Memanajemen
Keamanan Komputer Pada Sistem
PENTINGKAH??
Sebelum saya membahas
pentingnya manajemen computer pada sistem, saya akan sedikit menjelaskan apa
itu sistem dan kenapa kita harus mengamankannya dan juga bagaimana cara
mengamankannya.
sistem
adalah
suatu elemen
yang bekerja sama dalam sebuah bidang untuk mencapai tujuan yang harus dicapai.
Dan dalam manajemen control ini, yang harus diamankan adalah “informasi” dari
sebuah sistem tersebut. Hal ini berkaitan erat dengan CBIS (control base
information system).
Informasi
adalah salah suatu aset penting dan sangat berharga bagi kelangsungan hidup dan
disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan
audio visual. Oleh karena itu, manajemen informasi penting bagi meningkatkan
kesuksusesan yang kompetitif dalam semua sektor.
Sistem
informasi adalah suatu sistem di dalam suatu organisasi yang mempertemukan
kebutuhan pengolahan transaksi harian, mendukung operasi, bersifat manajerial
dan kegiatan strategi dari suatu organisasi dan menyediakan pihak luar tertentu
dengan laporan-laporan yang diperlukan
Betapa pentingnya informasi
dalam kehidupan manusia, sehingga informasi yang datang tidak boleh terlambat ,
tidak boleh bias(berat sebelah) harus bebas dari kesalahan-kesalahan dan
relevan dengan penggunanya,sehingga informasi tersebut menjadi informasi yang
berkualitas dan berguna bagi pemakainya. Untuk mendapatkan informasi yang
berkualitas perlu dibangun sebuah sistem informasi
sebagai media pembangkitnya. Sistem informasi merupakan cara menghasilkan
informasi yang berguna . informasi yang berguna akan mendukung sebuah keputusan
bagi pemakainya.
Perlunya Manajemen
Kontrol Keamanan Pada Sistem mengacu pada perlindungan terhadap
semua sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak
berwenang.
Keamanan seperti
ini mempunyai 3 maksud utama , yaitu :
1. Integritas,
semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang
diwakilinya.
2. Ketersediaan,
tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk
menggunakannya.
3. Kerahasiaan,
perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak
berhak.
Pengendalian dalam sistem itu sendiri pada dasarnya berarti menjaga agar sistem beroperasi
dalam batas prestasi tertentu. Sebuah sistem yang berada dalam kendali akan
beroperasi dalam batas toleransi yang telah ditentukan.Keluaran dari sebuah
sistem kadang-kadang tidak sesuai dengan keluaran yang semestinya (standar),
hal ini membutuhkan pengendalian melalui sistem umpan balik untuk mencari
gangguan-gangguan yang menghambat, sehingga terjadi hal seperti itu.
Properti sistem informasi yang
memberikan keamanan isi data dan informasi
1. Integritas
Fungsionaln Kemampuan
untuk melanjutkan operasi jika salah satu / lebih komponen tidak berfungsi
2. Audibilitas
(Kemampuan dapat terdengar) Mudah untuk diperiksa, diverifikasi atau
didemonstrasikan penampilannya berarti harus lulus dalam pengujian
Accountability & Visibility
3. Daya
kontrol Penghambatan pengaruh
terhadap sistem yaitu dengan membagi system menjadi subsistem yang menangani
transaksi secara terpisah.
Agar sistem umpan balik itu
dapat berjalan baik maka sistem harus memiliki standar keterukuran keluaran,
sensor yang dapat menangkap kondisi setiap keluaran, alat yang dapat
membandingkan keluaran yang terjadi dengan keluaran standar, serta alat yang
bergerak mengoreksi masukan. Oleh karena sistem keorganisasian mempunyai sifat
terbuka, berbagai kemungkinan gangguan bisa terjadi dan tidak terduga.
Mengingat hal itu manajer harus mampu dan siap menghadapi segala kemungkinan
gangguan dalam hal inilah berlaku “hukum variasi kebutuhan pengendalian”. Tentu
saja tidak seluruh tanggapan korektif dari sistem umpan balik harus diterima,
hal ini akan tergantung kepada kepentingan organisasi, karena itu berlaku
fungsi penyaringan. Artinya hal-hal yang tidak prinsipil dan tidak terlalu
mengganggu jalannya organisasi tanggapan korektif bisa diabaikan.
Adapun beberapa unsur
pengendalian adalah sebagai berikut :
1. suatu standar yang memmemperincikan prestasi yang diharap.hal
ini besa berupa anggaran prosedur pengoperasian,atau suatu algoritma keputusan.
2.
suatu ukuran prestasi
aktual.
3.
suatu perbandingan antara
prestasi yang diharapkan dan nyata.
4.
suatu laporan penyimpangan
pada sebuah unit pengendalian, misalnya seorang manajer
5. suatu rangkaian tindakan yang diambil
unit pengendalian untuk mengubah prestasi mendatang kalau saat ini ada keadaan
yang kurang menguntungkan disertai serangkaian aturan keputusan untuk pemilihan
jawaban yang tepat.
TUGAS KONTROL CBIS
Mencakup semua fase siklus hidup, selama siklus hidup dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan sistem, desain dan operasi.
Metode Untuk Mendapatkan dan Memelihara Kontrol CBIS
1.
Manajemen dapat melakukan kontrol langsung
2.
Manajemen mengontrol CBIS secara tidak langsung
dengan terus menerus melalui
CIO.
CIO.
3.
Manajemen mengontrol CBIS secara tidak langsung
berkenaan dengan proyeknya
melalui pihak ketiga
melalui pihak ketiga
Untuk entitas yang paling kecil, informasi dan
teknologi terkait manajemen kepatuhan sangat penting untuk kelangsungan hidup
serta keberhasilan. Seperti dengan program organisasi lainnya, kepatuhan
keamanan tidak terjadi melalui transmisi niat manajerial dari sebuah planet
terpencil di galaksi yang jauh-jauh. Biasanya, pengawasan komite entitas dan
manajemen bawahan secara berkala mengevaluasi efektivitas perlindungan aset
informasi (IAP) respon program untuk rekomendasi, kontrol dan pemantauan
kegiatan serta kemampuan untuk mencegah atau mendeteksi tindakan tidak teratur
dan ilegal. Akibatnya, manajer keamanan informasi harus terus-menerus berusaha
untuk meningkatkan kontrol IAP.
Manajemen perlu memahami status TI entitas sistem
untuk memutuskan apa mekanisme pengamanan harus dikerahkan untuk memenuhi
kebutuhan bisnis. Ketika pemantauan IAP akan dibangun ke dalam aktivitas
operasi entitas, dan kinerja proses ditinjau secara real-time; degradasi
kontrol dengan mudah dapat dipastikan untuk perbaikan cepat. Karakteristik,
kegiatan pemantauan produktif dinamis beradaptasi dengan faktor-faktor
lingkungan dengan setiap penilaian kontrol yang dilakukan sesuai dengan rencana
yang berwenang mencerminkan jenis evaluasi, tingkat jaminan, dan klasifikasi
informasi.
Memantau dan mengevaluasi kondisi saat ini
kontrol diimplementasikan dapat mengambil berbagai bentuk, termasuk penilaian
kontrol diri dan IT audit. Selanjutnya, auditor TI tidak mungkin individu yang
menjalankan keamanan informasi suatu entitas pengendalian internal review
(ICR). Namun, auditor TI selanjutnya dapat menilai sebuah ICR untuk efektivitas
dan / atau efisiensi. Dalam arena regulasi, sebuah temuan negatif, ditambah
dengan tindakan korektif yang cepat dapat mengurangi hukuman penegakan perdata
dan pidana, sehingga berpotensi mengurangi atau menghindari risiko hukum.
Manajer keamanan informasi harus mempersiapkan
untuk audit memanfaatkan penilaian kontrol diri untuk memverifikasi kepatuhan
terhadap hukum, peraturan, kebijakan dan prosedur. Itu selalu ide suara untuk
strategis merencanakan penilaian kontrol diri tahunan. Menguntungkan, pengujian
keamanan informasi praktik membantu dalam mengevaluasi proses yang dirancang
dan memvalidasi kontrol dikerahkan berfungsi sebagaimana dimaksud. Mengikuti
pendekatan siklik untuk mengendalikan penilaian diri tidak dapat menjamin
laporan audit bersih. Ini akan, bagaimanapun, membantu dalam memastikan
departemen keamanan adalah penjelasan tentang harapan pemerintahan.
Ada beberapa peristiwa tradisional yang terjadi
setahun sekali, beberapa dianggap ceria, sementara yang lain dianggap
mengerikan. Mengenai audit TI, mencerahkan manajer keamanan pendekatan proses
jaminan sebagai penilaian periodik cara bisnis dilakukan sepanjang tahun yang
memungkinkan memperoleh pandangan asing dari keadaan saat ini kontrol IAP dari
profesional yang berpengetahuan luas. Manajer IAP yang biasanya mengalami
kesulitan selama audit adalah mereka yang mengadopsi postur permusuhan. IT
auditor tidak badai polisi dikirim untuk membongkar efisiensi departemen, dan
keamanan manajer yang membangun firewall komunikasi dan ‘honeypots’ didasarkan
pada premis ancaman organisasi telah salah menafsirkan TI yang diterima secara
umum tujuan audit.
Diperdebatkan, keamanan data adalah domain yang
paling signifikan mendukung keandalan informasi. Entitas komite pengawas harus
memantau aktivitas kontrol untuk on-akan relevansi dan efektivitas serta
tanggapan terhadap rekomendasi keamanan informasi. Jika sistem terinstal adalah
kurang dilindungi, data tidak dapat diproses dengan benar. TI entitas karyawan
perlu untuk membawa pemahaman dasar kebutuhan operasional dan keamanan untuk
tugas masing-masing profesional untuk menjamin kerahasiaan berkelanjutan,
integritas, dan ketersediaan yang dicapai melalui pertimbangan yang tepat dari
hasil penilaian kontrol.
Tugas Pengendalian Dalam
Sistem Informasi Yang Terdiri Dari :
KONTROL PROSES PENGEMBANGAN
Selama fase disain dan
analisis dari siklus hidup system, Analis System, DBA dan Manajer Jaringan
membangun fasilitas kontrol tertentu dalam disain system. Selama fase
implementasi, programmer menggabungkan kontrol tersebut ke dalam system. Disain
system dikontrol dengan cara menggabungkan kontrol software menjadi lima bagian
pokok. Untuk memastikan bahwa CBIS yg diimplementasikan dpt memenuhi kebutuhan
pemakai atau berjalan sesuai rencana
1. Fase Perencanaan Mendefinisikan tujuan dan kendala
2.
2. Fase Analisis &
Disain Mengidentifikasi kebutuhan informasi Menentukan kriteria
penampilan Menyusun disain dan standar operasi CBIS
3.
Fase Implementasi Mendefinisikan
program pengujian yang dapat diterima Memastikan apakah memenuhi criteria
penampilan Menetapkan prosedur utk memelihara CBIS
4.
Fase Operasi & Kontrol Mengontrol CBIS
selagi berevolusi selama fase SLC
Memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan
Memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan
KONTROL DESAIN SISTEM
Tujuan untuk memastikan
bahwa disainnya bisa meminimalkan kesalahan,
mendeteksi kesalahan dan mengoreksinya. Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau manfaat adalah tingkat pengurangan resiko.
mendeteksi kesalahan dan mengoreksinya. Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau manfaat adalah tingkat pengurangan resiko.
1. Permulaan Transaksi
(Transaction Origination) Perekaman satu elemen data/lebih pada dokumen sumber
2.
Permulaan Dokumentasi
SumberPerancangan dokumentasi Pemerolehan dokumentasi Kepastian
keamanan dokumen
3.
Kewenangan Bagaimana entry
data akan dibuat menjadi dokumen dan oleh siapa
4.
Pembuatan Input Komputer Mengidentifikasi record
input yang salah dan memastikan semua data input diproses
5.
Penanganan Kesalahan Mengoreksi
kesalahan yang telah dideteksi dan menggabungkan record yg telah dikoreksi
ke record entry
6.
Penyimpanan Dokumen Sumber Menentukan
bagaimana dokumen akan disimpan dan dalam kondisi bagaimana dapat dikeluarkan.
KONTROL PENGOPRASIAN SISTEM
Kontrol pengoperasian
sistem dimaksudkan untuk mencapai efisiensi dan
keamanan. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan
menjadi 5 area
keamanan. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat diklasifikasikan
menjadi 5 area
1.
Struktur organisasional Staf pelayanan
informasi diorganisir menurut bidang spesialisasi. Analisis, Programmer, dan
Personel operasi biasanya dipisahkan dan hanya mengembangkan ketrampilan yang diperlukan
untuk area pekerjaannya sendiri.
2.
Kontrol perpustakaan Perpustakaan
komputer adalah sama dengan perpustakaan buku, dimana didalamnya ada
pustakawan, pengumpulan media, area tempat penyimpanan media dan
prosedur untuk menggunakan media tersebut. Yang boleh mengakses perpustakaan
media hanyalah pustakawannya.
3. Pemeliharaan Peralatan Orang yang tugasnya memperbaiki computer
yang disebut
Customer Engineer (CE) / Field Engineer
(FE) / Teknisi Lapangan menjalankan pemeliharaan yang terjadwal / yang
tak terjadwal.
4.
Kontrol lingkungan dan keamanan
fasilitas Untuk menjaga investasi dibutuhkan kondisi lingkungan yang
khusus seperti ruang computer harus bersih keamanan fasilitas yang harus dilakukan dengan penguncian ruang
peralatan dan komputer.
5.
Perencanaan disaster
a)
Rencana Keadaan darurat Prioritas utamanya adalah keselamatan tenaga kerja perusahaan
b)
Rencana Backup Menjelaskan
bagaimana perusahaan dapat melanjutkan operasinya dari ketika terjadi bencana
sampai ia kembali beroperasi secara normal.
c)
Rencana Record Penting Rencana ini
mengidentifikasi file data penting & menentukan tempat penyimpanan kopi duplikat.
d)
Rencana Recovery Rencana ini
mengidentifikasi sumber-sumber peralatan pengganti, fasilitas komunikasi da
pasokan-pasokan.
Referensi :
Tidak ada komentar:
Posting Komentar