Sistem Teknologi Informasi dan Auditing Information System

Sistem Teknologi Informasi dan Auditing Information System

Sistem Teknologi Informasi dan Auditing Information System

Pentingnya Pengamanan

Data atau informasi mungkin  diakses dan dibaca atau diubah oleh orang yang tidak memiliki kuasa (unauthirized person), selain itu berbagai fasilitas komputer juga dapat rusak karena bencana, sehingga penting untuk menjaga fasilitas tersebut dari berbagai risiko yang mungkin akan timbul, termasuk yang alami atau karena perbuatan manusia, kekacauan, kecelakaan, keajaiban sabotase sering dilakukan oleh karyawan yang tidak puas. Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.

Ancaman terhadap sistem informasi dapat dibagi menjadi dua macam, yaitu ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan dan kejahatan terhadap komputer, sedangkan ancaman pasif, mencakup kegagalan sistem, kesalahan manusia, dan bencana alam. Kegagalan sistem menyatakan kegagalan dalam peralatan-peralatan komponen (misalnya hard disk). Berbagai bentuk ancaman terhadap sistem informasi diperlihatkan pada tabel berikut.

Macam ancamanContoh
Bencana alamGempa bumi, banjir, kebakaran, perang.
Kesalahan manusiaKesalahan pemasukan data.

Kesalahan penghapusan data.

Kesalahan operator(salah memberi label pada pita magnetik.

Kegagalan perangkat lunak dan perangkat kerasGangguan listrik.

Kegagalan peralatan.

Kegagalan fungsi perangkat lunak.

Kecurangan dan kejahatan komputerPenyelewengan aktivitas.

Penyalagunaan kartu kredit.

Sabotase.

Pengaksesan oleh orang lain yang tidak berhak

Program yang jahat/usilVirus, cacing, bom waktu dll.

 

Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi serta operasi, evaluasi, dan pengendalian. Tujuan dari setiap tahap siklus ini adalah sbb :

Tabel 1. Tujuan setiap tahapan siklus hidup sistem

FASE SIKLUS HIDUP SISTEMTUJUAN
Analisis sistemAnalisis kerentanan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistemDesain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistemMenerapkan ukuran keamanan sistem seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistemMengoperasikan sistem dan menaksir efektivitas dan efisiensi, membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada.

Sumber: Bodnar, 2004

Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran pengendalian risiko komprehensif, termasuk ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif, keempat fase tersebut disebut dengan ”manajemen risiko sistem informasi”.  Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer.

Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh Chief Security Officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup sistem.

Tabel 2. Laporan CSO

FASE SIKLUS HIDUPLAPORAN KEPADA DEWAN DIREKSI
Analisis sistemSebuah ringkasan terkait dengan semua eksposur kerugian yang relevan.
Desain sistemRencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem informasi keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistemMengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

Sumber : https://jilbabbayi.co.id/