Dokumen tersebut membahas konsep dasar keamanan sistem informasi dan jenis serangan komputer. Jenis pengendalian sistem informasi dan prinsip-prinsip keandalan sistem meliputi keamanan, kerahasiaan, privasi, integritas pemrosesan, dan ketersediaan. Dokumen ini juga menjelaskan implementasi keamanan sistem informasi dan jaringan di SMA Negeri 3 Bekasi.

1. KONSEP DASAR KEAMANAN SISTEM INFORMASI, PEMAHAMAN
SERANGAN, TIPE-TIPE PENGENDALIAN DAN PRINSIP THE FIVE
TRUST SERVICE UNTUK KEANDALAN SISTEM SERTA
IMPLEMENTASINYA DI SMA NEGERI 3 BEKASI
Disusun oleh:
Wawan Dwi (55517120062) Mahasiswa Universitas Mercubuana
Prof. Dr. Hapzi Ali, CMA Dosen Universitas Mercubuana
Pascasarjana, Magister Akuntansi
Universitas Mercubuana
Jakarta
2018
A. Keamanan Sistem Informasi
Peningkatan hubungan perusahaan dengan pihak yang berkepentingan
membuat sistem informasi lebih rentan terhadap masalah, seperti masalah
keamanan data sistem informasi perusahaan. Keamanan informasi mencegah
penggunaan informasi yang tidak sesuai, serta tindakan pencurian informasi
(Mardi, 2011). Sementara itu, keamanan informasi menggambarkan usaha untuk
melindungi komputer dan non-peralatan komputer, fasilitas, data, dan informasi
dari penyalahgunaan oleh orang yang tidak bertanggung jawab (McLeod dan
Schell, 2004). Sehingga keamanan sistem informasi dapat diartikan sebagai
tindakan preventif untuk melindungi informasi serta perangkat sistem informasi
dari pihak internal maupun eksternal yag tidak bertanggung jawab.
Adanya kebutuhan dan jaminan sistem informasi, maka dibutuhkan
tindakan evaluasi yang secara independen menguji dan memverifikasi keandalan
sistem. Ada beberapa prinsip untuk mengevaluasi keandalan suatu sistem menurut
Mardi (2011):
1. Ketersediaan

2. Tersedianya pelayanan dan perawatan sistem secara tepat waktu, baik
pada hardware maupun software akibat adanya sabotase yang disengaja atau
akibat bencana alam lainnya dengan pembuat sistem.
2. Keamanan
Untuk keamanan sistem ini dobutuhkan pembagian tugas dan
wewenang dalam fungsi sistem, melakukan pengendlaian fisik dan logis
serta pengendalian teknologi informasi (perangkat komputer, jaringan
server dan internet).
3. Pemeliharaan
Pemeliharaan dapat dilakukan melalui pengembangan proyek (rencana
utama strategis, pengendalian proyek,jadal pemrosesan data, pengukuran
kinerja sistem, peninjauan pasca implementasi) dan perubahan
pengendalian manajemen (berupa melakukan cek ulang semua sistem,
pembaharuan semua dokumen dan prosedur, pengendalian hak akses
sistem).
4. Terintegritas
Sistem dikatakan telah memiliki integritas jika sistem itu dapat
melaksanakan fungsi yang ditargetkan kepadanya secara utuh dan tidak ada
aspek lain yang mempengaruhinya.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem
informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi
dimaksudkan untuk mencapai tiga sasaran utama yaitu (Pamuji, 2016):
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-
orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha
untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
2. Ketersediaan

3. Aspek ini berhubungan dengan metode untuk menyatakan bahwa
informasi benar-benar asli, atau orang yang mengakses atau memberikan
informasi adalah betul-betul orang yang dimaksud.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa izin. Sistem informasi perlu menyediakan
representasi yang akurat dari sistem fisik yang direpresentasikan.
B. Serangan Komputer
Keamanan merupakan faktor penting yang perlu diperhatikan dalam
pengoperasian sistem informasi. Serangan komputer adalah sebuah ancaman dan
gangguan terhadap sistem serta untuk mendeteksi dan memperbaiki akibat segala
kerusakan sistem. Departemen Kehakiman Amerika Serikat mendefinisikan
Computer Fraud sebagai tindak ilegal apa pun yang membutuhkan pengetahuan
teknologi komputer untuk melakukan tindakan awal penipuan, penyelidikan atau
pelaksanaannya. Dengan menggunakan komputer, seorang pelaku penipuan dapat
mencuri lebih banyak dalam waktu dan usaha yang lebih sedikit. Jenis-jenis
serangan antara lain sebagai berikut:
1. Hacking
Hacking adalah kegiatan menerobos program komputer milik orang/pihak
lain. Hacker adalah orang yang gemar ngoprek komputer, memiliki keahlian
membuat dan membaca program tertentu, dan terobsesi mengamati keamanan
(security)-nya (Ibnu Zakaria, 2014). Hacking juga dapat diartikan akses ke dan
penggunaan sistem komputer secara tidak sah, biasanya dilakukan melalui
komputer pribadi dan jaringan telekomunikasi (Roomney dan Steinbart, 2006).
Sementara itu hakcing adalah akses yang tidak sah, modifikasi atau
penggunaan sistem komputer atau perangkat elektronik lainnya (Luthansa,
2014). Sehingga dapat diartikan bahwa hacking adalah suatu kegiatan

4. mengakses ke pengguna sistem komputer lain secara tidak sah, biasanya
termotivasi untuk menerobos masuk ke sistem komputer.
2. Social Engineering
Dalam rekaya sosial, para pelaku menipu pegawai untuk memberikan
informasi yang dibutuhkan agar dapat masuk ke dalam sistem (Roomney dan
Steinbart, 2006). Social Engineering juga dapat diartikan manipulasi cerdas
seorang hacker memanfaatkan sifat alami manusia yang cenderung mudah
untuk percaya, untuk memperoleh informasi yang memungkinkannya untuk
mendapatkan akses tidak sah ke suatu sistem berikut pula informasi yang ada
pada sistem tersebut (Mudyautama, 2006). Sementara itu rekayasa sosial
adalah teknik psikologis untuk mendapatkan akses data atau informasi yang
sensitif (Luthansa, 2014). Sehingga social engineering adalah sebuat teknik
penipuan kepada pegawai yang mudah percaya untuk dapat masuk ke dalam
sistem sehingga memperoleh informasi yang dibutuhkan.
3. Round Down
Round Down diartikan komputer membulatkan ke bawah seluruh
perhitungan hingga dua desimal ke belakang koma, sisa sen lainnya diletakkan
dalam sebuah rekening yang dikuasai oleh pelaku penipuan. (Roomey dan
Steinbart, 2006). Teknik ini merupakan bagian program yang akan
membulatkan nilai pecahan ke dalam nilai bulat dan mengumpulkan nilai-nilai
pecahan yang dibulatkan tersebut (Djagia, 2014). Sehingga roundown dapat
diartikan kegiatan memprogram komputer untuk membulatkan ke bawah nilai-
nilai pecahan dan mengumpulkannya di sebuah rekening pelaku penipuan.
4. Data Diddling
Data diddling adalah merubah data sebelum, atau selama proses dan sesudah
proses dari sistem informasi (Febriani, 2015). Sementara itu data diddling juga
dapat diartikan membuat perubahan data sebelum, selama, atau sesudah data
itu masuk ke dalam sistem (Luthansa, 2014). Data diddling atau mengacak data
merupakan mengubah data sebelum, selama atau setelah dimasukkan ke sistem

5. dengan tujuan menghapus, mengubah atau menambah sistem data utama
(Roomney dan Steinbart, 2006). Sehingga data diddling diartikan sebagai suatu
kegiatan mengubah data ketika data tersebut sebelum, selama atau sesudah
dimasukkan ke dalam sistem dengan tujuan mengubah data tersebut.
C. Tipe-Tipe Pengendalian
Kita hidup dalam era teknologi informasi saat ini memiliki kemudahan
untuk mengakses berbagai informasi yang dibutuhkan. Bagi perusahaan yang
memiliki sistem informasi berbasis komputer, membutuhkan suatu pengendalian
yang dapat mengamakan data dan aset perusahaan dari gangguan pihak lain yang
tidak bertanggung jawab. Pengendalian berbasis komputer antara lain sebagai
berikut (Mardi, 2011):
1. Pengendalian Sistem Informas
Keamanan sistem operasi melibatkan prosedur, kebijakan dan
pengendalian untuk menentukan siapa yang dapat mengakses sistem
operasi, sumber daya mana yang dapat mereka akses, dan tindakan apa saja
yang dapat mereka lakukan. Komponen yang terdapat dalam sebuah sistem
operasi yang aman, yaitu: prosedur log on, kartu akses dan daftar kontorl
akses.
2. Pengendalian Manajemen Data
Pengendalian manajemen data memiliki dua kategori umum berikut:
Kontrol akses, yaitu kontrol yang dirancang untuk mencegah individu yang
tidak sesuai memiliki otorisasi untuk mengambil, merusak atau
menghilangkan data perusahaan. Dan kontrol pendukung, yaitu kontorl
yang memastikan bahwa dalam peristiwa hilangnya data karena akses yang
tidak sah perusahaan dapat memulihkan database secepatnya.
3. Pengendalian Struktur Organisasi

6. Pengendalian struktur organisasi merupakan pengendalian yang
meliputi adanya pemisahan tugas dan wewenang dalam perusahaan secara
sentralisasi dan membuat fungsi jasa komputer perusahaan.
4. Pengendalian Pengembangan Sistem
Pengendalian pengembangan sistem berupa tindakan yang dilakukan
oleh perusahaan untuk mengendalikan aktivitas pengembangan sistem baru,
maka perusahaan harus melakukan pengendalian pengembangan sistem dan
melakukan tindakan sebagai berikut, yaitu: pengesahan sistem, proses
penentuan spesifikasi pengguna, kegiatan desain teknis, keterlibatan audit
internal, tes program dan evaluasi pemakai dan prosedur penerimaan.
5. Pengawasan Pemeliharaan Sistem
Pengawasan pemeliharaan sistem terdiri atas otorisasi pemeliharaan,
pengujian, dokumentasi dam pengendalian referensi sumber.
6. Pengamanan Pusat Komputer
Pengamanan yang dapat dilakukan meliputi: penjagaan pusat komputer,
ketersediaan backup situs kedua, tersedia daftar aplikasi penting, dan
adanya tim pemulihan kerusakan.
7. Pengamanan terhadap Jaringan
Pengawasan terhadap risiko dari serbuan para perusak program
komputer dengan memasukkan pesan kepada penerima dan pengawasan
dilakukan kepada orang yang melakukan tindakan sabotase pada jaringan
komputer perusahaan. Pengendalian jenis ini dapat diatasi dengan:
menyiapkan firewall, pengendalian penolakan terhadap serangan pelayanan,
menyiapkan sistem enkripsi data dan menyediakan tanda tangan digital dan
sertifikasi digital.
8. Pengendalian Aplikasi

7. Pengendalian aplikasi pada sistem tertentu, seperti sistem pembayaran
gaji, pembelian, dan sistem pengeluaran kas atau tergantung pada sistem
yang dipakai.
D. Prinsip-Prinsip The Five Trust Service untuk Keandalan Sistem
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan
dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat
penting karena mengamati setiap tahapan daam proses pengelolaan informasi.
Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk
mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada
saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian
dari sistem informasinya ke cloud. Untuk mengatasi permasalahanpengendalian
tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk
menyediakan panduan penilaian keandalan sistem informasi. Trust Service
Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi
secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap
sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna
yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang
sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari
pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai,
pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan,
dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan
persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa
ijin.

8. 4. Integritas Pemrosesan (processing integrity), dimana data diproses secara
akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
E. Keamanan Sistem Informasi dan Jaringan di SMA Negeri 3 Bekasi
Sistem jaringan di SMAN 3 Bekasi terdapat sistem jaringan kantor. Sistem
jaringan kantor menghubungkan ruang guru, ruang tata usaha, ruang kepala sekolah
dan labolatorium sekolah. Sistem operasi yang digunakan adalah sistem operasi
windows. Sistem pengolahan data maupun sistem informasi akuntansi
mengandalkan program microsoft office. Arsitektur yang digunakan dalam jaringan
LAN yang digunakan ini adalah arsitektur jaringan server-client yang terdapat satu
komputer server dan satu atau lebih komputer client dalam jaringan komputer
tersebut. Ancaman yang paling sering dialami adalah virus pada perangkat
komputer sekolah, hal tersebut dapat membahayakan data dan pemrosesan
informasi sekolah. Pengendalian sistem keamanan informasi dan jaringan yang
dilakukan sebagai berikut:
a. Pemisahan tugas dan fungsi yang jelas sehingga membutuhkan
kemampuan untuk mendapatkan akses data.
b. Membatasi akses ke komputer server dan komputer user sesuai dengan
pihak yang memiliki wewenang penggunaannya.
c. Melakukan autentikasi pada setiap penggunaan komputer dengan username
dan pasword yang telah ditentukan.
d. Memasang program anti virus dan memperbaharui anti virus pada setiap
komputer. Antivirus yang digunakan pada setiap komputer di SMAN 3
Bekasi adalah smadav anti virus.
e. Melakukan backup data dengan menggunakan hardisk eksternal.

9. F. Daftar Pustaka
Djagia, Cindy angela, 2014. http://cindydjagia.blogspot.co.id/2014/01/contoh-
kejahatan-di-bidang-komputer.html. 16 Maret 2018
Febriani,2015.ftp.gunadarma.ac.id/handouts/S1_Sistem%20Informasi.1/Febri
ani/Keamanan.doc. 16 Maret 2018
Luthansa, 2014. https://www.slideshare.net/Luthansa/penipuan-dan-teknik-
penyalahgunaan-komputer. 15 Maret 29018
Mardi. 2011. Sistem Informasi Akuntansi. Bogor: Ghalia Indonesia
Mudtautama, Prana. 2006. Social Engineering : Definisi, Contoh Kasus serta
Pencegahannya. Institut Teknologi Bandung
Pamuji, Ridlo. 2016. Etika dan Keamanan Sistem Informasi. Yogyakarta:
Universitas Mercu Buana
Roomney, Marshall B dan Steinbert, Paul John. 2006. Sistem Informasi
Akuntansi. Jakarta: Salemba Empat
Zakaria, 2014. https://ibnuzakaria4.wordpress.com/2014/05/07/pengertian-
hacking-cracking-carding-phishing-spamming-dan-defacing/. 15 maret
2018