Kamis, 29 Oktober 2009

Pengamanan dan Pengendalian Sistem Informasi

PENGAMANAN DAN PENGENDALIAN

SISTEM INFORMASI

A. Kerentanan dan Gangguan terhadap Sistem Informasi.

Dari pengalaman berbagai organisasi dalam pemanfaatan sistem informasi, salah satu hal yang dibutuhkan adalah bagaimana setiap organisasi dapat memastikan bahwa sistem informasi yang ada memiliki sistem pengamanan dan pengendalian yang memadai. Penggunaan sistem informasi di organisasi bukannya tanpa risiko. Penggunaan atau akses yang tidak sah, perangkat lunak yang tidak berfungsi, kerusakan pada perangkat keras, gangguan dalam komunikasi, bencana alam, dan kesalahan yang dilakukan oleh petugas merupakan beberapa contoh betapa rentannya sistem informasi menghadapi berbagai risiko dan potensi risiko yang kemungkinan timbul dari penggunaan sistem informasi yang ada. Beberapa hal yang menjadi tantangan manajemen menghadapi berbagai risiko dalam penggunaan sistem informasi yaitu:

1. Bagaimana merancang sistem yang tidak mengakibatkan terjadinya

pengendalian yang berlebih (overcontrolling) atau pengendalian yang

terlalu lemah (undercontrolling).

2. Bagaimana pemenuhan standar jaminan kualitas (quality assurance)

dalam aplikasi sistem informasi.

Mengapa sistem informasi begitu rentan? Data yang disimpan dalam bentuk elektronis umumnya lebih mudah atau rawan sekali terhadap ancaman atau gangguan yang mungkin timbul, dibanding jika data tersebut disimpan secara manual. Beberapa ancaman dan gangguan yang mungkin terjadi dan berpengaruh terhadap sistem informasi, adalah sebagai berikut:

1. Kerusakan perangkat keras.

2. Perangkat lunak tidak berfungsi.

3. Tindakan-tindakan personal.

4. Penetrasi akses ke terminal.

5. Pencurian data atau peralatan.

6. Kebakaran.

7. Permasalahan listrik.

8. Kesalahan-kesalahan pengguna.

9. Program berubah.

10. Permasalahan-permasalahan telekomunikasi.

Kemajuan dalam telekomunikasi dan perangkat lunak dan keras komputer secara signifikan juga memberikan kontribusi atas meningkatnya kerentanan dan gangguan terhadap sistem informasi. Melalui jaringan telekomunikasi, informasi disebarkan atau dihubungkan ke berbagai lokasi. Kemungkinan adanya akses yang tidak sah, gangguan atau kecurangan dapat saja terjadi baik di satu atau beberapa lokasi yang terhubung. Semakin kompleksnya perangkat keras juga menciptakan kemungkinan terjadinya peluang untuk penetrasi dan manipulasi penggunaan sistem informasi.

Pertumbuhan dan penggunaan yang pesat internet dalam berbagai aktivitas juga mengundang timbulnya berbagai gangguan terhadap sistem informasi. Dua hal yang menjadi perhatian di sini adalah masalah hackers dan virus. Hacker adalah seseorang yang melakukan akses yang tidak sah ke jaringan komputer untuk tujuan mencari keuntungan, kriminal, atau hanya untuk sekedar kesenangannya. Sedangkan virus adalah program yang mengganggu dan merusak file yang ada dalam komputer, serta sulit untuk dideteksi. Virus ini dapat cepat sekali menyebar, menghancurkan file, dan mengganggu pemrosesan dan memory sistem informasi. Umumnya, untuk mencegah penyebaran virus yang menyerang, digunakan program khusus anti virus yang didesain untuk mengecek sistem komputer dan file yang ada dari kemungkinan terinfeksi oleh virus komputer. Seringkali, anti virus ini mampu untuk mengeliminasi virus dari area yang terinfeksi. Namun, program antivirus ini hanya dapat untuk mengeliminasi atas virus-virus komputer yang sudah ada. Oleh karenanya, para pengguna komputer disarankan untuk secara berkala memperbarui program anti virus mereka.

Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah membuat para pengembang dan pengguna sistem informasi untuk menempatkan perhatian yang khusus, terutama aterhadap permasalahan permasalahan yng dapat menjadi kendala untuk penggunaan sistem informasi secara memadai. Paling tidak ada 3 hal yang menjadi perhatian khusus di sini, yaitu:


1. Bencana (disaster)

Perangkat keras komputer, program-program, file-file data, dan peralatan-peralatan komputer lain dapat dengan seketika hancur oleh karena adanya bencana, seperti: kebakaran, hubungan arus pendek (listrik), tsunami, dan bencana-bencana lainnya. Jika bencana ini menimpa, mungkin perlu waktu bertahun-tahun dan biaya yang cukup besar (jutaan dan bahkan mungkin milyaran rupiah) untuk merekonstruksi file data dan program komputer yang hancur. Oleh karenanya, untuk pencegahan atau meminimalkan dampak dari bencana, setiap organisasi yang aktivitasnya sudah memanfaatkan teknologi informasi biasanya sudah memiliki:

a. Rencana Kesinambungan Kegiatan (pada perusahaan dikenal dengan Bussiness Continuity Plan) yaitu suatu fasilitas atau prosedur yang dibangun untuk menjaga kesinambungan kegiatan/layanan apabila terjadi bencana.

b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”, yaitu fasilitas atau prosedur untuk memperbaiki dan/atau mengembalikan kerusakan/dampak suatu bencana ke kondisi semula. Disaster recovery plan ini juga meliputi kemampuan untuk prosedur organisasi dan “back up” pemrosesan, penyimpanan, dan basis data.


2. Sistem Pengamanan (security)

Merupakan kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data.


3. Kesalahan (errors)

Komputer dapat juga menyebabkan timbulnya kesalahan yang sangat mengganggu dan menghancurkan catatan atau dokumen, serta aktivitas operasional organisasi. Kesalahan (error) dalam sistem yang terotomatisasi dapat terjadi di berbagai titik di dalam siklus prosesnya, misalnya: pada saat entri-data, kesalahan program, operasional komputer, dan perangkat keras.

B. Tujuan Keamanan Sistem Informasi.

Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlawanan dan perlindungan yang diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan, ketersediaan dan integritas.

1. Kerahasian. Setiap organisasi berusaha melindungi data dan informasinya dari pengungkapan kepada pihak-pihak yang tidak berwenang. Sistem informasi yang perlu mendapatkan prioritas kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem informasi kepagawaian (SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya alam.

2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).

3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.

C. Membangun Pengendalian Sistem Informasi.

Untuk meminimalkan kemungkinan terjadinya bencana (disaster), kesalahan (errors), interupsi pelayanan, kejahatan terhadap pemanfatan komputer, dan pelanggaran sistem pengamanan komputer, perlu dibangun kebijakan dan prosedur khusus ke dalam desain dan implementasi sistem informasi. Perlu dibangun pengendalian sistem informasi yang terdiri dari seluruh metode, kebijakan, dan prosedur organisasi yang dapat memastikan keamanan aset organisasi, keakuratan dan dapat diandalkannya catatan dan dokumen akuntansi, dan aktivitas operasionalmengikuti standar yang ditetapkan manajemen. Pengendalian atas sistem informasi harus menjadi bagian yang terintegrasi sejak sistem informasi ini dirancang.

Menurut American Institute of Certified Public Accountant (AICPA), pengendalian sistem informasi dapat dibagi menurut pengendalian umum (general control) dan pengendalian aplikasi (application control). Di samping itu, terdapat pula organisasi profesi lain yang khusus di bidang audit dan pengendalian teknologi informasi, yaitu ISACA (Information Systems Audit and Control Association) yang membagi bentuk pengendalian dari perspektif yang berbeda. ISACA membagi pengendalian sistem informasi menjadi 2 jenis, yaitu: pengendalian luas (pervasive control) dan pengendalian terinci (detailed control). Untuk selanjutnya, pembahasan lebih dalam di modul ini menggunakan pembagian pengendalian sistem informasi mengikuti apa yang dirumuskan oleh AICPA, yaitu bahwa pengendalian sistem informasi terbagi atas pengendalian umum dan pengendalian aplikasi. Pengendalian umum diterapkan pada keseluruhan aktivitas dan aplikasi sistem informasi.

Pengendalian umum ini dipasangkan atau melekat di dalam suatu sistem informasi dengan tujuan untuk mengendalikan rancangan, pengamanan, dan penggunaan program-program komputer, serta pengamanan atas file data di dalam infrastruktur teknologi informasi. Dengan kata lain, pengendalian umum dipasangkan di keseluruhan aplikasi yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan prosedur manual yang mampu untuk menciptakan lingkungan pengendalian secara menyeluruh. Pengendalian aplikasi adalah pengendalian yang secara khusus dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu, misalnya pengendalian aplikasi yang dipasangkan di aplikasi sistem penggajian, piutang, atau pemrosesan order untuk pengadaan barang dan jasa. Terdiri dari pengendalian-pengendalian yang dipasangkan pada areal pengguna atas sistem tertentu dan dari prosedur-prosedur yang telah diprogram.

D. Pengendalian Umum (General Control).

Pengendalian umum sistem informasi berhubungan dengan risiko-risiko yang berkaitan di berbagai area kegiatan, seperti: sistem operasi, sumber daya data, pemeliharaan sistem, pusat komputer, komunikasi data, pertukaran data elektronik (electronic data interchange-EDI), komputer mikro, dan s

1 komentar:

Andi mengatakan...

sangat membantu mbk.. ,, kuliah SIM ya ??