BAB 1 Pengantar_e-commerce dalam peekonomian indonesia
SISTEMKEAMANAN
1. PROGRAM PASCASARJANA – MAGISTER AKUNTANSI
MATA KULIAH : SISTEM INFORMASI DAN
PENGENDALIAN INTERNAL
DOSEN : PROF. DR. Ir. HAPZI ALI, MM, CMA
JUDUL :
MELINDUNGI SI KONSEP DAN KOMPONEN PI
DISUSUN OLEH :
NAMA : GUSTI KETUT SUARDIKA
NIM : 55516120067
TAHUN : 2017
ARTIKEL INI DIBUAT DALAM RANGKA PEMENUHAN TUGAS
MINGGUAN
2. Sebuah sistem informasi memiliki kerentanan dan penyalahgunanaan sistem.
Kerentanan yang dimaksud adalah kerentanan karena aksesibiitas jaringan
meliputi :
1. Masalah hardware (kerusakan, kesalahan konfigurasi, kerusakan dari
penggunaan yang tidak benar atau kejahatan).
2. Masalah software (kesalahan pemrograman, kesalahan instalasi,
perubahan tidak sah).
3. Bencana (banjir, kebakaran)
4. Penggunaan jaringan/komputer di luar kendali perusahaan.
5. Kehilangan dan pencurian perangkat portable.
Ketika sejumlah data cukup banyak tersimpan di dalam sebuah sistem
informasi dalam bentuk elektronik akan menjadi rentan terhadap berbagai
gangguan atau ancaman jika dibandingkan apabila disimpan dalam bentuk
manual.
Berdasarkan bagan diatas kerentanan sebuah sistem informasi dapat terjadi
pada setiap titik dan komunikasi diantara lapisan dalam sistem tersebut.
Pada komputer client (user) bisa terjadi kesalahan personel yang tidak
selayaknya mengakses dan terjadi kesalahan operasional.
Kerentanan yang mungkin terjadi antara komunikasi user dengan corporate
server adalah penyadapan, pengendusan/penguping, pengubahan
pesan/data, pencurian dan kecurangan data, radiasi yang menggangu.
Penyusup bisa melakukan serangan DoS (Denial-of-service attack) adalah
jenis serangan terhadap sebuah komputer atau server di dalam jaringan
internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh
komputer tersebut sampai komputer tersebut tidak dapat menjalankan
fungsinya dengan benar sehingga secara tidak langsung mencegah
3. pengguna lain untuk memperoleh akses layanan dari komputer yang diserang
tersebut. Banjir server dengan ribuan permintaan palsu untuk
mencelakakan/menggagalkan jaringan. Dalam sebuah Denial of Service, si
penyerang akan mencoba untuk mencegah akses seorang pengguna
terhadap sistem atau jaringan dengan menggunakan beberapa cara, sebagai
berikut :
Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas
jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat
masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic
flooding.
Membanjiri jaringan dengan banyak request terhadap sebuah layanan
jaringan yang disediakan oleh sebuah host sehingga request yang
datang dari pengguna terdaftar tidak dapat dilayani oleh layanan
tersebut. Teknik ini disebut sebagai request flooding.
Menggangu komunikasi antara sebuah host dan kliennya yang
terdaftar dengan menggunakan banyak cara, termasuk dengan
mengubah informasi konfigurasi sistem atau bahkan perusakan fisik
terhadap komponen dan server.
Kerentanan inetrnet adalah jaringan yang terbuka bagi siapa saja dan apabila
terjadi pelanggaran akan memiliki dampak luas, penggunaan alamat internet
tetap dengan kabel atau DSL modem menciptakan target hacker, dll.
Tantangan keamanan nirkabel, pita frekwensi radio mudah untuk memindai
SSID (service set identifier), mengidentifikasi titik titik akses.
Dan pada gambar ini menunjukan bahwa sebuah sistem sangat rentan
terhadap penyusup yang dapat mengacaukan sistem dan mencuri data
4. perusahaan melalui jaringan WI-FI Banyak jaringan WI-FI dapat ditembus
dengan mudah oleh penyusup menggunakan program sniffer untuk
mendapatkan alamat untuk mengakses sumber daya jaringan tanpa otorisasi.
Malware (perangkat lunak berbahaya) dalam hal ini :
Virus, yaitu program perangkat lunak jahat yang menempel pada file
untuk dieksekusi atau program perangkat lunak lain,
Worm yaitu program komputer independen yang menyalin diri dari satu
komputer ke komputer lain melalui jaringan,
Trojan horse yaitu program perangkat lunak yang tampaknya menjadi
jinak tetapi kemudian melakukan sesuatu yang lain dari yang
diharapkan.
SQL injection attacks yaitu hakcers mengirim data ke web yang
mengeksploitasi situs yang tidak terlindungi dan mengirimkan SQL
query tipuan ke database.
Spyware yaitu program kecil yang terinstall secara diam-diam pada
komputer monitor pengguna yang melakukan aktivitas web surfing dan
menampilkan iklan.
Key loggers yaitu merekam setiap keystroke pada komputer untuk
mencuri serial number, password, melakukan serangan internet.
Hacker dan kejahatan komputer meliputi :
kegiatan intrusi sistem, kerusakan sistem, cybervandalism, gangguan
disengaja, perusakan, penghancuran situs web atau sistem informasi
perusahaan.
Spoofing yaitu keliru diri dengan menggunakan alamat email palsu
atau menyamar sebagai orang lain, mengarahkan link web untuk
mengatasi berbeda yang dimaksud, dengan situs yang menyamar
sebagai tujuan yan dimaksud.
Sniffer yaitu program penguping yang memonitor informasi di dalam
jaringan, memungkinkan hacker untuk mencuri informasi proprietary
seperti e-mail, file perusahaan, dll.
Distributed denial of service yaitu serangan DoS yang menggunakan banyak
kumputer; botnet yaitu tjaringan “zombie” PC disusupi oleh malware,
diseluruh dunia 6-24000000 komputer berfungsi sebagai PC zombie dalam
ribuan botnet.
Penolakan layanan secara terdistribusi (Distributed Denial of Service) adalah
salah satu jenis serangan Denial of Service yang menggunakan banyak host
penyerang (baik itu menggunakan komputer yang didedikasikan untuk
5. melakukan penyerangan atau komputer yang “dipaksa” menjadi zombie)
untuk menyerang satu buah host target dalam sebuah jaringan. Serangan
Denial of Service klasik bersifat “satu lawan satu”. Sehingga dibutuhkan
sebuah host yang kuat (baik itu dari kekuatan pemrosesan atau sistem
operasinya) demi membanjiri lalu lintas host target sehingga mencegah klien
yang valid untuk mengakses layanan jaringan pada server yang dijadikan
target serangan. Serangan DdoS ini menggunakan teknik yang lebih canggih
dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan
meningkatkan serangan beberapa kali dengan menggunakan beberapa buah
komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan
segmen jaringan dapat menjadi “tidak berguna sama sekali” bagi klien.
Kejahatan komputer didefinisikan sebagai pelanggaran hukum pidana yang
melibatkan pengetahuan teknologi komputer untuk perbuatan mereka,
penyidikan, penuntutan atau komputer mungkin menjadi sasaran kejahatan
misalnya melanggar kerahasiaan data terkomputerisasi yang dilindungi,
mengakses sistem komputer tanpa otoritas.
Komputer mungkin menjadi alat kejahatan, misalnya untuk pencurian rahasia
perdagangan, menggunakan email untuk ancaman atau pelecehan.
Pencurian identitas, pencurian informasi pribadi (id jaminan sosial, lisensi
atau nomor kartu kredit) untuk meniru orang lain.
Phising, menyiapkan situs web palsu atau mengirim pesan e-mail yang
terlihat seperti bisnis sah untuk meminta pengguna untuk data pribadi yang
bersifat rahasia.
Pharming, pengalihan pengguna ke halaman web palsu, bahkan ketika jenis
individu yang benar alamat web ke browsernya.
Klik penipuan, terjadi ketika individu atau program komputer curang mengklik
iklan online tanpa niat belajar lebih banyak tentang pengiklan atau melakukan
pembelian.
Cyberterrorism dan cyberwarfare
Ancaman internal : karyawan, ancaman keamanan sering berasal dari dalam
sebuah organisasi, prosedur keamanan yang ceroboh, kurangnya
pengetahuan pengguna, social engineering: menipu karyawan untuk
mengungkapkan password mereka dengan berpura-pura menjadi angggota
yang sah dari perusahaan yang membutuhkan informasi.
Software kerentanan, perangkat lunak komersial mengandung kelemahan
yang membuat kerentanan keamanan, seperti bug tersembunya (cacat kode
6. program) nol catat tidak dapat dicapai karena pengujian lengkap tidak
mungkin dengan program besar, cacat dapat membuka jaringan untuk
penyusup. Patch, vendor melepaskan potongan-potongan kecil dari
perangkat lunak untuk kekurangan perbaikan namun sering dibuat lebih cepat
dari patch dirilis dan diimplementasikan.
Dari uraian teori tentang kerentanan dan penyalahgunaan system dan
pengendalian intern yang dijelaskan di atas tidak ada yang terjadi pada
perusahaan tempat saya bekerja. Hal ini dapat diamati selama saya bekerja
karena pengawasan keamanan telah dilakukan dengan baik oleh bagian IT
perusahaan yang selalu berkoordinasi dengan head office regional di
Sangapura dalam pengelolaan pengawasan keamanan sistem informasi
perusahaan. Sebagai contoh adalah setiap user pengguna (client) harus
mendapat persetujuan dari head office regional Singapura. Setiap akan
mengusulkan perubahan terhadap program aplikasi yang disesuaikan dengan
kepentingan perusahaan harus mendapat persetujuan dan perubahan
dilakukan oleh head office di Singapura. Sehingga kerentanan dan
penyalahgunaan sistem informasi perusahaan dapat diantisipasi dan
ditanggulangi dengan segera.
Menetapkan kerangka kerja untuk pengamanan dan pengendalian.
Penilaian Resiko meliputi :
Kontrol sistem informasi, yang terdiri dari kontrol manual dan otomatis, kontrol
umum dan aplikasi.
Kontrol umum yaitu, mengatur design, keamanan, dan penggunaan program
komputer dan keamanan file data secara umum seluruh infrastruktur teknologi
informasi organisasi, berlaku untuk semua aplikasi komputerisasi, kombinasi
hardware, software, dan prosedur manual untuk menciptakan lingkungan
pengendalian secara keseluruhan.
Jenis kontrol umum, meliputi kontrol software, kontrol hardware, kontrol
operasi komputer, kontrol keamanan data, kontrol pelaksanaan, kontrol
administrasi.
Kontrol aplikasi yaitu, kontrol tertentu yang unik untuk masing-masing aplikasi
terkomputerisasi, seperti gaji atau perintah pengolahan, mencakup prosedur
otomatis dan manual, pastikan bahwa data hanya berwenang yang lengkap
dan akurat diproses oleh aplikasi yang termasuk kontrol input, kontrol
pengolahan, kontrol keluaran.
7. Penilaian risiko yakni, menentukan tingkat risiko untuk perusahaan jika
kegiatan atau proses tertentu tidak terkontrol dengan baik, jenis ancaman,
probabilitas terjadinya selama setahun, potensi kerugian, nilai ancaman,
kerugian tahunan.
Kebijakan keamanan
Peringkat risiko informasi, mengidentifikasi tujuan keamanan diterima, dan
mengidentifikasi mekanisme untuk mencapai tujuan-tujuan ini, drives
kebijakan lain.
Manajemen identitas, proses bisnis dan alat untuk mengidentifikasi pengguna
yang sah dari sistem dan kontrol akses, mengidentifikasi dan kewenangan
berbagai kategori pengguna, menentukan bagian mana dari pengguna sistem
dapat mengakses, otentikasi pengguna dan melindungi identitas; sistem
manajemen identitas, menangkap aturan akses untuk berbagai tingkat
penggunan.
Perencanaan pemulihan bencana : Devises berencana untuk pemulihan
layanan terganggu.
Perencanaan kelangsungan bisnis : Fokus pada pemulihan operasi bisnis
setelah bencana, kedua jenis rencana yang diperlukan untuk mengidentifikasi
sistem yang paling penting bagi perusahaan, analisis dampak bisnis untuk
menentukan dampak dari pemadaman, manajemen harus menentukan
sistem dipulihkan pertama.
Audit MIS, memeriksa keamanan lingkungan keseluruhan perusahaan serta
kontrol yang mengatur sistem informasi individual, ulasan teknologi, prosedur,
dokumentasi, pelatihan, dan personil, bahkan dapat mensimulasikan bencana
untuk menguji respon teknologi, IS staff, karyawan lainnya, daftar dan jajaran
semua kelemahan kontrol dan perkiraan kemungkinan terjadinya, menilai
dampak keuangan dan organisasi masing-masing ancaman.
Dari teori tentang dijelaskan diatas tentang kerangka kerja untuk
pengamanan dan pengendalian internal pada sebuah perusahaan menurut
saya sudah diterapkan dalam perusahaan tempat saya bekerja. Sebagai
contoh pelatihan rutin dilakukan untuk seluruh karyawan sehubungan dengan
update aplikasi atau ada kebijakan lain yang menyangkut operasional
perusahaan oleh manajemen.
8. Sistem informasi pada suatu perusahaan yang dirancang secara baik
berpengaruh terhadap pengendalian internal dalam upaya mewujudkan Good
Corporate Governance (GCG).
Pengertian, sistem, informasi dan sistem informasi :
1. Sistem adalah kumpulan dari su-sub sistem atau elemen-elemen yang
saling bekerja sama dan berinteraksi untuk mencapai tujuan
organisasi.
2. Informasi adalah hasil pemrosesan data (data processing) menjadi
bentuk yang penting bagi pemakai (user/end user) dan mempunyai
nilai (value) serta bermanfaat dalam pengambilan keputusan (Decision
Making).
3. Sistem Informasi adalah suatu sistem yang saling berhubungan
dengan proses pencipataan dan pengaliran informasi dalam upaya
pengambilan keputusan. Dalam hal ini sistem informasi yang berbasis
teknologi informasi, komputerisasi/otomatisasi.
(Hapzi Ali, 2017)
Sistem Informasi Manajemen Meliputi metode dan upaya yang terorganisasi
dalam menjalankan fungsi pengumpulan data baik dari dalam atau dari luar
organsasi dan mempergunakan komputer dalam prosesnya untuk bisa
menghasilkan lalu menyajikan informasi kekinian, akurat, tepat, dan cepat
untuk semua pihak yang berkepentingan dalam pengambilan sebuah
keputusan manajemen. (Yunke Setya, et al, 2017)
Sistem informasi adalah satu kesatuan data olahan yang terintegrasi dan
saling melengkapi yang menghasilkan output baik dalam bentuk gambar,
suara maupun tulisan. (Siti Maesaroh, et al, 2017)
Dalam teori akuntansi dan organisasi, pengendalian intern atau kontrol
intern didefinisikan sebagai suatu proses, yang dipengaruhi oleh sumber daya
manusia dan sistem teknologi informasi, yang dirancang untuk membantu
organisasi mencapai suatu tujuan atau objektif tertentu. Pengendalian intern
merupakan suatu cara untuk mengarahkan, mengawasi, dan
mengukur sumber daya suatu organisasi. Ia berperan penting untuk
mencegah dan mendeteksi penggelapan (fraud) dan melindungi sumber daya
organisasi baik yang berwujud (seperti mesin dan lahan) maupun tidak
berwujud (seperti reputasi atau hak kekayaan intelektual seperti merek
dagang). Adanya sistem akuntansi yang memadai,
menjadikan akuntan perusahaan dapat menyediakan informasi keuangan
bagi setiap tingkatan manajemen, para pemilik atau
pemegang saham, kreditur dan para pemakai laporan keuangan (stakeholder)
lain yang dijadikan dasar pengambilan keputusan ekonomi. Sistem tersebut
9. dapat digunakan oleh manajemen untuk merencanakan dan mengendalikan
operasi perusahaan. Lebih rinci lagi, kebijakan dan prosedur yang digunakan
secara langsung dimaksudkan untuk mencapai sasaran dan menjamin atau
menyediakan laporan keuangan yang tepat serta menjamin ditaatinya atau
dipatuhinya hukum dan peraturan, hal ini disebut Pengendalian Intern, atau
dengan kata lain bahwa pengendalian intern terdiri atas kebijakan dan
prosedur yang digunakan dalam operasi perusahaan untuk menyediakan
informasi keuangan yang handal serta menjamin dipatuhinya hukum dan
peraturan yang berlaku.(Wikipedia, et al, 2017)
Good Corporate Governance merupakan:
Suatu struktur yang mengatur pola hubungan harmonis tentang peran
dewan komisaris, Direksi, Pemegang Saham dan Para Stakeholder
lainnya.
Suatu sistem pengecekan dan perimbangan kewenangan atas
pengendalian perusahaan yang dapat membatasi munculnya dua
peluang: pengelolaan yang salah dan penyalahgunaan aset
perusahaan
Suatu proses yang transparan atas penentuan tujuan perusahaan,
pencapaian, berikut pengukuran kinerjanya.
(Yudi Herliansyah, 2017)
GCG secara definitive merupakan sistem yang mengatur dan mengendalikan
perusahaan untuk menciptakan nilai tambah (value added) untuk semua
stakeholder. Konsep GCG di Indonesia dapat diartikan sebagai konsep
pengelolaan perusahaan yang baik. Ada dua hal yang ditekankan dalam
konsep ini. Pertama, pentingnya hak pemegang saham untuk memperoleh
informasi dengan benar (akurat) dan tepat waktunya. Kedua, kewajiban
perusahaan untuk melakukan pengungkapan (disclosure) secara akurat, tepat
waktu dan trasnparan terhadap semua informasi kinerja perusahaan,
kepemilikan dan stakeholder. (Prasko, et al, 2017)
Berdasarkan Modul SI-PI, tentang konsep dasar pengendalian internal
dijelaskan bahwa sebuah sistem informasi memiliki kerentanan dan
penyalahgunanaan sistem.
Kerentanan yang dimaksud adalah kerentanan karena aksesibiitas jaringan
meliputi :
6. Masalah hardware (kerusakan, kesalahan konfigurasi, kerusahakan
dari penggunaan yang tidak benar atau kejahatan).
7. Masalah software (kesalahan pemrograman, kesalahan instalasi,
perubahan tidak sah).
8. Bencana (banjir, kebakaran)
9. Penggunaan jaringan/komputer di luar kendali perusahaan.
10.Kehilangan dan pencurian perangkat portable.
10. Ketika sejumlah data cukup banyak tersimpan di dalam sebuah sistem
informasi dalam bentuk elektronik akan menjadi rentan terhadap berbagai
gangguan atau ancaman jika dibandingkan apabila disimpan dalam bentuk
manual.
Berdasarkan bagan diatas kerentanan sebuah sistem informasi dapat terjadi
pada setiap titik dalam sistem tersebut. Sebagai contoh, pada komputer client
(user) bisa terjadi kesalahan personel yang tidak selayaknya mengakses dan
terjadi kesalahan operasional, dan seterusnya.
Dan pada gambar ini menunjukan bahwa sebuah sistem sangat rentan
terhadap penyusup yang dapat mengacaukan sistem dan mencuri data
perusahaan.
11. Berdasarkan apa yang sudah dipaparkan dari pengertian sistem informasi,
pengendalian intern dan good corporate governance, kesimpulan saya adalah
bahwa antara sistem informasi, pengendalian internal dan good corporate
governance adalah hal yang sangat terkait dan berhubungan erat dan saling
menununjang satu sama lain. Sistem informasi yang dibuat secara baik
dengan memperhatikan pengendalian internal yang diantisipasi dari
kerentanan dan penyalahgunaan dari sebuah sistem akan menghasilkan tata
kelola perusahaan yang baik sehingga dapat menjaga perusahaan dari
pengelolaan yang salah dan penyalahgunaan asset perusahaan.
Sumber :
1. Hapzi Ali, 2017, Modul TI SIM, Pengantar SI, M.Akt Pasca UMB,
Hapzi Ali, 2015
2. Yunke Setya, et al, 2017, http://yunkesetya.blogspot.co.id/2017/03/si-
pi-yunke-setya-hapzi-ali-sistem.html
3. Siti Maesaroh, et al, 2017,
https://www.slideshare.net/sitimaesaroh946/sipi-siti-maesaroh-hapzi-
ali-sistem-informasi-organisasi-dan-strategi-universitas-mercu-buana-
2017
4. Yudhi Herliansyah, 2017, PPT MATERI-3.Audit Berbasis Risiko_rev
5. Wikipedia, et al, 2017, https://id.wikipedia.org/wiki/Pengendalian_intern
6. Prasko, et al, 2017, http://prasko17.blogspot.co.id/2012/04/pengertian-
tujuan-prinsip-good.html
7. Hapzi Ali, 2017, Modul SI PI, Konsep dasar pengendalian internal,
M.Akt Pasca UMB, Hapzi Ali, 2015