1. Keamanan informasi sangat penting untuk melindungi informasi yang bersifat rahasia dan penting bagi organisasi. Beberapa ancaman keamanan informasi antara lain serangan DNS poisoning, DoS attack, spoofing, sniffer, virus, dan trojan horse.

1. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe
pengendalian Prinsip-prinsip The Five Trust Service untu keandalan
system
Konsep Dasar Keamanan Informasi dan Pemahaman Serangan
Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan alat-alat
berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta dukungan
manajemen senior juga jalas menjadi dasar untuk keberhasilan.
Manajemen senior harus berpartisipasi dalam pengembangan kebikana karena mereka
harus memutuskan sanksi yang akan diberikan terhadap tindakan ketidakpatuha. Sebagai
tambahan, dukungan dan keterlibtan manajemn puncak diperlukan untuk memastikam
bahwa peltihan dan komunikasi keamanan informasi dilakukam dengan serius.
Defense-in depth dan model Keamanan Informasi Berbasis Waktu
Gagasan dari defense-in depth adalah penggunaan berbagai lapisan pengendalian untuk
menghindari satu poin kegagalan. Defense-in depth secara khusus melibatkan
penggunaan sebuah kombinasi dari pengendalian preventif, dedektif, dan korektif. Peran
Pengendalian preventif adalah untuk membatasi tindakan indvidu tertentu agar sesuai
dengan kebijakan keamanan organisasi.
Tujuan dari model keamanan berbasis waktu adalah dengan menggunakan kombinasi
perlindungan preventif, dedektif, korektif yang melindungi aset informasi yang cukup
lama agar memungkinkan organisasi untuk mngenali bahwa sebuah serangan telah terjadi
dan mengambil langkah untuk mengagalkannya sebelum informasi hilang atau rusak

2. 1. Latar belakang perlunya keamanan informasi
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Kemampuan
untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat
esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga
pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi
menyebabkan informasi hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik
informasi. Masalah keamanan menjadi aspek penting dari sebuah sistem informasi.
Tetapi masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua,
atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila
menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Contoh kenapa keamanan informasi itu sangat penting adalah : berapakah kerugian yang
bisa ditimbulkan apabila sistem informasi perusahaan tidak bekerja dalam 1 jam, 1 hari,
atau 1 minggu, bahkan 1 bulan?
2. Pengertian keamanan sistem informasi atau keamanan komputer
 John D. Howard, Computer Security is preventing attackers from achieving
objectives through unauthorized access or unauthorized use of computers and
networks.
 G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem
yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Jadi keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan
pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan
program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem
pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan
teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras
dan lunak komputer, jaringan komunikasi, dan data.

3. Beberapa pengertian serangan keamanan informasi :
 DNS Poisoning adalah cara untuk menembus pertahanan sebuah komputer, dengan
cara menyampaikan informasi IP Address yang salah mengenai sebuah host
 Dos Attack merupakan jenis serangan komputer atau server pada jaringan internet
dengan cara menghabiskan sumber yang dimiliki oleh sebuah komputer tersebut,
sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar. Sehingga
akses layanan tidak tersedia bagi komputer yang telah diserang.
 Spoofing adalah teknik yang digunakan untuk mendapatkan akses ilegal dari
komputer lain untuk mendapatkan informasi dengan cara menyerang hubungan
dengan berpura-pura memalsukan bahwa mereka adalah host terpercaya.
 Sniffer yaitu sebuah aplikasi yang dapat melihat lalu lintas data pada sebuah jaringan
komputer. Aplikasi ini juga dapat meangkap dan menguraikan isi dari Request
ForComment (RFC).
 Virus yaitu sebuah aplikasi atau program komputer yang dapat merusak program
suatu komputer, atau juga dapat merusak data atau dokumen yang terdapat pada
komputer, virus komputer membuat pengguna komputer merasa terganggu.
 Trojan Horse merupakan serangan yang merujuk kepada sebuah software yang
mencurigakan dan bisa merusak sebuah sistem atau jaringan untuk memperoleh
sebuah informasi dari target.
 Spyware adalah software yang mengumpulkan data dan mengirim informasi atau
pesan tentang pengguna komputer tanpa diketahui oleh pengguna.
 Backdoor merupakan serangan dalam keamanan sistem komputer, merujuk kepada
mekanisme yang dapat digunakan untuk mengakses sistem, aplikasi, atau jaringan,
selain dari mekanisme yang umum digunakan (melalui proses logon atau proses
autentikasi lainnya). Disebut juga sebagai back door.
 Worm hampir sama seperti virus, tetapi worm tidak menginfeksi program lainnya. Ia
membuat sebuah copy pada dirinya sendiri dan menginfeksi komputer lainnya, tetapi
worm dapat mengubah atau merusak file dan program.

4.  Trapdoor yaitu titik masuk atas rahasia yang tidak terdokumentasi di suatu program
untuk memberikan akses tanpa adanya metode–metode pengamanan.
 Rogue merupakan program yang meniru program antivirus dan menampilkan
aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu
tentang adanya virus.
 Hijacking merupakan satu jenis cybercrime yang cara kerjanya melakukan
pembajakan karya orang lain.
 Cyber Crime adalah Kejahatan yang dilakukan oleh seseorang dengan sasarannya
internet pada dunia maya dan dapat merugikan korban, contoh: Cracking, Carding
 Rootkit biasanya digunakan untuk menyusup ke sistem komputer untuk memantau,
melihat, bahkan mencuri data dari komputer yang kita gunakan
3. Aspek keamanan sistem informasi
 Authentication : agar penerima informasi dapat memastikan keaslian pesan tersebut
datang dari orang yang dimintai informasi. Penggunaan teknologi smart card, saat ini
kelihatannya dapat meningkatkan keamanan aspek ini. Sebagai contoh penggunaan
ATM, Credit card, mereka akan menelepon kita dan melakukan konfirmasi tentang
data2 pribadi kita yang bisa digunakan untuk membobol uang di ATM kita.
 Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan
bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam
perjalanan informasi tersebut. Contoh kasus adalah trojan horse dengan distribusi
paket program TCP Wrapper (yaitu program populer yang dapat digunakan untuk
mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh orang yang tidak
bertanggung jawab. Jika anda memasang program yang berisi trojan horse tersebut,
maka ketika anda merakit (compile) program tersebut, dia akan mengirimkan eMail
kepada orang tertentu yang kemudian memperbolehkan dia masuk ke sistem anda
 Authority : Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh
pihak yang tidak berhak atas akses tersebut.

5.  Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses. Contoh confidential information adalah data-data yang sifatnya
pribadi seperti nama, tempat tanggal lahir, agama, status perkawinan, penyakit yang
pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin
diproteksi penggunaan dan penyebarannya.
 Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi). Contoh
hal yang berhubungan dengan privacy adalah e-mail seorang pemakai tidak boleh
dibaca oleh administrator.
 Availability : berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem
informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contohnya adalah serangan yang sering disebut dengan “denial of service
attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang
bertubitubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani
permintaan lain atau bahkan sampai down, hang, crash.
4. Tujuan Keamanan sistem informasi
Keperluan pengembangan Keamanan Sistem Informasi memiliki tujuan sebagai berikut
(Rahmat M. Samik-Ibrahim, 2005):
 Penjaminan Integritas informasi.
 Pengamanan Kerahasiaan data.
 Pemastian Kesiagaan sistem informasi.
 Pemastian Memenuhi peraturan, hukum, dan bakuan yang berlaku.
5. Domain Keamanan sistem informasi
 Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia, sistem
informasi dan perangkat keras.
 Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek
keamanan serta kendali yang terkait pada pengembangan sistem informasi.
Cakupannya meliputi: (1) Tingkatan Kerumitan Fungsi dan Aplikasi; (2) Data
Pengelolaan Keamanan BasisData; (3) SDLC: Systems Development Life Cycle; (4)

6. metodology pengembangan aplikasi (5) pengendalian perubahan perangkat lunak; (6)
program bermasalah;
 Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana
aktifitas bisnis dapat tetap berjalan meskipun terjadi gangguan atau bencana.
Cakupannya meliputi: Indentifikasi Sumber Daya Bisnis, Penentuan Nilai Bisnis,
Analisa Kegagalan Bisnis, Analisa Kerugian, – Pengelolaan Prioritas dan Krisis,
Rencana Pengembangan, Rencana Implementasi, dan Rencana Pemeliharaan
 Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait dengan
kejahatan komputer dan legalitas transaksi elektronik, serta membahas masalah etika
dalam dunia komputer.
 Keamanan Fisik, mempelajari berbagai ancaman, resiko dan kontrol untuk
pengamanan fasilitas sistem informasi. Cakupannya meliputi: Kawasan Terbatas,
Kamera Pemantau dan Detektor Pergerakan, – Bunker (dalam tanah), Pencegahan
dan Pemadaman Api, Pemagaran, Peralatan Keamaman, Alarm, dan Kunci Pintu.
 Audit (Auditing)
Memahami Serangan yang Ditargetkan
1. Melakukan pengintaian
2. Mengupayakan rekayasa sosial
3. Memindai dan memetakan target
4. Penelitian
5. Mengeksekusi serangan
6. Menutupi jejeak
Tipe-Tipe Pengendalian Sistem Informasi
Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk
mengamati, membina, dan mengawasi pelaksanaan mekanisme pengelolaan sistem
informasi, khususnya dalam fungsi-fungsi perencanaan informasi, transformasi,
organisasi, dan koordinasi. Tujuan pengendalian sistem informasi untuk menjamin

7. kelancaran pelaksanaan pengelolaan dan produk-produk informasi, baik segi kualitas,
kuantitas dan ketetapan waktunya. Lingkungan pengendalian merupakan dasar
keefektifan seluruh sistem pengendalian. Ada beberapa keterampilan untuk mengelola
pengendalian sistem informasi, yaitu:
1. Kemampuan mengendalikan kegiatan perencanaan informasi.
2. Kemampuan mengendalikan proses transformasi informasi.
3. Kemampuan mengendalikan organisasi pelaksana sistem informasi.
4. Kemampuan-kemampuan kegiatan koordinasi
Menurut (PP Nomor 60, Pasal 21 Ayat 2, 2008) kegiatan pengendalian atas pengelolaan
sistem informasi meliputi:
1. Pengendalian Umum
2. Pengendalian Aplikasi
Pengendalian Umum
Lebih lanjut di (PP Nomor 60, Pasal 22, 2008) disebutkan bahwa pengendalian umum
terdiri atas :
a. Pengamanan Sistem Informasi;
b. Pengendalian Atas Akses;
c. Pengendalian atas pengembangan dan perubahan perangkat lunak aplikasi;
d. Pengendalian atas perangkat lunak sistem;
e. Pemisahan tugas; dan
f. Kontinuitas pelayanan;
Pengendalian Aplikasi
Menurut (Sari, Frederik, & Augie, 2017) Pengendalian Aplikasi (application
control) terdiri dari kategori:
a. Pengendalian batasan (boundary control)

8. Pengendalian ini didesain untuk mengenal identitas dan otentik tidaknya user aplikasi
b. Pengendalian Masukan (input control)
Pengendalian ini bertujuan untuk memperoleh keyakinan bahwa data transaksi
masukan adalah valid, lengkap, serta bebas dari kesalahan dan penyalahgunaan
c. Pengendalian Proses (process control)
Pengendalian ini bertujuan untuk mencegah agar tidak terjadi kesalahan-kesalahan
selama proses pengolahan data
d. Pengendalian Keluaran (output control)
Pengendalian ini bertujuan agar output dari suatu informasi dapat disajikan secara
akurat, lengkap, dan mutakhir
e. Pengendalian Database (database control)
Pengendalian ini bertujuan untuk menjaga akses ke dalam database dan untuk
menjaga integritas dari suatu data
f. Pengendalian Komunikasi (communication control)
Pengendalian ini bertujuan untuk menangani kesalahan selama proses transmisi data
dan untuk menjaga keamanan dari data selama pengiriman informasi
Menurut (Roomney & Steinbart, 2011) terdapat lima jumlah total batch yang
dipergunakan dalam sistem komputer, yaitu:
1. Jumlah total keuangan (financial total) adalah jumlah dalam field nilai uang, seperti
jumlah total penjualan atau penerimaan tunai;
2. Jumlah total lain-lain (hash total) adalah jumlah field yang biasanya tidak
ditambahkan, seperti jumlah nomor rekening pelanggan atau nomor identifikasi
pegawai
3. Jumlah catatan (record count) adalah jumlah dokumen yang diproses
4. Jumlah baris (line record) adalah jumlah baris data yang dimasukkan. Contohnya
jumlah baris adalah lima apabila pesanan penjualan memperlihatkan penjualan lima
produk berbeda ke seorang pelanggan.

9. 5. Uji kesesuaian baris dan kolom (cross-footing balance test). Banyak lembar kerja
yang memiliki jumlah total baris dan kolom. Uji ini akan membandingkan jumlah
total dari setiap jumlah dalam baris, dengan jumlah total dari setiap jumlah dalam
kolom, untuk memeriksa apakah jumlahnya sama
1. Pengendalian Preventif
Yaitu pengendalian yang mencegah masalah sebelum timbul. Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses
terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan kompetensi
pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang eefektif.
Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh
pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan
jangka panjang organisasi. Selain itu, pegawai juga dilatih untuk mengikuti praktik-
praktik komputasi yang aman. Investasi organisasi dalam pelatihan keamanan akan
menjadi efektif hanya jika manajemen mendemontrasikan dengan jelas bahwa mereka
mendukung para pegawai yang mengikuti kebijakan keamanan. Penting memahami
bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi
menerapkan satu set pengendalian untuk melindungi aset informasi.
Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman
terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat
mengakses sistem informasi organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan.
2. Pengendalian Detektif

10. Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk
mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan
sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk
mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan
(intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log
dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian
menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil
dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan
pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk
menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen
COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai
terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses
bisnis.
3. Pengendalian Korektif
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki
dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif
yang penting:
a. Pembentukan sebuah tim perespon insiden komputer (computer incident response
team–CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi
insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon insiden
organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya sebuah
masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery); dan 4).
Tindak lanjut (foloow up).
b. Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting
agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada
seseorang di level manajemen senior yang tepat. satu cara untuk memenuhi sasaran

11. adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem
informasi lainnya serta harus melapor baik ke chief operating officer (COO) maupun
chief executive officer (CEO). Oleh karena itu, CISO harus memiliki tanggung jawab
untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur
serta audit keamanan dilakukan secara periodik.
c. Penetapan serta penerapan sistem manajemen path yang didesain dengan baik. Patch
adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan
patch dan memperbarui seluruh perangkat lunak yang digunakan oleh organisasi.
Oleh karena sejumlah patch merepresentasikan modifikasi perangkat lunak yang
sungguh rumit, maka organisasi perlu menguji dengan cermat efek dari patch sebelum
menyebarkannya.
Untuk mengatasi permasalahan pengendalian tersebut, AICPA dan CICA
mengembangkan Trust Service Framework untuk menyediakan panduan penilaian
keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke
dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan
data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok,
atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.

12. 5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
Contoh implementasi keamanan sistem informasi, pencegahan dan pengedaliannya
pada sebuah klinik
Saat ini perkembangan perangkat komputer dan teknologinya sudah demikian pesatnya,
Penggunaannya tidak lagi terbatas pada perusahaan besar saja. Banyak perusahaan-
perusahaan atau instansi kecil, Pemerintah atau swasta yang menggunakan komputer
sebagai sarana untuk meningkatkan efektifitas kerja. Sebagai contoh adalah Klinik
tempat praktek yang terdapat lebih dari satu dokter dan vaksinator yang bekerja dalam
pelayanan kesehatan preventif. Untuk itu diperlukan suatu sistem yang sekiranya dapat
meningkatkan efektifitas dan efisiensi kerja. Selain itu, masih banyak klinik
menggunakan cara manual untuk mencatat seluruh data kesehatan pasien, sehingga data
kesehatan pasien sulit dikontrol mengakibatkan human error dan tidak dapat memberikan
informasi yang akurat. Selama ini dalam hal mencatat data kunjungan pasien serta
pembelian dan penjualan vaksin berlangsung secara manual, sehingga mempengaruhi
efisiensi dan efektivitas kerja. Yang berakibat pelayanan terhadap pasien menjadi sangat
lambat. Pada tugas akhir ini, penulis mencoba menerapkan konsep Sistem Informasi yang
terintegrasi untuk mengelolah data pasien, data reminder, data transaksi , dan data vaksin
dengan bantuan komputer, sejak dari pasien datang untuk vaksinasi, pendataan
persediaan obat/vaksin , penanganan pasien, hingga pencetakan laporan-laporan yang
diperlukan untuk pengambilan keputusan dan pemeliharaan basis data.
Alur transaksi yang terjadi adalah :
1. Pasien yang di vaksin bisa datang langsung atau menghubungi via media elektronik ke
marketing klinik untuk menanyakan perihal biaya dan syarat vaksin.

13. 2. Setelah mendapat kejelasan vaksin tesedia, marketing menginformasikan ke pasien dan
menjadwalkan kedatangan pasien. Marketing menulis di buku rencana kedatangan yang
berisi Nama, Tanggal Kedatangan, Jenis Vaksin.
3. Vaksinator mengecek di buku recana kedatangan, siapa saja pasien yang akan di
vaksin hari itu. Untuk pasien yang langsung vaksin, maka penanganan langsung.
4. Pasien datang melakukan vaksinasi dilayani oleh vaksinator, Setelah pasien di vaksin,
maka vaksinator menulis data di form rekam medis lalu di input di excel, yang berisi
Nama, Tanggal Lahir, Tanggal Datang, Rencana Selanjutnya dan Nama Vaksin.
5. Selain itu Vaksinator/ Medis harus menulis juga pengeluaran produk di Kartu Stok.
6. Dari data di form rekam medis, vaksinator harus merekap dan di input ke data
reminder pasien di program excel.
7. Pasien membayar biaya vaksin ke Kasir.
Kelebihan dan kekurangan dari sistem informasi di klinik tersebut adalah :
 Kekurangan :
1. Lambatnya Bisnis Proses karena Data tidak sinkron
Bisnis proses pada bagan alur diatas masih dilakukan secara manual, sehingga distribusi
data tidak langsung tersebar dengan baik.
2. Tidak ada validasi data master
Data yang diinput dalam Excel atau Buku itu berupa free text dan tidak ada validasi dari
standar master
3. Tidak ada history dari perubahan data
 Kelebihan
1. Alur Transaksi lebih fleksibel
Dengan pencatatan manual memberikan akses penuh oleh Marketing, Vaksinator dll
untuk mengubah alur bisnis. Sehingga terkesan proses bisnis lebih cepat, padahal dengan
dilewatinya tahapan proses tersebut ada yang dilewati. Misalkan data pasien tidak ada
No. KTP dan NO. HP, dll
2. Tidak ada maslah jika mati listrik atau kondisi kerusakan yang lain.

14. Sistem yang manual atau di catat di Buku dan Excel membuat semua tahapan tidak
terkendala dengan teknologi.
Saran untuk perberbaikanya di masa yang akan datang:
1. Dengan adanya sistem yang telah dikomputerisasi disarankan agar sistem ini dapat
digunakan karyawan yang berhubungan agar dapat maksimal dalam penggunaan sistem.
2. Banyaknya data penting yang tersimpan dalam database maka perlu dibuat file
back-up agar keamanan data terjamin.
3. Agar data yang dihasilkan akurat, perlu dibutuhkan ketelitian dari karyawan dalam
menginputkan data.
Dari hal diatas diperlukan suatu pengendalian agar ancaman atau resiko dapat dihindari
atau dikurangi.
1. Pengendalian preventif, detektif dan korektif
Model Preventive adalah teknik pasif yang didesain untuk mengurangi frekuensi
munculnya pristiwa-pristiwa yang tidak diinginkan. Pengendalian preventif sering
disebut juga dengan pengendalian sebelum fakta pengendalian ini digunakan untuk
mencegah ketidak efisienan.
Contoh :
 Memeriksa program baru atau berkas-berkas baru yang mengandung makro dengan
program anti virus sebelum dipakai
 Menyadarkan pada setiap pemakai untuk waspada terhadap virus.
Model Detektif adalah kontrol detektif disebut juga dengan kontrol pertahanan kedua.
Yang termasuk kontrol ini adalah perlatan, teknik dan prosedur yang didesain untuk
mengidentifikasikan dan mengekspos kejadian-kejadian yang tidak diinginkan yang
terlepas dari kontrol preventif.kontrol deteksi mengungkapkan kesalahan spesifik dengan
membandingkan data actual dan standar yang sudah ditetapkan sebelumnya.

15. Contoh :
 Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus.
 Melakukan pembandingan ukuran-ukuran berkas untuk mendeteksi perubahan
ukuran pada berkas
 Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan tanggal
berkas.
Tindakan-tindakan yang diambil untuk mengembalikan efek dari kesalahan yang telah
dideteksi dalam langkah sebelumnya. Perbedaan penegndalian deteksi dan koreksi adalah
penegndalian deteksi mengkalsikasikan pristiewa-pristiwa yang tidak diingikan
sedangkan penegedalian koreksi lebih pada memperbaiki pada masalah.
Setelah kita memahami mengenai model pada pengendalian intern, karena ketiga model
tersebet saling berkaitan satu sama lain sehinggal penulis perlu membahasnya lebih lanjut
lagi. Jika dikaitkan dengan sistem informasi sebagai contoh dokumen merupakan asset
penting bagi perusahaan. Sehinggal dokumen-dokemen diproteksi dengan sebaik-baiknya
oleh perusahaa, salah satu tujuan dari pengendaliuan intern adalah mengamankan asset
perusahaan Salah satu contoh penerapan model pengendalian intern pada perusahaan
dengan mengamankan dokumen atau asset perusahaan agar terhindar dari virus .
Sebagai perusahaan yang sudah terintegrasi dengan sistem informasi dokumen-dokumen
yang disimpan di komputer rentan sekali dengan terkena virus komputer yang dapat
merusak atau bahkan menghilangkan dokumen penting perusahaan. Untuk menghindari
terjangkitnya virus. Administrator perlu menggunakan pengendalian preventif, detektif
dan korektif.
Contoh :
 Memastikan pem-backup-an yang bersih
 Memiliki rencana terdokumentasi tentang pemulihan infeksi virus
 Menjalankan program antivirus untuk menghilangkan virus dan program yang
tertular.
2. Integritas dan keandalan pemrosesan.

16. Integritas dan keandalan pemerosesan adalah pemerosesan sistem bersifat lengkap,
akurat,tepat waktu dan diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila
dapat melaksanakan fungsi yang diperuntukan bagi sistem tersebut secara keseluruhan
dan bebas dari manipulasi sistem, baik yang tidak diotorisasi maupun yang tidak
disengaja.
Contoh
 Semua data disimpen dan disusun dengan baik, atau di back up, sehingga jika ada
data yang ilang atau nyari untuk tahun sebelumnya dapet dengan mudah di temukan.
 Jika terjadi pengapusan data, yang tidak sengaja atau sengaja oleh karyawan yang
ingin berbuat jahat akan dapet dketahui, karena semua kegiatan masing2 komputer
terhubung pada server.
3. Authorization/access control
Authorization adalah proses dimana subyek atau pelaku, telah memenuhi kriteria
identifikasi dan otentikasi, diberikan hak akses atas sesua obyek yang dikendalikan. hak
akses dapat berupa tingkatan-tingkatan tertentu terhadap obyek. Misal: tingkatan
direktori, jenis/klasifikasi dokumen, dll.
Access Control adalah suatu proses untuk mengatur / mengontrol siapa saja yang berhak
mengakses suatu resource-rosource tertentu yang terdapat di dalam sebuah sistem. Di
dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk
mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses
(authorized) untuk mengakses resource tersebut. Access control memproteksi data
terhadap unauthorize access atau akses yang dilakukan oleh orang yang memang tidak
memiliki hak akses terhadap reource tersebut.
Contoh :
 Devisi finance tidak dapet mengakses data devisi accounting, jika devisi finance ingin
mengakse data devisi accounting harus dapet ijin dulu dari defisi accounting dan
melalui devisi TI di perusahaan.

17.  Setiap karyawan mempunyai komputer masing dan setiap komputer di kunci dengan
password hanya karyawan sendiri yang tau password komputernya dan manggunak
komputernya sendiri.
Daftar Pustaka:
Damayanti, khristina. 2017. https://medium.com/@khristdamay/pengendalian-dalam-
sistem-informasi-2a6f87ad8408. 15 Oktober 2018, Jam 17.00
Krismiaji, 2013 Sistem Informasi Akuntansi, edisi 4, YKPN, Yogyakarta
Ibrahim, Irma etc. http://openstorage.gunadarma.ac.id/linux/docs/v06/Kuliah/MTI-
Keamanan-Sistem-Informasi/2005/105/105-5-terlambat-pt-asuransi-maju-bersama.pdf.
15 Oktober 2018, jam 18.00
https://fairuzelsaid.wordpress.com/2010/08/24/cyberlaw-konsep-keamanan-sistem-
informasi/#more-2482
https://fairuzelsaid.wordpress.com/2011/03/19/keamanan-sistem-informasi-konsep-
keamanan-sistem-informasi/
http://student.blog.dinus.ac.id/rienisti/2017/10/09/13/. Rienisti
http://springsensor.blogspot.com/2015/12/makalah-ksi-pentingnya-keamanan-
sistem.html.
http://wendinurhayat.blogspot.com/2018/04/konsep-dasar-keamanan-informasi.html
https://stieasiakel12-simb.blogspot.com/2015/01/pengendalian-sistem-informasi.html

18. https://www.slideshare.net/DianAndriani24/si-pi-dian-andriani-hapzi-ali-konsep-dasar-
keamanan-informasi-pemahaman-serangan-tipe-tipe-pengendalian-prinsipprinsip-the-
five-trust-service-untuk-keandalan-system-universitas-mercu-buana-2018