pengendalian manajemen keamanan, operasional, dan kualitas

7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas

1/39

PENGENDALIAN

MANAJEMEN KEAMANAN,

OPERASIONAL, DANKUALITAS

Pertemuan 8

Audit Sistem Informasi


2/39

KENDALI MANAJEMEN KEAMANAN

(1)Tujuan :menjamin agar aset sistem informasi tetap

aman, yang mencakup sumber daya informasi fisik(perangkat mesin dan fasilitas penunjang) dan non fisik

(data, informasi, program aplikasi komputer).


3/39

KENDALI MANAJEMEN KEAMANAN

(2)

Alasan dibutuhkannya keamanan informasi

antara lain :Semakin banyak informasi yang dikumpulkan,

disimpan dan diakses melalui jaringan sistem

informasiyang tersebar luas membutuhkanpenanganan yang lebih cermat dan aman.

Perubahan teknologi secara cepatmenciptakan

kemudahan untuk berinteraksi tetapi di sisi lain

dapat pula meningkatkan resiko untuk mudah

diserang.

Pengguna komputer personalyang semakin

banyak di kantor juga berperan terhadap serangan

ke komputer besar.


4/39

LANGKAH-LANGKAH DALAM

KEAMANAN SISTEM INFORMASI

Menyiapkan rencana

Melakukan identifikasi aset

Melakukan penilaian aset

Melakukan identifikasi ancamanPenilaian dan analisa terhadap ancaman

Menyesuaikan kontrol

Menyiapkan laporan keamanan


5/39

MASALAH UTAMA DALAM

KEAMANAN

Proteksi hak akses dari pihak yang tidakberwenang

Proteksi dari bencana

Proteksi dari gangguan

Pemulihan dan rekonstruksi data yang hilangMenetapkan sistem untuk memantau hal diatas


6/39

KEAMANAN UNTUK SISTEM PROSES

TRANSAKSI

Setiap perusahaan harus mendefinisikan,

mengidentifikasi, dan mengisolasi bahaya-

bahaya yang seringkali mengancam hardware,

software, data dan sumber daya manusia.

Security measuresmenyediakanday-to-day

protectionterhadap fasilitas komputer dan

fasilitas fisik lainya, menjaga integritas dan

privacy data files, dan menghindari kerusakan

serius atau kehilangan.


7/39


8/39

Untuk melindungi dari kekerasan manusia seperti

perusakan, huru-hara,sabotase, dsb, komputer harus

ditempatkan di tempat yang tidak menarik perhatian,

dilengkapi denganantimagnetic tape storage, dan dijaga

dengan kebijakan tingkah laku pegawai yang ketat.

Disaster Contingency and Recovery Plan:

Mengidentifikasi semua ancaman potensial terhadap

sistem komputer. Menetapkanpreventive security measuresyang

dibutuhkan.

Menguraikan langkah-langkah yang diambil jika

menemukan tiap jenis bencana.

KEAMANAN UNTUK SUMBERDAYA

FISIK (KOMPUTER)


9/39

KEAMANAN DATA DAN INFORMATION

Yang termasuk sumber daya data/information adalah:(1) data stored in on-line or off-line files and databases,

(2) application programs, and

(3) information, dalam bentuk hard-copy reports atau

computer format

Security measuresmenyediakan perlindungan terhadap:

(1) Akses yang tak berwenang terhadap data dan informasi

(2) Akses yang tak terdeteksi terhadap data dan informasi

(3) Kehilangan atau pengubahan yang tidak benar(improper alteration)terhadap data dan informasi.

Ukuran-ukuran untuk perlindungan ini biasanya bersifatpreventif dan detektif.

O S G


10/39

Persoalan akses yang tak berwenang meliputisemuapertanyaanakses dan yang lebih penting pertanyaan mengenaidegreeofaccess untuk orang-orang yang memiliki beberapa level aksesyang ada atau akses yang diijinkan.

Data dan informasi rahasia atau penting untuk operasiperusahaan harus diisolasi secara fisik untuk mengurangi aksestak berwenang.Isolasiyang dilakukan antara lain: Menjamin dokumentasi program off-line and online Menjamin penyimpanan hard copies separate user partitions of direct-access storage media database data dictionary selalu ada di bawah pengendalianDBA

live program isolation in memory through multiprogramming test program isolation from live programs and databases

PROTEKSI DARI PIHAK YANG TIDAK

BERWENANG TERHADAP DATA DAN

INFORMATION


11/39

Semua usaha untuk mengakses sistem komputer dansemua akses yang diotorisasi harus diawasi sehinggasemua aktifitas yang tidak dapat dibenarkan dapatdiselidiki dan dihentikan.

Access Control Logs, Console LogsdanAccess ControlSoftware (Passwords)memudahkan proses pengawasan.

Passwords seringkali bertingkat dan digabungkandenganidentifierslain untuk mengakses aplikasi

penting.



INFORMATION


12/39

Automatic log-outs and lockups

Keyboard & Floppy-disk drive locks

Employing automatic boot and start-up procedures

Use of encryption

Private key

Public key



INFORMATION


13/39

Access logsmencatat semua usaha untuk berinteraksi

dengan database.

Console logsmencatat semua tindakan sistop dan

operator komputer.

System and Program change

logs, dapat mengawasi perubahan terhadap programs,

files, and controls

Proteksi dari pihak yang tidak berwenang

terhadap Data dan Information


14/39

DISASTER CONTINGENCY AND

RECOVERY PLANNING

DCRPterdiri dari : TheEmergency Plan

Menyiapkan organization chart Menentukan bencana-bencana yang memicu seluruh

DCRP atau sebagian DCRP. Melaksanakan analisa

resiko. Menentukan tanggung jawab untuk berhubungan dengan

polisi, api, dan perwakilan-perwakilan lainnya. Menentukan orang yang tetap tinggal di tempat/kantor

untuk melaksanakan tugas-tugas penting. Menyiapkan peta rute evakuasi primer dan sekunder dan

menempatkannya di seluruh organisasi. Mengembangkan metoda untuk mengkomunikasikan allclear signal


15/39

DISASTER CONTINGENCY & RECOVERY

PLANNING - 2

TheBackup Plan Menyimpan duplicates of vital software, data, and recordsdi lokasi-lokasi off-premise (jika mungkin dalam jarakyang berjauhan).

Kenali pegawai full-time dan part-time yang penting dantidak penting serta pegawai yang digaji secara temporer.

Cross-train employees Pilih jenis backup system yang paling cocok:

manual backup system. reciprocal arrangements dengan perusahaan lain. third-party agreements with data-processing servicebureaus

cold sites hot sites


16/39


RECOVERY PLANNING - 3

TheRecovery PlanTunjuk a recovery manager dan wakilnya

Pilih dan off-site facility untuk menyimpan backups dansecara periodik periksa fasilitas.

Jaga hubungan dengan perusahaan asuransi untukmemudahkan perkiraan kerusakan awal.

Jaga komunikasi dengan customers dan vendors

Tetapkan a time-table untuk recovery

Tetapkan strategi untuk menjamin pengendalian aplikasiyang ketat di lokasi back-up.

TheTest Plan (untuk menguji sistem)

TheMaintenance Plan (me-maintain keamanan)


17/39


RECOVERY PLANNING - 4

Untuk memperkuat proses DCRP harus memperhatikanhal-hal berikut ini:

Meluaskan recovery plan tidak hanya pada operasikomputer untuk menjamin kelangsungan bisnis.

Melibatkan fungsi internal audit pada semua fasecontingency planning

Factor-in the human element

Contingency plan harus ditujukan pada hubungancustomer dan vendor.

Manager dan pegawai harus menyadari tanggungjawab pada saat bencana terjadi.

Contingency plan harus digabung denganmemasukkan telecommunications backup


18/39

KEAMANAN DAN PENGENDALIAN

JARINGAN DAN WEB

Jaringan terdiri dari banyak hardware device yang saling

berhubungan yang mengotomasi aplikasi bisnis dan

akuntansi yang penting.

Sistem manajemen harus:

Mengevaluasi elemen-elemen dari internal controlenvironment yang relevan dengan network/web

server sites.

Mengidentifikasi tujuan khusus network/web server

sites. Melengkapi risk assessment.


19/39

Risk exposure dari suatu network/web server sites yang

diperkirakan secara periodik adalah:

Hilangnya kemampuan transmisi dan pengolahan data

karena kerusakan peralatan dan software.

Hilangnya kemampuan transmisi dan pengolahan data

karena hilangnya daya, virus, dll.

Akses yang tidak berwenang terhadap data melalui

jalur komunikasi.

Akses yang tidak berwenang terhadap data olehpegawai.

Error pada database utama.

Fraud dan error sebagai akibat dari kelemahan kontrol

di berbagai lokasi yang jauh pada jaringan.

Keamanan dan pengendalian

Jaringan dan Web- 2


20/39

Contoh dari solusi keamanan yang spesifik untuk

network/web server :

Menunjuk part-time or full-time administrator yang

bertanggung jawab untuk membangun network/web

server site security plan yang ditujukan pada

persoalan keamanan.

Encrypting dan authenticating messages yang berisi

data penting.

Menggunakan highly reliable dan compatible

channels and devices.

Menjamin ketersediaan data.


Jaringan dan Web - 3


21/39

Menempatkan network devices/web server devices di

lokasi yang terlindung dan terbatas.

Menggunakan system software yang di write-protect dan

melakukan beberapa cek untuk menjamin bahwa data

tidak diubah dan ditransmisikan secara akurat. Menggunakan password untuk menjaga agar data yang

sensitif aman dari akses dan pengubahan yang tidak

benar.

Menggunakan network audit system dan networkmanagement system untuk mengawasi sumber daya

network/web server site, compile reports, dsb.

Memvalidasi input data.

Menjaga dokumentasi dan prosedur yang distandardisasi.




22/39

Menyediakan pelatihan yang tepat.

Menyediakan pengawasan tertutup di tiap remote

network/web server site.

Membatasi akses ke network/web server entry pointsyang mudah diserang.

Periodic monitoring activities yang dilakukan oleh akuntan

atau auditor internal antara lain: Mengevaluasi keefektifan network/web server

administrator.

Mengevaluasi skill levels of network personel.

Menganalisa rencana jangka panjang.




23/39

Menentukan network/web server site diagram.

Mengevaluasi metoda untuk back-up/recovery.

Menguji rencana sistem untuk menyimpan data.

Mengevaluasi metoda-metoda edukasi dan pelatihan user. Menjamin kebijakan untuk menegur dan mengusut pegawai

yang menyalahgunakan network/web server.

Mengevaluasi perubahan prosedur network/web server

operating system. Melaksanakan review unlisenced network sofware.

Malaksanakan inventory fisik sumber daya network/web

server.

Menentukan pelanggaran software site-licensing agreement.


Jaringan dan Web -


24/39

!ibrary !og akan mentra"k per#bahan file$ program dandok#mentasi$ sementara %ransa"tion !og men"atattransaksi indi&id# yang dimas#kkan ke sistem on-line'

%ape (ile Prote"tion )ings #nt#k magneti" tape$ Write-Prote"t #nt#k diskettes$ and (ile !abels *both internal ande+ternal, #nt#k tape *in"l#ding internal header labels andinternal trailer labels, ata# disk dapat men"egah kehilangan

ata# peng#bahan data dan informasi'

elaksanakan pemrosesan serial'

PROTEKSI DARI KEHILANGAN DATA


25/39

RECOVERY DAN REKONSTRUKSI DATA

.em#a per#sahaan har#s memba"k-#p dok#men-dok#men penting$ files dan programs serta menetapkanre"o&ery pro"ed#re #nt#k memb#at kembali data ata#program yang hilang'

/al ini termas#k0 Prosed#r pemb#angan periodik #nt#k disk-based

systems (disk-based systemsdig#nakan dalamdestructive updates)'

1"ti&ity logs men#n#kkan data element sebelum dansesudah per#bahan'


26/39

RECOVERY DAN REKONSTRUKSI DATA

)ekonstr#ksi dari databse tergant#ng dari l#asnya ker#sakan yang

timb#l$ re"o&ery dapat dilak#kan dengan0

Prosed#r )oll-(orward ika sem#a data hilang' *termas#k

pemb#angan dan images terakhir dari a"ti&ity log dantransa"tion log,

Prosed#r )oll-a"kika data tertent# menadi salah$ karena

program #pdating yang berisi b#gs dig#nakan'

Pengg#naan 6he"kpoints Pemb#atan (a#lt %oleran"e*prosed#r #nt#k meyakinkan

#ninterr#pted operations dengan mengg#nakan red#ndant

de&i"es, dengan metoda Disk irroringdan Disk D#ple+ing


27/39

KENDALI MANAJEMEN OPERASI

Manajemen operasi biasanya mengendalikan fungsi-fungsi berikut :

1.Operasi komputer

2.Pengendalian jaringan komunikasi3.Pustaka file

4.Dukungan teknis

5.Perencanaan kapasitas dan pemantauan kinerja

6.Operasi Outsourcing


28/39

OPERASI KOMPUTER

Fungsi pengaturan bagaimana seharusnya fasilitas

bekerja, baik operator manusia maupun operasi

otomatis.

Fungsi pengaturan bagaimana penjadwalan kerja

terhadap kerangka perangkat lunak/perangkat

keras

Fungsi pengaturan bagaimana seharusnya

perangkat keras dipelihara


29/39

PENGENDALIAN JARINGAN

KOMUNIKASI

Pengelolaan LAN dan WAN

Akses yang tak berhak terhadap server

memungkinkan penyusupan hingga mengganggu

operasi LAN atau mengancam integritas

jaringan


30/39

Memastikan bahwa media penyimpan terpindahkandisimpan dengan aman dalam lingkungan yangbersih

Memastikan bahwa media penyimpan hanyadigunakan untuk tujuan yang sah

Memelihara media penyimpan secara teratur Menyimpan media secara benar baik baik on-site

maupun off-site

Fungsi pustaka dokumentasi dan programbertanggungjawab untuk memelihara dokumen yangdiperlukan untuk mendukung operasi komputer danmengelola perangkat lunak lisensi

PUSTAKA FILE


31/39

DUKUNGAN TEKNIS (HELP DESK)

Membantu pengguna akhir untuk menerapkan

perangkat lunak dan perangkat keras seperti

mikrokomputer, spreadsheet, dan database

Menyediakan dukungan teknis untuk sistem

produksi dan membantu pemecahan masalah.


32/39

PERENCANAAN KAPASITAS &

PEMANTAUAN KINERJA

Manajemen operasi harus selalu memantau

secara kontinu kinerja perangkat lunak dan

perangkat keras untuk menjamin bahwa sistem

dieksekusi secara efisien, tepat waktu.


33/39

OPERASI OUTSOURCING

Evaluasi berjalan dari kelayakan keuangan

pihak luar

Memastikan kebersesuaian terhadap kontrak

dengan pihak luar

Menjamin keandalan pengendalian operasi

outsourcing

Menyiapkan prosedur untuk menjaga

tejadinya sesuatu yang tak dinginkan


34/39

KENDALI MANAJEMEN KUALITAS

Ada 6 alasan yang menyebabkan kebutuhan kualitas makinpenting bagi organisasi (Weber) :

1.Meningkatnya kesadaran bahwa kualitas itu perlu.

2.Tuntutan dari pengguna bahwa jasa yang mereka terima harus

sesuai dengan tingkat kepuasan yang diharapkan.

3.Ambisi untuk memenuhi kepuasan pelanggan meningkat.

4.Organisasi semakin bertanggungjawab untuk mengurangi

produk cacat.

5.Kesadaran bila kualitas tidak ditingkatkan, maka resiko dan

biaya semakin tinggi.

6.Peningkatan kualitas sudah menjadi trend men-dunia


35/39

Ada 6 fungsi personal Quality Assurance :1.Mengembangkan tujuan pencapaian kualitas.

2.Mengembangkan, menyebarluaskan, dan memelihara

standar fungsi sistem informasi.

3.Mengawasi hasil produksi sesuai dengan standar QA.

4.Mengidentifikasi area yang masih dapat

dikembangkan.

5.Memberi laporan kepada manajemen.

6.Memberi pelatihan standar dan prosedur QA.


36/39

HUBUNGAN QA DENGAN AUDITOR

QA berfungsi dengan baik mengurangi pekerjaanAuditor

QA Personil melakukan lebih banyak

pengendalian pemeriksaan sistim informasi

menyeluruh dibanding auditorAuditor dapat memusatkan perhatian pada

fungsi QA daripada melakukan test kendali

sistem informasi


37/39


38/39

CAPABILITY MATURITY MODEL

Level 1Initial

Level 2Repeatable

Level 3Defned

Level 4Managed

Level 5Optimizing

Sudah ada kegiatan penyuunan itemk!mpute"iai yang te"a"ah# tapi belumte"!"ganii"

$"!e pe"en%anaan# pe"an%angan#

implementai item be"bai k!mpute" udahte"a"ah&

Selu"uh p"!e telah did!kumentaikan dandik!munikaikan be"daa"kan met!de yangbaik&

$"!e k!mpute"iai telah dim!nit!" dante"uku" dengan baik# mana'emenpengembangan te"!"ganii"

(et p"a%ti%e telah diikuti# p"!e telahte"en%ana# te"!"ganii" dengan met!de yangtepat&


39/39

pengendalian manajemen keamanan, operasional, dan kualitas

Documents