Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Pertemuan – 5 & 6 Kendali Manajemen Keamanan Kendali Manajemen Operasi Kendali Manajemen Kualitas.

Presentasi serupa


Presentasi berjudul: "Pertemuan – 5 & 6 Kendali Manajemen Keamanan Kendali Manajemen Operasi Kendali Manajemen Kualitas."— Transcript presentasi:

1 Pertemuan – 5 & 6 Kendali Manajemen Keamanan Kendali Manajemen Operasi Kendali Manajemen Kualitas

2 Kendali Manajemen Keamanan zTujuan : menjamin agar aset sistem informasi tetap aman, yang mencakup sumber daya informasi fisik (perangkat mesin dan fasilitas penunjang) dan non fisik (data, informasi, program aplikasi komputer). zAlasan dibutuhkannya keamanan informasi antara lain : 1. Semakin banyak informasi yang dikumpulkan, disimpan dan diakses melalui jaringan sistem informasi yang tersebar luas membutuhkan penanganan yang lebih cermat dan aman. 2. Perubahan teknologi secara cepat menciptakan kemudahan untuk berinteraksi tetapi di sisi lain dapat pula meningkatkan resiko untuk mudah diserang. 3. Pengguna komputer personal yang semakin banyak di kantor juga berperan terhadap serangan ke komputer besar.

3 Langkah-langkah dalam keamanan sistem informasi zMenyiapkan rencana zMelakukan identifikasi aset zMelakukan penilaian aset zMelakukan identifikasi ancaman zPenilaian dan analisa terhadap ancaman zMenyesuaikan kontrol zMenyiapkan laporan keamanan

4 Masalah Utama dalam Keamanan zProteksi hak akses dari pihak yang tidak berwenang zProteksi dari bencana zProteksi dari gangguan zPemulihan dan rekonstruksi data yang hilang zMenetapkan sistem untuk memantau hal diatas

5 Keamanan untuk Sistem Proses Transaksi zSetiap perusahaan harus mendefinisikan, mengidentifikasi, dan mengisolasi bahaya-bahaya yang seringkali mengancam hardware, software, data dan sumber daya manusia. zSecurity measures menyediakan day-to-day protection terhadap fasilitas komputer dan fasilitas fisik lainya, menjaga integritas dan privacy data files, dan menghindari kerusakan serius atau kehilangan.

6 Keamanan untuk Sumberdaya Fisik (Komputer) zAkses fisik harus dibatasi dengan penggunaan penjaga keamanan, receptionists, electronic ID cards, surveillance (pengawas)cameras, motion detectors, locked doors, alarms, log-in, log-out, dan mengawal semua pengunjung. zUntuk melindungi dari bencana alam, fasilitas komputer harus dikendalikan secara lingkungan, fire-proofed (non-Halon-based fire extinguishers), dan harus memiliki UPS (uninterruptible power supply). zTindakan pencegahan lain, termasuk water-proof floors, dinding dan langit-langit, fasilitas saluran air, under-floor water detectors, pompa air.

7 zUntuk melindungi dari kekerasan manusia seperti perusakan, huru-hara,sabotase, dsb, komputer harus ditempatkan di tempat yang tidak menarik perhatian, dilengkapi dengan antimagnetic tape storage, dan dijaga dengan kebijakan tingkah laku pegawai yang ketat. zA Disaster Contingency and Recovery Plan: yMengidentifikasi semua ancaman potensial terhadap sistem komputer. yMenetapkan preventive security measures yang dibutuhkan. yMenguraikan langkah-langkah yang diambil jika menemukan tiap jenis bencana. Keamanan untuk Sumberdaya Fisik (Komputer)

8 Keamanan Data dan Information zYang termasuk sumber daya data/information adalah: (1) data stored in on-line or off-line files and databases, (2) application programs, and (3) information, dalam bentuk hard-copy reports atau computer format zSecurity measures menyediakan perlindungan terhadap: (1) Akses yang tak berwenang terhadap data dan informasi (2) Akses yang tak terdeteksi terhadap data dan informasi (3) Kehilangan atau pengubahan yang tidak benar (improper alteration) terhadap data dan informasi. zUkuran-ukuran untuk perlindungan ini biasanya bersifat preventif dan detektif.

9 zPersoalan akses yang tak berwenang meliputi semua pertanyaan akses dan yang lebih penting pertanyaan mengenai degree of access untuk orang-orang yang memiliki beberapa level akses yang ada atau akses yang diijinkan. zData dan informasi rahasia atau penting untuk operasi perusahaan harus diisolasi secara fisik untuk mengurangi akses tak berwenang. Isolasi yang dilakukan antara lain: yMenjamin dokumentasi program off-line and online yMenjamin penyimpanan hard copies yseparate user partitions of direct-access storage media ydatabase data dictionary selalu ada di bawah pengendalian DBA ylive program isolation in memory through multiprogramming ytest program isolation from live programs and databases Proteksi dari pihak yang tidak berwenang terhadap Data dan Information

10 zSemua usaha untuk mengakses sistem komputer dan semua akses yang diotorisasi harus diawasi sehingga semua aktifitas yang tidak dapat dibenarkan dapat diselidiki dan dihentikan. zAccess Control Logs, Console Logs dan Access Control Software (Passwords) memudahkan proses pengawasan. yPasswords seringkali bertingkat dan digabungkan dengan identifiers lain untuk mengakses aplikasi penting. Proteksi dari pihak yang tidak berwenang terhadap Data dan Information

11 zAutomatic log-outs and lockups zKeyboard & Floppy-disk drive locks zEmploying automatic boot and start-up procedures zUse of encryption yPrivate key yPublic key Proteksi dari pihak yang tidak berwenang terhadap Data dan Information

12 zAccess logs  mencatat semua usaha untuk berinteraksi dengan database. zConsole logs  mencatat semua tindakan sistop dan operator komputer. zSystem and Program change logs, dapat mengawasi perubahan terhadap programs, files, and controls Proteksi dari pihak yang tidak berwenang terhadap Data dan Information

13 Disaster Contingency and Recovery Planning zDCRP terdiri dari : yThe Emergency Plan xMenyiapkan organization chart xMenentukan bencana-bencana yang memicu seluruh DCRP atau sebagian DCRP. Melaksanakan analisa resiko. xMenentukan tanggung jawab untuk berhubungan dengan polisi, api, dan perwakilan-perwakilan lainnya. xMenentukan orang yang tetap tinggal di tempat/kantor untuk melaksanakan tugas-tugas penting. xMenyiapkan peta rute evakuasi primer dan sekunder dan menempatkannya di seluruh organisasi. xMengembangkan metoda untuk mengkomunikasikan “all clear” signal

14 Disaster Contingency & Recovery Planning - 2 zThe Backup Plan yMenyimpan duplicates of vital software, data, and records di lokasi-lokasi off-premise (jika mungkin dalam jarak yang berjauhan). yKenali pegawai full-time dan part-time yang penting dan tidak penting serta pegawai yang digaji secara temporer. yCross-train employees yPilih jenis backup system yang paling cocok: xmanual backup system. xreciprocal arrangements dengan perusahaan lain. xthird-party agreements with data-processing service bureaus xcold sites xhot sites

15 Disaster Contingency and Recovery Planning - 3 zThe Recovery Plan yTunjuk a recovery manager dan wakilnya yPilih dan off-site facility untuk menyimpan backups dan secara periodik periksa fasilitas. yJaga hubungan dengan perusahaan asuransi untuk memudahkan perkiraan kerusakan awal. yJaga komunikasi dengan customers dan vendors yTetapkan a time-table untuk recovery yTetapkan strategi untuk menjamin pengendalian aplikasi yang ketat di lokasi back-up. yThe Test Plan (untuk menguji sistem) yThe Maintenance Plan (me-maintain keamanan)

16 Disaster Contingency and Recovery Planning - 4 zUntuk memperkuat proses DCRP harus memperhatikan hal- hal berikut ini: yMeluaskan recovery plan tidak hanya pada operasi komputer untuk menjamin kelangsungan bisnis. yMelibatkan fungsi internal audit pada semua fase contingency planning yFactor-in the human element yContingency plan harus ditujukan pada hubungan customer dan vendor. yManager dan pegawai harus menyadari tanggung jawab pada saat bencana terjadi. yContingency plan harus digabung dengan memasukkan telecommunications backup

17 Keamanan dan pengendalian Jaringan dan web zJaringan terdiri dari banyak hardware device yang saling berhubungan yang mengotomasi aplikasi bisnis dan akuntansi yang penting. zSistem manajemen harus: yMengevaluasi elemen-elemen dari internal control environment yang relevan dengan network/web server sites. yMengidentifikasi tujuan khusus network/web server sites. yMelengkapi risk assessment.

18 zRisk exposure dari suatu network/web server sites yang diperkirakan secara periodik adalah: yHilangnya kemampuan transmisi dan pengolahan data karena kerusakan peralatan dan software. yHilangnya kemampuan transmisi dan pengolahan data karena hilangnya daya, virus, dll. yAkses yang tidak berwenang terhadap data melalui jalur komunikasi. yAkses yang tidak berwenang terhadap data oleh pegawai. yError pada database utama. yFraud dan error sebagai akibat dari kelemahan kontrol di berbagai lokasi yang jauh pada jaringan. Keamanan dan pengendalian Jaringan dan Web- 2

19 zContoh dari solusi keamanan yang spesifik untuk network/web server : yMenunjuk part-time or full-time administrator yang bertanggung jawab untuk membangun network/web server site security plan yang ditujukan pada persoalan keamanan. yEncrypting dan authenticating messages yang berisi data penting. yMenggunakan highly reliable dan compatible channels and devices. yMenjamin ketersediaan data. Keamanan dan pengendalian Jaringan dan Web - 3

20 yMenempatkan network devices/web server devices di lokasi yang terlindung dan terbatas. yMenggunakan system software yang di write-protect dan melakukan beberapa cek untuk menjamin bahwa data tidak diubah dan ditransmisikan secara akurat. yMenggunakan password untuk menjaga agar data yang sensitif aman dari akses dan pengubahan yang tidak benar. yMenggunakan network audit system dan network management system untuk mengawasi sumber daya network/web server site, compile reports, dsb. yMemvalidasi input data. yMenjaga dokumentasi dan prosedur yang distandardisasi. Keamanan dan pengendalian Jaringan dan Web - 4

21 yMenyediakan pelatihan yang tepat. yMenyediakan pengawasan tertutup di tiap remote network/web server site. yMembatasi akses ke network/web server entry points yang mudah diserang. zPeriodic monitoring activities yang dilakukan oleh akuntan atau auditor internal antara lain: yMengevaluasi keefektifan network/web server administrator. yMengevaluasi skill levels of network personel. yMenganalisa rencana jangka panjang. Keamanan dan pengendalian Jaringan dan Web - 5

22 zMenentukan network/web server site diagram. zMengevaluasi metoda untuk back-up/recovery. zMenguji rencana sistem untuk menyimpan data. zMengevaluasi metoda-metoda edukasi dan pelatihan user. zMenjamin kebijakan untuk menegur dan mengusut pegawai yang menyalahgunakan network/web server. zMengevaluasi perubahan prosedur network/web server operating system. zMelaksanakan review unlisenced network sofware. zMalaksanakan inventory fisik sumber daya network/web server. zMenentukan pelanggaran software site-licensing agreement. Keamanan dan pengendalian Jaringan dan Web - 6

23 zLibrary Log akan mentrack perubahan file, program dan dokumentasi, sementara Transaction Log mencatat transaksi individu yang dimasukkan ke sistem on-line. zTape File Protection Rings untuk magnetic tape, Write- Protect untuk diskettes, and File Labels (both internal and external) untuk tape (including internal header labels and internal trailer labels) atau disk dapat mencegah kehilangan atau pengubahan data dan informasi. zMelaksanakan pemrosesan serial. Proteksi dari kehilangan data

24 Recovery dan Rekonstruksi data zSemua perusahaan harus memback-up dokumen- dokumen penting, files dan programs serta menetapkan recovery procedure untuk membuat kembali data atau program yang hilang. zHal ini termasuk: yProsedur pembuangan periodik untuk disk-based systems (disk-based systems digunakan dalam destructive updates). yActivity logs menunjukkan data element sebelum dan sesudah perubahan.

25 Recovery dan Rekonstruksi data zRekonstruksi dari databse tergantung dari luasnya kerusakan yang timbul, recovery dapat dilakukan dengan: yProsedur Roll-Forward  jika semua data hilang. (termasuk pembuangan dan images terakhir dari activity log dan transaction log) yProsedur Roll-Back  jika data tertentu menjadi salah, karena program updating yang berisi “bugs” digunakan. yPenggunaan Checkpoints yPembuatan Fault Tolerance (prosedur untuk meyakinkan uninterrupted operations dengan menggunakan redundant devices) dengan metoda Disk Mirroring dan Disk Duplexing

26 Kendali Manajemen Operasi Manajemen operasi biasanya mengendalikan fungsi-fungsi berikut : 1.Operasi komputer 2.Pengendalian jaringan komunikasi 3.Pustaka file 4.Dukungan teknis 5.Perencanaan kapasitas dan pemantauan kinerja 6.Operasi Outsourcing

27 Operasi Komputer zFungsi pengaturan bagaimana seharusnya fasilitas bekerja, baik operator manusia maupun operasi otomatis. zFungsi pengaturan bagaimana penjadwalan kerja terhadap kerangka perangkat lunak/perangkat keras zFungsi pengaturan bagaimana seharusnya perangkat keras dipelihara

28 Pengendalian Jaringan Komunikasi zPengelolaan LAN dan WAN zAkses yang tak berhak terhadap server memungkinkan penyusupan hingga mengganggu operasi LAN atau mengancam integritas jaringan

29 zMemastikan bahwa media penyimpan terpindahkan disimpan dengan aman dalam lingkungan yang bersih zMemastikan bahwa media penyimpan hanya digunakan untuk tujuan yang sah zMemelihara media penyimpan secara teratur zMenyimpan media secara benar baik baik on-site maupun off-site zFungsi pustaka dokumentasi dan program bertanggungjawab untuk memelihara dokumen yang diperlukan untuk mendukung operasi komputer dan mengelola perangkat lunak lisensi Pustaka File

30 Dukungan Teknis (Help Desk) zMembantu pengguna akhir untuk menerapkan perangkat lunak dan perangkat keras seperti mikrokomputer, spreadsheet, dan database zMenyediakan dukungan teknis untuk sistem produksi dan membantu pemecahan masalah.

31 Perencanaan Kapasitas & Pemantauan Kinerja zManajemen operasi harus selalu memantau secara kontinu kinerja perangkat lunak dan perangkat keras untuk menjamin bahwa sistem dieksekusi secara efisien, tepat waktu.

32 Operasi Outsourcing zEvaluasi berjalan dari kelayakan keuangan pihak luar zMemastikan kebersesuaian terhadap kontrak dengan pihak luar zMenjamin keandalan pengendalian operasi outsourcing zMenyiapkan prosedur untuk menjaga tejadinya sesuatu yang tak dinginkan

33 Kendali Manajemen Kualitas Ada 6 alasan yang menyebabkan kebutuhan kualitas makin penting bagi organisasi (Weber) : 1.Meningkatnya kesadaran bahwa kualitas itu perlu. 2.Tuntutan dari pengguna bahwa jasa yang mereka terima harus sesuai dengan tingkat kepuasan yang diharapkan. 3.Ambisi untuk memenuhi kepuasan pelanggan meningkat. 4.Organisasi semakin bertanggungjawab untuk mengurangi produk cacat. 5.Kesadaran bila kualitas tidak ditingkatkan, maka resiko dan biaya semakin tinggi. 6.Peningkatan kualitas sudah menjadi trend men-dunia

34 Ada 6 fungsi personal Quality Assurance : 1.Mengembangkan tujuan pencapaian kualitas. 2.Mengembangkan, menyebarluaskan, dan memelihara standar fungsi sistem informasi. 3.Mengawasi hasil produksi sesuai dengan standar QA. 4.Mengidentifikasi area yang masih dapat dikembangkan. 5.Memberi laporan kepada manajemen. 6.Memberi pelatihan standar dan prosedur QA.

35 Hubungan QA dengan Auditor zQA berfungsi dengan baik mengurangi pekerjaan Auditor zQA Personil melakukan lebih banyak pengendalian pemeriksaan sistim informasi menyeluruh dibanding auditor zAuditor dapat memusatkan perhatian pada fungsi QA daripada melakukan test kendali sistem informasi

36 Hubungan personil QA dengan Stakeholder SI

37 Capability Maturity Model Level 1 Initial Level 2 Repeatable Level 3 Defined Level 4 Managed Level 5 Optimizing Sudah ada kegiatan penyusunan sistem komputerisasi yang terarah, tapi belum terorganisir Proses perencanaan, perancangan, implementasi sistem berbasis komputer sudah terarah. Seluruh proses telah didokumentasikan dan dikomunikasikan berdasarkan metode yang baik. Proses komputerisasi telah dimonitor dan terukur dengan baik, manajemen pengembangan terorganisir Best practices telah diikuti, proses telah terencana, terorganisir dengan metode yang tepat.

38 ADA PERTANYAAN ?


Download ppt "Pertemuan – 5 & 6 Kendali Manajemen Keamanan Kendali Manajemen Operasi Kendali Manajemen Kualitas."

Presentasi serupa


Iklan oleh Google