak menetapkan kontrol proyek secara
keseluruhan
selama
fase
perencanaan
dengan
cara
membentuk komite MIS
2. Manajemen memberitahu pemakai mengenai orientasi
CBIS
3. Manajemen
menentukan
kriteria
penampilan
yang
digunakan dalam mengevaluasi operasi CBIS.
4. Manajemen dan bagian pelayanan informasi menyusun
disain dan standar CBIS
5. Manajemen dan pelayanan informasi secara bersama-sama
mendefinisikan program pengujian yang dapat diterima,
6. Manajemen melakukan peninjauan sebelum instalasi yang
dilakukan tepat setelah penggantian dan secara berkala
meninjau CBIS untuk memastikan apakah ia memenuhi
kriteria penampilan.
UNIVERSITAS GUNADARMA
SIM I
3
7. Bagian pelayanan informasi menetapkan prosedur untuk
memelihara dan memodifikasi CBIS dan prosedur yang
disetujui oleh manajemen.
Kontrol Disain Sistem
Selama fase disain dan analisis dari siklus hidup system,
Analis System, DBA dan Manajer Jaringan membangun
fasilitas kontrol tertentu dalam disain system. Selama fase
implementasi, programmer menggabungkan kontrol tersebut
ke dalam system. Disain system dikontrol dengan cara
menggabungkan kontrol software menjadi lima bagian pokok,
yaitu :
Permulaan Transaksi (Transaction Origination)
Tahap-tahap yang harus dilakukan pada permulaan
transaksi terdiri atas ;
Ö
. Permulaan dokumen sumber
Ö
. Kewenangan
Ö
. Pembuatan input computer
Ö
. Penanganan kesalahan
Ö
. Penyimpanan dokumen sumber
Entri Transaksi (Transaction Entry)
Entri transaksi mengubah data dokumen sumber menjadi
bentuk yang dapat dibaca oleh komputer. Kontrol ini
berusaha untuk menjaga keakuratan data yang akan
ditransmisikan ke jaringan komunikasi atau yang akan
dimasukkan secara langsung ke dalam komputer. Area
kontrolnya meliputi atas :
Ö
. Entri data
UNIVERSITAS GUNADARMA
SIM I
4
Ö
. Verifikasi data
Ö
. Penanganan kesalahan
Ö
. Penyeimbangan batch
Komunikasi Data (Data Communication)
Komputer yang ada dalam jaringan memberikan peluang
risiko keamanan yang lebih besar dari pada komputer
yang ada di dalam suatu ruangan. Area kontrol ini terdiri
dari :
Ö
. Kontrol pengiriman pesan
Ö
. Kontrol saluran (channel) komunikasi
Ö
. Kontrol penerimaan pesan
Ö
. Rencana pengamanan datacom secara menyeluruh
Pemrosesan Komputer (Computer Processing)
Pada umumnya semua elemen kontrol pada disain system
selalu dikaitkan dengan pemasukan data ke dalam
komputer. Area kontrol pada pemrosesan komputer terdiri
dari :
Ö
. Penanganan data
Ö
. Penanganan kesalahan
Ö
. Database dan perpustakaan software
Sebagian besar kontrol database dapat diperoleh melalui
penggunaan Sistem Manajemen Database (Database
Management System/DBMS)
Tingkat keamanan dalam DBMS terdiri dari
Ö . Kata kunci (Password)
Ö . Direktori pemakai (User Directory)
Ö . Direktori elemen data (Field Directory)
UNIVERSITAS GUNADARMA
SIM I
5
Ö . Enkripsi (Encryption)
Output Komputer (Computer Output)
Komponen
subsistem
ini
bertanggung
jawab
untuk
mengirimkan produk (output) kepada pemakai (user). Yang
termasuk dalam area ini adalah :
Ö . Penyeimbangan operasi komputer
Ö . Distribusi
Ö . Penyeimbangan departemen pemakai
Ö . Penanganan kesalahan
Ö . Penyimpanan record
Termi
nal
Encript
ion
device
Mod
em
Cha
nnel
Mod
em
Encript
ion
device
Termi
nal
Kontrol Terhadap Pengoperasian Sistem
Kontrol pengoperasian system didasarkan pada struktur
organisasional dari departemen operasi, aktivitas dari unit
yang ada dalam departemen tersebut.
Kontrol yang memberikan kontribusi terhadap tujuan ini dapat
diklasifikasikan menjadi lima area :
1. Struktur organisasional
2. Kontrol perpustakaan
3. Pemeliharaan peralatan
4. Kontrol lingkungan dan kemanan fasilitas
5. Perencanaan disaster, meliputi area :
UNIVERSITAS GUNADARMA
SIM I
6
- Rencana keadaan darurat (emergency plan)
- Rencana back-up (backup plan)
- Rencana record penting (vital record plan)
- Rencana recovery (recovery plan)
Metode Mendapatkan Dan Memelihara Kontrol
Manajemen dapat melakukan kontrol dengan tiga cara, yaitu :
Manajemen dapat melakukan kontrol langsung, yaitu
mengevaluasi kemajuan dan penampilan, dan menentukan
tindakan koreksi apa yang harus dilakukan
Manajemen mengontrol CBIS secara tidak langsung
dengan terus menerus melalui CIO.
Manajemen mengontrol CBIS secara tidak langsung
berkenan dengan proyeknya melalui pihak ketiga.
Indirect control
CIO
Management
Full-Time Representation
Direct control
Other
Experts
(Auditors)
CBIS
Indirect control
Project representation
Keamanan Sistem
Definisi Keamanan
Adalah proteksi perlindungan atas sumber-sumber fisik dan
konseptual dari bahaya alam dan manusia. Kemanan
terhadap sumber konseptual meliputi data dan informasi
UNIVERSITAS GUNADARMA
SIM I
7
Tujuan-tujuan Keamanan ; dimaksudkan untuk mencapai 3
tujuan utama , yaitu :
1.
Kerahasiaan, perusahaan berusaha melindungi data dan
informasi dari orang-orang yang tidak berhak.
2.
Ketersediaan, tujuan CBIS adalah menyediakan data dan
informasi
bagi
mereka
yang
berwenang
untuk
menggunakannya.
3.
Integritas, semua subsistem CBIS harus menyediakan
gambaran akurat dari sistem fisik yang diwakilinya.
Pengendalian Akses ; dicapai melalui suatu proses 3 langkah,
yang mencakup :
1.
Indentifikasi User.
2.
Pembuktian Keaslian User.
3.
Otorisasi User.
Strategi Pengulangan Biaya Manajemen Informasi
Strategi yang paling banyak dimanfaatkan adalah :
1.
Strategi Konsolidasi, dapat diikuti dengan mengurangi
jumlah lokasi sumber daya informasi yang terpisah.
Alasannya adalah sejumlah kecil pemusatan sumber daya
yang besar dapat beroperasi lebih efisien dari pada banyak
pemusatan sumber daya yang kecil.
2.
Downsizing, adalah transfer berbagai aplikasi berbasis
komputer perusahaan dari konfigurasi peralatan besar,
seperti mainframe ke platform yang lebih kecil seperti
komputer mini. Dalam beberapa kasus, platform yang lebih
kecil tetap berada dalam IS, dan dalam kasus lain
ditempatkan di area pemakai. Pemindahan ke sistem yang
UNIVERSITAS GUNADARMA
SIM I
8
kurang mahal tetapi penuh daya ini disebut Smartsizing.
Keuntungan downsizing : sistem yang user friendly.
3.
Outsourcing, ukuran pemotongan biaya yang dapat
berdampak lebih besar bagi IS dari pada downsizing adalah
outsourcing. Outsourcing adalah mengkontrakkan keluar
semua atau sebagian operasi komputer perusahaan kepada
organisasi jasa di luar perusahaan.
Jasa-jasa yang ditawarkan Outsourcers mencakup :
Entry data dan pengolahan sederhana.
Kontrak pemrograman.
Manajemen fasilitas, operasi lengkap dari suatu
pusat komputer.
Integrasi sistem, adalah kinerja semua tugas-tugas
siklus hidup pengembangan sistem.
Dukungan operasi untuk pemeliharaan, pelayanan
atau pemulihan dari bencana.
UNIVERSITAS GUNADARMA
SIM I
9
Strategi CIO Proaktif
CIO dapat menghadapi tantangan langsung dan menyediakan dukungan informasi
berkualitas dengan mengikuti suatu strategi yang terdiri dari elemen-elemen :
1.
Menekankan manajemen kualitas dari sumber daya informasi dengan mengidentifikasi
kualitas kebutuhan dari pelanggan informasi eksternal dan internal.
2.
Mencapai ikatan pemakai yang kuat dengan memastikan bahwa tujuan IS sesuai
dengan tujuan pemakai dan memastikan bahwa aplikasi bernilai strategis bagi
perusahaan mendapatkan dukungan kualitas tertinggi serta menekankan pengembangan
aplikasi bersama.
3.
Memperkuat ikatan eksekutif dengan menjadi pakar dalam bisnis perusahaan dan
menyediakan dukungan informasi perusahaan bagi eksekutif perusahaan.
4.
Menyusun tim IS yang memiliki kemampuan teknis dan manajerial yang diperlukan
untuk mengintegrasikan sumber daya informasi.
5.
Menyusun staf IS yang kompeten dalam teknologi dan metodologi yang canggih untuk
menyediakan dukungan user.
6.
Membangun sistem informasi pelayanan informasi yang memungkinkan CIO dan
manajemen IS mengelola sumber daya informasi dalam lingkungan perusahaan.
Rencana backup bisa terdiri atas computer backup. Persetujuan dengan pemakai lain yang
menggunakan peralatan yang sama, persetujuan hot sife dan empty shell. Manajer tertarik
menerapkan kontrol CBIS karena penembusan keamanan dapat melumpuhkan operasi
perusahaan, memutuskan hubungan manajer dengan system fisik, menghasilkan informasi
salah yang mengakibatkan terjadinya keputusan yang salah pula, dan menjadikan pesaing
bisa mencuri informasi. Dalam jangka panjang nanti, perlindungan terhadap informasi
mungkin akan lebih penting bagi penampilan perusahaan dari pada perlindungan asset
keuangan perusahaan.
UNIVERSITAS GUNADARMA
SIM I
10
UNIVERSITAS GUNADARMA