SIPI,6,Hajuini,Hapzi Ali, Konsep dasar keamanan sistem informasi,Universitas Mercu Buana,2018.Pdf.
1. KONSEP DASAR KEAMANAN SISTEM INFORMASI
dan TIPE-TIPE PENGENDALIAN
Tugas Matakuliah Sistem Informasi dan Pengendalian Internal
FORUM dan KUIS 6
Dibuat oleh
Nama : Hajuini
NIM : 55517120034
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
PROGRAM MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA 2018
2. I. KONSEP DASAR KEAMANAN SISTEM INFORMASI
ASPEK KEAMANAN SISTEM INFORMASI
Authentication : agar penerima informasi dapat memastikan keaslian pesan
tersebut datang dari orang yang dimintai informasi.
Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat
dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang
tidak berhak dalam perjalanan informasi tersebut.
Authority : Informasi yang berada pada sistem jaringan tidak dapat
dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang
tidak berhak mengakses.
Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).
ASPEK ANCAMAN KEAMANAN KOMPUTER ATAU KEAMANAN SISTEM
INFORMASI
Interruption : informasi dan data yang ada dalam sistem komputer dirusak
dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada
lagi.
Interception : Informasi yang ada disadap atau orang yang tidak berhak
mendapatkan akses ke komputer dimana informasi tersebut disimpan.
Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi
yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang
ada sehingga orang yang menerima informasi tersebut menyangka informasi
tersebut berasal dari orang yang dikehendaki oleh si penerima informasi
tersebut.
METODOLOGI KEAMANAN SISTEM INFORMASI
Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari
komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-
data bahkan hardware komputer sendiri tidak dapat diamankan.
Keamanan level 1 : terdiri dari database, data security, keamanan dari PC itu
sendiri, device, dan application. Contohnya : jika kita ingin database aman,
maka kita harus memperhatikan dahulu apakah application yang dipakai untuk
membuat desain database tersebut merupakan application yang sudah diakui
keamanannya seperti oracle. Selain itu kita harus memperhatikan sisi lain
yaitu data security. Data security adalah cara mendesain database tersebut.
Device security adalah alat-alat apa yang dipakai supaya keamanan dari
komputer terjaga. Computer security adalah keamanan fisik dari orang-orang
yang tidak berhak mengakses komputer tempat datadase tersebut disimpan.
3. Keamanan level 2 : adalah network security. Komputer yang terhubung
dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu
keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan,
akses ilegal yang dapat merusak keamanan data tersebut.
Keamanan level 3 : adalah information security. Keamanan informasi yang
kadang kala tidak begitu dipedulikan oleh administrator seperti memberikan
password ke teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu
yang fatal jika informasi tersebut diketahui oleh orang yang tidak bertanggung
jawab.
Keamanan level 4 : merupakan keamanan secara keseluruhan dari
komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis
keamanan untuk level 4 sud
CARA MENDETEKSI SUATU SERANGAN ATAU KEBOCORAN SISTEM
Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau
kebocoran sistem :
Desain sistem : desain sistem yang baik tidak meninggalkan celah-celah
yang memungkinkan terjadinya penyusupan setelah sistem tersebut siap
dijalankan.
Aplikasi yang Dipakai : aplikasi yang dipakai sudah diperiksa dengan
seksama untuk mengetahui apakah program yang akan dipakai dalam sistem
tersebut dapat diakses tanpa harus melalui prosedur yang seharusnya dan
apakah aplikasi sudah mendapatkan kepercayaan dari banyak orang.
Manajemen : pada dasarnya untuk membuat suatu sistem yang
aman/terjamin tidak lepas dari bagaimana mengelola suatu sistem dengan
baik. Dengan demikian persyaratan good practice standard seperti Standard
Operating Procedure (SOP) haruslah diterapkan di samping memikirkan hal
teknologinya.
Manusia (Administrator) : manusia adalah salah satu fakor yang sangat
penting, tetapi sering kali dilupakan dalam pengembangan teknologi informasi
dan dan sistem keamanan. Sebagai contoh, penggunaan password yang sulit
menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan
di dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor
manusia dan budaya setempat haruslah sangat diperhatikan.
LANGKAH KEAMANAN SISTEM INFORMASI
Aset : Perlindungan aset merupakan hal yang penting dan merupakan
langkah awal dari berbagai implementasi keamanan komputer. Contohnya:
ketika mendesain sebuah website e-commerce yang perlu dipikirkan adalah
keamanan konsumen. Konsumen merupakan aset yang penting, seperti
pengamanan nama, alamat, ataupun nomor kartu kredit.
4. Analisis Resiko : adalah tentang identifikasi akan resiko yang mungkin
terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem
dirugikan.
Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan
Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan
menempatkan web dan FTP server pada suatu server yang sudah dilindungi
oleh firewall.
Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran
penting dalam hal keamanan karena tool yang digunakan harus benar-benar
aman.
Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu
organisasi harus membayar harga baik dari segi material maupun non
material. Suatu jaringan komputer pada tahap awal harus diamankan dengan
firewall atau lainnya yang mendukung suatu sistem keamanan.
STRATEGI DAN TAKTIK KEAMANAN SISTEM INFORMASI
Keamanan fisik : lapisan yang sangat mendasar pada keamanan sistem
informasi adalah keamanan fisik pada komputer. Siapa saja memiliki hak
akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak
dikehendaki.
Kunci Komputer : banyak case PC modern menyertakan atribut penguncian.
Biasanya berupa soket pada bagian depan case yang memungkinkan kita
memutar kunci yang disertakan ke posisi terkunsi atau tidak.
Keamanan BIOS : BIOS adalah software tingkat terendah yang
mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS
untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi
sisten komputer kita.
Mendeteksi Gangguan Keamanan Fisik : hal pertama yang harus
diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem
Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot
adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.
II. TIPE TIPE PENGENDALIAN
PENGENDALIAN (CONTROLLING)
Pengendalian adalah fungsi terakhir dari proses manajemen , pengendalaina sangat
menentukan pelaksanaan dari proses manajemen maka dari itu pengendalian hatus
dilakukan dengan sebaik – baiknya. Controlling bisa dikatakan Usaha menentukan
apa yang sedang dilaksanakan dengan cara menilai prestasi yang dicapai, kalau
terdapat penyimpangan dari standard yang ditetapkan.
5. • Pengendalian adalah proses dalam menetapkan ukuran kinerja dan pengambilan
tindakan yang dapat mendukung pencapaian hasil yang diharapkan sesuai
dengan kinerja yang telah ditetapkan tersebut.Controlling is the process of
measuring performance and taking action to ensure desired results.
(Schermerhorn,2002)
• Pengendalian adalah proses untuk memastikan bahwa segala aktifitas yang
terlaksana sesuai dengan apa yang telah direncanakan . the process of ensuring
that actual activities conform the planned activities.
(Stoner,Freeman,&Gilbert,1995).
UNSUR PENGENDALIAN:
1. Detektor atau sensor
2. Assesor atau penilai
3. Efektor atau pengubah
4. Jaringan Komunikasi
LANGKAH-LANGKAH PENGENDALIAN
Langkah penting pada proses pengendalian dapat digolongkan ke delapan elemen,
yaitu:
1. Mengidentifikasikan tujuan dan strategi.
2. Penyusunan program.
3. Penyusunan anggaran.
4. Kegiatan dan pengumpulan realisasi prestas.
5. Pengukuran prestasi.
6. Analisis dan pelaporan.
7. Tindakan koreksi.
8. Tindakan lanjutan.
TIPE PENGENDALIAN MANAJEMEN
Tipe pengendalian manajemen dapat dikategorikan menjadi tiga kelompok, yaitu:
1. Pengendalian preventif (prefentive control).
Dalam tahap ini pengendalian manajemen terkait dengan perumusan strategic
dan perencanaan strategic yang dijabarkan dalam bentuk program-program.
2. Pengendalian operasional (Operational control).
Dalam tahap ini pengendalian manajemen terkait dengan pengawasan
pelaksanaan program yang telah ditetapkan melalui alat berupa
anggaran.Anggaran digunakan untuk menghubungkan perencanaan
denganpengendalian.
3. Pengendalian kinerja.
Pada tahap ini pengendalian manajemen berupa analisis evaluasi kinerja
berdasarkan tolok ukur kinerja yang telah ditetapkan.
6. ALAT-ALAT PENGENDALIAN
1. Budget
Adalah suatu ikhtisar hasil yang akan diharapkan dari pengeluaran yang
disediakan untuk mencapai hasil tersebut. Apabila tidak sesuai dengan budget,
baik pemerimaan maupun pengeluaran maupun hasil yang diperoleh maka
perusahaan itu tidak efektif karena terdapat penyimpangan.
Tipe-tipe budget:
a. Sales budget
b. Production budget
c. Cost Production Budget
d. Step budget,
e. Purchasing budget
f. Personnel budget
g. Cash & Financial budget
h. Master budget (budget keseluruhan)
2. Alat pengendalian non budget:
a. Personal observation,
Pengawasan langsung secara pribadi oleh pimpinan perusahaan terhadap
para bawahan yang sedang bekerja.
b. Report,
Laporan yang dibuat oleh para manajer.
c. Financial statement,
Daftar Laporan Keuangan yang biasanya terdiri dari Balance Sheet dan
Income Statement (neraca rugi laba)
d. Statistic,
Merupakan Pengumpulan data, infprmasi dan kejadian yang telah berlalu.
e. Break event point,
Suatu titik atau keadaan ketika jumlah penjualan tertentu tidak mendapat laba
ataupun rugi.
f. Intenal Audit,
Pengendalian yang dilakukan oleh atasan terhadap bawahan yang meliputi
bidang-bidang kegiatan secara menyeluruh yang menyangkut masalah
keuangan.
III. PRINSIP-PRINSIP THE FIVE TRUST SERVICE
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting
karena mengamati setiap tahapan daam proses pengelolaan informasi.
Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk
mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada
saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian
7. dari sistem informasinya ke cloud. Untuk mengatasi permasalahan
pengendalian tersebut, AICPA dan CICA mengembangkan Trust Service
Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust
Service Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem
dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan
tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai,
pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola
sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan
eksternal serta terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara
akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk
mencapai masing-masing dari empat prinsip lainnya. Prosedur keamanan informasi
membatasi akses ke sistem hanya untuk pengguna yang terotorisasi, sehingga
melindungi kerahasiaan data keorganisasian yang sensitif dan privasi atas informasi
pribadi yang dikumpulkan dari pelanggan. Selain itu, prosedur keamanan melindungi
integritas informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif serta
memberikan perlindungan terhadap berbagai serangan termasuk virus dan worm.
PENERAPAN KEAMANAN SISTEM INFORMASI PADA BANK BNI.
Penerapan sistem informasi yang dilakukan oleh Bank BNI yaitu dengan
memanfaatkan kemajuan dan perkembangan Teknologi Informasi. Dewasa ini
peningkatan layanan nasabah dengan berbasis pada system informasi baik dari segi
transaksi maupun dari layanan operasional lainnya. Sejalan dengan itu tentu
dibutuhkan sarana pengamanan yang handal untuk mengatisipasi gangguan
ataupun serangan yang datang yang ditujukan pada sistem yang digunakan. Berikut
penerapan keamanan sistem informasi yang gunakan Bank BNI;
Keamanan Informasi
BNI e-Secure adalah alat pengaman tambahan untuk transaksi finansial di
BNI Internet Banking.
BNI e-Secure berfungsi menghasilkan PIN yang selalu berganti (Dynamic PIN)
setiap kali nasabah melakukan transaksi finansial, tanpa BNI e-Secure
nasabah masih bisa mengakses Layanan BNI Internet Banking untuk
melakukan transaksi non finansial antara lain melihat Informasi Saldo dan
mutasi transaksi.
Rekening yang dapat diakses adalah Tabungan (BNI Taplus, BNI Taplus
Utama, BNI Taplus Mahasiswa, BNI Taplus Pegawai, BNI Tapenas), BNI Giro
8. Perorangan (rupiah ataupun valas), BNI Deposito (rupiah ataupun valas) dan
Rekening Pinjaman Perorangan dengan syarat memiliki Customer Information
File yang sama.
Aman, layanan BNI Internet Banking mengutamakan kemudahan dan
keamanan informasi serta transaksi finansial nasabah.
Menggunakan Internasional Internet Standard Security SSL 3.0 dengan sistim
enkripsi 128-bit, suatu sistem pengacak informasi yang tercanggih saat ini,
sehingga informasi pribadi & keuangan anda lebih terjamin keamanannya.
Nasabah juga akan membuat sendiri User ID & Password BNI Internet
Banking yang unik, sehingga tidak ada duplikasi dan hanya nasabah yang
mengetahuinya. Setiap kali Login, nasabah hanya diperkenankan mengulang
Password BNI Internet Banking yang salah sebanyak tiga kali sebelum akses
tersebut diblokir untuk mencegah penyalahgunaan yang tidak bertanggung
jawab. Setiap transaksi finansial harus menggunakan alat pengaman
tambahan yang disebut BNI e-Secure dimana setiap transaksi akan diberikan
nomor referensi yang digunakan apabila ada pertanyaan atau terjadi suatu
masalah yang berhubungan dengan transaksi tersebut. Jika tidak terdapat
aktivitas selama beberapa menit, sistem secara otomatis akan mengakhiri
(log-out) akses nasabah untuk mencegah penyalahgunaan yang tidak
berwenang.
BNI Internet Banking mempunyai sistem pengamanan sebagai berikut :
Menggunakan sistem keamanan standar internasional dengan enskripsi
SSL128 bit oleh Verisign. SSL 128 bit (Secure Socket Layer), yaitu lapisan
pertama sistem pengamanan BNI Internet Banking yang lazim digunakan
dalam dunia perbankan. Dengan menggunakan SSL ini, semua data yang
dikirimkan dari server BNI Internet Banking ke komputer nasabah dan
sebaliknya selalu melalui proses enkripsi (acak secara sistem) dengan
menggunakan sandi 128-bit yang hanya diketahui oleh komputer nasabah dan
server BNI Internet Banking. Dengan demikian, pihak-pihak lain tidak akan
dapat mengartikan transmisi data tersebut apabila menerimanya.
Pengamanan pintu akses BNI Internet Banking dengan firewall.
Proses registrasi Layanan BNI Internet Banking dilakukan melalui BNI ATM
menggunakan PIN BNI Card.
Proses aktivasi melalui www.bni.co.id atau langsung ke
https://ibank.bni.co.id menggunakan PIN registrasi dan nomor BNI Card
yang digunakan untuk registrasi di BNI ATM.
User ID dan Password dibuat oleh Pengguna saat aktivasi BNI Internet
Banking, berupa kombinasi alphabet dan numeric (alphanumeric).
9. Password BNI Internet Banking dapat diubah kapan saja oleh Pengguna BNI
Internet Banking.
Sistem BNI Internet Banking dilengkapi dengan session time out dimana akan
otomatis Log Off.
Alat tambahan untuk transaksi finansial menggunakan BNI e-Secure yang
akan menghasilkan kombinasi angka yang berubah-ubah (dynamic PIN)
setiap kali Pengguna melakukan transaksi.
PIN BNI e-Secure dibuat oleh Pengguna dan digunakan setiap kali
mengaktifkan/ menyalakan BNI e-Secure . BNI e-Secure akan otomatis mati
apabila tidak digunakan dalam waktu 45 (empat puluh lima) detik.
Daftar Pustaka;
- Fairuz El said, 2011. https://fairuzelsaid.wordpress.com/2011/03/19/keamanan-
sistem-informasi-konsep-keamanan-sistem-informasi/ (9 Maret 2011)
- Alicia Citra Lyana, 2013, http://aliciacitralyana.blogspot.co.id/2013/10/definisi-dan-
tipe-tipe-controlling.html (24 Oktober 2013)
- Ayu Juniantari, 2017. 2017ihttp://yuriaiuary.blogspot.co.id/2017/05/sistem-
informasi-dan-pengendalian.html (12 Mei 2017)
- Satria Tubagus, 2017.http://satriatubagusm.blogspot.co.id/2017/03/perbedaan-
sistem-keamanan-bank-bni-dan.html (18 Maret 2017)