Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
-
Upload
shintameylinawati -
Category
Documents
-
view
232 -
download
0
Transcript of Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
1/39
PENGENDALIAN
MANAJEMEN KEAMANAN,
OPERASIONAL, DANKUALITAS
Pertemuan 8
Audit Sistem Informasi
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
2/39
KENDALI MANAJEMEN KEAMANAN
(1)Tujuan :menjamin agar aset sistem informasi tetap
aman, yang mencakup sumber daya informasi fisik(perangkat mesin dan fasilitas penunjang) dan non fisik
(data, informasi, program aplikasi komputer).
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
3/39
KENDALI MANAJEMEN KEAMANAN
(2)
Alasan dibutuhkannya keamanan informasi
antara lain :Semakin banyak informasi yang dikumpulkan,
disimpan dan diakses melalui jaringan sistem
informasiyang tersebar luas membutuhkanpenanganan yang lebih cermat dan aman.
Perubahan teknologi secara cepatmenciptakan
kemudahan untuk berinteraksi tetapi di sisi lain
dapat pula meningkatkan resiko untuk mudah
diserang.
Pengguna komputer personalyang semakin
banyak di kantor juga berperan terhadap serangan
ke komputer besar.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
4/39
LANGKAH-LANGKAH DALAM
KEAMANAN SISTEM INFORMASI
Menyiapkan rencana
Melakukan identifikasi aset
Melakukan penilaian aset
Melakukan identifikasi ancamanPenilaian dan analisa terhadap ancaman
Menyesuaikan kontrol
Menyiapkan laporan keamanan
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
5/39
MASALAH UTAMA DALAM
KEAMANAN
Proteksi hak akses dari pihak yang tidakberwenang
Proteksi dari bencana
Proteksi dari gangguan
Pemulihan dan rekonstruksi data yang hilangMenetapkan sistem untuk memantau hal diatas
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
6/39
KEAMANAN UNTUK SISTEM PROSES
TRANSAKSI
Setiap perusahaan harus mendefinisikan,
mengidentifikasi, dan mengisolasi bahaya-
bahaya yang seringkali mengancam hardware,
software, data dan sumber daya manusia.
Security measuresmenyediakanday-to-day
protectionterhadap fasilitas komputer dan
fasilitas fisik lainya, menjaga integritas dan
privacy data files, dan menghindari kerusakan
serius atau kehilangan.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
7/39
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
8/39
Untuk melindungi dari kekerasan manusia seperti
perusakan, huru-hara,sabotase, dsb, komputer harus
ditempatkan di tempat yang tidak menarik perhatian,
dilengkapi denganantimagnetic tape storage, dan dijaga
dengan kebijakan tingkah laku pegawai yang ketat.
Disaster Contingency and Recovery Plan:
Mengidentifikasi semua ancaman potensial terhadap
sistem komputer. Menetapkanpreventive security measuresyang
dibutuhkan.
Menguraikan langkah-langkah yang diambil jika
menemukan tiap jenis bencana.
KEAMANAN UNTUK SUMBERDAYA
FISIK (KOMPUTER)
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
9/39
KEAMANAN DATA DAN INFORMATION
Yang termasuk sumber daya data/information adalah:(1) data stored in on-line or off-line files and databases,
(2) application programs, and
(3) information, dalam bentuk hard-copy reports atau
computer format
Security measuresmenyediakan perlindungan terhadap:
(1) Akses yang tak berwenang terhadap data dan informasi
(2) Akses yang tak terdeteksi terhadap data dan informasi
(3) Kehilangan atau pengubahan yang tidak benar(improper alteration)terhadap data dan informasi.
Ukuran-ukuran untuk perlindungan ini biasanya bersifatpreventif dan detektif.
O S G
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
10/39
Persoalan akses yang tak berwenang meliputisemuapertanyaanakses dan yang lebih penting pertanyaan mengenaidegreeofaccess untuk orang-orang yang memiliki beberapa level aksesyang ada atau akses yang diijinkan.
Data dan informasi rahasia atau penting untuk operasiperusahaan harus diisolasi secara fisik untuk mengurangi aksestak berwenang.Isolasiyang dilakukan antara lain: Menjamin dokumentasi program off-line and online Menjamin penyimpanan hard copies separate user partitions of direct-access storage media database data dictionary selalu ada di bawah pengendalianDBA
live program isolation in memory through multiprogramming test program isolation from live programs and databases
PROTEKSI DARI PIHAK YANG TIDAK
BERWENANG TERHADAP DATA DAN
INFORMATION
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
11/39
Semua usaha untuk mengakses sistem komputer dansemua akses yang diotorisasi harus diawasi sehinggasemua aktifitas yang tidak dapat dibenarkan dapatdiselidiki dan dihentikan.
Access Control Logs, Console LogsdanAccess ControlSoftware (Passwords)memudahkan proses pengawasan.
Passwords seringkali bertingkat dan digabungkandenganidentifierslain untuk mengakses aplikasi
penting.
PROTEKSI DARI PIHAK YANG TIDAK
BERWENANG TERHADAP DATA DAN
INFORMATION
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
12/39
Automatic log-outs and lockups
Keyboard & Floppy-disk drive locks
Employing automatic boot and start-up procedures
Use of encryption
Private key
Public key
PROTEKSI DARI PIHAK YANG TIDAK
BERWENANG TERHADAP DATA DAN
INFORMATION
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
13/39
Access logsmencatat semua usaha untuk berinteraksi
dengan database.
Console logsmencatat semua tindakan sistop dan
operator komputer.
System and Program change
logs, dapat mengawasi perubahan terhadap programs,
files, and controls
Proteksi dari pihak yang tidak berwenang
terhadap Data dan Information
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
14/39
DISASTER CONTINGENCY AND
RECOVERY PLANNING
DCRPterdiri dari : TheEmergency Plan
Menyiapkan organization chart Menentukan bencana-bencana yang memicu seluruh
DCRP atau sebagian DCRP. Melaksanakan analisa
resiko. Menentukan tanggung jawab untuk berhubungan dengan
polisi, api, dan perwakilan-perwakilan lainnya. Menentukan orang yang tetap tinggal di tempat/kantor
untuk melaksanakan tugas-tugas penting. Menyiapkan peta rute evakuasi primer dan sekunder dan
menempatkannya di seluruh organisasi. Mengembangkan metoda untuk mengkomunikasikan allclear signal
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
15/39
DISASTER CONTINGENCY & RECOVERY
PLANNING - 2
TheBackup Plan Menyimpan duplicates of vital software, data, and recordsdi lokasi-lokasi off-premise (jika mungkin dalam jarakyang berjauhan).
Kenali pegawai full-time dan part-time yang penting dantidak penting serta pegawai yang digaji secara temporer.
Cross-train employees Pilih jenis backup system yang paling cocok:
manual backup system. reciprocal arrangements dengan perusahaan lain. third-party agreements with data-processing servicebureaus
cold sites hot sites
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
16/39
DISASTER CONTINGENCY AND
RECOVERY PLANNING - 3
TheRecovery PlanTunjuk a recovery manager dan wakilnya
Pilih dan off-site facility untuk menyimpan backups dansecara periodik periksa fasilitas.
Jaga hubungan dengan perusahaan asuransi untukmemudahkan perkiraan kerusakan awal.
Jaga komunikasi dengan customers dan vendors
Tetapkan a time-table untuk recovery
Tetapkan strategi untuk menjamin pengendalian aplikasiyang ketat di lokasi back-up.
TheTest Plan (untuk menguji sistem)
TheMaintenance Plan (me-maintain keamanan)
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
17/39
DISASTER CONTINGENCY AND
RECOVERY PLANNING - 4
Untuk memperkuat proses DCRP harus memperhatikanhal-hal berikut ini:
Meluaskan recovery plan tidak hanya pada operasikomputer untuk menjamin kelangsungan bisnis.
Melibatkan fungsi internal audit pada semua fasecontingency planning
Factor-in the human element
Contingency plan harus ditujukan pada hubungancustomer dan vendor.
Manager dan pegawai harus menyadari tanggungjawab pada saat bencana terjadi.
Contingency plan harus digabung denganmemasukkan telecommunications backup
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
18/39
KEAMANAN DAN PENGENDALIAN
JARINGAN DAN WEB
Jaringan terdiri dari banyak hardware device yang saling
berhubungan yang mengotomasi aplikasi bisnis dan
akuntansi yang penting.
Sistem manajemen harus:
Mengevaluasi elemen-elemen dari internal controlenvironment yang relevan dengan network/web
server sites.
Mengidentifikasi tujuan khusus network/web server
sites. Melengkapi risk assessment.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
19/39
Risk exposure dari suatu network/web server sites yang
diperkirakan secara periodik adalah:
Hilangnya kemampuan transmisi dan pengolahan data
karena kerusakan peralatan dan software.
Hilangnya kemampuan transmisi dan pengolahan data
karena hilangnya daya, virus, dll.
Akses yang tidak berwenang terhadap data melalui
jalur komunikasi.
Akses yang tidak berwenang terhadap data olehpegawai.
Error pada database utama.
Fraud dan error sebagai akibat dari kelemahan kontrol
di berbagai lokasi yang jauh pada jaringan.
Keamanan dan pengendalian
Jaringan dan Web- 2
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
20/39
Contoh dari solusi keamanan yang spesifik untuk
network/web server :
Menunjuk part-time or full-time administrator yang
bertanggung jawab untuk membangun network/web
server site security plan yang ditujukan pada
persoalan keamanan.
Encrypting dan authenticating messages yang berisi
data penting.
Menggunakan highly reliable dan compatible
channels and devices.
Menjamin ketersediaan data.
Keamanan dan pengendalian
Jaringan dan Web - 3
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
21/39
Menempatkan network devices/web server devices di
lokasi yang terlindung dan terbatas.
Menggunakan system software yang di write-protect dan
melakukan beberapa cek untuk menjamin bahwa data
tidak diubah dan ditransmisikan secara akurat. Menggunakan password untuk menjaga agar data yang
sensitif aman dari akses dan pengubahan yang tidak
benar.
Menggunakan network audit system dan networkmanagement system untuk mengawasi sumber daya
network/web server site, compile reports, dsb.
Memvalidasi input data.
Menjaga dokumentasi dan prosedur yang distandardisasi.
Keamanan dan pengendalian
Jaringan dan Web - 4
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
22/39
Menyediakan pelatihan yang tepat.
Menyediakan pengawasan tertutup di tiap remote
network/web server site.
Membatasi akses ke network/web server entry pointsyang mudah diserang.
Periodic monitoring activities yang dilakukan oleh akuntan
atau auditor internal antara lain: Mengevaluasi keefektifan network/web server
administrator.
Mengevaluasi skill levels of network personel.
Menganalisa rencana jangka panjang.
Keamanan dan pengendalian
Jaringan dan Web - 5
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
23/39
Menentukan network/web server site diagram.
Mengevaluasi metoda untuk back-up/recovery.
Menguji rencana sistem untuk menyimpan data.
Mengevaluasi metoda-metoda edukasi dan pelatihan user. Menjamin kebijakan untuk menegur dan mengusut pegawai
yang menyalahgunakan network/web server.
Mengevaluasi perubahan prosedur network/web server
operating system. Melaksanakan review unlisenced network sofware.
Malaksanakan inventory fisik sumber daya network/web
server.
Menentukan pelanggaran software site-licensing agreement.
Keamanan dan pengendalian
Jaringan dan Web -
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
24/39
!ibrary !og akan mentra"k per#bahan file$ program dandok#mentasi$ sementara %ransa"tion !og men"atattransaksi indi&id# yang dimas#kkan ke sistem on-line'
%ape (ile Prote"tion )ings #nt#k magneti" tape$ Write-Prote"t #nt#k diskettes$ and (ile !abels *both internal ande+ternal, #nt#k tape *in"l#ding internal header labels andinternal trailer labels, ata# disk dapat men"egah kehilangan
ata# peng#bahan data dan informasi'
elaksanakan pemrosesan serial'
PROTEKSI DARI KEHILANGAN DATA
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
25/39
RECOVERY DAN REKONSTRUKSI DATA
.em#a per#sahaan har#s memba"k-#p dok#men-dok#men penting$ files dan programs serta menetapkanre"o&ery pro"ed#re #nt#k memb#at kembali data ata#program yang hilang'
/al ini termas#k0 Prosed#r pemb#angan periodik #nt#k disk-based
systems (disk-based systemsdig#nakan dalamdestructive updates)'
1"ti&ity logs men#n#kkan data element sebelum dansesudah per#bahan'
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
26/39
RECOVERY DAN REKONSTRUKSI DATA
)ekonstr#ksi dari databse tergant#ng dari l#asnya ker#sakan yang
timb#l$ re"o&ery dapat dilak#kan dengan0
Prosed#r )oll-(orward ika sem#a data hilang' *termas#k
pemb#angan dan images terakhir dari a"ti&ity log dantransa"tion log,
Prosed#r )oll-a"kika data tertent# menadi salah$ karena
program #pdating yang berisi b#gs dig#nakan'
Pengg#naan 6he"kpoints Pemb#atan (a#lt %oleran"e*prosed#r #nt#k meyakinkan
#ninterr#pted operations dengan mengg#nakan red#ndant
de&i"es, dengan metoda Disk irroringdan Disk D#ple+ing
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
27/39
KENDALI MANAJEMEN OPERASI
Manajemen operasi biasanya mengendalikan fungsi-fungsi berikut :
1.Operasi komputer
2.Pengendalian jaringan komunikasi3.Pustaka file
4.Dukungan teknis
5.Perencanaan kapasitas dan pemantauan kinerja
6.Operasi Outsourcing
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
28/39
OPERASI KOMPUTER
Fungsi pengaturan bagaimana seharusnya fasilitas
bekerja, baik operator manusia maupun operasi
otomatis.
Fungsi pengaturan bagaimana penjadwalan kerja
terhadap kerangka perangkat lunak/perangkat
keras
Fungsi pengaturan bagaimana seharusnya
perangkat keras dipelihara
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
29/39
PENGENDALIAN JARINGAN
KOMUNIKASI
Pengelolaan LAN dan WAN
Akses yang tak berhak terhadap server
memungkinkan penyusupan hingga mengganggu
operasi LAN atau mengancam integritas
jaringan
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
30/39
Memastikan bahwa media penyimpan terpindahkandisimpan dengan aman dalam lingkungan yangbersih
Memastikan bahwa media penyimpan hanyadigunakan untuk tujuan yang sah
Memelihara media penyimpan secara teratur Menyimpan media secara benar baik baik on-site
maupun off-site
Fungsi pustaka dokumentasi dan programbertanggungjawab untuk memelihara dokumen yangdiperlukan untuk mendukung operasi komputer danmengelola perangkat lunak lisensi
PUSTAKA FILE
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
31/39
DUKUNGAN TEKNIS (HELP DESK)
Membantu pengguna akhir untuk menerapkan
perangkat lunak dan perangkat keras seperti
mikrokomputer, spreadsheet, dan database
Menyediakan dukungan teknis untuk sistem
produksi dan membantu pemecahan masalah.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
32/39
PERENCANAAN KAPASITAS &
PEMANTAUAN KINERJA
Manajemen operasi harus selalu memantau
secara kontinu kinerja perangkat lunak dan
perangkat keras untuk menjamin bahwa sistem
dieksekusi secara efisien, tepat waktu.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
33/39
OPERASI OUTSOURCING
Evaluasi berjalan dari kelayakan keuangan
pihak luar
Memastikan kebersesuaian terhadap kontrak
dengan pihak luar
Menjamin keandalan pengendalian operasi
outsourcing
Menyiapkan prosedur untuk menjaga
tejadinya sesuatu yang tak dinginkan
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
34/39
KENDALI MANAJEMEN KUALITAS
Ada 6 alasan yang menyebabkan kebutuhan kualitas makinpenting bagi organisasi (Weber) :
1.Meningkatnya kesadaran bahwa kualitas itu perlu.
2.Tuntutan dari pengguna bahwa jasa yang mereka terima harus
sesuai dengan tingkat kepuasan yang diharapkan.
3.Ambisi untuk memenuhi kepuasan pelanggan meningkat.
4.Organisasi semakin bertanggungjawab untuk mengurangi
produk cacat.
5.Kesadaran bila kualitas tidak ditingkatkan, maka resiko dan
biaya semakin tinggi.
6.Peningkatan kualitas sudah menjadi trend men-dunia
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
35/39
Ada 6 fungsi personal Quality Assurance :1.Mengembangkan tujuan pencapaian kualitas.
2.Mengembangkan, menyebarluaskan, dan memelihara
standar fungsi sistem informasi.
3.Mengawasi hasil produksi sesuai dengan standar QA.
4.Mengidentifikasi area yang masih dapat
dikembangkan.
5.Memberi laporan kepada manajemen.
6.Memberi pelatihan standar dan prosedur QA.
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
36/39
HUBUNGAN QA DENGAN AUDITOR
QA berfungsi dengan baik mengurangi pekerjaanAuditor
QA Personil melakukan lebih banyak
pengendalian pemeriksaan sistim informasi
menyeluruh dibanding auditorAuditor dapat memusatkan perhatian pada
fungsi QA daripada melakukan test kendali
sistem informasi
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
37/39
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
38/39
CAPABILITY MATURITY MODEL
Level 1Initial
Level 2Repeatable
Level 3Defned
Level 4Managed
Level 5Optimizing
Sudah ada kegiatan penyuunan itemk!mpute"iai yang te"a"ah# tapi belumte"!"ganii"
$"!e pe"en%anaan# pe"an%angan#
implementai item be"bai k!mpute" udahte"a"ah&
Selu"uh p"!e telah did!kumentaikan dandik!munikaikan be"daa"kan met!de yangbaik&
$"!e k!mpute"iai telah dim!nit!" dante"uku" dengan baik# mana'emenpengembangan te"!"ganii"
(et p"a%ti%e telah diikuti# p"!e telahte"en%ana# te"!"ganii" dengan met!de yangtepat&
-
7/25/2019 Pengendalian Manajemen Keamanan, Operasional, Dan Kualitas
39/39