KONSEP DASAR KEAMANAN SISTEM INFORMASI, PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN DAN PRINSIP THE FIVE
TRUST SERVICE UNTUK KEANDALAN SISTEM SERTA IMPLEMENTASINYA DI SMA NEGERI 3 BEKASI
Disusun oleh:
Wawan Dwi (55517120062) Mahasiswa Universitas Mercubuana Prof. Dr. Hapzi Ali, CMA Dosen Universitas Mercubuana
Pascasarjana, Magister Akuntansi Universitas Mercubuana
Jakarta 2018
A. Keamanan Sistem Informasi
Peningkatan hubungan perusahaan dengan pihak yang berkepentingan membuat sistem informasi lebih rentan terhadap masalah, seperti masalah keamanan data sistem informasi perusahaan. Keamanan informasi mencegah penggunaan informasi yang tidak sesuai, serta tindakan pencurian informasi (Mardi, 2011). Sementara itu, keamanan informasi menggambarkan usaha untuk melindungi komputer dan non-peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggung jawab (McLeod dan Schell, 2004). Sehingga keamanan sistem informasi dapat diartikan sebagai tindakan preventif untuk melindungi informasi serta perangkat sistem informasi dari pihak internal maupun eksternal yag tidak bertanggung jawab.
Adanya kebutuhan dan jaminan sistem informasi, maka dibutuhkan tindakan evaluasi yang secara independen menguji dan memverifikasi keandalan sistem. Ada beberapa prinsip untuk mengevaluasi keandalan suatu sistem menurut Mardi (2011):
Tersedianya pelayanan dan perawatan sistem secara tepat waktu, baik pada hardware maupun software akibat adanya sabotase yang disengaja atau akibat bencana alam lainnya dengan pembuat sistem.
2. Keamanan
Untuk keamanan sistem ini dobutuhkan pembagian tugas dan wewenang dalam fungsi sistem, melakukan pengendlaian fisik dan logis serta pengendalian teknologi informasi (perangkat komputer, jaringan server dan internet).
3. Pemeliharaan
Pemeliharaan dapat dilakukan melalui pengembangan proyek (rencana utama strategis, pengendalian proyek,jadal pemrosesan data, pengukuran kinerja sistem, peninjauan pasca implementasi) dan perubahan pengendalian manajemen (berupa melakukan cek ulang semua sistem, pembaharuan semua dokumen dan prosedur, pengendalian hak akses sistem).
4. Terintegritas
Sistem dikatakan telah memiliki integritas jika sistem itu dapat melaksanakan fungsi yang ditargetkan kepadanya secara utuh dan tidak ada aspek lain yang mempengaruhinya.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu (Pamuji, 2016):
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.
B. Serangan Komputer
Keamanan merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem informasi. Serangan komputer adalah sebuah ancaman dan gangguan terhadap sistem serta untuk mendeteksi dan memperbaiki akibat segala kerusakan sistem. Departemen Kehakiman Amerika Serikat mendefinisikan Computer Fraud sebagai tindak ilegal apa pun yang membutuhkan pengetahuan
teknologi komputer untuk melakukan tindakan awal penipuan, penyelidikan atau pelaksanaannya. Dengan menggunakan komputer, seorang pelaku penipuan dapat mencuri lebih banyak dalam waktu dan usaha yang lebih sedikit. Jenis-jenis serangan antara lain sebagai berikut:
1. Hacking
mengakses ke pengguna sistem komputer lain secara tidak sah, biasanya termotivasi untuk menerobos masuk ke sistem komputer.
2. Social Engineering
Dalam rekaya sosial, para pelaku menipu pegawai untuk memberikan informasi yang dibutuhkan agar dapat masuk ke dalam sistem (Roomney dan Steinbart, 2006). Social Engineering juga dapat diartikan manipulasi cerdas seorang hacker memanfaatkan sifat alami manusia yang cenderung mudah untuk percaya, untuk memperoleh informasi yang memungkinkannya untuk mendapatkan akses tidak sah ke suatu sistem berikut pula informasi yang ada pada sistem tersebut (Mudyautama, 2006). Sementara itu rekayasa sosial adalah teknik psikologis untuk mendapatkan akses data atau informasi yang sensitif (Luthansa, 2014). Sehingga social engineering adalah sebuat teknik penipuan kepada pegawai yang mudah percaya untuk dapat masuk ke dalam sistem sehingga memperoleh informasi yang dibutuhkan.
3. Round Down
Round Down diartikan komputer membulatkan ke bawah seluruh
perhitungan hingga dua desimal ke belakang koma, sisa sen lainnya diletakkan dalam sebuah rekening yang dikuasai oleh pelaku penipuan. (Roomey dan Steinbart, 2006). Teknik ini merupakan bagian program yang akan membulatkan nilai pecahan ke dalam nilai bulat dan mengumpulkan nilai-nilai pecahan yang dibulatkan tersebut (Djagia, 2014). Sehingga roundown dapat diartikan kegiatan memprogram komputer untuk membulatkan ke bawah nilai-nilai pecahan dan mengumpulkannya di sebuah rekening pelaku penipuan.
4. Data Diddling
dengan tujuan menghapus, mengubah atau menambah sistem data utama (Roomney dan Steinbart, 2006). Sehingga data diddling diartikan sebagai suatu kegiatan mengubah data ketika data tersebut sebelum, selama atau sesudah dimasukkan ke dalam sistem dengan tujuan mengubah data tersebut.
C. Tipe-Tipe Pengendalian
Kita hidup dalam era teknologi informasi saat ini memiliki kemudahan untuk mengakses berbagai informasi yang dibutuhkan. Bagi perusahaan yang memiliki sistem informasi berbasis komputer, membutuhkan suatu pengendalian yang dapat mengamakan data dan aset perusahaan dari gangguan pihak lain yang tidak bertanggung jawab. Pengendalian berbasis komputer antara lain sebagai berikut (Mardi, 2011):
1. Pengendalian Sistem Informas
Keamanan sistem operasi melibatkan prosedur, kebijakan dan pengendalian untuk menentukan siapa yang dapat mengakses sistem operasi, sumber daya mana yang dapat mereka akses, dan tindakan apa saja yang dapat mereka lakukan. Komponen yang terdapat dalam sebuah sistem operasi yang aman, yaitu: prosedur log on, kartu akses dan daftar kontorl akses.
2. Pengendalian Manajemen Data
Pengendalian manajemen data memiliki dua kategori umum berikut: Kontrol akses, yaitu kontrol yang dirancang untuk mencegah individu yang tidak sesuai memiliki otorisasi untuk mengambil, merusak atau menghilangkan data perusahaan. Dan kontrol pendukung, yaitu kontorl yang memastikan bahwa dalam peristiwa hilangnya data karena akses yang tidak sah perusahaan dapat memulihkan database secepatnya.
Pengendalian struktur organisasi merupakan pengendalian yang meliputi adanya pemisahan tugas dan wewenang dalam perusahaan secara sentralisasi dan membuat fungsi jasa komputer perusahaan.
4. Pengendalian Pengembangan Sistem
Pengendalian pengembangan sistem berupa tindakan yang dilakukan oleh perusahaan untuk mengendalikan aktivitas pengembangan sistem baru, maka perusahaan harus melakukan pengendalian pengembangan sistem dan melakukan tindakan sebagai berikut, yaitu: pengesahan sistem, proses penentuan spesifikasi pengguna, kegiatan desain teknis, keterlibatan audit internal, tes program dan evaluasi pemakai dan prosedur penerimaan.
5. Pengawasan Pemeliharaan Sistem
Pengawasan pemeliharaan sistem terdiri atas otorisasi pemeliharaan, pengujian, dokumentasi dam pengendalian referensi sumber.
6. Pengamanan Pusat Komputer
Pengamanan yang dapat dilakukan meliputi: penjagaan pusat komputer, ketersediaan backup situs kedua, tersedia daftar aplikasi penting, dan adanya tim pemulihan kerusakan.
7. Pengamanan terhadap Jaringan
Pengawasan terhadap risiko dari serbuan para perusak program komputer dengan memasukkan pesan kepada penerima dan pengawasan dilakukan kepada orang yang melakukan tindakan sabotase pada jaringan komputer perusahaan. Pengendalian jenis ini dapat diatasi dengan: menyiapkan firewall, pengendalian penolakan terhadap serangan pelayanan, menyiapkan sistem enkripsi data dan menyediakan tanda tangan digital dan sertifikasi digital.
Pengendalian aplikasi pada sistem tertentu, seperti sistem pembayaran gaji, pembelian, dan sistem pengeluaran kas atau tergantung pada sistem yang dipakai.
D. Prinsip-Prinsip The Five Trust Service untuk Keandalan Sistem
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahanpengendalian tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi
secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai. 5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
E. Keamanan Sistem Informasi dan Jaringan di SMA Negeri 3 Bekasi Sistem jaringan di SMAN 3 Bekasi terdapat sistem jaringan kantor. Sistem jaringan kantor menghubungkan ruang guru, ruang tata usaha, ruang kepala sekolah dan labolatorium sekolah. Sistem operasi yang digunakan adalah sistem operasi windows. Sistem pengolahan data maupun sistem informasi akuntansi mengandalkan program microsoft office. Arsitektur yang digunakan dalam jaringan LAN yang digunakan ini adalah arsitektur jaringan server-client yang terdapat satu komputer server dan satu atau lebih komputer client dalam jaringan komputer tersebut. Ancaman yang paling sering dialami adalah virus pada perangkat komputer sekolah, hal tersebut dapat membahayakan data dan pemrosesan informasi sekolah. Pengendalian sistem keamanan informasi dan jaringan yang dilakukan sebagai berikut:
a. Pemisahan tugas dan fungsi yang jelas sehingga membutuhkan kemampuan untuk mendapatkan akses data.
b. Membatasi akses ke komputer server dan komputer user sesuai dengan pihak yang memiliki wewenang penggunaannya.
c. Melakukan autentikasi pada setiap penggunaan komputer dengan username dan pasword yang telah ditentukan.
d. Memasang program anti virus dan memperbaharui anti virus pada setiap komputer. Antivirus yang digunakan pada setiap komputer di SMAN 3 Bekasi adalah smadav anti virus.
F. Daftar Pustaka
Djagia, Cindy angela, 2014. http://cindydjagia.blogspot.co.id/2014/01/contoh-kejahatan-di-bidang-komputer.html. 16 Maret 2018
Febriani,2015.ftp.gunadarma.ac.id/handouts/S1_Sistem%20Informasi.1/Febri ani/Keamanan.doc. 16 Maret 2018
Luthansa, 2014. https://www.slideshare.net/Luthansa/penipuan-dan-teknik-penyalahgunaan-komputer. 15 Maret 29018
Mardi. 2011. Sistem Informasi Akuntansi. Bogor: Ghalia Indonesia
Mudtautama, Prana. 2006. Social Engineering : Definisi, Contoh Kasus serta Pencegahannya. Institut Teknologi Bandung
Pamuji, Ridlo. 2016. Etika dan Keamanan Sistem Informasi. Yogyakarta: Universitas Mercu Buana
Roomney, Marshall B dan Steinbert, Paul John. 2006. Sistem Informasi Akuntansi. Jakarta: Salemba Empat