Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, universitas mercu buana, 2018
Dokumen tersebut memberikan ringkasan tentang sistem informasi dan pengendalian internal di PT Asuransi Maju Bersama. Dokumen tersebut menjelaskan pengelompokan aset informasi perusahaan, kebijakan keamanan informasi, serta ancaman dan tipe serangan terhadap sistem informasi perusahaan beserta langkah mitigasinya.
Similar to Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, universitas mercu buana, 2018
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
Similar to Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, universitas mercu buana, 2018 (20)
Sipi, raditya wijaksono, hapzi ali,konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, universitas mercu buana, 2018
1. TUGAS
SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
DOSEN: Prof. Dr.Ir.Hapzi Ali, MM,CMA
Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The
Five Trust Service untu keandalan system
Di Buat Oleh:
Raditya Wijaksono
55517120009
FAKULTAS EKONOMI DAN BISNIS
JURUSAN MAGISTER AKUNTANSI
JAKARTA
2018
2. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The
Five Trust Service untu keandalan system
Analisa dan Praktek-Praktek Manajemen Keamanan di PT. Asuransi Maju Bersama
1. Pengelompokan Informasi
Saat ini di PT Asuransi Maju Bersama sama sekali belum dilakukan pendefinisian terhadap
informasi secara formal. Untuk itu maka penulis merekomendasikan pendefinisian asset
informasi yang dimiliki perusahaan tersebut. Langkah pertama adalah mengidentifikasikan asetaset
informasi yang dimiliki. Selanjutnya adalah mengidentifikasi administrator atau pemelihara
masing-masing informasi tersebut. Berikut adalah aset-aset ICT milik PT Asuransi Maju Bersama
yang berhasil diidentifikasi:
Aset tangible, terdiri dari
a) 4 server HP
b) 2 server berbasis PC
c) 1 Tape backup drive HP
d) 2 UPS APC
e) 1 Cable modem
f) 45 buah PC
g) 1 printer dot matrix Epson LQ-2180
h) 1 printer dot matrix Epson LX-300
i) 2 printer laser HP 2300
j) 1 printer laser HP 6P
k) 2 printer laser HP 1010
l) 6 printer bubble jet HP 690C
m) 2 print server D-Link
n) 1 print server HP JetDirect
o) 2 scanner HP
3. p) 1 PABX
q) 45 pesawat telepon
Aset intangible, terdiri dari
a) 6 license Windows 2000 Server
b) 45 license Windows XP Professional
c) Informasi pemegang polis
d) Informasi keuangan
e) Informasi kepegawaian
f) Informasi agen asuransi
g) Informasi produk asuransi
h) Informasi cadangan asuransi
i) Informasi topologi jaringan
j) Informasi source code aplikasi asuransi
k) Informasi alamat dan password e-mail Internet
Tidak semua informasi dipelihara oleh Departemen IT. Ada beberapa data yang dipelihara oleh
departemen yang bersangkutan, dan bahkan ada yang dipelihara oleh pihak vendor
Berikut adalah penjelasan dari masing-masing aset informasi yang berada di dalam PT Asuransi
Maju Bersama:
1. Informasi keuangan. Informasi ini adalah rahasia. Pihak luar tidak boleh mengetahui berapa
margin yang diperoleh dari setiap produk, dan sebagainya. Selain itu integritas data harus dijaga
karena berhubungan dengan penagihan kepada pemegang polis dan vendor; apabila integritas
data terganggu maka kredibilitas perusahaan dapat terganggu. Ketersediaan data juga penting
karena penagihan harus dilakukan tepat waktunya untuk menjaga arus cash flow perusahaan.
2. Informasi kepegawaian. Informasi ini adalah rahasia. Seorang pegawai tidak boleh
mengetahui informasi kepegawaian dari pegawai yang lain, seperti besar gaji, penilaian kinerja,
4. dan lain-lain. Pihak luar pun tidak boleh mengetahui informasi tersebut.
3. Informasi pemegang polis. Informasi ini adalah rahasia. Terganggunya integritas informasi ini
akan dapat merugikan baik pemegang polis maupun perusahaan.
4.Informasi agen asuransi. Terganggunya integritas informasi ini akan dapat merugikan baik
agen asuransi maupun perusahaan.
5. Informasi definisi produk asuransi. Terganggunya kerahasiaan informasi ini akan dapat
merugikan perusahaan dan sebaliknya dapat menguntungkan pesaing.
6. Informasi cadangan asuransi. Informasi ini rahasia, sebab berhubungan dengan kesehatan
finansial perusahaan. Pihak yang tak berhak dapat menggunakannya untuk mendiskreditkan
perusahaan.
7. Informasi alamat dan password e-mail perusahaan. Informasi ini rahasia. Apabila jatuh ke
pihak luar maka segala komunikasi di antara manajer, pegawai, dan rekan usaha perusahaan
yang umumnya bersifat rahasia dapat diketahui.
8. Informasi source code aplikasi. Informasi ini rahasia. Apabila diketahui pihak luar maka akan
sangat merugikan perusahaan, karena besarnya biaya yang dikeluarkan untuk pengembangan
aplikasi tersebut.
9. Informasi topologi jaringan. Informasi ini rahasia. Apabila diketahui pihak luar maka akan
dapat dimanfaatkan untuk mempelajari kelemahan dari LAN perusahaan dan melakukan akses
ilegal ke dalamnya.
Untuk menghindari ancaman-ancaman tersebut maka PT. Asuransi Maju Bersama
disarankan untuk membuat pengawasan dan kendali keamanan sebagai berikut:
1. Pencegahan. Tindakan pencegahan dilakukan dengan cara:
• Pembelian perangkat lunak antivirus yang dipasang di tiap komputer.
• Pembelian perangkat keras firewall.
• Melakukan update software, baik sistem operasi, aplikasi, anti-virus dan firewall secara rutin.
5. • Melakukan enkripsi semua data dan e-mail yang bersifat rahasia.
• Penggunaan aplikasi hanya dapat dilakukan oleh orang yang berwenang.
• Pemakai tidak diberikan hak akses administrator di PC-nya.
• Pembelian alat pemadam kebakaran dengan jenis yang tidak merusak peralatan komputer
dan elektronik lainnya.
• Penggunaan akses Internet dial-up sebagai cadangan.
• Memperketat proses pemeriksaan latar belakang calon pegawai.
• Data hanya dapat dilihat dan digunakan oleh orang yang berwenang dan memerlukannya.
• Data hanya dapat digunakan secara internal tidak dapat dibuat salinannya untuk dibawa
keluar dari perusahaan.
• Dibuat prosedur keamanan yang berlaku di dalam perusahaan.
• Melakukan backup secara rutin dan dengan menggunakan prosedur back-up yang benar.
• Penerapan rencana disaster recovery dan business continuity.
2. Deteksi. Tindakan deteksi dilakukan dengan cara:
§ Melakukan pemeriksaan kondisi fisik perangkat keras secara rutin untuk menghindari
terjadinya kegagalan perangkat keras.
§ Melakukan pemeriksaan komputer secara rutin terhadap virus.
§ Melakukan pemeriksaan terhadap backup yang dihasilkan.
3. Represi. Tindakan Represi dilakukan dengan cara:
§ Melakukan pembatasan akses jaringan internal perusahaan dengan memanfaatkan
Access Control List, MAC address, dan Virtual LAN.
§ Melakukan pembatasan akses internet hanya untuk bagian yang memang harus berhubungan
dengan pihak di luar perusahaan.
4. Perbaikan. Tindakan perbaikan dilakukan dengan cara melakukan prosedur backup yang
benar.
6. 5. Evaluasi. Tindakan Evaluasi dilakukan dengan cara melakukan evaluasi tahunan atas
keamanan sistem teknologi informasi yang dimiliki, meninjau ulang segala masalah yang terjadi
dalam setahun terakhir, dan bagaimana cara penanganannya agar masalah tersebut tidak
terulang kembali.
2.2.2Kebijakan Keamanan
Saat ini PT Asuransi Maju Bersama sudah memiliki kebijakan TI. Berikut adalah kebijakan IT
perusahaan tersebut:
1. Setiap informasi, data, peralatan komputer harus dipastikan aman dan tidak untuk
informasikan / dipublikasikan kepada pihak yang tidak berhak. Adalah tanggung jawab seluruh
staff untuk menjaga kerahasiaan data nasabah.
2. Seluruh staff harus memahami kebijakan pengamanan informasi yang dikeluarkan
oleh perusahaan.
3. Peralatan komputer dan tempat kerja harus selalu terjaga kebersihannya. Peralatan
komputer harus dijauhkan dari minuman atau sesuatu yang dapat mengakibatkan
kerusakan peralatan. Dilarang membawa makanan/minuman ke dalam ruang server.
4. Setiap proses harus berjalan sesuai dengan jadual yang ditetapkan oleh Divisi Optec.
5. Seluruh Komputer harus mengaktifkan ‘screen saver’ untuk menghindarkan dari
pemakai yang tidak berhak.
6. IT harus memastikan bahwa sistem komputer aman, integritas dan kerahasiaan
datanya terjaga, memiliki proses otentikasi yang semestinya, serta informasi yang
dihasilkan tidak tersanggah (non repudiation)
7. Setiap sistem Produksi harus didukung oleh Strategi Backup and Strategi Recovery.
Semua strategi ini harus di dokumentasikan, tes, dan dibuktikan sebelum di
implementasikan. Backup Strategy sudah mencakup rencana backup harian.
8. Seluruh prosedur harus dikaji ulang paling sedikit sekali dalam setahun dan disetujui
7. oleh Kepala Divisi Optec.
9. Seluruh kebijakan dan panduan harus di kaji ulang paling sedikit sekali dalam setahun
disetujui oleh Kepala Divisi Optec dan Presiden Direktur.
10.Seluruh pengecualian harus diperlakukan kasus per kasus dan dikaji ulang oleh
Kepala Divisi Optec dan disetujui oleh Presiden Direktur.
11.Setiap perubahan, baik software maupun hardware, yang berdampak pada sistem
produksi harus disetujui, di tes, dan dibuktikan hasilnya serta didokumentasikan.
12.Setiap user ID dan hak aksesnya harus mendapatkan persetujuan dari kepala divisi
yang bersangkutan. Hanya personil yang ditunjuk berhak menambah dan menghapus
User-ID serta merubah hak akses.
13.Setiap password harus dibuat minimal 6 karakter (tidak mudah ditebak) dan harus
diganti setiap 90 hari. Setiap perubahan password baru harus berbeda dengan 7
(tujuh) password yang sebelumnya.
14.User ID dan Password tidak untuk diberikan kepada orang lain. Setiap orang
bertanggung jawab terhadap setiap transaksi yang dilakukan dengan menggunakan
User-ID-nya.
15.Setiap perubahan pada sistem aplikasi harus diotorisasi , di tes, dan disetujui oleh
‘system owner’ sebagai bagian dari prosedur UAT. Seluruh hasil tes UAT harus di kaji
ulang dan didokumentasikan oleh ‘system owner’.
16.Seluruh kegiatan pengembangan aplikasi harus dijalankan di dalam lingkungan yang
sama sekali terpisah dari sistem Produksi. Seluruh kegiatan pengembangan harus
mengacu kepada metodologi pengembangan perangkat lunak yang telah diterapkan di
perusahaan.
17.Setiap kunjungan ke ruang server harus terlebih dahulu mendapatkan persetujuan dari
pihak yang ditunjuk dan selalu didampingi oleh personil yang ditunjuk selama waktu
8. kunjungan.
18.Hanya personil dari IT yang diijinkan untuk mengakses server produksi untuk tujuan
support. Akses ke dalam sistem produksi ini hanya bersifat sementara dan harus
dihentikan sesaat setelah pekerjaan diselesaikan.
19. ‘Disaster Recovery Plan’ harus di tes setiap tahun.
20.Seluruh pembelian peralatan komputer hanya dapat dilakukan dengan sepengetahuan
dan atas persetujuan dari ‘Board Of Director’.
21.Setiap data dan laporan dari sistem tidak boleh diberikan kepada siapapun kecuali
telah mendapatkan persetujuan secara tertulis dari Kepala Divisi.
22.Setiap media data, seperti disket, USB disk, tape, dan CD tidak boleh dihubungkan ke
dalam sistem komputer perusahaan sebelum mendapatkan persetujuan dari Kepala
Divisi Optec. Hal ini untuk menghindarkan dari penyebaran virus. Seluruh media data
dan sistem komputer harus diperiksa secara periodik untuk memastikan bebas virus.
23.Pemberian akses ke internet hanya dapat diberikan dengan persetujuan dari Board Of
Director.
24.IT berkewajiban memastikan ‘Data Network’ aman dan terlindungi dari akses oleh
pihak yang tidak diberi ijin.
25.Penyalahgunaan, pelanggaran, dan ketidaknormalan harus segera dilaporkan kepada
Kepala Divisi Optec dan Board Of Director.
26.Setiap staf, vendor, dan partner usaha yang menyalahgunakan peralatan computer
dan seluruh aset perusahaan serta tidak mematuhi kebijakan ini dan kebijakan
perusahaan lainnya akan dikenakan sangsi indispliner yang dapat berakibat pada
pemutusan hubungan kerja, pemutusan kontrak, atau pemutusan hubungan usaha.
27.Kebijakan ini harus di kaji ulang secara berkelanjutan minimal satu tahun sekali dan
disetujui oleh Board Of Director. Setiap pengecualian, seperti ketidakcocokan dengan
9. kebijakan ini, harus mendapatkan persetujuan dari Board Of Director.
2.2.3Standar-Standar, Pedoman-Pedoman, dan Prosedur-Prosedur
Saat ini Departemen IT di PT Asuransi Maju Bersama belum memiliki standarstandar,
pedoman-pedoman, maupun prosedur-prosedur yang berhubungan dengan
pengamanan aset Teknologi Informasi. Untuk itu penulis merekomendasikan
pembuatannya dengan disetujui dan disponsori oleh board of director kemudian
disosialisasikan ke seluruh pegawai.
Konsep dasar Keamanan Informasi dan Pemahaman Serangannya
Aspek keamanan didefinisikan kelima titik ini :
Kerahasiaan (Confidentiality) Membutuhkan bahwa informasi (data) hanya bisa diakses oleh mereka
yang memiliki otoritas.
Integritas (Integrity) Membutuhkan bahwaa informasi hanya dapat diubah oleh pihak yang memiliki
otoritas.
Ketersediaan (Availability ) Mensyaratkan bahwa ketersediaan informasi yang tersedia bagi mereka yang
memiliki wewenang ketika dibutuhkan.
Otentikasi (Authentication) Membutuhkan bahwa pengirim informasi dapat diidentifikasi dengan benar
dan tidak ada jaminan bahwa identitas palsu tidak diperoleh.
Nonrepudiation Membutuhkan bahwa baik pengirim dan penerima informasi tidak dapat menyangkal
pengiriman dan penerimaan pesan.
Attack (Serangan) untuk keamanan dapat dikategorikan ke dalam empat kategori utama :
Gangguan (Interruption) Aset dari sistem di bawah serangan sehingga menjadi tidak tersedia atau tidak
dapat digunakan oleh pihak berwenang. Contohnya adalah perusakan / modifikasi perangkat keras atau
jaringan saluran.
Intersepsi (Interception) Orang yang tidak berwenang mendapatkan akses ke aset. Pihak bersangkutan
dimaksud bisa orang, program, atau sistem lain. Contohnya adalah penyadapan data dalam jaringan.
10. Modifikasi (Modification) Orang yang tidak berwenang dapat membuat perubahan pada aset.
Contohnya adalah perubahan nilai file data, memodifikasi program sehingga tidak beres, dan modifikasi
pesan yang sedang ditransmisikan dalam jaringan.
Fabrikasi (Fabrication) Sebuah pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Contohnya adalah mengirimkan pesan palsu kepada orang lain.
Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan :
Diam dan semua akan baik-baik saja
Menyembunyikan dan mereka tidak akan dapat menemukan Anda
Teknologi yang digunakan kompleks / Unix, yang berarti aman.
Administrator Jaringan Komputer
Administrator Jaringan Komputer adalah jenis pekerjaan yang sangat dibutuhkan saat ini, terutama di
perusahaan / instansi yang telah menerapkan teknologi komputer dan internet untuk mendukung
pekerjaan.
Penggunaan sistem jaringan komputer dalam skala kecil dan besar akan memerlukan pengaturan mulai
dari tingkat fisik dan non-fisik. Pengaturan ini melibatkan proses kontrol. Ada beberapa definisi
administrasi jaringan, antara lain :
Controlling corporate strategic (assets) (Mengendalikan strategis (aset))
Controlling complekxity (complekxity pengendali)
Improving service (layanan yang baik)
Balancing various needs (menyeimbangkan berbagai kebutuhan)
Reducing downtime (mengurangi downtime)
Controlling costs (biaya pengendalian)
Pada dasarnya, administrator jaringan bertugas mengelola dan memelihara semua sumber daya pada
kinerja jaringan sistem jaringan yang lebih efektif dan efisien dilihat dari fungsi, struktur dan keamanan
jaringan itu sendiri.
Sebelum tugas dan tanggung jawab berikut ini adalah beberapa hal umum yang harus dikuasai seorang
administrator jaringan ;
Pengetahuan teori dasar dan praktek komputer, sangat penting karena menjadi administrator jaringan
komputer paham dengan bagaimana sistem komputer itu sendiri dapat dipahami dengan baik.
11. Pengetahuan tentang hardware jaringan komputer seperti; repeater, hub, switch, router, antena, kabel
dan berbagai perangkat pendukung lainnya, pemahaman yang meliputi cara kerja, instalasi dan
konfigurasi.
Memahami routing Pemahaman tentang teori dan konfigurasi routing harus dikuasai dengan baik untuk
dapat membangun jaringan yang baik itu sangat diperlukan, terutama jika komputer atau perusahaan
sub-organisasi yang sangat banyak.
Pengetahuan tentang sistem keamanan komputer, terutama jaringan (keamanan jaringan) akan sangat
membantu dan memberikan nilai lebih.
Selain kemampuan teori dan praktek yang harus unggul dalam hal lain adalah memiliki etika profesional,
ada etika profesi dan tidak ada sikap yang tidak baik maka semua kemampuan menguasai teori dan
praktek tidak akan berarti banyak.
Fungsi dan Tugas Administrator Jaringan
Ada beberapa fungsi dan administrator, tetapi secara garis besar dapat dinyatakan dari irisan antara
jaringan, hardware, dan aplikasi. Tugas administrator jaringan :
Manajemen keamanan (Security managemen) pekerjaan berfokus pada masalah Network administrator
keamanan jaringan adalah sebagai berikut :
Firewall adalah sebuah sistem atau perangkat yang memungkinkan lalu lintas jaringan yang dianggap
aman untuk melalui itu dan mencegah lalu lintas jaringan yang dianggap aman untuk melaluinya dan
mencegah lalu lintas yang dianggap tidak aman.
Username : Nama pengguna akan digunakan sebagai informasi untuk login Password Control : password
control adalah yang dimiliki oleh pengguna system.
Resource access : admin jaringan dapat melakukan pembatasan penggunaan sumber daya sesuai
dengan izin yang diberikan.
Tipe-Tipe pengendalian
Pengendalian adalah fungsi terakhir dari proses manajemen , pengendalaina sangat menentukan
pelaksanaan dari proses manajemen maka dari itu pengendalian hatus dilakukan dengan sebaik –
baiknya. Controlling bisa dikatakan Usaha menentukan apa yang sedang dilaksanakan dengan cara
menilai prestasi yang dicapai, kalau terdapat penyimpangan dari standard yang ditetapkan.
• Pengendalian adalah proses dalam menetapkan ukuran kinerja dan pengambilan tindakan yang
dapat mendukung pencapaian hasil yang diharapkan sesuai dengan kinerja yang telah ditetapkan
tersebut.Controlling is the process of measuring performance and taking action to ensure desired
results. (Schermerhorn,2002)
12. • Pengendalian adalah proses untuk memastikan bahwa segala aktifitas yang terlaksana sesuai
dengan apa yang telah direncanakan . the process of ensuring that actual activities conform the planned
activities. (Stoner,Freeman,&Gilbert,1995).
Unsur Pengendalian:
• 1. Detektor atau sensor
• 2. Assesor atau penilai
• 3. Efektor atau pengubah
• 4. Jaringan Komunikasi
Langkah-langkah pengendalian
penting pada proses pengendalian dapat digolongkan ke delapan elemen, yaitu:
- Mengidentifikasikan tujuan dan strategi.
· Penyusunan program.
· Penyusunan anggaran.
· Kegiatan dan pengumpulan realisasi prestasi
· Pengukuran prestasi.
· Analisis dan pelaporan.
· Tindakan koreksi.
· Tindakan lanjutan.
JENIS-JENIS PENGENDALIAN
Berdasarkan bagian yang akan diawasi pengawasan dibedakan atas :
1. Pengendalian karyawan (Personal control).
Pengendalian ini ditujukan kepada hal-hal yang ada hubungannya dengan kegiatan pegawai, apakah
pegawai bekerja sesuai dengan perintah, rencana, tata kerja, absensi pegawai dan lain-lain.
2.pengendalian keuangan (financial control)
Pengendalian ini ditujukan untuk hal-hal yang menyangkut keuangan,tentang pemasukan dan
pengeluaran,biaya-biaya perusahaaan termasuk pengendalian anggaranya.
3.pengendalian produksi (Production control).
13. Yaitu pengendalian yang difokuskan untuk mengetahui kualitas dan kuantitas produksi yang dihasilkan,
apakah sesuai dengan standar atau rencananya.
4. Pengendalian waktu (Time control)
Pengendalian ini ditujukan kepada penggunaan waktu, artinya apakah waktu untuk mengerjakan suatu
pekerjaan sesuai atau tidak dengan rencana.
5. pengendalian teknis (Technical control)
Pengendalian ini ditujukan kepada hal-hal yang bersifat fisik, yang berhubungan dengan tindakan dan
teknis pelaksanaan.
6. Pengendalian kebijaksanaan (Policy control).
pengendalian ini ditujukan untuk mengetahui dan menilai apakah kebijaksanaan organisasi telah
dilaksanakan sesuai dengan yang digariskan.
7. pengendalian penjualan (Sales control)
Pengendalian ini ditujukan untuk mengetahui apakah produksi yang dihasilkan terjual sesuai rencana
yang ditentukan.
8.Pengendalian inventaris (inventory control)
Pengendalian ini ditujukan untuk mengetahui apakah inventaris perusahaan masih ada semuanya atau
ada yang hilang.
9.Pengendalian pemeliharaan (maintenance control)
Pengendalian ini ditujukan untuk mengetahui apakah semua inventaris perusahaan dan kantor
terprlihara atau tidak,dan mengetahui kerusakan.
PROSES DAN CARA-CARAPENGENDALIAN
Langkah-langkah proses pengendalian :
1. Menentukan standar-standar yang akan digunakan sebagai dasar pengendalian.
2. Mengukur pelaksanaan atau hasil yang telah dicapai.
3. Membandingkan pelaksanaan atau hasil dengan standard an menentukan penyimpangan jika ada.
4. Melakukan tindakan perbaikan, jika terdapat penyimpangan agar pelaksanaan dan tujuan sesuai
dengan rencana.
Rencana juga perlu dinilai ulang dan dianalisis kembali,apakah sudah benar-benar realistis atau tidak.jika
belum benar atau realistis maka rencana itu harus diperbaiki.
14. Cara-cara pengendalian
1. Pengawasan langsung
Pengawasan yang dilakukan sendiri secara langsung oleh seorang manajer.Manajer memeriksa
pekerjaan yang sedang dilakukan untuk mengetahui apakah apakah dikerjakan dengan benar dan
hasilnya sesuai dengan yang dikehendakinya. Kebaikan :
a. Jika ada kesalahan dapat diketahui sedini mungkin,sehingga perbaikanya dilakukan dengan cepat.
b. Akan terjadi kontak langsung antara bawahan dan atasan,sehingga akan memperdekat hubungan
antara atasan dan bawahanya.
c. Akan memberikan kepuasan tersendiri bagi bawahan,karena merasa diperhatikan atasanya.
d. Akan tertampung sumbangan pikiran dari bawahan yang mungkin bisa berguna bagi kebijaksanaan
selanjutnya.
e. Akan dapat menghindari timbulnya kesan laporan “asal Bapak senang” (ABS).
Keburukan :
a. Waktu seorang manajer banyak tersita,sehingga waktu untuk pekerjaan lainya berkurang,misalnya
planning lain-lainya.
b. Mengurangi inisiatif bawahan,karena mereka merasa bahwa atasanya selalu mengamatinya.
c. Ongkos semakin besar karena adanya biaya perjalanan dan lain-lainya.
Pengendalian ini dapat dilakukan dengan cara inspeksi langsung,observasi di tempat (on the spot
observation) dan laporan di tempat (on the spot report)
2. Pengawasa tidak langsung
pengawasan jarak jauh dengan melalui laporan oleh bawahan baik secara lisan maupun tulisan tentang
pelaksanaan pekerjaan dan hasi-hasil yang dicapai. Kebaikan :
a. Waktu manajer untuk mengerjakan tugas-tugas lainya semakin banyak,misalnya
perencanaan,kebijaksanaan,dan lain-lain.
b. Biaya pengawasan relatif kecil.
c. Memberikan kesempatan inisiatif bawahan berkembang dalam melaksanakan pekerjaan.
Keburukan :
a. Laporan kadang-kadang kurang objective,karena ada kecendrungan untuk melaporkan yang baik-baik
saja.
15. b. Jika ada kesalahan-kesalahan terlambat mengetahuinya,sehingga perbaikanya pun terlambat.
c. Kurang menciptakan hubungan-hubungan antara atasan dan bawahan.
3. Pengawasan berdasarkan kekecualian, pengendalian yang dikhususkan untuk kesalahan-kesalahan
yang luar biasa dari hasil atau standar yang diharapkan,pengendalian ini dilakukan dengan cara
kombinasi langsung dan tidak langsung oleh manajer.
Prinsip-prinsip The Five Trust Service untuk keandalan system
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem
informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam
proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam
bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini
bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke
cloud. Untuk mengatasi permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust
Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service
Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan
terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya
dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja
hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap kebijakan
internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat
waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban
operasional dan kontraktual.
Keamanan informasi merupakan landasan keandalan sistem dan diperlukan untuk mencapai masing-
masing dari empat prinsip lainnya.Prosedur keamanan informasi membatasi akses ke sistem hanya
untuk pengguna yang terotorisasi, sehingga melindungi kerahasiaan data keorganisasian yang sensitif
dan privasi atas informasi pribadi yang dikumpulkan dari pelanggan.Selain itu, prosedur keamanan
melindungi integritas informasi dengan mencegah terjadinya transaksi tanpa ijin atau fiktif serta
memberikan perlindungan terhadap berbagai serangan termasuk virus dan worm.
Pengendalian Preventif, Detektif dan Korektif
1. Pengendalian Preventif.
16. Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian preventif yang digunakan
organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi.COBIT 5
mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk
keamanan informasi yang eefektif.Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis.Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamananbagi kebertahanan
jangka panjang organisasi.Selain itu, pegawai juga dilatih untuk mengikuti praktik-praktik komputasi
yang aman. Investasi organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika manajemen
mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan
keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu,
organisasi menerapkan satu set pengendalian untuk melindungi aset informasi. Praktik manajemen
COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba untuk
mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses sistem informasi
organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik
sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang teknologi
informasi sendiri pun diperlukan. Terdapat beberapa solusi teknologi informasi yang dapat digunakan:
a. Pengendalian antimalware. Malware dapat menghancurkan informasi atau memperoleh akses
tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan perlindungan
malware sebagi salah satu dari kunci keamanan yang efektif.
b. Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap sistem
mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan organisasi dan seluruh
upaya untuk tersambung ke dalamnya.
c. Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk melindungi
parimeter jaringan, namun diperlukan tambahan pengendalian preventif pada stasiun kerja, server,
printer, dan perangkat lainnya (secara kolektif disebut endpoint) yang meliputi jaringan organisasi.
Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas yang terlibat dalam mengelola keamanan
endpoint.
d. Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa ijin
terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan praktik-praktik bisnis
baru. Pengendalian perubahan dan manajemen perubahan merupakan proses formal yang digunakan
untuk memastikan bahwa modifikasi pada perangkas kera, perangkat lunak, atau pada proses tidak
mengurangi keandalan sistem.
17. 2. Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak
terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging) siapa
yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada akses sistem.
Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan.
Sedangkan, sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem yang
menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall
kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil
dilakukan.
http://openstorage.gunadarma.ac.id/linux/docs/v06/Kuliah/MTI-Keamanan-Sistem-
Informasi/2005/105/105-5-terlambat-pt-asuransi-maju-bersama.pdf
http://www.dosenpendidikan.com/10-konsep-dasar-keamanan-jaringan-komputer/
http://aliciacitralyana.blogspot.co.id/2013/10/definisi-dan-tipe-tipe-controlling.html
http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html