Sistem
informasi
memiliki peranan besar di semua
perusahaan
atau
institusi
agar
dapat menghasilkan keuntungan semaksimal mungkin dengan cara mengiklankan, menjual,
mengadministrasi, dan mew·ujudkan produk baru. Perusahaan dipaksa untuk menciptakan dan memikirkan inovasi baru agar dapat bersaing dan bertahan hidup di dalam persaingan bisnis yang ketat.
Dengan meningkatnya transaksi dan tersedianya bermacam-macam teknik pemrosesan
menggunakan komputer yang memungkinkan
untuk berinteraksi dengan sistem lain, perusahaan menjadi sangat tergantung dengan komputerisasi. Di sisi lain dengan pesat lajunya teknologi,
muncul
risiko ancaman
baru yang berkaitan dengan komputerisasi. Pentinganya pengamanan yang efektif mulai diperhatikan ol.eh semua pihak. Semua pihak dapat memaha mi bahwa keamanan sistem informasi yang cukup andal sangat diperlukan. Perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer di dalam perusahaan. Oleh karna
itu, perusahaan menuntut agar
diciptakan sistem keamanan terhadap hardware maupun softwarenya.
Tujuan dari pengamanan sistem informasi ini adalah untuk meyakinkan integritas, kelanjutan, dan kerahasiaan dari pengolahan data. Keuntungan dengan meminimalkan risiko harus diimbangi
dengan biaya yang dikeluarkan untuk
tujuan pengamanan ini. Oleh
karena itu biaya untuk pengaman terhadap
keamanan sistem komputer harus
wajar.
Perusahaan harus dapat
mengurangi
risiko
dan
memelihara
keamanan sistem komputerisasi pada suatu tingkatan atau level yang dapat diterima. Reputasi organisasi akan dinilai masyarakat apabila dapat diyakini
oleh :
1) lntegritas (Integrity) informasi
2) Kerahasiaan (Confisentiality) informasi
3) Ketersediaan (Availability) informasi
Aset Perusahaan
lnformasi adalah aset organisasi yang sangat berharga dan penting
seperti aset-aset yang lain
misalnya gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain. Sebagai konsekuensi, keamanan
sistem informasi merupakan suatu keharusan untuk melindungi aset
perusahaan dari berbagai ancaman.
Aset-aset yang dapat dimaksud ke dalam sistem informasi dapat kategorikan sebagai berikut:
- Personel
Misalnya sistem analis, programer, operator, database administrator, spesialis jaringan, spesialis PAB
- Hardware
Misalnya CPU, Printers, Terminal/monitor,routers, switch
- Software aplikasi
Misalnya sistem
Deptors, Creditors, penggajian,GL, ERP
- Sistem software
Misalnya operating
sistem, compilers, utilities, database sistem.
- Data
Misalnya master file, backup file, file transaksi
- Fasilitas
Misalnya mebel, ruang kantor,fi/ing cabinet
- Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer
atau pita.
Ancamah adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang mengakibatkan kerugian bias berupa uang /biaya, tenaga upaya, kemungkinan berbisnis (business opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit. Ancaman ini dapat dikategorikan sebagai berikut :
- Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
- Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup dan memadainya uji coba program.
- Kegagalan SDM
Kegagalan ini dikarenakan misalnya
sangat
minimnya training bagi personel, personel
yang sangat pasif dan tidak memiliki
inisiatif, kemasabodoan,tidak loyal,tidak memiliki rasa memiliki (sense of belonging).
- Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal,
banjir, gas, proyektil, gempa, letusan gunung.
- Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.
- Eksternal
Sabotase, spionase, huru-hara.
- Internal
Dapat
dalam
bentuk
kecurangan, pencurian, perbuatan jahat
(memasukkan
virus, membangun malicious software).
Klasifikasi tnformasi
Seperti yang telah disebutkan sebelumnya informasi merupakan asset perusahaan yang harus dilindungi dari
ancaman
penyalahgunaan. lnformasi dalam bentuk
hardcopy
atau softcopy yang
dihasilkan dengan jerih P.ayah perusahaan merupakan investasi yang memakan biaya banyak demi menunjang
dan memajukan perusahaan dapat
diklasnikasikan
sebagai
berikut:
a)
Sangat Rahasia (Top Secret)
Apabila informasi
ini disebarluaskan maka akan berdampak
sangat parah terhadap keuntungan berkompetisi dan strategi
bisnis
organisasi. Contoh informasi jenis Top
Secret : rencana operasi bisnis,
strategi marketing, rincian atau
ramuan bahan
untuk menghasilkan material
atau bahan baku tertentu,
strategi bisnis.
b)
Konfidensial (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perorangan,merusak reputasi organisasi. Contoh informasi jenis Confidential : konsolidasi penerimaan, biaya, keuntungan beserta informasi lain yang dihasilkan unit kerja keuangan
organisasi,strategi
marketing, teknologi, rencana produksi,
gaji karyawan, informasi pribadi
karyawan, promosi atau pemberhentian karyawan.
c)
Restricted
lnformasi
ini
hanya
ditujukan
kepada
orang-orang
tertentu untuk
menopang
bisnis organisasi. Contoh informasi Restricted: informasi mengenai bisnis organisasi,peraturan
organisasi, strategi marketing yang akan diimplementasikan,
strategi harga penjualan,
strategi promosi.
d) Internal Use
lnformasi
ini hanya .boleh digunakan oleh pegawai perusahaan untuk melaksanakan tugasnya. Contoh
informasi Internal Use : prosedur, buku panduan, pengumuman atau memo mengenai organisasi.
e)
Public
lnformasi ini dapat disebarluaskan kepada umum melalui
jalur yang resmi. Contoh informasi Publik
: lnformasi di web, Internal korespondensi yang tidak perlu melalui
pengontrolan atau screening, dan public corporate announcements.
2.
Kebijakan Keamanan
Sistem informasi
Setiap organisasi akan selalu memilki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat
bertindak semaunya sendiri dan tidak
berdisiplin dalam melakukan
tugasnya. Contoh paling mudah adalah apabila sudah ditentukan jam kerja dari pukul 08.00 sampai pukul 16.30 dengan waktu istirahat 30 menit, maka waktu ini harus secara disiplin dipegang. Karyawan tidak dapat mengatur
jam kerjanya sendiri.
Setiap output tugas merupakan input tugas untuk
karyawan yang lain. Hal ini akan menghambat kelancaran pekerjaan dan sudah
tentu akan
merugikan organisasi. Oleh karena itu, garis pedoman ini dalam bentuk prosedur harus ditaati oleh semua
pihak.
Prosedur organisasi biasanya disusun oleh pimpinan
organisasi beserta
pimpinan bagian
personalia yang kadangkala
melibatkan juga
senior manajer yang lain. Kebijakan keamanan sistem informasibiasanya
disusun oleh pimpinan
operasional beserta pimpinan
ICT(Information
Communication Technology) dengan pengarahan dari pimpinan
organisasi. Rangkaian konsep
secara garis-besar dan
dasar dari prosedur
keamanan sistem informasi adalah sebagai berikut:
- Keamanan Sistem informasi Merupakan Urusan dan Tanggung Jawab Semua Karyawan
Karyawan diwajibkan mengerti tentang
keamanan sistem informasi. Mereka
harus
mengetahui dan dapat membayangkan dampak apabila
peraturan
keamanan
sistem
informasi diabaikan. Semua Manajer bertanggungjawab untuk mengkomunikasika·n kepada semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan
bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan
dan bagiannya. Di lain pihak,
setiap pegawai bertanggung jawab dan harus mematuhi peraturan keamanan sistem
informasi yang diterapkan dan dianut
oleh perusahaan.Contohnya : Password
berfungsi untuk menjaga kerahasiaan sistem informasi. Password semestinya hanya diketahui pihak yang
berhubungan langsung dan tersembunyi. Jika password-nya dituliskan dan ditempel di atas keyboard atau di monitor
maka kemungkinan besar akan ada orangyangtak berkepentingan langsung pun bisa melihatpasswordtersebut. Password tersebut menjadi
tak berguna dan sistem informasi
itu menjadi tidak rahasia.
- Penetapan Pemilik Sistem informasi
Alangkah berguna
sekali apabila seseorang ditunjuk sebagai pemilik sistem atau subsiste yang bertanggung jawab atas keamanan
sistem dan data yang dipakainya. Ia berhak untu mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dala sistem yang menyangkut bagiannya. Personel ini merupakan contact person
dengan bagia ICT (Information and Communication Technology). Contohnya : pemilik dapat menentukan siapa saja yang dapat mengakses
ke sistem informasi tertentu dan
sejauh
mana
wewenang/otoritas yang dapat diberikan kepada yang berkepentingan. Permohonan pengaksesan ini harus dapat dijustifikasikan oleh pemoho dan manajer terkait.
- Langkah Kemanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang
yang ditekuni perusahaan harus mematuhi undang-undang yang telah ditetapkan yang berkaitan
dengan proteksi data, computer
crime, dan hak cipta. Contohnya: bank yang menggunakan komputer harus
mematuhi peraturan yang dikeluarkan oleh Bank Sentral,
misalnya untuk pengiriman uang.
- Antisipasi terhadap kesalahan
Dengan meningkatnya proses
transaksi secara online & real time dan terkoneksi sistem jaringan internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik dengan tidak pertemuan manusia secara
langsung. Apabila transaksi semacam ini terja di kesalahan tidak dapat langsung diperbaiki atau akan menyita
banyak waktu dan upaya untuk memperbaikinya.
Antisipasi dan pencegahan dengan tindakan keamanan
yang ketat akan memberikan garansi atas
integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi serta meyakinkan untuk proses audit.
Tindakan pencegahan tambahan
harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi
sehingga segala bentuk kejanggalan dapat dikoreksi secepat
mungkin. Contohnya : transaksi semi'lcam ini biasanya terjadi pada perbankan misalnya
pemindahan dana
melalui ATM (Automatic Teller
Machine/Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya pemesanan barang yang
tidak langsung dapat dikirim,
kesalahan
pemesanan masih dapat dikoreksi
misalnya melaluin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.
- Pengaksesan kendala sistem harus berdasarkan kebutuhan fungsi.
User harus dapat meyakinkan kebutuhannya untu mengakses ke sistem sesuai
dengan prinsip 11Need to Know". Pemilk sistem harus bertanggung jawab atas pemberian akses ini. Contohnya: untuk pemrosesan sistem penggajian, personel bagian terkait
tidak diperbolehkan untuk mengakses data hasil penjualan
dari setiap personel
bagian pemasaran. Atau tidak semua
personel bagian personalia diperbolehkan untuk memiliki
akses
ke data penggajian
karyawan.
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem komputer .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis
perusahaan.
Data
perusahaan
hanya
diperbolehkan dipakai
untuk bisnis
perusahaan dan pemilik
sistem bertanggung jawab
penuh atas pemberian pengaksesan terhadap data tersebut. Contohnya :data atau informasi mengenai penjualan tidak diperkenankan untuk disebarluaskan kepada yang tidak berkepentingan.
- Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga
melakukan pekerjaan yang tidak
dapat ditangani
oleh perusahaan, maka perusahaan harus dilindungi oleh keamanan
atas informasi perusahaan. Di dalam kontrak harus didefinisikan agar pihak ketiga
mematuhi peraturan dan keamanan sistem informasi perusahaan. Manajemen
harus bertanggung jawab agar pihak
ketiga mematuhi dan mengikuti peraturan
keamanan yang telah dirumuskan. Contohnya : apabila pengembangan sistem informasi dilakukan
oleh pihak ketiga/software
house, sudah tentu pada uji coba akhir harus memakai
data yang sesungguhnya. Data ini tidak
diperbolehkan oleh
pihak ketiga di-copy
dan disebarluaskan atau output
baik yang berbentuk hardcopy maupun
softcopy dipakai sebagai contoh untuk perusahaan lain apalagi
untuk pesaing
- Pemisahaan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi.
Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara
pengembang sistem, pengoperasian
sistem harian dan pemakai akhir.
Untu mencapai tujuan ini,
pihak ICT terutama bagian
pengembangan sistem tidak dibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem. Tugas ini agar diberikan kepada bagian tersendiri yang disebut Sistem
Administrator yang
secara
orgaisasi struktur tidak
di bawah ICT.
- lmplementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (Change Request).
Perubahan terhadap sistem informasi
harus melalui prosedur
yang berlaku untuk pengembangan
dan implementasi sistem baru. Setiap· permintaan perubahan program harus disertai alasan yang kuat ser.ta keuntungan yang ia akan dapatkan
dan pemohon harus dapat meyakini
manajer terkait dan pemilik sistem
mengenai perubahan ini. Oleh karena itu, sangat penting
apabil semua pihak yang terkait
harus menandatangani "change request" sebelum kegiatan ini dimulai.
Harus pula diingat
bahwa perubahan program
akan
memakan biaya dan waktu juga.
Contoh : tidak dibenarkan apabila
pemakai secara individu meminta perubahan terhadap
sistem dengan tidak sepengetahuan dari pemilik
sistem. Dalam prakteknya hal ini sangat sering terjadi. semua perubahan
harus melalui prosedur
change request, sehingga ICT memiliki dokumentasipan bukti yang lengkap untuk menghindari permasalahan di kemudian hari. Pihak ICT harus
dapat dengan tegas menolak
permintaan
user apabila
permintaan tidak disertai
dengan change request.
- Sistem yang akan dikembangkan harus sesuai dengan standar metode pengembangan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman
yang telah ditetapkan. Tidk dibenarkan apabila
programmer membuatnya dengan bermacam-macam bahasa pemrograman; Begitu pula dengan
sistem database yang digunakan, harus memiliki keseragaman. Patut dipertimbangkan semua resiko keamanan
bersama penanggulangannya di dalam sistem. Sebelum sistem aplikasi
diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keandalan
keamanan di dalam aplikasi tersebut. Apabila akan menyeleksi paket sistem aplikasi
aspek
sistem keamanannya merupakan bagian yang sangat penting dan menentukan.
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semua aktivitas yang dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidak dapat memungkiri
bukti ini, apabila
terjadi kesalahan fatal yang mengakibatkan kerugian terhdap perusahaan.
Kesalahan beserta bukti ini dapat mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik
User-ID ini. Oleh karena
itu, simpan password sebaik mungkin dan jangan
misalnya menempelkan di tempat di mana semua
orang yang t;idak berwenang dapat membacanya. Apabila pemakai
merasa bahwa ada orang yang tidak berwenang telah mengetahui password-nya, langkah
terbaik adalah langsung
mengganti password-nya.
3.
Strategi Keamanan Sistem
informasi
Dengan munculnya komputer dan teknologi informasi di lingkungan organisasi, asset perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya yang merupakan sebuah keharusan
atau kewajiban. lntegritas, kerahasiaan dan ketersediaan
informasi menjadi penting
apabila perusahaan masih tetap ingin berkompetisi di dalam dunia bisnis.
Prinsip pertama
adalah integritas (integrity) informasi. Apabila
pelanggan datang ke toko untuk
membeli barang, namun tidak menemukannya maka ia akan mendatangi
pramuniaga dan menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksa di komputer akan ketersediaan barang
yang diminati dan mendapat informasi bahwa
barang tersebut
masih ada katakan 10 buah. Bersama dengan pramuniaga pelanggan pergi ke tempat barang
tersebut diletakkan, namun kenyataan barang tersebut tidak dapat ditemukan.
Dengan contoh ini maka pelanggan
dapat menilai bagaimana
integritas informasi data toko tersebut meskipun memakai komputer. Apabila kejadian ini sering terjadi,
maka kepercayaan pelanggan
akan berkurang terhadap
toko tersebut.
Prinsip
kedua
adalah kerahasiaan (confidentiality) informasi. Menurut
ISO
17799, kerahasiaan adalah memastikan informasi hanya dapat diakses
oleh orang yang berwenang atau bagi orang yang memiliki
otoritas.
Untuk menjaga
kerahasiaan, informasi yang bersifat rahasia harus tetap dilindungi.
Apapun
alasannya informasi ini hanya diperuntukan untuk orang-orang tertentu. Bagaimana perasaan
seorang nasabah bank apabila informasi data perbankannya dapat diketahui oleh orang lain atau bagaimana
perasaan seorang karya wan
apabila semua rekan kerjanya
mengetahui gaji y(!ng ia terima.
_Prinsip ketiga
adalah ketersediaan (availability) informasi.
ISO 17799 mendefinisika
ketersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orang yang memiliki wewenang untuk mengetahuinya atau mengakses data. Tampaknya sangat gampang namun banyak faktor
yang dapat mengganggunya. Beberapa faktor yang dapat
dikemukakan misalnya
kerusakan Hardware, users
yang jahat (malicious
users), penyusup dari luar perusahaan yang berusaha menghancurkan data perusahaan, virus dan sebagainya.
3.1.
Model
ISO 17799
Di atas telah disinggung mengenai ISO 17799 dan sekarang
timbul pertanyaan apa sebetulnya ISO 17799. ISO 17799 adalah
standar keamanan sistem informasi yang telah diakui oleh dunia dan disahkan pada tahun 2000, dimana ia mengalami
revisi
pada tahun 2005 (ISO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur dan telah diakui oleh dunia in.ternasional, proses yang
terdefinisi dengan baik,
kebijakan dan prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO
17799 terdiri dari:
1.
Business Continuity Planning.
Business Continuity Planning merupakan langkah yang dilakukan
pada saat terjadi ganggu atau bencana (disaster)
sehingga tidak mengganggu atau menginterupsi aktivitas
dan proses bisnis.
2.
System
Control Access.
System Control Access, y itu :
• Akses
kontrol terhadap informasi
• Mencegah agar individu ya.ng tidak berwenang
dapat mengakses ke sistem informasi
• Menjamin proteksi jaringan
• Mencegah pengaksesan oleh yang tidak berwenang
• Mendeteksi aktifitas yang tidak memiliki wewenang
• Menjamin keamanan sistem informasi yang dapat diakses
melalui fasilitas mobile dan telenetworking.
3.
System Development dan maintenance.
System Development dan maintenance
akan membahas cara :
• Untuk menjamin agar keamanan dan kontrol diimplementasikan di
dalam sistem operaoprasional.
• Untuk menghindar agar data user tidak hilang, disalah gunakan, atau dimodifikasi di dalam sistem aplikasi.
• Melindungi informasi atas integritasnya, kerahasiaannya, dan ketersediaanriya.
• Menjamin agar aktivitas proyek IT beserta dukungannya dilakukan/dilaksanakan sesuai dengan yang telah di tetapkan.
• Memelihaa keamanan software dan sistem aplikasi beserta
datanya.
4.
Physical and Environmental Securit.
Physical and Environmental Security akan membahas
:
• Pencegahan pengaksesan, perusakan oleh orang yang tak berwenang di tempat bisnis
dan informasi perusahaan
• Pencegahan terhadap
hilangnya atau aksi
yang akan membahayakan aset perusahaan
sehingga menggangu aktivitas bisnis
• Mencegah agar
tidak ada pencurian
informasi
atau membahayakan fasilitas pemrosesan informasi
5.
Compliance
Tujuan
Compliance adalah agar tidak
ada
pelanggaran
hukum
kriminalitas atau sipil,
undang-undang, kontrak, dan lain-lain yang berkaitan dengan hukum. Selain
itu, menjaga agar sistem memenuhi persyaratan dan standar keamanan
perusahaan.
6.
Personnel Securit.
Tujuan Personnel Security adalah mengurangi risiko
kesalahan orang,
kecurangan, atau penyalahgunaan fasilitas. Memastikan agar users menyadari kemungkinan ancaman
yang akan terjadi terhadap keamanan sistem
informasi serta
membekali mereka
dengan peraturan keamanan
sistem informasi dalam melaksanakan tugas mereka
7.
Security Organization.
Tujuan Security Organization adalah membahas
bagaimana mengelola keamanan sistem keamanan di dalam organisasi sendiri, menjaga agar sistem tidak dapat diakses
oleh pihak
ketiga. Selain itu, pembahasan
mengenai bagaimana mengurus
keamanan informasi jikalau pemroses pengolahan data diberikan
kepada pihak ketiga.
8. Computer and Network
Management.
Tujuan Computer and Network Management adalah :
• Memastikan agar fasilitas pengoperasian informasi dapat
berjalan Iancar dan
benar
• Memperkecil kemungkinan untuk kegagalan sistem(failure)
• Melindungi integritas software dan
informasi
• Memastikan akan ketersediaan fasilitas komunikasi
• Melindungi jaringan dan infrastruktur pendukungnya
• Menjamin agar tidak ada informasi yang hilang,
disalahgunakan, dan dimodifikasi pada saat pertukaran informasi antar organisasi.
9. Asset Classification and Control.
Tujuan Asset Cl ossification and Control adalah untuk membahas·
proteksi yang tepat bagi aset perusahaan dan memastikan agar aset informasi memiliki tingkat
keamanan yang tepat dan baik.
10. Security Policy.
Tujuan
Security Policy adalah memberikan arahan dan bantuan
kepada
manajemen mengenai keamanan sistem informasi.
3.2.
Dampak Teknologi lnformasi
Dampak dari penggunaan komputer yang merupakan alat bantu di dunia
bisnis dengan meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat
dan akurat, telah menciptakan
masalah tambahan untuk pemeriksaan dan pengontrolan, yang
sebelumnya belum pernah ada atau terpikirkan.
1.
Sentralisasi Data.
Sebelum zaman komputer,
masing-masing departemen di dalam perusahaan bertanggun · jawab sendiri
atas data masing-masing. lnformasi yang
masih berupa kertas-kertas akan disimpan di dalam lemari
arsip atau lebih parah lagi disimpan di dalam laci masing-masin karyawan yang menanganinya.
Saat ini data tersebutyangtelah berupa dokumen
digital disimpan di komputerdepartemen/
pusat komputer. Namun ada juga departemen yang telah memiliki sistem sendiri dan menyimpan datanya di dalam sistem komputer
departemen
terkait. Apabila
pada saat itu setiap departemen memiliki sistem yang berdiri sendiri,maka akan sulit untuk mengintegrasi
data mereka ke dalam satu sistem terpadu.
Selanjutnya akan terjadi
redundansi data.
2.
Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan
baik dari dalam maupun dari luar organisasi. Dengan adanya kemajuan
tekhnologi, informasi yang awalnya hanya ditujukan untuk perorangan sekarang
sudah dapat diakses oleh kayawan organisasi yang
bersangkutan (tergantung kewenangannya) dengan memanfaatkan terminal-terminal- di dalam jaringan organisasi terkait. Dengan
adanya jaringan nirkabel/wireless
pengguna dapat mengakses data dimana mereka berada,
apakah itu dari kendaraan yang ia tumpangi
atau dari pusat perbelanjaan/mall.
Oleh karena itu, pengontrol
akses
terhadap informasi perusahaan seorang merupakan satu pekerjaan sendiri dan sangat
rumit.
3.
Pemisahan tugas/segregation of duties.
Pemisahan tu_gas dan tanggung jawab
yang secara
tradisional tidak dapat diterapkan
dan diimplementasikan lagi, sehingga
pemisahan tugas dan tanggung jawab
merupakan pekerjaan yang tidak mudah.
4.
Kekurangan audit trail (bukti
secara fisik).
Pada masa lalu tidak
semua komputer sistem yang dibekali
dengan audit
trail.
Apabila
pada saat itu terjadi kejanggalan maka pelacakannya akan sulit dan membutuhkan
banyak
waktu untuk menemukan kesalahan ini. Namun, rata-rata
sekarang mereka sudah dibekali dengan fasilitas informasi yang dibutuhkan
oleh audit
sehingga auditor dapat mendeteksi
kejanggalan transaksi.
5.
Tidak tersedianya prosedur dan dokumentasi yang memadai.
Banyak sistem komputer yang
tidak memiliki prosedur/buku panduan yang seharusnya merupakan bagian yang tidak
terpisahkan dari sistem tersebut. Dengan tidak adanya buku panduan, hal ini akan menjadi faktor
kelemahan terhadap pengoperasian dan tindak lanjut terhadap aplikasi-aplikasi.
Harus diakui bahwa pembuatan
dokumentasi merupakan pekerjaan yang membosankan untuk para pembuat sistem,namun suka atau tidak suka mereka harus dipaksakan untuk membuat dokumentasi yang memadai dan tidak asal jadi. Para
programmer harus sadar
bahwa tanpa dokumentasi para penerusnya akan sulit untuk meng-upgrade
dan menindaklanjuti program yang telah ada. Harus juga disadari bahwa pemakai tidak
aka diam saja dan puas dengan sistem
yang telah jadi,karena mereka sudah tentu akan memil gagasan baru dan meminta
untuk mengimplementasikannya.
6.
Pengetahuan teknologi
yang tinggi.
Metodologi baru untuk pengembangan
sistem
baru
telah
menganggap bahwa semua pemakai mempunyai ketrampilan yang sama. Kalau
dibandingkan dengan teknologi beberapa tahun yang lalu,pengembang
sistem hanyci dapat dilakukan oleh para program
Namun dengan kemajuan
pengetahuan·dan bahasa komputer yang sekarang tersedia, para pemakai sudah dapat memahami bahasa tersebut. Tidak jarang ditemukan
pemakai dapat membuat program sendiri dengan
cara belajar sendiri
dengan bantuan buku
panduan manual.Namun kualitas program
dibuat tidak sebanding
dengan hasil buatan programmer yang telah memiliki ketrampilan khusus, karena pembuatan
program tidak terstruktur dan tidak menerapkan metodologi tertentu.
7.
Teknologi telah
mengubah pola berbisnis. ·
Perubahan ini dikarenakan telah tersedianya:
• Internet dan WWW (World
Wide Web) .
• Arsitektur distributed Client Server
• Jaringan komunikasi berbasis
digital yang menggunakan bandwidth tinggi (kabel, satelit) Tidak jarang lagi semua kegiatan bisnis telah dapat diselesaikan melalui jaringan
internet dan di manapun juga.
8.
Tingkat otorisasi.
Secara
umum sistem manual memilki
tingkat otorisasi yang kaku yang diterapkan di
dalam sistem. Dengan menggunakan komputer,otorisasi dapat diimplementasikan
di dalam system
informasi, di mana akan mempermudah pekerjaan dan juga pemonitorannya. Otorisasi ini memiliki kaitan juga dengan
segregation of duties yang telah disebutka'n sebelumnya.
9.
Keterlibatan audit.
Beberapa tahun
yang
lalu
teknologi telah
menyingkirkan audit
departemen dari pengembangan sistem baru dan pengontrolan
secara kritis terhadap aplikasi yang telah berjalan.
Meskipun kecenderungan ini telah mulai
berubah,. kelalaian yang sudah-sudah untuk melibatkan pihak auditor
telah mengakibatkan kontrol
yang lemah di banyak sistem informasi. Sekarang kete.rlibatan auditor merupakan keharusan yang tidak dapat dipungkiri lagi.
Dari media cetak kita telah banyak membaca tentang
hacking, virus dan kecurangan
yang menggugah kewaspadaan pihak manajemen untuk
meningkatkan
kebutuhan keamanan
sistem informasi. Oleh karena itu, masalah yang akan dihadapi
antara lain :
• Seberapa jauh keamanan harus diterapkan.
• Berapa biaya yang harus dikeluarkan.
• Apakah dampak yang akan timbul dengan
menerapkan ekstra
keamanan dalam hal efisiensi dan fleksibiitas dari sistem komputer.
Pertanyaan ini dapat dijawab
secara menyeluruh dengan mempertimbangkan pengaruh dan resiko dimana
bisnis perusahaan yang digeluti untuk menerapkan sistem komputerisasi. Setelah membicarakan hal-hal yang terkait dengan
teknologi komputer yang disebutkan sebelumnya, strategi
keamanan sistem informasi dibutuhkan
karena :
a)
Tidak dapat dipungkiri lagi bahwa informasi yang dihasilkan oleh komputer merupakan hal yang penting
untuk menyukseskan bisnis.
b)
Teknologi baru telah mengubah pola lingungan bisnis, termasuk ancaman dan serangan dari ll.iar lingkungan.
c)
Keamanan sistem informasi
merupakan kunci keberhasilan untk menggunakan alat bantu baik dalam bentuk
Hardware maupun software dalam berbisnis
baru dan pemrosesannya.
d) Keamanan sistem informasi bukanlah
sekedar masalah pengendalian dari sisi teknologi dengan menggunakan baik
Hardware maupun software, namun penerapan kebijakan
dan standar yang memadai akan menentukan arah keamanan
sistem informasi.
e)
Bisnis secara elektronik membutuhkan kepercayaan bisnis.
f)
Bisnis perusahaan sangat
tergantung dengan ICT.
g)
Banyak faktor yang membutuhkan pendekatan secara terintegrasi
No comments:
Post a Comment