TINJAUAN PUSTAKA
F. Mata Kuliah Pendukung Kesadaran Keamanan Informasi
Kesadaran keamanan informasi menjadi salah satu materi yang dipelajari oleh mahasiswa Akuntansi Universitas Sanata Dharma. Pembelajaran dalam materi kesadaran keamanan informasi ini merupakan salah satu langkah yang dilakukan oleh Program Studi Akuntansi dalam memenuhi dimensi kesadaran keamanan informasi menurut Kruger & Kearney (2006) yaitu dimensi pengetahuan. Berikut merupakan beberapa mata kuliah pendukung yang memberikan pengetahuan mengenai kesadaran keamanan informasi, yaitu: 1. Sistem Informasi Manajemen (SIM)
Sistem Informasi Manajemen (SIM) merupakan mata kuliah yang diselenggarakan oleh Program Studi Akuntansi dan wajib ditempuh oleh mahasiswa Akuntansi Universitas Sanata Dharma pada semester tiga. Sistem informasi manajemen dipelajari untuk membantu manajer dalam membuat keputusan manajerial demi keberlangsungan organisasi. Keputusan tersebut diambil dari informasi yang diperoleh lewat data-data yang diperlukan. Data tersebut biasanya bersifat rahasia sehingga memerlukan keamanan dan pengendalian internal yang baik dari perusahaan.
Keamanan dan pengendalian diperlukan karena banyaknya ancaman yang muncul dalam proses bisnis. Salah satu ancaman yang muncul ialah ancaman internal yaitu karyawan perusahaan. Karyawan biasanya memiliki akses terhadap informasi istimewa perusahaan. Tanpa adanya
30 pengendalian dan sistem keamanan yang baik, para karyawan mampu mengakses seluruh sistem informasi tersebut tanpa meninggalkan jejak.
Menurut Laudon (2015), pengendalian yang dapat dilakukan oleh perusahaan ialah melakukan beberapa hal berikut:
a. Pengendalian Administratif
Dilakukan untuk menjamin bahwa seluruh prosedur yang ada telah dilaksanakan dengan baik, seperti:
1) Mempublikasikan kebijakan pengendalian;
2) Prosedur formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas;
3) Perekrutan pegawai dilakukan dengan hati-hati; 4) Melakukan supervisi pegawai;
5) Melakukan pemisahan tugas pada setiap bagian. b. Pengendalian Pengembangan dan Pemeliharaan Sistem
Pengendalian pengembangan dan pemeliharaan sistem biasanya akan melibatkan auditor sistem informasi mulai dari pengembangan hingga pemeliharaan sistem.
c. Pengendalian Operasi
Dilakukan agar sistem beroperasi sesuai dengan yang diharapkan, dengan melakukan hal berikut:
1) Pembatasan akan akses terhadap data;
2) Pengendalian terhadap personel pengoperasian; 3) Pengendalian terhadap peralatan;
4) Pengendalian terhadap penyimpanan arsip; dan 5) Pengendalian terhadap virus.
d. Proteksi Fisik terhadap Pusat Data
Dilakukan untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data.
e. Pengendalian Perangkat Keras
Kontrol ini dilakukan untuk mengantisipasi kegagalan sistem komputer. Apabila gagal, maka komponen cadangan harus digunakan.
f. Pengendalian Akses terhadap Sistem Komputer
Melakukan pembatasan akses perlu diterapkan untuk menjaga informasi yang ada. Para pemakai sistem perlu diberikan otorisasi yang berbeda-beda.
g. Pengendalian terhadap Akses Informasi
Pengendalian diterapkan dengan menggunakan sistem kripto. h. Pengendalian terhadap Bencana
Zwass (dalam Laudon, 2015), membagi rencana pemulihan terhadap bencana menjadi 4 komponen, yaitu:
1) Rencana darurat, dilakukan menentukan tindakan yang harus dilakukan oleh karyawan bila bencana terjadi.
2) Rencana cadangan, menentukan bagaimana pemrosesan informasi dilaksanakan selama masa darurat.
3) Rencana pemulihan, menentukan bagaimana pemrosesan akan dikembalikan ke keadaan asli.
32 4) Rencana pengujian, menentukan komponen pemulihan akan diuji
dan disimulasikan.
i. Pengendalian terhadap Perlindungan Terakhir
Berupa rencana pemulihan terhadap bencana dan asuransi. j. Pengendalian Aplikasi
Diwujudkan secara spesifik dalam aplikasi sistem informasi lewat masukan, proses, keluaran, basis data. Memastikan bahwa hasil pengolahan komputer akurat, lengkap, dan terdistribusi dengan baik. 2. Sistem Informasi Akuntansi (SIA)
Sistem Informasi Akuntansi (SIA) merupakan mata kuliah yang diselenggarakan oleh Program Studi Akuntansi dan wajib ditempuh oleh mahasiswa Akuntansi Universitas Sanata Dharma pada semester empat. Menurut Romney dan Steinbart (2015), sistem informasi akuntansi adalah suatu sistem yang mengumpulkan, mencatat, menyimpan, dan mengolah data untuk menghasilkan informasi bagi pengambil keputusan. Adanya sistem informasi akuntansi dapat membantu proses bisnis suatu entitas. Proses bisnis yang berlangsung dapat terjadi karena adanya komponen sistem yang mendukung. Berikut enam komponen sistem informasi akuntansi menurut Romney dan Steinbart (2015):
a. Orang yang menggunakan sistem.
b. Prosedur dan instruksi yang digunakan untuk mengumpulkan, memproses, dan menyimpan data.
d. Perangkat lunak, yang digunakan untuk mengolah data,
e. Infrastruktur teknologi informasi, meliputi komputer, peralatan periferal, dan perangkat jaringan komunikasi yang digunakan dalam SIA.
f. Pengendalian internal dan pengukuran keamanan yang menyimpan data SIA.
Romney dan Steinbart (2015) berpendapat bahwa enam komponen SIA tersebut memungkinkan SIA untuk melaksanakan tiga fungsi bisnis, yaitu:
a. Mengumpulkan dan menyimpan data mengenai kegiatan atau aktivitas, sumber daya, dan personil organisasi.
b. Mengolah data menjadi informasi sehingga manajemen dapat merencanakan, melaksanakan, mengendalikan, dan mengevaluasi kegiatan, sumber daya, dan personil.
c. Melakukan pengendalian internal yang memadai untuk mengamankan aset dan data organisasi.
Pengendalian yang dapat dilakukan dalam menjaga keamanan informasi antara lain:
a. Pengendalian Preventif, dilakukan untuk membatasi akses terhadap sumber daya informasi, yaitu:
1) Orang-orang
Dilakukan dengan menciptakan sebuah budaya akan “sadar keamanan” dalam sebuah lingkungan. Selain itu, memberikan
34 pelatihan terhadap karyawan agar memahami dan mengikuti kebijakan keamanan organisasi.
2) Proses Pengendalian Akses
Menerapkan proses pengendalian secara khusus agar setiap orang tidak dapat mengakses informasi secara bebas.
3) Pengendalian Autentifikasi
Merupakan proses verifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem.
4) Pengendalian Otorisasi
Proses memperketat akses dari pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
5) Solusi TI
Solusi yang ditawarkan oleh TI ialah pengendalian anti-malware, dan akses jaringan.
6) Pertahanan Perimeter
Dilakukan dengan cara router, firewall, dan sistem pencegahan gangguan.
7) Bagaimana Arus Informasi pada Jaringan
8) Mengamankan koneksi Dial-Up
Para pegawai yang ingin mengakses sebuah informasi perusahaan dari jarak jauh harus melakukan verifikasi data atau identitas pengguna untuk mendapatkan akses dial-in.
9) Mengamankan akses nirkabel
Prosedur yang dapat dilakukan untuk mengamankan akses nirkabel antara lain:
(a) Menyalakan fitur keamanan yang tersedia;
(b) Membuktikan keabsahan perangkat yang digunakan sebelum memasuki alamat IP;
(c) Mengatur seluruh perangkat nirkabel yang terotorisasi agar beroperasi dan terhubung hanya pada titik akses nirkabel yang dituju;
(d) Menggunakan nama yang non-informatif sebagai alamat titik akses yang disebut dengan Service Set Identifier (SSID); (e) Mengurangi kekuatan publikasi dari titik akses nirkabel; (f) Mengenkripsi seluruh lalu lintas nirkabel.
10) Solusi TI
Dilakukan dengan pengendalian pengukuhan peralatan dan perangkat lunak.
11) Konfigurasi endpoint
Dilakukan dengan cara mengeliminasi atau mematikan pengaturan dan layanan yang tidak diperlukan.
36 12) Manajemen akun pengguna
Memberikan akses akun lebih dari satu kepada pegawai administratif dalam perusahaan serta mengubah kata sandi dasar agar keamanan data terjaga.
13) Desain perangkat lunak
Para pemrogram di perusahaan harus dilatih untuk memperlakukan seluruh input dari pengguna eksternal sebagai sebuah data atau informasi yang tidak dapat dipercaya dan perlu adanya pengecekan secara rutin dan cermat.
14) Solusi TI: Enkripsi
Enkripsi dimaksudkan dengan memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa ijin terhadap informasi sensitif.
15) Keamanan Fisik lewat pengendalian akses
Para pegawai dihimbau untuk tidak menyimpan informasi sensitif perusahaan di dalam laptop atau perangkat pribadi lainnya. Apabila terpaksa harus disimpan terutama terkait informasi sensitif perusahaan, baiknya informasi tersebut harus dienkripsi sehingga tidak bisa diakses dengan mudah.
16) Pengendalian perubahan dan manajemen perubahan
Hal ini digunakan untuk memastikan bahwa modifikasi pada perangkat keras, perangkat lunak, atau proses tidak mengurangi keandalan sistem.
b. Pengendalian Detektif
Pengendalian ini dilakukan dengan melakukan analisis log, sistem deteksi gangguan, pengujian penetrasi (upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi), dan pengawasan berkelanjutan.
c. Pengendalian Korektif
Pengendalian korektif meliputi Computer Incident Response Team (CIRT) yaitu sebuah tim yang bertanggungjawab untuk mengatasi insiden keamanan utama, Chief Information Security (CSIO), dan Manajemen patch.
G. Evaluasi
Departemen Pendidikan Nasional (dalam Prijuwuntato, 2016) mengartikan evaluasi sebagai kegiatan identifikasi untuk melihat apakah suatu program yang telah direncanakan telah tercapai atau belum, berharga atau tidak, dan dapat pula melihat tingkat efisiensi pelaksanaannya. Arikunto (2018) memaparkan bahwa evaluasi adalah kegiatan mengumpulkan informasi tentang bekerjanya sesuatu yang selanjutnya informasi tersebut digunakan untuk menentukan alternatif yang tepat dalam mengambil keputusan. Evaluasi berhubungan dengan keputusan nilai (value judgement) yang mana meliputi kegiatan mengukur dan menilai sesuatu untuk dasar pengambilan keputusan. Evaluasi dapat dilakukan dengan membandingkan kriteria atau teori tertentu.
38 H. Penelitian Terdahulu
Penelitian ini berfokus pada kesadaran keamanan informasi mahasiswa Akuntansi Universitas Sanata Dharma. Ada beberapa penelitian terdahulu yang dapat digunakan sebagai acuan, diantaranya ialah: Kruger & Kearney (2006) melakukan penelitian mengenai kesadaran keamanan informasi berjudul A prototype for assessing information security awareness. Penelitian ini bertujuan untuk mengukur kesadaran keamanan informasi di perusahaan pertambangan internasional, dengan pengembangan model prototipe. Metode ukur yang digunakan berasal dari sisi psikologi sosial, yaitu pengaruh, perilaku, dan kognisi (Feldman, 1999; Michener dan Delamater, 1994) yang dikembangkan dengan mengukur pengetahuan, sikap, dan perilaku individu terhadap kesadaran keamanan informasi. Pengukuran dilakukan menggunakan pendekatan scorecard sederhana dan penyebaran kuesioner. Hasil yang didapat ialah kesadaran secara keseluruhan di perusahaan dianggap rata-rata sebesar 65% dengan rincian 77% kesadaran pengetahuan, 76% kesadaran sikap, dan 54% perilaku.
Kim (2014) melakukan penelitian mengenai pentingnya pelatihan Information Security Awareness Training (ISAT) bagi kesadaran keamanan informasi mahasiswa. Metode penelitian yang digunakan adalah studi kasus dengan teknik pengumpulan data kuesioner dan survei. Hasil penelitian menunjukkan bahwa melalui pelatihan Information Security Awareness Training (ISAT) pengetahuan mahasiswa menjadi bertambah, walaupun pelatihan tersebut dirasa kurang rinci bagi mahasiswa. Kesimpulan dari
penelitian yang dilakukan Kim yaitu terdapat hubungan signifikan yang terjadi antara pelatihan keamanan dan persepsi mahasiswa tentang keamanan sistem informasi.
Mukhlis (2014) melakukan penelitian mengenai pengukuran tingkat kesadaran keamanan informasi Pegawai Negeri Sipil dengan metode Multiple Criteria Decision Analysis (MCDA). Hasil penelitian menunjukkan bahwa tingkat kesadaran keamanan informasi PNS Pemkot Makassar secara keseluruhan berada pada kategori “sedang” sehingga perlu dimonitor untuk kemungkinan dilakukan pembenahan.
Tennakoon (2015) melakukan penelitian tentang pengungkapan informasi dari pengguna media sosial, dirinya mengungkapkan pentingnya kontrol atas informasi pribadi, kesadaran pengguna, dan pemberitahuan keamanan. Penelitian dilakukan dengan cara mengumpulkan dan menganalisis data pengguna jaringan sosial menggunakan kuadran terkecil. Hasil penelitian menunjukkan bahwa dalam konteks media sosial, kontrol atas informasi pribadi masih negatif, walaupun kesadaran pengguna dan pemberitahuan keamanan telah menunjukkan hasil yang positif.
Penelitian Ngoqo (2015), menemukan bahwa terdapat hubungan di antara kesadaran keamanan informasi dan sikap atau niat perilaku seseorang dalam menjaga keamanan informasi. Hubungan tersebut ditunjukkan lewat hasil korelasi positif yang signifikan antara konstruk level of awareness dan behaviour intent.
40 Nowrin (2018) melakukan penelitian mengenai “Information Security Behaviour of Smartphone Users” yang merupakan studi empiris dari mahasiswa di Universitas Dhaka, Bangladesh. Penelitian tersebut menunjukkan bahwa para mahasiswa selalu menggunakan fitur keamanan pada smartphone yang mereka miliki dan berlatih untuk menonaktifkan fitur perekaman jejak online yang ada. Keamanan informasi dalam masalah pemulihan bencana, para mahasiswa tidak pernah mengadopsi fitur pemulihan bencana yang ada pada smartphone mereka. Hal tersebut sangat memprihatinkan karena fitur ini sebenarnya penting dalam mengamankan informasi pada smartphone dari pihak ketiga. Penelitian ini juga menunjukkan bahwa para mahasiswa laki-laki cenderung lebih memiliki tindakan dan kesadaran yang baik dalam menjaga keamanan informasi mereka dibandingkan dengan mahasiswa perempuan di Universitas Dhaka, Bangladesh.
Indriani (2018) melakukan penelitian yang mengungkapkan melalui mata kuliah SIA, mahasiswa mampu memahami pentingnya pengendalian dan keamanan pribadi. Mata kuliah SIA juga membantu mahasiswa untuk memikirkan bagaimana cara bersikap terhadap keamanan dan pengendalian sistem informasi yang dimiliki serta memberikan pengetahuan mengenai internet, back-up data, dan phishing. Pengetahuan yang menimbulkan pemikiran tersebut pada kenyataannya hanya diterapkan untuk back-up data, internet, dan phishing, sedangkan untuk password dan e-mail tidak diterapkan.
Dari penjabaran menurut penelitian sebelumnya yaitu Indriani (2018), diketahui bahwa kesadaran keamanan informasi mahasiswa Program Studi Akuntansi Universitas Sanata Dharma sudah muncul lewat pengetahuan yang telah diterima dalam mata kuliah SIA. Pengetahuan yang diterima tersebut ternyata mampu menumbuhkan sebuah sikap dan pengimplementasian dalam kehidupan sehari-hari untuk menjaga keamanan informasi yang dimiliki, terlihat dari backup data, internet, dan phishing yang sudah diterapkan sebagai bentuk kesadaran keamanan informasi.
42 BAB III