Kendali Manajemen Keamanan Kendali Manajemen Operasi

Slides:



Advertisements
Presentasi serupa
Keamanan Internet dan Sistem Pembayaran Elektronik (Internet Security and Electronic Payment Systems)
Advertisements

Keamanan Sistem Informasi
Administrasi Data dan Database
Audit Sistem Informasi
DAMPAK TEKNOLOGI INFORMASI PADA PROSES AUDIT
SISTEM INFORMASI SUMBER DAYA INFORMASI
Pengendalian umum, dan pengendalian aplikasi
BAB 18 SISTEM INFORMASI SUMBER DAYA INFORMASI.
Memahami Perlunya Audit Sistem/Teknologi Informasi
Audit Sistem Informasi Berbasis Komputer
Mengaudit Sistem/ Teknologi Informasi
Auditing Computer-Based Information Systems
CopyRIght 2005 Bab 8 Hal 1 Sistem Informasi Manajemen Bab 10 Keamanan dan Kontrol.
Keamanan dan Pengendalian Komputer
PERENCANAAN KEAMANAN DATA
Kendali Manajemen Keamanan Kendali Manajemen Operasi
TUJUAN AUDIT SI/TI Pertemuan 2.
Operasi Komputer Cherrya Dhia Wenny.
Operasi Komputer BAB 2.
Panduan Audit Sistem Informasi
BAB I SISTEM INFORMASI.
Mengaudit Sistem/Teknologi Informasi
Pengendalian dan Sistem Informasi Akuntansi
AUDIT SISTEM INFORMASI
KOMPUTER DAN KONTROL FORTUNA ( ) ALPEN PY( )
Memahami Perlunya Audit Sistem/Teknologi Informasi.
SISTEM MANAJEMEN DATA Cherrya Dhia Wenny.
PROGRAM STUDI AKUNTANSI - STIE MDP
1 Membuat proposal proyek sisfo (PENGENDALIAN) Materi Pertemuan 25.
PENGENDALIAN SISTEM INFORMASI
Mengamankan Sistem Informasi
AUDIT SISTEM INFORMASI dan TUJUANNYA
Model Pengendalian Sistem Informasi
KEAMANAN SISTEM INFORMASI
Diperbaruhi oleh : Siswanto, Ir. MT. dkk.
KEAMANAN DAN PENGENDALIAN SISTEM
KEAMANAN & PENGENDALIAN SISTEM INFORMASI
Metodologi Audit Sistem Informasi
Audit Sistem Informasi berbasis Komputer
Manajemen Resiko Terintegrasi
Keamanan PC dan LAN.
INFRASTRUCTURE SECURITY
MANAJEMEN JARINGAN Bobi Kurniawan, ST.,M.Kom
Model Perusahaan Asuransi: Proteksi dan Teknik Keamanan Sistem Informasi Tujuan: membahas domain-domain keamanan yang ada pada perusahaan asuransi. PRODUK:
AUDIT SISTEM INFORMASI BERBASIS KOMPUTER
Pengendalian dan Sistem Informasi Akuntansi
PENGENDALIAN.
Disaster recovery planning
MATA KULIAH SISTEM KEAMANAN PENDAHULUAN
Brilliani Ayunda Putri
Tujuan: membahas domain keamanan yang ada pada perusahaan asuransi.
Pengendalian dan Sistem Informasi Akuntansi
Kuesioner Pengelolaan Teknologi Informasi berdasarkan CobIT
AUDIT DALAM LINGKUNGAN SISTEM INFORMASI KOMPUTER
KEAMANAN INFORMASI INFORMATION SECURITY
Sekuriti dalam Sistem Informasi
PERTEMUAN 6 SISTEM INFORMASI SUMBER DAYA MANUSIA DAN
Audit Sistem Informasi Berbasis Komputer
PERTEMUAN 6 SISTEM INFORMASI SUMBER DAYA INFORMASI PENDAHULUAN
PENGENDALIAN SISTEM KOMPUTERISASI PERSPEKTIF MANAJEMEN
KONSEP DAN MEKANISME 2.1 Threats (Ancaman)
Administrasi Database
Pendahuluan Basis Data
Audit pengolahan Data Elektronik
UNIVERSITAS SARJANAWIYATA TAMANSISWA
Security+ Guide to Network Security Fundamentals
KEAMANAN JARINGAN KOMPUTER
Operasi Layanan Teknologi Informasi
BAGIAN 12 PENGARUH TI TERHADAP AUDIT
SISTEM INFORMASI SUMBER DAYA INFORMASI Berbagai pandangan tentang IRM ( Information Resourch Management ) Sumber daya informasi perusahaan mencakup perangkat.
Transcript presentasi:

Kendali Manajemen Keamanan Kendali Manajemen Operasi Pertemuan – 5 & 6 Kendali Manajemen Keamanan Kendali Manajemen Operasi Kendali Manajemen Kualitas

Kendali Manajemen Keamanan Tujuan : menjamin agar aset sistem informasi tetap aman, yang mencakup sumber daya informasi fisik (perangkat mesin dan fasilitas penunjang) dan non fisik (data, informasi, program aplikasi komputer). Alasan dibutuhkannya keamanan informasi antara lain : 1. Semakin banyak informasi yang dikumpulkan, disimpan dan diakses melalui jaringan sistem informasi yang tersebar luas membutuhkan penanganan yang lebih cermat dan aman. 2. Perubahan teknologi secara cepat menciptakan kemudahan untuk berinteraksi tetapi di sisi lain dapat pula meningkatkan resiko untuk mudah diserang. 3. Pengguna komputer personal yang semakin banyak di kantor juga berperan terhadap serangan ke komputer besar.

Langkah-langkah dalam keamanan sistem informasi Menyiapkan rencana Melakukan identifikasi aset Melakukan penilaian aset Melakukan identifikasi ancaman Penilaian dan analisa terhadap ancaman Menyesuaikan kontrol Menyiapkan laporan keamanan

Masalah Utama dalam Keamanan Proteksi hak akses dari pihak yang tidak berwenang Proteksi dari bencana Proteksi dari gangguan Pemulihan dan rekonstruksi data yang hilang Menetapkan sistem untuk memantau hal diatas

Keamanan untuk Sistem Proses Transaksi Setiap perusahaan harus mendefinisikan, mengidentifikasi, dan mengisolasi bahaya-bahaya yang seringkali mengancam hardware, software, data dan sumber daya manusia. Security measures menyediakan day-to-day protection terhadap fasilitas komputer dan fasilitas fisik lainya, menjaga integritas dan privacy data files, dan menghindari kerusakan serius atau kehilangan.

Keamanan untuk Sumberdaya Fisik (Komputer) Akses fisik harus dibatasi dengan penggunaan penjaga keamanan, receptionists, electronic ID cards, surveillance (pengawas)cameras, motion detectors, locked doors, alarms, log-in, log-out, dan mengawal semua pengunjung. Untuk melindungi dari bencana alam, fasilitas komputer harus dikendalikan secara lingkungan, fire-proofed (non-Halon-based fire extinguishers), dan harus memiliki UPS (uninterruptible power supply). Tindakan pencegahan lain, termasuk water-proof floors, dinding dan langit-langit, fasilitas saluran air, under-floor water detectors, pompa air.

Keamanan untuk Sumberdaya Fisik (Komputer) Untuk melindungi dari kekerasan manusia seperti perusakan, huru-hara,sabotase, dsb, komputer harus ditempatkan di tempat yang tidak menarik perhatian, dilengkapi dengan antimagnetic tape storage, dan dijaga dengan kebijakan tingkah laku pegawai yang ketat. A Disaster Contingency and Recovery Plan: Mengidentifikasi semua ancaman potensial terhadap sistem komputer. Menetapkan preventive security measures yang dibutuhkan. Menguraikan langkah-langkah yang diambil jika menemukan tiap jenis bencana.

Keamanan Data dan Information Yang termasuk sumber daya data/information adalah: (1) data stored in on-line or off-line files and databases, (2) application programs, and (3) information, dalam bentuk hard-copy reports atau computer format Security measures menyediakan perlindungan terhadap: (1) Akses yang tak berwenang terhadap data dan informasi (2) Akses yang tak terdeteksi terhadap data dan informasi (3) Kehilangan atau pengubahan yang tidak benar (improper alteration) terhadap data dan informasi. Ukuran-ukuran untuk perlindungan ini biasanya bersifat preventif dan detektif.

Proteksi dari pihak yang tidak berwenang terhadap Data dan Information Persoalan akses yang tak berwenang meliputi semua pertanyaan akses dan yang lebih penting pertanyaan mengenai degree of access untuk orang-orang yang memiliki beberapa level akses yang ada atau akses yang diijinkan. Data dan informasi rahasia atau penting untuk operasi perusahaan harus diisolasi secara fisik untuk mengurangi akses tak berwenang. Isolasi yang dilakukan antara lain: Menjamin dokumentasi program off-line and online Menjamin penyimpanan hard copies separate user partitions of direct-access storage media database data dictionary selalu ada di bawah pengendalian DBA live program isolation in memory through multiprogramming test program isolation from live programs and databases

Proteksi dari pihak yang tidak berwenang terhadap Data dan Information Semua usaha untuk mengakses sistem komputer dan semua akses yang diotorisasi harus diawasi sehingga semua aktifitas yang tidak dapat dibenarkan dapat diselidiki dan dihentikan. Access Control Logs, Console Logs dan Access Control Software (Passwords) memudahkan proses pengawasan. Passwords seringkali bertingkat dan digabungkan dengan identifiers lain untuk mengakses aplikasi penting.

Proteksi dari pihak yang tidak berwenang terhadap Data dan Information Automatic log-outs and lockups Keyboard & Floppy-disk drive locks Employing automatic boot and start-up procedures Use of encryption Private key Public key

Proteksi dari pihak yang tidak berwenang terhadap Data dan Information Access logs mencatat semua usaha untuk berinteraksi dengan database. Console logs mencatat semua tindakan sistop dan operator komputer. System and Program change logs, dapat mengawasi perubahan terhadap programs, files, and controls

Disaster Contingency and Recovery Planning DCRP terdiri dari : The Emergency Plan Menyiapkan organization chart Menentukan bencana-bencana yang memicu seluruh DCRP atau sebagian DCRP. Melaksanakan analisa resiko. Menentukan tanggung jawab untuk berhubungan dengan polisi, api, dan perwakilan-perwakilan lainnya. Menentukan orang yang tetap tinggal di tempat/kantor untuk melaksanakan tugas-tugas penting. Menyiapkan peta rute evakuasi primer dan sekunder dan menempatkannya di seluruh organisasi. Mengembangkan metoda untuk mengkomunikasikan “all clear” signal

Disaster Contingency & Recovery Planning - 2 The Backup Plan Menyimpan duplicates of vital software, data, and records di lokasi-lokasi off-premise (jika mungkin dalam jarak yang berjauhan). Kenali pegawai full-time dan part-time yang penting dan tidak penting serta pegawai yang digaji secara temporer. Cross-train employees Pilih jenis backup system yang paling cocok: manual backup system. reciprocal arrangements dengan perusahaan lain. third-party agreements with data-processing service bureaus cold sites hot sites

Disaster Contingency and Recovery Planning - 3 The Recovery Plan Tunjuk a recovery manager dan wakilnya Pilih dan off-site facility untuk menyimpan backups dan secara periodik periksa fasilitas. Jaga hubungan dengan perusahaan asuransi untuk memudahkan perkiraan kerusakan awal. Jaga komunikasi dengan customers dan vendors Tetapkan a time-table untuk recovery Tetapkan strategi untuk menjamin pengendalian aplikasi yang ketat di lokasi back-up. The Test Plan (untuk menguji sistem) The Maintenance Plan (me-maintain keamanan)

Disaster Contingency and Recovery Planning - 4 Untuk memperkuat proses DCRP harus memperhatikan hal-hal berikut ini: Meluaskan recovery plan tidak hanya pada operasi komputer untuk menjamin kelangsungan bisnis. Melibatkan fungsi internal audit pada semua fase contingency planning Factor-in the human element Contingency plan harus ditujukan pada hubungan customer dan vendor. Manager dan pegawai harus menyadari tanggung jawab pada saat bencana terjadi. Contingency plan harus digabung dengan memasukkan telecommunications backup

Keamanan dan pengendalian Jaringan dan web Jaringan terdiri dari banyak hardware device yang saling berhubungan yang mengotomasi aplikasi bisnis dan akuntansi yang penting. Sistem manajemen harus: Mengevaluasi elemen-elemen dari internal control environment yang relevan dengan network/web server sites. Mengidentifikasi tujuan khusus network/web server sites. Melengkapi risk assessment.

Keamanan dan pengendalian Jaringan dan Web- 2 Risk exposure dari suatu network/web server sites yang diperkirakan secara periodik adalah: Hilangnya kemampuan transmisi dan pengolahan data karena kerusakan peralatan dan software. Hilangnya kemampuan transmisi dan pengolahan data karena hilangnya daya, virus, dll. Akses yang tidak berwenang terhadap data melalui jalur komunikasi. Akses yang tidak berwenang terhadap data oleh pegawai. Error pada database utama. Fraud dan error sebagai akibat dari kelemahan kontrol di berbagai lokasi yang jauh pada jaringan.

Keamanan dan pengendalian Jaringan dan Web - 3 Contoh dari solusi keamanan yang spesifik untuk network/web server : Menunjuk part-time or full-time administrator yang bertanggung jawab untuk membangun network/web server site security plan yang ditujukan pada persoalan keamanan. Encrypting dan authenticating messages yang berisi data penting. Menggunakan highly reliable dan compatible channels and devices. Menjamin ketersediaan data.

Keamanan dan pengendalian Jaringan dan Web - 4 Menempatkan network devices/web server devices di lokasi yang terlindung dan terbatas. Menggunakan system software yang di write-protect dan melakukan beberapa cek untuk menjamin bahwa data tidak diubah dan ditransmisikan secara akurat. Menggunakan password untuk menjaga agar data yang sensitif aman dari akses dan pengubahan yang tidak benar. Menggunakan network audit system dan network management system untuk mengawasi sumber daya network/web server site, compile reports, dsb. Memvalidasi input data. Menjaga dokumentasi dan prosedur yang distandardisasi.

Keamanan dan pengendalian Jaringan dan Web - 5 Menyediakan pelatihan yang tepat. Menyediakan pengawasan tertutup di tiap remote network/web server site. Membatasi akses ke network/web server entry points yang mudah diserang. Periodic monitoring activities yang dilakukan oleh akuntan atau auditor internal antara lain: Mengevaluasi keefektifan network/web server administrator. Mengevaluasi skill levels of network personel. Menganalisa rencana jangka panjang.

Keamanan dan pengendalian Jaringan dan Web - 6 Menentukan network/web server site diagram. Mengevaluasi metoda untuk back-up/recovery. Menguji rencana sistem untuk menyimpan data. Mengevaluasi metoda-metoda edukasi dan pelatihan user. Menjamin kebijakan untuk menegur dan mengusut pegawai yang menyalahgunakan network/web server. Mengevaluasi perubahan prosedur network/web server operating system. Melaksanakan review unlisenced network sofware. Malaksanakan inventory fisik sumber daya network/web server. Menentukan pelanggaran software site-licensing agreement.

Proteksi dari kehilangan data Library Log akan mentrack perubahan file, program dan dokumentasi, sementara Transaction Log mencatat transaksi individu yang dimasukkan ke sistem on-line. Tape File Protection Rings untuk magnetic tape, Write-Protect untuk diskettes, and File Labels (both internal and external) untuk tape (including internal header labels and internal trailer labels) atau disk dapat mencegah kehilangan atau pengubahan data dan informasi. Melaksanakan pemrosesan serial.

Recovery dan Rekonstruksi data Semua perusahaan harus memback-up dokumen-dokumen penting, files dan programs serta menetapkan recovery procedure untuk membuat kembali data atau program yang hilang. Hal ini termasuk: Prosedur pembuangan periodik untuk disk-based systems (disk-based systems digunakan dalam destructive updates). Activity logs menunjukkan data element sebelum dan sesudah perubahan.

Recovery dan Rekonstruksi data Rekonstruksi dari databse tergantung dari luasnya kerusakan yang timbul, recovery dapat dilakukan dengan: Prosedur Roll-Forward  jika semua data hilang. (termasuk pembuangan dan images terakhir dari activity log dan transaction log) Prosedur Roll-Back  jika data tertentu menjadi salah, karena program updating yang berisi “bugs” digunakan. Penggunaan Checkpoints Pembuatan Fault Tolerance (prosedur untuk meyakinkan uninterrupted operations dengan menggunakan redundant devices) dengan metoda Disk Mirroring dan Disk Duplexing

Kendali Manajemen Operasi Manajemen operasi biasanya mengendalikan fungsi-fungsi berikut : Operasi komputer Pengendalian jaringan komunikasi Pustaka file Dukungan teknis Perencanaan kapasitas dan pemantauan kinerja Operasi Outsourcing

Operasi Komputer Fungsi pengaturan bagaimana seharusnya fasilitas bekerja, baik operator manusia maupun operasi otomatis. Fungsi pengaturan bagaimana penjadwalan kerja terhadap kerangka perangkat lunak/perangkat keras Fungsi pengaturan bagaimana seharusnya perangkat keras dipelihara

Pengendalian Jaringan Komunikasi Pengelolaan LAN dan WAN Akses yang tak berhak terhadap server memungkinkan penyusupan hingga mengganggu operasi LAN atau mengancam integritas jaringan

Pustaka File Memastikan bahwa media penyimpan terpindahkan disimpan dengan aman dalam lingkungan yang bersih Memastikan bahwa media penyimpan hanya digunakan untuk tujuan yang sah Memelihara media penyimpan secara teratur Menyimpan media secara benar baik baik on-site maupun off-site Fungsi pustaka dokumentasi dan program bertanggungjawab untuk memelihara dokumen yang diperlukan untuk mendukung operasi komputer dan mengelola perangkat lunak lisensi

Dukungan Teknis (Help Desk) Membantu pengguna akhir untuk menerapkan perangkat lunak dan perangkat keras seperti mikrokomputer, spreadsheet, dan database Menyediakan dukungan teknis untuk sistem produksi dan membantu pemecahan masalah.

Perencanaan Kapasitas & Pemantauan Kinerja Manajemen operasi harus selalu memantau secara kontinu kinerja perangkat lunak dan perangkat keras untuk menjamin bahwa sistem dieksekusi secara efisien, tepat waktu.

Operasi Outsourcing Evaluasi berjalan dari kelayakan keuangan pihak luar Memastikan kebersesuaian terhadap kontrak dengan pihak luar Menjamin keandalan pengendalian operasi outsourcing Menyiapkan prosedur untuk menjaga tejadinya sesuatu yang tak dinginkan

Kendali Manajemen Kualitas Ada 6 alasan yang menyebabkan kebutuhan kualitas makin penting bagi organisasi (Weber) : Meningkatnya kesadaran bahwa kualitas itu perlu. Tuntutan dari pengguna bahwa jasa yang mereka terima harus sesuai dengan tingkat kepuasan yang diharapkan. Ambisi untuk memenuhi kepuasan pelanggan meningkat. Organisasi semakin bertanggungjawab untuk mengurangi produk cacat. Kesadaran bila kualitas tidak ditingkatkan, maka resiko dan biaya semakin tinggi. Peningkatan kualitas sudah menjadi trend men-dunia

Ada 6 fungsi personal Quality Assurance : Mengembangkan tujuan pencapaian kualitas. Mengembangkan, menyebarluaskan, dan memelihara standar fungsi sistem informasi. Mengawasi hasil produksi sesuai dengan standar QA. Mengidentifikasi area yang masih dapat dikembangkan. Memberi laporan kepada manajemen. Memberi pelatihan standar dan prosedur QA.

Hubungan QA dengan Auditor QA berfungsi dengan baik mengurangi pekerjaan Auditor QA Personil melakukan lebih banyak pengendalian pemeriksaan sistim informasi menyeluruh dibanding auditor Auditor dapat memusatkan perhatian pada fungsi QA daripada melakukan test kendali sistem informasi

Hubungan personil QA dengan Stakeholder SI

Capability Maturity Model Level 5 Optimizing Best practices telah diikuti, proses telah terencana, terorganisir dengan metode yang tepat. Level 4 Managed Proses komputerisasi telah dimonitor dan terukur dengan baik, manajemen pengembangan terorganisir Level 3 Defined Seluruh proses telah didokumentasikan dan dikomunikasikan berdasarkan metode yang baik. Level 2 Repeatable Proses perencanaan, perancangan, implementasi sistem berbasis komputer sudah terarah. Level 1 Initial Sudah ada kegiatan penyusunan sistem komputerisasi yang terarah, tapi belum terorganisir

ADA PERTANYAAN ?