Akuntansi sektor publik akuntansi untuk organisasi non laba non pemerintah
Manajemen Keamanan Informasi
1.
2. Digunakan untuk mendeskripsikan perlindungan baik
peralatan komputer maupun non komputer, fasilitas,
data, dan informasi dari penyalahgunaan pihak-lpihak
yang tidak berwenang.
3. Kerahasiaan, perusahaan berusaha untuk melindungi data dan
informasinya dari pengungkapan kepada orang-orang yang tidak
berwenang. Contohnya: piutang dagang, pembelian, dan utang
dagang.
Ketersediaan, adalah menyediakan data dan informasi sedia bagi
pihak-pihak yang memiliki wewenang untuk menggunakannya.
Contohnya: sistem informasi sumber daya manusia dan sistem
informasi eksekutif
Integritas, semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang di representasikannya.
Keamanan informasi, aktifitas untuk menjaga agar sumber daya
informasi tetap aman. Sedangkan, aktifitas untuk menjaga agar
perusahaan dan sumber daya informasinya tetap berfungsi
setelah adanya bencana disebut manajemen keberlangsungan
bisnis.
4. Manajemen Informasi terdiri dari 4 tahap:
1. Mengidentifikasi ancaman yang dapat menyerang sumber
daya informasi perusahaan.
2. Mendefinisikan resiko yang dapat di sebabkan oleh
ancaman-ancaman tersebut.
3. Menentukan kebijakan keamanan dan informasi.
4. Mengimplementasikan pengendalian untuk mengatasi
resiko-resiko tersebut.
5. Ancaman keamanan informasi adalah orang,
organisasi, mekanisme, atau peristiwa yang memiliki
potensi untuk membahayakan sumberdaya informasi
perusahaan.
Ancaman Internal dan Eksternal, ancaman internal
mencakup bukan hanya karyawan perusahaan, tetapi
juga pekerja temporer, konsultan, kontraktor, dan
bahkan mitra bisnis perusahaan tersebut. Sedangkan,
ancaman eksternal adalah ancaman yang di luar
perusahaan yang tidak ada hubungannya dengan
internal seperti perusahaan lain yang sama produk
dengan perusahaan kita atau bisa juga disebut pesaing
dalam usaha.
6. Virus, hanyalah salah satu contoh jenis peranti
lunak yang menyandang namaperanti lunak yang
berbahaya (malicios software).
Malicios dan malware,terdiri atas program
program lengkap atau segmen-segmen kode yang
dapat menyerang suatu sistem dan melakukan
fungsi-fungsi yang tidak di harapkan oleh pemilik
sistem. Fungsi-fungsi tersebut dapat menghapus
file atau menyebabkan sistem tersebut berhenti.
7. Risiko keamanan informasi di definisikan sebagai potensi
output yang tidak di harapkan dari pelanggaran keamanan
informasi oleh ancaman keamanan informasi. Risiko-risiko
seperti ini di bagi menjadi 4 jenis, yaitu:
1. pengungkapan informasi yang tidak terotoritas dan
pencurian.
2. penggunaan yang tidak terotorisasi.
3. penghancuran yang tidak terotorisasi dan penolakan
pelayanan.
4. modifikasi yang tidak terotorisasi.
8. E-commerce (perdagangan elektronik) telah
memperkenalkan keamanan baru. Masalah ini
bukanlah perlindungan data, informasi, dan peranti
lunak, tapi perlindungan dari pemalsuan kartu kredit.
Menurut sebuah survei yang di lakukan oleh gartner
group, pemalsuan kartu kredit 12 kali lebih sering
terjadi untuk para peritel.
E-mmerce di bandingkan dengan para pedagang yang
berurusan dengan pelanggan mereka secara langsung.
Untuk mengatasi masalah ini, perusahaanperusahaan
kartu kredit yang utama telah mengimplementasikan
program yang di tujukan secara khusus untuk
keamanan kartu kredit e-commerce.
9. Pada september 2000, American Express
mengumumkan sebuah kartu kredit “sekali pakai”.
Kartu ini bekerja dengan cara: Saat pemegang kartu
ingin membeli sesuatu secara online, ia akan
memperoleh angka yang acak dari situs web
perusahaan kartu kredit tersebut. Angka inilah, dan
bukannya nomor kartu kredit pelanggan tersebut,
yang di berikan kemudian melaporkannya ke
perusahaan kartu kredit untuk pembayaran.
10. Visa mengumumkan 10 praktik terkait keamanan yang diharapkan
perusahaan ini. Untuk diikuti oleh paritelnya. Diantaranya yaitu :
1. Memasang dan memelihara firewall
2. Memperbarui keamanan
3. Melakukan enkripsi pada data yang disimpan
4. Melakukan ekripsi pada data yang dikirimkan
5. Menggunakan dan memperbaiki peranti lunak antivirus
6. Membatasi akses data kepada orang-orang yang ingin tahu
7. Memberikan ID unik kepada setiap orang yang memiliki kemudahan
mengakses data
8. Memantau akses data dengan ID unik
9. Tidak menggunakan kata sandi default yang disediakan oleh vendor
10. Secara teratur menguji sistem keamanan
11. Manajemen risiko di identifikasi sebagai satu dari dua
strategi untuk mencapai keamanan informasi.
Pendefinisian risiko terdiri atas empat langkah, yaitu:
1. identifikasi aset-aset bisnis yang harus di lindungi
dari risiko.
2. menyadari risikonya.
3. menentukan tingkatan dampak pada perusahaan
jika risiko benar-benar terjadi.
4. menganalisis kelemahan perusahaan tersebut.
12. Mengabaikan apakah perusahaan mengikuti strategi manajemen
risiko kepatuhan tolak ukur maupun tidak. Suatu kebijakan yang
menerapkan kebijakan keamanannya dengan pendekatan yang
bertahap. 5 fase implementasi kebijakan keamanan.
Fase 1. inisiasi proyek : tim yang menyusun kebijakan keamanan yang
din bentuk dan suatu komite akan mencangkup manajer dari wilayah
dimana kebijakan akan diterapkan
Fase 2. penyusunan kebijakan: tim proyek berkonsultasi dengan semua
pihak yang berminat & berpengaruh oleh proyek.
Fase 3. Konsultasi & persetujuan : berkonsultasi dengan manjemen
untuk memberitaukan temuannya. Serta untuk mendapatkan
pandangan mengenai persyaratan kebijakan
Fase 4. kesadaran dan edukasi: program pelatihan kesadaran dan
edukasi dilaksanakan dalam unit organisasi
Fase 5. penyebarluasan kebijakan: disebarluaskan oleh seluruh unit
organisasi dimana kebijakan dapat diterapkan.
13. Pengendalian(control) mekanisme yang diterapkan
baik untuk melindungi perusahaan dari risiko
atau meminimalkan dampak risiko pada
perusahaan jika risiko tersebut
terjadi.pengendalian dibagi menjadi tiga kategori
yaitu :
• Teknis
• Formal
• Dan Informal
14. Pengendalian yang menjadi satu di dalam sistem dan
dibuat oleh penyusun sistem selama masa siklus
penyusunan sistem. Melibatkan seorang auditor
internal didalam tim proyek merupakan satu cara yang
anat baik untuk menjaga agar pengendalian semacam
ini menjadi bagian dari desain sistem.
15. Dasar untuk keamanan melawan ancaman yang dilakukan
oleh orang-orang yang tidak diotorisasi adalah
pengendalian akses. Alasannya sederhana: jika orang yang
tidak diotorisasi tiadak diizinkan untuk mendapatkan
akses terhadap sumber daya informasi, maka pengrusakan
tidak dapat dilakukan. Pengendalian akses dilakukan
melalui proses tiga tahap yang mencakup :
1. Identifikasi pengguna.
2. Otentifikasi pengguna.
3. Otorisasi pengguna.
16. Logika dasar dari sistem deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan
perusakan. Salah satu contoh yang baik adalah
“peranti lunak proteksi virus” yang terbukti efektif
elewan virus yang terkirim melalui e-mail.
17. Berfungsi sebagai penyaring dan penghalang yang
membatasi aliran data ke perusahaan tersebut dan
internet. Dibuatnya suatu pengaman terpisah untuk
untuk masing-masing komputer.
Tiga jenis firewall adalah penyaring paket, tingkat
sirkuit, dan tingkat aplikasi.
18. Data dan informasi yang tersimpan dan ditranmisikan
dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi yaitu penggunaan kode
yang menggunakan proses matematika.
Popularitas kriptografi semakin meningkat karena e-commerce
dan produk ditunjukan untuk
meningkatkan keamanan e-commerence.
19. Peringatan pertama terhadap gangguan yang tidak
terotorasi adalah mengunci pintu ruangan komputer.
Perkembangan seterusnya menghasilkan kunci-kunci
yang lebih canngih, yang dibuka denagn cetakan
telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga tahap
tertinggi dengan cara menempatkan pusat
komputernya di tempat terpencil yang jauhdari kota
dan jauh dari wilayah yang sensitif terhadap bencana
alam seperti gempa bumi, banjir, dan badai.
20. mencangkup penentuan cara berperilaku,
dokumentasi prosedur, dan praktik yang diharapkan.
Pengendalian ini bersifat formal, karena manjemen
menghabiskan bayak waktu untuk menyusunnya,
mendokumentasikan dalam bentuk tulisan dan
diharapkan untuk berlaku dalam jangka panjang.
21. Mencangkup program-program pelatihan dan edukasi
serta program pembangunan manajemen.
Pengendalian ini berkaitan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
22. Perusahaan harus mencanangkan kebijakan manajemen
keamanan informasi sebelum menempatkan
pengendalian. Kebijakan ini dapat dibuat berdasarkan
identifikasi ancaman dan risiko ataupun berdasarkan
panduan yang diberikan oleh pemerintah dan asosiasi
industri. Perusahaan harus mengimplementasika
gabungan dari pengendalian teknis, formal, informal yang
diharapkan untuk menawarkan tingkat keamanan yang
diinginkan pada batasan biaya yang telah di tentukan dan
disesuaikan dengan pertimbangan lain yang membuat
perusahaan dan sistemnya mampu berfungsi secara efektif.