1 / 17

7, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Review Materi-Materi dan Kasus-Kasus yang dikerjakan oleh mahasiswa, Universi

7, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Review Materi-Materi dan Kasus-Kasus yang dikerjakan oleh mahasiswa, Universitas Mercu Buana, 2018

yovie_aulia_dinanda
Download Presentation

7, SI & PI Yovie Aulia Dinanda, Hapzi Ali, Review Materi-Materi dan Kasus-Kasus yang dikerjakan oleh mahasiswa, Universi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Review Materi-Materi dan Kasus-Kasus yang Dikerjakan Oleh Mahasiswa Dosen Pengampu: Prof. Dr. Ir. Hapzi Ali, MM, CMA Dibuat Oleh: Yovie Aulia Dinanda 55518110057 MAGISTER AKUNTANSI PROGRAM PASCASARJANA (S2) UNIVERSITAS MERCU BUANA JAKARTA 2018

  2. Materi 1 Ancaman-Ancaman dalam Sistem Informasi Akuntansi 1.Ancaman kehancuran karena bencana alam dan politik 2.Ancaman karena kesalahan pada software dan tidak berfungsinya peralatan 3.Ancaman ketiga bagi perusahaan adalah tindakan yang tidak disengaja 4.Ancaman keempat yang dihadapi perusahaan adalah tindakan disengaja Meningkatnya Ancaman Pada Sistem Informasi Akuntansi Peningkatan ancaman tersebut terjadi karena sistem klien/server mendistribusikan data ke banyak pemakai, itu sebabnya sistem tersebut lebih sulit dikendalikan daripada sistem komputer utama yang terpusat dan informasi tersebut tersedia bagi para pekerja yang tidak baik. WAN memberikan pelanggan dan pemasok akses ke sistem dan data mereka satu sama lain yang menimbulkan kekhawatiran dalam hal kerahasiaan. Pengenalan Fraud Fraud (kecurangan) merupakan istilah yang sering kita dengar sehari-hari, namun secara definisi masih belum banyak yang mengetahui tentang fraud (kecurangan). Fraud adalah tindakan curang, yang dilakukan sedemikian rupa, sehingga menguntungkan diri sendiri/kelompok atau merugikan pihak lain (perorangan, perusahaan atau institusi). Menurut James Hall (2011), Fraud (kecurangan) merupakan kesalahan penyajian dari fakta material yang dibuat oleh salah satu pihak ke pihak yang lain dengan niatan untuk menipu dan menyebabkan pihak lain yang mengandalkan fakta tersebut mengalami kerugian. Ada tiga hal yang mendorong terjadinya sebuah upaya fraud, yaitu dorongan yang menyebabkan seseorang melakukan fraud (pressure), peluang yang memungkinkan fraud terjadi (opportunity), & elemen penting dalam terjadinya fraud, dimana pelaku mencari pembenaran atas tindakannya (rationalization) Pelaku-pelaku Fraud & alasannya Pelaku kecurangan dapat diklasifikasikan kedalam 2 kelompok, yaitu: 1.Manajemen, pihak manajemen biasanya melakukan kecurangan untuk kepentingan perusahaan yaitu salah saji yang timbul karena kecurangan pelaporan keuangan (misstatements arising from fraudulent financial). 2.Pegawai/karyawan, melakukan kecurangan bertujuan untuk keuntungan individu, misalnya salah saji yang berupa penyalahgunaan aktiva. Fraud yang dilakukan oleh manajemen umumnya lebih sulit ditemukan dibandingkan dengan yang dilakukan karyawan. Oleh karena itu, perlu diketahui gejala yang menunjukkan adanya kecurangan tersebut, adapun gejala tersebut adalah: 1.Gejala kecurangan pada manajemen Ketidak cocokan diantara manajemen puncak, moral dan motivasi karyawan rendah, departemen akuntansi kekurangan staff, tingkat komplain yang tinggi terhadap organisasi dari pihak konsumen, kekurangan staff secara tidak teratur, penjualan/laba menurun. 2.Gejala kecurangan pada pegawai/karyawan

  3. Pembetulan ayat jurnal penyesuaian tanpa otorisasi manajemen laba dan tanpa perincian/penjelasan pendukung, pencatatan yang salah, penghancuran/penghilangan dokumen pendukung pembayaran. Computer Fraud Departemen Kehakiman Amerika Serikat mendefinisikan penipuan komputer sebagai tindakan illegal apapun yang membutuhkan pengetahuan teknologi komputer untuk melakukan tindakan awal penipuan, penyelidikan/pelaksanaannya. Secara khusus, penipuan komputer mencakup hal-hal berikut ini: 1.Pencurian, penggunaan, akses, modifikasi, penyalinan, & perusakan software/data secara tidak sah. Pencurian uang dengan mengubah catatan komputer/pencurian waktu komputer 2.Pencurian/perusakan hardware komputer 3.Penggunaan/konspirasi untuk menggunakan sumber daya komputer dalam melakukan tindak pidana 4.Keinginan untuk secara illegal mendapatkan informasi/property berwujud melalui penggunaan komputer Pencegah & pendeteksian Fraud 1.Corporate Governance dilakukan oleh manajemen yang dirancang dalam rangka mengeliminasi/setidaknya menekan kemungkinan terjadinya fraud. Corporate governance meliputi budaya perusahaan, kebijakan-kebijakan, & pendelegasian wewenang. 2.Transaction Level Control Process yang dilakukan oleh auditor internal, pada dasarnya adalah proses yang lebih bersifat preventif dan pengendalian yang bertujuan untuk memastikan bahwa hanya transaksi yang sah, mendapat otorisasi yang memadai yang dicatat & melindungi perusahaan dari kerugian. 3.Retrospective Examination yang dilakukan oleh auditor eksternal diarahkan untuk mendeteksi fraud sebelum menjadi besar & membahayakan perusahaan. 4.Investigation and Remediation yang dilakukan forensik auditor. Peran auditor forensik adalah menentukan tindakan yang harus diambil terkait dengan ukuran & tingkat kefatalan fraud, tanpa memandang apakah fraud itu hanya berupa pelanggaran kecil terhadap kebijakan perusahaan ataukah pelanggaran besar yang berbentuk kecurangan dalam laporan keuangan atau penyalahgunaan asset. Pencegahan fraud bisa dianalogikan dengan penyakit, yaitu lebih baik dicegah daripada diobati. Jika menunggu terjadinya fraud baru ditangani itu artinya sudah ada kerugian yang terjadi dan telah dinikmati oleh pihak tertentu, bandingkan bila kita berhasil mencegahnya, tentu kerugian belum semuanya beralih ke pelaku fraud tersebut. Dan bila fraud sudah terjadi maka biaya yang dikeluarkan jauh lebih besar untuk memulihkannya daripada melakukan pencegahan sejak dini. Untuk melakukan pencegahan, setidaknya ada tiga upaya yang harus dilakukan, yaitu: 1.Membangun individu yang didalamnya terdapat trust and openness, mencegah benturan kepentingan, confidential disclosure agreement dan corporate security contract. 2.Membangun sistem pendukung kerja yang meliputi sistem yang terintegrasi, standarisasi kerja, aktifitas control dan sistem rewards and recognition.

  4. 3.Membangun sistem monitoring yang didalamnya terkandung control self asessment, internal auditor dan eksternal auditor. Materi 2 Definisi Penyerangan dan penyalahgunaan komputer adalah segala macam bentuk kejahatan yang berkaitan dengan komputer. Jenis penyerangan dan penyalahgunaan komputer 1. Penyerangan yang bersumber dari pengguna antara lain: a. Akses tanpa ijin b. Kesalahan pengguna c. Virus atau spyware 2. Penyerangan yang bersumber dari jakur komunikasi antara lain: a. Tapping b. Sniffing c. Penggantian pesan d. PEncurian atau penipuan e. Radiasi 3. Penyerangan yang bersumber dari server perusahaan antara lain: a. Hacking b. Virus dan worm c. Pencurian atau penipuan d. Vandalisme e. Danial of service 4. Penyerangan yang bersumber dari sistem perusahaan antara lain: a. Pencurian data b. Penyalinan data c. Pengubahan data d. Kegagalan piranti lunak/piranti keras Materi 3 Pengendalian Internal merupakan bagian Integral dari Manajemen dalam menjalankan aktivitasnya di sebuah organisasi atau perusahaan. Sistem Pengendalian Internal meliputi struktur organisasi, metode dan ukuran yang dikoordinasikan untuk menjaga kekayaan organisasi, mengecek ketelitian dan keandalan data akuntansi, mendorong efisiensi dan mendorong dipatuhinya kebijakan manajemen (Mulyadi, 2010). Menurut Mulyadi, tujuan Sistem Pengendalian Internal adalah: 1. Menjaga kekayaan organisasi 2. Mengecek ketelitian dan keandalan data Akuntansi

  5. 3. Mendorong Efisiensi 4. Mendorong dipatuhinya kebijakan manajemen Dalam konsep pengendalian Internal terjadi keterkaitan erat antara tujuan yaitu operasional, pelaporan dan kepatuhan; unsur-unsur atau komponen pengendalian internal serta struktur organisasi dimana pengendalian internal itu diterapkan. Unsur-Unsur Pengendalian Internal COSO. Committee of Sponsoring Organization of the Treadway Commision (COSO) pada tahun 1992 dan juga pada tahun 2013 memandang bahwa pengendalian internal merupakan rangkaian tindakan yang mencakup keseluruhan proses dalam organisasi. Pengendalian internal berada dalam proses manajemen dasar, yaitu perencanaan, pelaksanaan dan pemantauan. Terdapat 5 komponen pengendalian internal menurut COSO 1992 maupun perkembangannya tahun2013, yaitu: 1. Lingkungan Pengendalian (Control Environment) 2. Penilaian Risiko (Risk assisment) 3. Aktivitas Pengendalian (Control Activities) 4. Informasi dan Komonikasi (Information and Commonication) 5. Aktivitas Pengawasan (Monitoring Activities) Materi 4 Definisi Sistem Informasi Sistem merupakan suatu totalitas himpunan bagian-bagian yang satu sama lain berinteraksi dan bersama-sama beroperasi mencapai suatu tujuan tertentu di dalam suatu lingkungan, sedangkan informasi merupakan data yang telah diolah menjadi sebuah bentuk yang berarti bagi penerimanya. Informasi merupakan bagian yang terpenting pada suatu organisasi, terutama dalam kaitannya dalam pengambilan keputusan strategis. Sistem informasi yang biasanya dimiliki seringkali tidak berjalan dengan baik, akibat banyaknya informasi yang tersedia, sehingga menyulitkan pengguna informasi untuk memilih informasi mana yang relevan untuk pengambilan keputusannya. Oleh karena itu, diperlukan pengelolaan informasi yang baik, sehingga informasi yang tepat tersedia bagi masing-masing pengguna informasi. Definisi Sistem Informasi: Suatu sistem terintegrasi yang mampu menyediakan informasi yang bermanfaat bagi penggunanya. Atau; Sebuah sistem terintegrasi atau sistem manusia-mesin, untuk menyediakan informasi untuk mendukung operasi, manajemen dalam suatu organisasi. Sistem ini memanfaatkan perangkat keras dan perangkat lunak komputer, prosedur manual, model manajemen dan basis data. Dari definisi di atas terdapat beberapa kata kunci: 1. Berbasis komputer dan Sistem Manusia/Mesin 2. Sistem basis data terintegrasi 3. Mendukung Operasi Istilah Sistem Informasi

  6. Ø Manajemen Information System Ø Information Processing System Ø Information Decision System Ø Information System Semuanya mengacu pada sebuah sistem informasi berbasis komputer yang dirancang untuk mendukung operasi, manajemen dan fungsi pengambilan keputusan suatu organisasi. Jadi berdasarkan pengertian diatas dapat disimpulkan bahwa sistem informasi adalah kumpulan data yang terintegritasi dan saling melengkapi dengan menghasilkan output yang baik guna untuk memecahkan masalah dan pengambilan keputusan. Tinjauan SIA Sistem Akuntansi adalah sistem yang memproses transaksi akuntansi maupun non akuntansi menjadi informasi keuangan tanpa melibatkan teknologi informasi dalam pemrosesan transaksi. Dengan perkataan lain, Sistem Akuntansi memproses transaksi akuntansi dengan cara manual/tradisional.SIA melibatkan atau menggunakan teknologi informasi dan setiap kemajuannya dalam memproses transaksi menjadi informasi keuangan yang diperlukan. Sistem Informasi Akuntansi (SIA) adalah sebuah Sistem Informasi yang menangani segala sesuatu yang berkenaan dengan Akuntansi. Akuntansi sendiri sebuah Sistem Informasi. Fungsi penting yang dibentuk SIA pada sebuah organisasi antara lain: sebenarnya adalah 1. Mengumpulkan dan menyimpan data tentang aktivitas dan transaksi. 2. Memproses data menjadi into informasi yang dapat digunakan dalam proses pengambilan keputusan. 3. Melakukan kontrol secara tepat terhadap aset organisasi. Subsistem SIA memproses berbagai transaksi keuangan dan transaksi nonkeuangan yang secara langsung memengaruhi pemrosesan transaksi keuangan. SIA terdiri dari 3 subsistem: 1. Sistem pemrosesan transaksi 2. Sistem buku besar/ pelaporan keuangan 3. Sistem pelaporan manajemen Karakteristik SIA yang membedakannya dengan subsistem CBIS lainnya: 1. SIA melakasanakan tugas yang diperlukan 2. Berpegang pada prosedur yang relatif standar 3. Menangani data rinci 4. Berfokus historis 5. Menyediakan informasi pemecahan minimal Sistem Pengolahan Transaksi dan Sistem perencanaan Perusahaan SISTEM PENGOLAHAN TRANSAKSI Sistem informasi komputerisasi yang dikembangkan untuk memproses data-data dalam jumlah besar untuk transaksi bisnis rutin seperti daftar gaji dan inventarisasi. Sistem

  7. pengolahan transaksi (TPS) adalah sistem informasi yang terkomputerisasi yang dikembangkan untuk memproses data-data dalam jumlah besar untuk transaksi bisnis rutin seperti daftar gaji dan inventarisasi. Tugas PokokSistem Pengolahan Transaksi 1. Pengumpulan Data 2. Manipulasi Data Beberapa tugas manipulasi data adalah sebagai berikut: a. Klasifikasi b. Sortir c. Perhitungan d. Pengikhtisaran e. Penyimpanan Data f. Penyiapan Dokumen Komponen-komponen Sistem Pengolahan Transaksi A. Dokumen Sumber B. Jurnal dan Register C. Buku Besar dan Arsip D. Laporan dan Dokumen E. Bagian Perkiraan dan Kode Lainnya F. Rangkaian Audit Rangkaian audit memungkinkan: 1) Koreksi kesalahan yang terdeteksi 2) Menjawab pertanyaan 3) Rekonstruksi arsip G. Tindakan Pengendalian dan Pengamanan Pengendalian seperti itu harus didukung dengan dokumentasi yangmemadai, meliputi : 1) Manual prosedur 2) Uraian tanggung jawab yangdibebankan kepada mereka yang terlibat dalam pemrosesan transaksi. TeknikSistem Pengolahan Transaksi · Batch processing · Online processing · Inline processing Sistem Perencanaan Perusahaan Perancangan system

  8. Menurut Diana dan Setiawati (2011:48) mendefinisikan bahwa perancangan sistem merupakan sekumpulan prosedur yang dilakukan untuk mengubah spesifikasi logis menjadi desain yang dapat diimplementasikan ke sistem komputer organisasi. Desain tersebut meliputi desain laporan, laporan, 23 formulir, data, dan proses informasi. Pada tahap ini dibuta rencana pengujian dan implementasi sistem yang baru serta pelatihan karyawan. Langkah-langkah dalam perancangan sistem meliputi: a. Mengubah spesifikasi yang telah diputuskan menjadi desain yang dapat diandalkan, b. Mengembangkan rencana dan anggaran yang menjamin implementasi sistem baru yang urut dan terkendali, c. Mengembangkan implementasi dan rencana pengujian implementasi yang menjamin bahwa sistem tersebut dapat diandalkan, lengkap dan akurat, d. Menyusun manual bagi pemakai sistem sehingga mendukung penggunaan sistem baru oleh staf operasi manajemen yang efisien dan efektif. Manuak pada tahap ini digunakan untuk memberikan briefing dan pelatihan kepada pemakai, e. Menyusun program pelatihan, f. Melengkapi dokumen desain sistem. Materi 5 COBIT Menurut Swastika dan I Gusti Putra (2016:164) COBIT adalah salah satu metodologi yang memberikan kerangka dasar dalam menciptakan sebuah teknologi informasi yang sesuai dengan kebutuhan organisasi dengan tetap memperhatikan faktor-faktor lain yang berpengaruh. Pada dasarnya COBIT dikembangkan untuk membantu memenuhi berbagai kebutuhan manajemen terhadap informasi dengan menjembatani kesenjangan antara resiko bisnis, kontrol, dan masalah teknis. COBIT memberikan satu langkah praktis melalui domain dan framework yang menggambarkan aktivitas IT dalam suatu struktur dan proses yang dapat disesuaikan. COBIT adalah merupakan kerangka panduan tata kelola TI dan atau bisa juga disebut sebagai toolset pendukung yang bisa digunakan untuk menjembatani gap antara kebutuhan dan bagaimana teknis pelaksanaan pemenuhan kebutuhan tersebut dalam suatu organisasi. COBIT memungkinkan pengembangan kebijakan yang jelas dan sangat baik digunakan untuk IT kontrol seluruh organisasi, membantu meningkatkan kualitas dan nilai serta menyederhanakan pelaksanaan alur proses sebuah organisasi dari sisi penerapan IT. Cobit berorientasi proses, dimana secara praktis Cobit dijadikan suatu standar panduan untuk membantu mengelola suatu organisasi mencapai tujuannya dengan memanfaatkan IT. Cobit memberikan panduan kerangka kerja yang bisa mengendalikan semua kegiatan organisasi secara detail dan jelas sehingga dapat membantu memudahkan pengambilan keputusan di level top dalam organisasi. Siapa saja yang menggunakan COBIT? COBIT digunakan secara umum oleh mereka yang memiliki tanggung jawab utama dalam alur proses organisasi, mereka yang organisasinya sangat bergantung pada kualitas, kehandalan dan penguasaan teknologi informasi. Cobit memiliki 4 Cakupan Domain: 1. Perencanaan dan Organisasi (Plan and Organise) 2. Pengadaan dan Implementasi (Acquire and Implement)

  9. 3. Pengantaran dan Dukungan (Deliver and Support) 4. Pengawasan dan Evaluasi (Monitor and Evaluate) Keempat domain tersebut diatas kemudian dijabarkan menjadi 34 faktor resiko yang harus dievaluasi jika ingin diperoleh suatu kesimpulan mengenai seberapa besar kepedulian manajemen terhadap teknologi informasi, serta bagaimana teknologi informasi dapat memenuhi kebutuhan manajemen akan informasi. CoBIT (Control Objectives for Information and Related Technology) 1. Fokus Pengguna Utama adalah manajemen, operator dan auditor sistem informasi. 2. Sudut pandang atas internal control adalah kesatuan beberapa proses yang terdiri atas kebijakan, prosedur, penerapan serta struktur organisasi. 3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, kerahasiaan, kesatuan dan ketersediaan informasi yang dilengkapi dengan sistem pelaporan keuangan yang handal disesuaikan dengan peraturan yang berlaku. 4. Komponen/domain yang dituju adalah perencanaan dan pengorganisasian, pemaduan dan penerapan, pengawasan atas dukungan serta pendistribusian. 5. Fokus pengendalian dari CoBIT adalah sisi teknologi informasi. 6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam periode waktu yang sudah ditetapkan. 7. Pertanggungjawaban atas sistem pengendalian dari CoBIT ditujukan kepada manajemen. COSO Pada tahun 1970-an, marak terjadi tindak korupsi di Amerika. Untuk menindak lanjuti hal tersebut, sektor eksekutif-legislatif, SEC (SecuritiesExchange and Commission) dan USCongress membentuk FCPA dengan tujuanuntuk melawan fraud dan korupsi yang sedang marak tersebut, kemudian dibentuklah Committee of Sponsoring Organizations of the Treadway Commission,atau disingkatCOSO, adalah suatu inisiatif dari sektor swasta yangdibentuk pada tahun 1985 yang disponsori oleh 5 asosiasi profesional yaitu: ● AICPA (The American Institute of Certified Public Accountants), ● AAA (The American Accounting Association), ● FEI (Financial Executives International), ● IIA (The Institute of Internal Auditors), dan ● IMA (The Institute of Management Accountants) Koalisi ini didirikan untuk menyatukan pandangan dalam komunitas bisnis berkaitan dengan isu-isu pelaporan keuangan yang mengandung fraud. Tujuan dari COSO adalah untuk mengidentifikasi faktor-faktor yang menyebabkan penggelapan laporan keuangan dan membuat rekomendasi untuk mengurangi kejadian tersebut. COSO telah menyusun suatu definisi umum untuk pengendalian, standar, dan kriteria internal yang dapat digunakan perusahaan untuk menilai sistem pengendalian mereka. Fungsi COSO adalah memberikan pemikiran kepemimpinan melalui pengembangan kerangka kerja dan pedoman yang komprehensif tentang manajemen resiko perusahaan, pengendalian

  10. internal dan pencegahan kecurangan yang dirancang untuk meningkatkan kinerja organisasi dan tata pemerintahan dan untuk mengurangi tingkat kecurangan dalam organisasi. Misi utama dari COSO adalah untuk menghadirkan panduan bagi pasar global dalam penyelenggaraan organisasi yang baik melalui pengembangan kerangka kerja komprehensif dan pengawasan terhadap 3 subyek yang saling berhubungan: pengendalian internal, Enterprise Risk Management (ERM), dan pencegahan fraud. COSO (Committee of Sponsoring Organizations) 1. Fokus Pengguna Utama adalah manajemen. 2. Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum. 3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian dengan peraturan yang berlaku. 4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi. 5. Fokus pengendalian dari eSAC adalah keseluruhan entitas. 6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut diterapkan dalam poin waktu tertentu. 7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada manajemen. ERM adalah sebuah proses yang melibatkan keseluruhan entitas mulai dari dewan direksi, manajemen, dan pejabat lainnya, yang diaplikasikan ke dalam penyusutan strategi dan melingkupi keseluruhan perusahaan, yang didesain untuk mengindentifikasi kejadian yang berpotensi yang dapat berakibat pada entitas, dan mengelola resiko pada tingkat resiko yang dikehendaki untuk menyediakan penjaminan yang wajar dalam rangka mencapai tujuan dari entitas Manfaat dari penerapan ERM adalah untuk meningkatkan kemampuan sebuah perusahaan untuk menyelaraskan risk appetite dengan strategi dan arah kebijakan perusahaan sehingga dapat meningkatkan kualitas keputusan yang diambil oleh manajemen perusahaan dalam merespon resiko. Elemen-elemen ERM yang mempengaruhi sekaligus mendukung ERM adalah: 1. Lingkungan internal perusahaan, berkaitan dengan budaya resiko yang ada dalam perusahaan serta bagaimana nantinya enterprise risk management diterapkan 2. Penentuan tujuan, identifikasi resiko-resiko pada masing-masing tujuan harus dapat dilakukan sebelum tujuan tersebut ditetapkan menjadi tujuan perusahaan 3. Identifikasi kejadian resiko, tujuannya adalah agar dapat dilakukan pemtaan yang jelas atas resiko-resiko yang mungkin terjadi serta bagaimana meminimalisasinya 4. Control dan komunikasi, dilakukan secara terus menerus untuk mengelola resiko dalam perusahaan sehingga resiko yang sama tidak terjadi secara berulang Materi 6 KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN SERANGANNYA Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem

  11. informasi digunakan untuk mencegah akses yang tidak sah, perubahan program, pecurian, atau kerusakan fisik terhadap system informasi. bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang System pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak computer, jaringan komunikasi dan data. Keamanan jaringan internet adalah manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan system informasi dan kelemahan keamanan system informasi. Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu: • Efektifitas • Efisiensi • Kerahaasiaan • Integritas • Keberadaan (availability) • Kepatuhan (compliance) • Keandalan (reliability) Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yang perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu: 1. Akses kontrol sistem yang digunakan 2. Telekomunikasi dan jaringan yang dipakai 3. Manajemen praktis yang di pakai 4. Pengembangan sistem aplikasi yang digunakan 5. Cryptographs yang diterapkan 6. Arsitektur dari sistem informasi yang diterapkan 7. Pengoperasian yang ada 8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) 9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan 10. Tata letak fisik dari sistem yang ada Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki. Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi. Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja

  12. ataupun tidak sengaja. Ancaman selama ini hanya banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan „serangan‟ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode-metode penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method (metode stride). STRIDE merupakan singkatan dari: · Spoofing · Tampering · Repudiation · Information disclosure · Denial of service · Elevation of priviledge Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut: a) Kewenangan tinggi untuk login kedalam sebuah sistem. b) Memiliki hak akses (password) seseorang yang dia ketahui dari berbagai sumber. c) Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu. d) Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut. Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu: 1. Kerahasiaan 2. Ketersediaan 3. Integritas Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baik menggunakan serangan terarah maupun acak. Serangan yang terjadi terhadap sebuah sistem jaringan

  13. dikalangan praktisi lazim sering disebut dengan penetration. Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi. Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut: 1. Virus 2. Worms 3. Trojan Horse Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”, dapat digunakan “Secure Socket Layer” (SSL). Metode ini misalnya umum digunakan untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data- data anda atau e-mail anda tidak dapat dibaca oleh orang yang tidak berhak. 1. Mengatur akses (Access Control) 2. Memilih password 3. Memasang proteksi 4. Firewall 5. Pemantau adanya serangan Aspek keamanan sistem informasi · Authentication · Integrity · Authority · Confidentiality · Privacy Aspek ancaman keamanan komputer atau keamanan sistem informasi · Interruption · Interception · Modifikasi · Fabrication Cara mendeteksi suatu serangan atau kebocoran sistem Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau kebocoran sistem : · Desain sistem · Aplikasi yang Dipakai · Manajemen

  14. · Manusia (Administrator) Langkah keamanan sistem informasi · Aset · Analisis Resiko · Perlindungan · Alat · Prioritas Strategi dan taktik keamanan sistem informasi · Keamanan fisik · Kunci Komputer · Keamanan BIOS · Mendeteksi Gangguan Keamanan Fisik TIPE-TIPE PENGENDALIAN Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud. TIPE PENGENDALIAN 1. PENGENDALIAN PREVENTIF Yaitu pengendalian yang mencegah masalah sebelum timbul. Pengendalian preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang eefektif. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan bagi kebertahanan jangka panjang organisasi. Selain itu, pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika manajemen mendemontrasikan dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan. Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset informasi: a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses sistem informasi organisasi. b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan. 2. PENGENDALIAN DETEKTIF

  15. Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau berhasil dilakukan. Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses bisnis. 3. PENGENDALIAN KOREKTIF Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang penting: a. Pembentukan sebuah tim perespon insiden komputer (computer incident response team– CIRT) b. Pendesainan individu khusus (Chief Informastion Security Officer– CISO) c. Penetapan baik Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu. serta penerapan sistem manajemen path yang didesain dengan PENGENDALIAN UMUM DAN APLIKASI 1. PENGENDALIAN UMUM Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola dengan baik. Pengendalian umum digolongkan menjadi beberapa, diantaranya: a. Pengendalian organisasi dan otorisasi b. Pengendalian operasi c. Pengendalian perubahan d. Pengendalian akses fisikal dan logikal 2. PENGENDALIAN APLIKASI Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan: a. Perangkat lunak berdiri sendiri. b. Perangkat lunak di server Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut, diantaranya: a. Pengendalian Organisasi dan Akses Aplikasi b. Pengendalian Input

  16. c. Pengendalian Proses d. Pengendalian Output e. Pengendalian Berkas Master PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM Untuk mengatasi permasalahan pengendalian tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem: 1. Keamanan (security) 2. Kerahasiaan (confidentiality) 3. Privasi (privacy) 4. Integritas Pemrosesan (processing integrity) 5. Ketersediaan (availability) KERAHASIAAN DAN PRIVASI 1. Kerahasiaan Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal) yang memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang lain atau pesaing yang membuat organisasi merasa dirugikan atau juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif: a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi b. Mengenkripsi informasi c. Mengendalikan akses atas informasi d. Melatih para pegawai untuk menangani informasi secara tepat 2. Privasi Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data keorganisasian. Langkah pertama untuk melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi melindungi privasi, organisasi harus menjalankan program data masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai palsu sebelum mengirimkan data tersebut kepada pengembang program dan sistem pengujian. Terdapat dua permasalahan utama terkait privasi: a. Spam b. Pencuri identitas (identity theft) INTEGRITAS DAN KETERSEDIAAN PEMROSESAN 1. Integritas Pemrosesan

  17. Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid. Aplikasi pengendalian untuk integritas pemrosesan terdiri atas: a. Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan adalah bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian visual, dan pengendalian entri data. b. Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection), pemrosesan database, dan pengendalian integritas. c. Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau tidak lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan kehilangan, perubahan, atau pengungkapan informasi dalam transit maka bentuk pengendalian yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan berimbang dan tenik pengakuan pesan. 2. Ketersediaan Pemrosesan Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem. Oleh karena itu, organisasi perlu memiliki pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya: a. Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat data, pelatihan, dan manajemen patch dan perangkat lunak antivirus. b. Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal dapat dilakukan melalui pengendalian prosedur backup, disaster recovery plan, dan business continuity plan. Implementasi SI yang saya ketahui: PT Samsung Electronics Indonesia (SEIN) mempunyai sebuah portal yang bisa diakses oleh para karyawan SEIN yang berada di seluruh indonesia, yang dinamanakan Samsung Electronics Enterprise Portal atau biasa disebut SEEP. seluruh karyawan mempunyai akses untuk mendapat data-data yang dibutuhkan di portal ini. akses tersebut berupa email resmi dari PT SEIN yang dapat dipakai untuk log in ke dalam portal untuk memperoleh atau memberikan informasi terbaru mengenai data perusahaan. PT Samsung Electronics Indonesia (SEIN), Sistem yang digunakan dari PT SEIN adalah Global Digital Logistic System (GDLS) yang digunakan untuk invertori milik perusahaan Fungsi dari sistem GLDC ; · Persediaan barang yang tersedia. · Mengetahui pengiriman barang dari pusat ke cabang atau sebaliknya. · Membuat jadwal-jadwal pengiriman barang. · Mengethaui nilai barang yang telah dikirim/diterima termasuk nilai tambahan lainnya. · Mengetahui adanya barang yang dikarenakan tidak laku atau barang rusak.

More Related