KEAMANAN SISTEM INFORMASI

George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi Ed. 9, (Yogyakarta: Andi, 2006), hlm. 192.
George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 193.
George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 196-197.
Mulyadi, AuditingEdisi ke 6 (Jakarta: Salemba Empat, 2002), hlm. 335.
Raymond McLeod dan George P. Schell, Sistem Informasi Manajemen Edisi 10 (Jakarta: Salemba Empat, 2008), hlm. 278-279.
KEAMANAN SISTEM INFORMASI

Makalah ini Disusun untuk Memenuhi Tugas Mata Kuliah
Sistem Informasi Manajemen Keuangan

Dosen Pengampu:
Ayu Febri Puspitasari, M. AB

Disusun oleh:
Kelompok 4– PS 5C
Dwi Yuliana Sari (1741143088)
Eka Kismanurjannah (1741143094)
Evi Nurkhasanah (1741143112)

JURUSAN PERBANKAN SYARIAH
FAKULTAS EKONOMI DAN BISNIS ISLAM
INSTITUT AGAMA ISLAM NEGERI TULUNGAGUNG
2016

PEMBAHASAN

Kebutuhan Organisasi akan Keamanan Sistem Informasi
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh Chief Security Officer (CSO). Individu tersebut harus melapor langsung pada dewan direksi demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup. Adapun siklus hidup yang dimaksud adalah sebagai berikut:

Fase Siklus Hidup
Laporan kepada Dewan Direksi
Analisis sistem
Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain sistem

Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistem
Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem. Pendekatan kuantitatif untuk menaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Sebagai contoh, asumsikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor risiko antara 0 dan 1. Kemudian laporan analisis ancaman, sebagai contoh ditunjukkan pada Gambar 5. 1. Dalam contoh tersebut, pencuri data merupakan eksposur kerugian terbesar, diikuti dengan kecurangan dan serangan virus yang diakibatkan oleh program komputer yang memang didesain untuk menyabotase file-file penting. Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar. Sebagai contoh, pada Gambar 5. 1, ancaman yang paling banyak terjadi adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan paling kecil.

Laporan Analisis Ancaman

Kerugian Potensial ($)
Risiko
Eksposur Kerugian ($)
Pencurian data
700. 000. 000
0. 050
35. 000. 000
Kecurangan dan serangan virus
1. 200. 000. 000
0. 025
30. 000. 000
Sabotase
2. 500. 000. 000
0. 010
25. 000. 000
Perubahan file
400. 000. 000
0. 050
20. 000. 000
Perubahan program
80. 000. 000
0. 020
1. 600. 000
Pencurian peralatan
15. 000. 000
0. 100
1. 500. 000
Bencana alam
100. 000. 000
0. 008
800. 000
GAMBAR 5. 1 Laporan Analisis Ancaman
GAMBAR 5. 1 Laporan Analisis Ancaman

Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang relevan untuk suatu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi melibatkan estimasi, biaya interupsi bisnis yang sulit diprediksi atau estimasi biaya penggantian komputer yang hanya dapat diganti dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer. Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan yang disengaja terhadap suatu sistem, seseorang harus mengestimasi biaya dan manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi mengenai preferensi risiko penyerang. Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.

Ancaman dan Resiko Sistem Informasi
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman: aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebagainya.
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat publik mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara memiliki undang-undang yang ditujukan pada masalah keamanan komputer Di Amerika Serikat, berbagai undang-undang, regulasi, dan publikasi ditujukan pada masalah kejahatan komputer. Computer Fraud and Abuse Act tahun 1986 menyatakan akses tidak legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah federal, atau komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah kejahatan federal. Pencurian password untuk akses komputer juga dilarang.
National Commission on Fraudulent Financial Reporting (Treadway Commission) mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja manajemen melakukan kesalahan lainyang memilikipotensi untuk merugikan karyawan atau investor, namun biasanya istilahkecurangan manajemenmengacu pada manipulasi laporan keuangan.
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data yang sensitif, atau program yang kritis. Ada tiga kelompok yang memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di atas, yaitu:

Personel sistem komputer
Personel sistem meliputi personel pemeliharaan komputer, programer, operator, personel administrasi sistem informasi, dan karyawan pengendali data.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.
Penyusup
Penyusup yang menyerang sistem informasi sebagai sebuah Icesenangan dan tantangan dikenal dengan nama hacker. Tipelain dari penyusup mencakup unnoticed intruder, wiretapper, piggybacker, impersonating intruder, dan eavesdropper.
Ada beberapa metode ancaman pada sistem informasi yang sering digunakan oleh ketiga kelompok tersebut di atas, yaitu:
Manipulasi input
Dalam banyak kasus kejahatan komputer, manipulasi input mempakan metode yangbiasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.

Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.
Pencurian data
Pencurian data penting merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini. Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang pesaing merupakan salah satu informasi yang cukup diburu.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas, knususny yang telah dipecat, biasanya merupakan pelaku sabotase utama.

Pengelolaan Resiko Sistem Informasi
Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan salah satu contoh dari bencana yang tidak diharapkan yang secara serius telah menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan kontinuitas operasi bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan yang tidak memiliki, perencanaan pemulihan dari bencana yang mungkin terjadi. Pencegahan dan perencanaan kontingensi akan didiskusikan di ulasan berikut ini.
Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dari perencanaan keamanan yang baik. Risiko bencana alam harus menjadi pertimbangan pada saat membangun lokasi gedung. Konsentrasi perakitan komputer dan data harus ditempatkan di bagian gedung yang paling rendah eksposurnya terhadap badai, gempa bumi, banjir, kebakaran, dan tindakan sabotase. Sistem elektronik dan mekanik yang memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan air dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem pemadam api yang berbasis sesuatu selain air, seperti gas.
Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Idealnya, rencana pemulihan mesti mendapatkan persetujuan dari dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hali dan disetujui oleh kedua pihak tersebut. Secara keseluruhan, pendekatan siklus hidup harus digunakan untuk mendesain, mengimplementasikan, mengoperasikan, dan mengevaluasi rencana yang dibuat. Hasil estimasi menyatakan bahwa biaya awal yang diperlukan guna mengimplementasikan perencanaan pemulihan dari bencana berkisar antara 2% sampai 10% dari total anggaran sistem informasi. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta penetapan strategi dan prosedur pemulihan.

Sistem dan Kebijakan Keamanan Sistem Informasi
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada tujuh faktor, yaitu:
Filosofi manajemen dan gaya operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh karena itu, garis pertahanan yang utama adalah suasana kesadaran akan pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan dengan banyak cara. Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan dengan mudah dilupakan. Hubungan yang baik harus selalu dibina dengan seluruh karyawan.
Struktur organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jeias.
Dewan direksi dan komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security officer. Dalam situasi apa pun, individu-individu tersebut harus melapor secara periodik kepada komite audit mengenai semua ta£ sistem keamanan komputer. Komite audit harus berkonsultsai secara berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamanan komputer.
Aktivitas pengendalian manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggungjawaban semua sumber daya sistem komputer dan informasi. Harus ada anggaran yang dibuat terkait dengan akuisisi peralatan dan perangkat lunak, terkait dengan biaya operasi, dan terkait dengan penggunaan. Dalam ketiga kelompok item anggaran tersebut, biaya aktual harus dibandingkan dengan besamya anggaran. perbedaan yang signifikan harus diinvestigasi.
Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi. Juga banyak perusahaan mengeluarkan dana untuk membiayai hal-hal yang tidak benar.
Fungsi audit internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan kebijakan-keamanan yang telah dibuat.
Kebijakan dan praktik personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali adalah memisahkan pekerjaan pengguna komputer dan personalia sistem komputer. Pemisahan ini berawal dari perlunya pemisahan penyimpan harta dan tanggung jawab pencatatan. Pengguna sering memiliki akses fisik ke aktiva komputer dan personalia sistem sering memiliki akses ke file data yang memuat catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi satu undangan untuk melakukan kecurangan.
Pengaruh eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi lokal, federal, dan negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu dari area ini akan dapat menjadi suatu tuntutan kriminal.
Telah diketahui bahwa ancaman keamanan sistem informasi ada dua macam, yaitu ancaman aktif dan ancaman pasif. Organisasi dapat melakukan pengendalian untuk mencegah ancaman tersebut tidak sampai menganggu kegiatan internal dalam suatu perusahaan. Adapun cara yang dapat dilakukan adalah sebagai berikut:
Pengendalian ancaman aktif
Pengendalian akses lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Pemisahan secara fisik harus diterapkan khususnya untuk menjaga perangkat keras, area penginputan data, area output data, perpustakaan data, dan jaringan kornunikasi. Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan (ada fotonya). Semua ruang yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci. Lebih baik jika kunci tersebut diprogram sehingga pintu dapat menolak kunci yang tidak memiliki hak akses.
Pengendalian akses sistem
Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk perangkat lunak yang didesain untuk mencegah penggunaan sistem oleh pengguna yang ilegal. Prosedur pengendalian akses ini mencakup penggunaan passworddan perangkat lunak pengendalian akses khusus seperti monitor on-line yang menyelenggarakan pengendalian terhadap menu, daftar otorisasi, file dan program yang diijinkan untuk diakses oleh pemakainya.
Pengendalian akses file
Lapis terakhir dari pengendalian akses diterapkan pada level file. Pengendalian akses file mencegah 1 akses ilegal ke data dan file program. Pengendalian akses file yang paling fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah file. Batasan khusus harus diberikan kepada programer yang memang memiliki pengetahuan untuk mengubah program. Programer mestinya tidak diberi akses ke file data perusahaan tanpa ada persetujuan tertulis. Operator dan supervisor harus diberi tahu untuk mengikuti 1 instruksi dari programer hanya jika programer membawa persetujuan tertulis. Perubahan program tidak boleh dilakukan tanpa ada persetujuan tertulis. Ketika mengubah program, programer mestinya; mengubah saljnan program orisinil. Perubahan tidak langsung dilakukan terhadap program orisinil itusendiri.
Keamanan internet
Topik mengenai keamanan Internet menuntut perhatian khusus karena koneksi perusahaan denganInternet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua isolasi fisiksumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkaitdengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya dapatmengamankan sistem informasi perusahaan. Sebagai contoh, perusahaan bisa saja menempatkansebuah komputer di balik pintu yang terkunci, tetapi komputer itu tidak benar-benar terisolasi jika iatersambung ke jaringan Internet.
Pengendalian ancaman pasif
Sistem toleransi kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem adalah pengawasan danredundancy, jika salah satu sistem gagal, bagian yang redundantakan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini disebut sistem toleransi kesalahan.
Memperbaiki kesalahan: backup file ,
Beberapa studi menyatakan bahwa lebih dari 50 % pemilik komputer personal tidak melakukan backup yang memadai atas file-file yang mereka miliki. Alasan inilah yang membuat pentingnya sebuah sistemterpusat yang melakukan backup file-file. Sistem semacam ini digunakan untuk membackup disk-diskyang penting. Contoh, sistem Prudential Bache meminta file-filenya di-backup setiap dua sampai limamenit sekali.
Penerapan Keamanan Sistem Informasi pada Tempatnya
Sistem informasi dalam sebuah perusahaan harus dilindungi dan diperhatikan karena jika informasi perusahaan tersebut diketahui oleh perusahaan lawan maka akan menimbulkan kerugian bagi perusahaan itu sendiri. Maka dari itu perusahaan dapat menerapkan kebijakan keamanannya dengan mengkuti pendekatan yang bertahap. Adapun pendekatan-pendekatan tersebut antara lain adalah sebagai berikut:
Fase 1 – Inisiasi Proyek
Tim yang menyusun kebijakan keamanan dibentuk. Jika komite pengawas MIS perusahaan tidak dapat melaksanakan tanggung jawab untuk mengawasi proyek kebijakan keamanan tersebut, suatu komite pengawas khusus dapat dibentuk. Jika komite khusus telah terbentuk, komite tersebut akan mencakup manajer dari wilayah-wilayah dimana dimana kebijakan tersebut akan diterapkan.
Fase 2 – Penyusunan Kebijakan
Tim proyek berkonsultasi dengan semua pihak yang berminat dan berpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru tersebut.
Fase 3 – Konsultasi dan Persetujuan
Tim proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
Fase 4 – Kesadaran dan Edukasi
Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit organisasi. Peserta pelatihan dapat terdiri atas anggota proyek, perwakilan internal lain seperti orang-orang dari TI dan SDM, atau konsultan luar. Ini merupakan salah satu contoh manajemen pengetahuan. Manajemen meletakkan program formal pada tempatnya untuk meningkatkan pengetahuan keamanan karyawan yang tepat.
Fase 5 – Penyebarluasan Kebijakan
Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi di mana kebijakan tersebut dapat diterapkan. Idealnya, para manajer unit melaksanakan pertemuan dengan karyawan untuk meyakinkan bahwa mereka memahami kebijakan tersebut dan berkomitmen untuk mengikutinya.

Bagan Penerapan Keamanan Kebijakan Sistem Informasi
Tim proyek
Tim proyek

Fase 1Inisiasi proyek
Fase 1
Inisiasi proyek
Komite pengawas proyek keamanan Penetapan
Komite pengawas proyek keamanan

Fase 2Penyusunan kebijakanPihak-pihak yang berminat dan berpengaruh
Fase 2
Penyusunan kebijakan
Pihak-pihak yang berminat dan berpengaruh
Konsultasi

Fase 3Konsultasi dan persetujuanManajemen
Fase 3
Konsultasi dan persetujuan
Manajemen
Konsultasi

Fase 4Kesadaran dan edukasiUnit organisasi
Fase 4
Kesadaran dan edukasi
Unit organisasi
Pelatihan kesadaran
dan edukasi kebijakan

Unit organisasi
Unit organisasi
Fase 5Penyebarluasan kebijakan
Fase 5
Penyebarluasan kebijakan

Kebijakan keamanan

KESIMPULAN

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan secara keseluruhan. Sistem informasi dalam sebuah perusahaan harus dilindungi dan diperhatikan karena jika informasi perusahaan tersebut diketahui oleh perusahaan lawan maka akan menimbulkan kerugian bagi perusahaan itu sendiri.

DAFTAR PUSTAKA

Bodnar, George H. dan William S. Hopwood. 2006. Sistem Informasi Akuntansi Ed. 9. Yogyakarta: Andi.
McLeod, Raymond dan George P. Schell. 2008. Sistem Informasi Manajemen Edisi 10. Jakarta: Salemba Empat.
Mulyadi. 2002. Auditing Edisi ke 6. Jakarta: Salemba Empat.

KEAMANAN SISTEM INFORMASI

Recommend Documents