6, si & pi, kartika khairunisa, hapzi ali, konsep dasar keamanan informasi pemahaman serangan, tipe pengendalian prinsip the five trust service untuk keandalan sistem, universitas mercu buana, 2018

1. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian
Prinsip-prinsip The Five Trust Service untu Keandalan Sistem
Kartika Khairunisa
55518110035
Dosen Pengampu :
Prof. Dr. Ir, Hapzi Ali, MM, CMA
Magister Akuntansi
Universitas Mercu Buana
Jakarta
2018
Konsep dasar keamanan informasi dan Pemahaman Serangan
Menurut G.J.Simons, keamanan informasi adalah bagaimana kita dapat mencegah
penipuan atau paling tidak mendeteksi adayanya penipuan di sebuah sistem
yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Jadi dapat dikatakan sistem keamanan sistem informasi sebagai prosedur teknis
yang digunakan untuk mencegah akses yang tidak sah ke sistem, sehingga
melindungi kerahasiaan data suatu perusahaan dan privasi atas informasi ribadii
yang dikumpulkan dari pelanggan.
Tujuan keamanan sistem informasi
Menurut Rahmat M. Samik-Ibrahim (2005), pengembangan keamanan sistem
informasi mempunyai tujuan sebagai berikut:
1. penjaminan integritas informasi
2. pemastian kesiagaan sistem informasi
3. pengamanan kerahasiaan data
4. pemastian memenuhi peraturan, hukum, dan bakuan yang berlaku.
Serangan terhadap keamanan sistem informasi dapat disebut sebagai cyber
crime. Ada beberapa kemungkinan serangan terhadap peranan komputer
sebagai penyedia informasi:
1. Interruption yaitu perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ini ditujukan kepada ketersediaan dari sistem. Serangan membuat
sistem menjadi hang.
2. Interception yaitu pihak yang tidak berwenang berhasil mengases informasi
3. Modification yaitu pihak yang tidak berwenang berhasil mengubah aset
informasi dengan penyebaran malware (virus, trojan horse, worm)
4. Fabrication yaitu pihak yang tidak berwenang memasukkan objek palsu
(pesan-pesan palsu) ke dalam sistem
2. Tipe-Tipe Pengendalian
a. Atas dasar aspek waktu:
- Pengendalian preventif yaitu pengendalian yang mencegah masalah sebelum
timbul. Biasanya digunakan organisasi untuk membatasi akses terhadap sumber
informasi.

2. - Pengendalian detektif yaitu pengendalian yang dilakukan pada saat proses
pekerjaan sedans berjalan. Pengendalian ini didesain untuk menemukan
masalah pengendalian yang tidak terelakan.
- Pengendalian korektif yaitu pengendalian yang dilakukan setelah pekerjaan
selesai. Pengendalian ini mengidentifikasi dan memperbaiki masalah serta
memulihkan dari kesalahan yang dihasilkan.
b. Atas dasar aspek obyek:
Pengendalian administratif yaitu pengendalian yang dilakukan dibidang
adimistratif perusahaan.
Pengendalian operatif yaitu pengendalian yang dilakukan dibidang operasional
perusahaan.
c. Atas dasar aspek subyek:
Pengendalian internal yaitu pengendalian yang ditujukan kepada pelaku fungsi-
fungsi manajemen dalam perusahaan
Pengendalian eksternal yaitu ditujukannya kepada pelaku diluar fungsi-fungsi
manajemen.
Pengendalian Umum dan Pengendalian Aplikasi
Pengendalian umum adalah pengendalian yang didesain untuk memastikan
sistem informasi organisasi dapat berjalan dengan stabil dan dapat dikelola
dengan baik. Pengendalian umum digolongkan sebagai berikut:
- Pengendalian organisasi dan otorisasi yaitu pengendalian dengan menekankan
pemisahan tugas dan jabatan antara pengguna sistem dan administrator sistem.
- Pengendalian operasi adalah pengendalian untuk memastikan sistem informasi
tersebut dapat beroperasi dengan baik.
- Pengendalian perubahan yaitu pengendalian untuk memastikan perubahan-
perubahan yang dilakukan terhadap sistem informasi berjalan dengan baik.
- Pengendalian akses fisikal dan logikal yaitu pengendalian akses fisikal yang
berkaitan dengan akses secara fisik terhadap fasilitas-fasilitas sistem informasi,
sedangkan pengendalian logikal berkaitan dengan pengelolaan akses terhadap
sistem operasi sistem.
Pengendalian aplikasi adalah pengendalian yang mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi.
Beberapa bentuk pengendalian dari aplikasi, yaitu:
- pengendalian organisasi dan akses aplikasi yaitu pengendalian organisasi
hampir sama dengan pengendalian umum organisasi, tetapi lebih berfokus pada
aplikasi yang diterapkan pada perusahaan.
- pengendalian input yaitu pengendalian yang memastikan data-data yang
dimasukkan ke dalam sistem telah akurat dan terverifikasi.
- pengendalian proses dibagi menjadi dua, yaitu: (1) tahapan transaksi, dimana
proses terjadi pada berkas-berkas transaksi baik yang sementara maupun
permanen, (2) tahapan database, dimana proses yang dilakukan pada berkas
master.
- pengendalian output yaitu pengendalian yang dilakukan untuk pengecekan
baik secara otomatis maupun manual.
- pengendalian berkas master yaitu pengendalian ini harus terjadi integritas
referensial pada data supaya tidak akan ditemukan anomali-anomali, seperti
anomali penambahan, anomali penghapusan, anomali pembaruan.

3. 3. Prinsip-prinsip the five trust service untuk keandalan sistem
Trust Service Framework adalah panduan penilaian keandalan sistem informasi
yang dikembangkan oleh AICPA (American Institute of Certified Public
Accountants) yang mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem, yaitu:
1. Keamanan (security) yaitu akses baik fisik maupun logical terhadap sistem
dan data dikendalikan dibatasi hanya kepada pengguna yang sah saja.
2. Kerahasiaan (confidentiality) yaitu informasi organisasi yang sensitif
dilindungi dari pengungkapan yang tidak berhak dan terlindungi dari
pengungkapan tanpa izin.
3. Privasi (privacy) yaitu informasi personal terkait dengan pelanggan atau
rekan bisnis hanya digunakan untuk kepatuhan internal perusahaan dan
informasi terkait dengan kerjasama dan persyaratan aturan eksternal dan
dilindungi dari pengungkapan tidak sah dan tanpa zin.
4. Integritas pemrosesan (processing integrity) yaitu data yang diproses secara
akurat, lengkap dan hanya dengan otoritas yang sah. Informasi tidak boleh
diubah tanpa seizin pemilik informasi.
5. Ketersediaan (availability) yaitu sistem dan informasi tersedia untuk
memenuhi kewajiban operasional dan contractual. Sistem informasi yang
diserang dapat menghambat akses ke informasi.
Pada perusahaan yang saya amati sebut saja PT.X mengimplementasi keamanan
sistem informasi di perusahaannya dengan cara:
1. Mengatur akses
Mengatur akses ke informasi dengan cara authentication dan access control
dengan menggunakan sebuah password. Di perusahaan ini menggunakan sistem
windows untuk menggunakan sebuah sistem, pemakai diharuskan melalui
proses authentication dengan menuliskan username dan password. Access
control biasanya dilakukan dengan mengelompokkan pemakai dalam group.
Pengelompokkan disesuaikan dengan kebutuhan dari penggunaan sistem yang
diperlukan.
2. Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi di perusahaan
ditambahkan filter yang umum dan lebih spesifik adalah firewall. Digunakan
memfilter email dan informasi yang dibutuhkan.
3. Firewall
Firewall merupakan perangkat yang diletakan antara internet dan jaringan
internal informasi yang keluar atau masuk harus melalui firewall ini. Firewall
berguna menjaga agar akses dari orang yang tidak berwenang tidak dapat
dilakukan.
4. Backup secara rutin
Backup secara rutin dilakukan untuk menghindari hilangnya data jika ada suatu
bencana dan error.
5. Penggunaan enskripsi
Data-data yang dikirim dirubah sedemikian rupa agar tidak mudah disadap.
6. Pemantauan adanya serangan sistem
Digunakan untuk mengetahui adanya tamu tak diundang atau adanya serangan.
Nama sistemnya intruder detection system yaitu sistem ini dapat
memberitahukan administrator melalui email maupun mekanisme lain.

4. Pengendalian dilakukan untuk menjamin terlaksananya confidentiality, integrity
dan avaibility.
Pengendalian preventif dirancang untuk menekan tingkat kesalahan yang tidak
disengaja yang masuk ke dalam sistem. Ini juga dilakukan untuk mencegah
masuknya pihak yang tidak berhak masuk baik dari dalam maupun dari luar
untuk menggunakan sistem.
Pengendalian korektif dilakukan untuk memulihkan keadaan yang diakibatkan
oleh aktivitas yang tidak berwenang ke keadaan semula sebelum pelanggaran
terjadi.
Pengendalian detektif untuk mendeteksi suatu kesalahan pada saat ketika akan
terjadi. Audit trail, apabila terjadi sebuah kejahatan melalui sistem, maka proses
investigasi dapat dilakukan melalui penelusuran sistem log. Temuan yang
didapat dapat digunakan sebagai barang bukti untuk diproses lebih lanjut.
Pengendalian aplikasi digunakan untuk memindai secara terus menerus
terhadap sistem operasi dan aplikasi untuk mendeteksi perilaku tidak normal
pada sistem informasi.
Separation and rotation of duties yaitu kegiatan yang membedakan suatu tugas
dengan pemisahan orang sehingga diharapkan tidak ada yang menguasai sistem
secara menyeluruh. Rotasi dilakukan untuk meminimalisir terjadinya KKN
dalam kegiatan operasional perusahaan.
Untuk itu perlu diterapkannya sistem keamanan yang memadai pada
perusahaan PT X dengan keamanan yang memenuhi standar keamanan yang ada
agar sistem dapat dilakukan pengendalian keamanan secara optimal.
Daftar Pustaka:
Murti, Hari. 2006. https://media.neliti.com/media/publications/243318-
implementasi-keamanan-pemanfaatan-teknol-5511b199.pdf. ( Diakses 15
Oktober 2018, jam 22.00)
Toharudin, 2018. http://toharudin965.blogspot.com/2018/04/konsep-dasar-
keamanan-informasi-dan.html, (14 Oktober 2018, jam 7.40)
Yenifitra, 2013. https://yenifitra32.wordpress.com/2013/04/26/29/, (14
Oktober 2018, jam 7.37)
Yuriaiuary, 2017. http://yuriaiuary.blogspot.com/2017/05/sistem-informasi-
dan-pengendalian.html, (14 Oktober, jam 8.29)