Jumat, 06 November 2015

SISTEM INFORMASI AKUNTANSI SAP 5


 
I.     KEAMANAN SISTEM INFORMASI: SEBUAH TINJAUAN
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.

1.1.Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan computer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini adalah sebagai berikut:


Fase Siklus Hidup
Tujuan
Analisis Sistem
Analisis kerentanan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem
Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem
Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistem
Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan dengan kondisi yang ada.

Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer.

1.2.Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer (CSO). Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.

Fase Siklus Hidup
Tujuan
Analisis Sistem
Sebuah ringkasan terkait dengan semua  eksposur kerugian yang relevan.
Desain Sistem
Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, operasi, evaluasi, dan pengendalian sistem
Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

1.3.Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem, yaitu :
1.3.1.      Pendekatan Kuantitatif.
Pendekatan ini dipergunakan untuk menaksir risiko, menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Manfaat terbesar dari analisis ini adalah dapat menunjukkan ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Kelemahan pendekatan kuantitatif:
a.       Sulitnya mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
b.      Sulit mengestimasikan kemungkinan terjadinya suatu kerugian di masa datang secara tepat, terlebih dalam lingkungan teknologi yang mengalami perubahan sangat cepat
1.3.2.      Pendekatan Kualitatif
Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:
a.       Interupsi bisnis
b.      Kerugian perangkat lunak
c.       Kerugian data
d.      Kerugian perangkat keras
e.       Kerugian fasilitas
f.       Kerugian jasa dan personel

II.  KERENTANAN DAN ANCAMAN

Kerentanan merupakan suatu kelemahan di dalam suatusistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebaginya.

2.1.Tingkat Keseriusan Kecurangan Sistem Informasi

Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.

2.2.Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file, data yang sensitif, atau program yang kritis. Tiga kelompok individu yang dapat mengancam sistem informasi, yaitu personel sistem komputer, pengguna, dan penyusup.
2.2.1. Personel Sistem Komputer
a.    Personel Pemeliharaan Sistem, Personel pemeliharaan sistem biasanya memiliki kemampuan untuk berselancar dalam sistem dan mengubah file data dan file program dengan cara yang tidak legal. Beberapa personel pemeliharaan bisa saja berada dalam posisi yang memungkinkan ia melakukan modifikasi yang tidak diharapkan terhadap keamanan dalam sistem operasi
b.    Programmer, Programmer sistem sering menulis program dan memodifikasi dan memperluas sistem operasi jaringan. Programmer aplikasi bisa saja membuat modifikasi yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru guna menjalankan hal-hal yang tidak semestinya.
c.    Operator Jaringan, Operator diberi tingkat keamanan yang cukup tinggi sehingga memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi dan juga mengakses semua file di dalam sistem.
d.   Personel Administrasi Sistem Informasi. Personel administrasi sistem informasi memiliki akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau untuk memberi password pada account yang sudah ada.
e.    Karyawan Pengendali Data. Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data input.
2.2.2.       Pengguna
Pengguna terkadang memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.

2.2.3.       Penyusup
a.    Unnoticed Intruder
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat data yang sensitif di dalam computer personal yang sedang tidak ada orangnya.
b.   Wiretapper (penyadapan)
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan internet inilah yang rentan terhadap kemungkinan wiretapping.
c.    Piggybacker
Dengan metode ini, penyadap menyadap informasi legal dan menggantinya dengan informasi yang salah.
d.   Impersonating Intruder
Impersonating intruder adalah individu-individu tertentu yang bertujuan melakukan kecurangan terhadap perusahaan. ada yang menggunakan user ID dan password yang didapat dengan cara tidak legal, ada yang menebak password seseorang, dan ada yang menyusup langsung ke dalam perusahaan.
e.    Eavesdropper
Penyusup ini menyadap dengan cara memanfaatkan interferensi elektomagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi sederhana. Setiap orang dengan peralatan ini dapat memonitor informasi yang sensitif selama informasi tersebut tampil di CRT (cathode-ray tubes) perusahaan.

2.3.Ancaman Aktif pada Sistem Informasi

Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:
2.3.1.       Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2.3.2.       Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubahan dalam program.
2.3.3.       Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong (bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal itu terjadi, hasil yang dituai adalah bencana.
2.3.4.       Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
2.3.5.       Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap harddisk atau media lain.
2.3.6.       Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.

III. Sistem Keamanan Sistem Informasi
Mengendalikan keamanan dapat dilakukan dengan mengimplementasikan ukuran keamanan dan rencana kemungkinan. Ukuran keamanan berfokus pada pencegahan dan mendeteksi ancaman, rencana kemungkinan berfokus pada memperbaiki efek ancaman. Tidak ada sistem keamanan yang berarti tanpa didukung oleh kejujuran dan kesadaran akan keamanan. Sistem keamanan komputer harus menjadi bagian dari struktur pengendalian internal keseluruhan perusahaan. Hal ini berarti bahwa elemen dasar dari pengendalian internal (antara lain: pengawasan yang memadai, rotasi pekerjaan, pemeriksaan validitas) adalah penting untuk sistem keamanan komputer. Keamanan sistem komputer merupakan aplikasi khusus dari prinsip pengendalian internal yang telah dibuat untuk masalah tertentu dalam sistem informasi.

3.1.Lingkungan Pengendalian

Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu:
a.    Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuannya adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu dimonitor. Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Komunikasi yang baik dapat mengurangi masalah rendahnya moral.
b.    Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Satu hal yang penting adalah harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang bertanggungjawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur akuntansi.
c.    Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal memiliki pengalaman yang baik terkait dengan keamanan computer dan bertindak sebagai chief computer security officer.

d.   Metode Pembagian Otoritas dan Tanggung Jawab
Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
e.    Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggungjawaban semua sumber daya sistem computer dan informasi. Harus ada anggaran yang dibuat terkait dengan akuisisi peralatan dan perangkat lunak, terkait dengan biaya operasi, dan terkait dengan penggunaan. Pengendalian anggaran penting dalam lingkungan computer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
f.     Fungsi Audit Internal
Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.
g.    Kebijakan dan Praktik Personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali adalah memisahkan pekerjaan pengguna computer dan personalia sistem computer.
h.    Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi local, federal, dan negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah. Hukum dan regulasi juga mengatur pengiriman informasi ke negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu area ini dapat menjadi suatu tuntutan kriminal.

3.2.Pengendalian untuk Ancaman Aktif
Cara utamamencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah dengan mengimplementasikan urutan lapisan dari pengendalian akses. Filosofi dibalik pendekatan berlapis pada kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan calon pelaku dari target potensialnya. Tiga lapisan ini yaitu: pengendalian akses tempat, pengendalian akses sistem, dan pengendalian akses arsip.
Langkah pertama dalam membangun pengendalian akses adalah menggolongkan semua data dan peralatan sesuai dengan kepentingan dan kerapuhan mereka. Peralatan dan data yang kritis harus diberikan pengendalian yang paling ketat.
Pengendalian akses tempat. Pengendalian akses tempat adalah secara fisik memisahkan orang yang tidak sah dari sumber komputer. Pemisahan fisik, secara khusus diterapkan kepada perangkat keras, area entri data, area keluaran data, perpustakaan data, dan penghubungan komunikasi.
Pengendalian akses sistem. Kontrol akses sistem adalah pengendalian berorientasi perangkat lunak yang dirancang untuk menjaga agar pemakai yang tidak sah tidak menggunakan sistem. Tujuan pengendalian akses sistem adalah untuk mengotentikasi pemakai dengan menggunakan cara seperti ID pemakai, kata kunci, alamat IP, dan alat perangkat keras.
Pengendalian akses arsip. Lapisan terakhir dari pengendalian akses diterapkan pada tingkat arsip. Pengendalian akses arsip mencegah akses tidak sah pada data. Pengendalian akses arsip yang paling fundamental adalah otorisasi dan prosedur untuk mengakses dan mengubah arsip. Semua program penting harus disimpan dalam arsip terkunci, artinya program dapat dijalankan, namun tidak dapat dilihat atau diubah. 
3.3.Pengendalian untuk Ancaman Pasif
Ancaman pasif meliputi kegagalan daya, dan perangkat keras. Pengendalian untuk ancaman pasif dapat preventif atau korektif. Pengendalian untuk ancaman pasif dapat dilakukan dengan sistem toleran kesalahan dan memperbaiki kesalahan pendukung arsip. 
Sistem toleran kesalahan. Sistem toleran kesalahan adalah bila satu bagian dari sistem itu gagal, bagian lainnya segera mengambil alih, dan sistem terus beroperasi tanpa interupsi. Toleransi kesalahan dapat diterapkan pada lima tingkatan, yaitu: komunikasi jaringan, prosesor CPU, DASD, power suply, dan transaksi individual. Jaringan dapat dibuat toleran kesalahan dengan memberikan jalur komunikasi duplikat dan prosesor komunikasi. Dua pendekatan utama untuk prosesor central prosessing unit (CPU) yaitu: sistem protokol berbasis konsensus dan sistem prosesor anjing penjaga (watchdog). Sistem protokol berbasis konsensus berisi jumlah ganjil prosesor, bila satu prosesor tidak sesuai dengan lainnya, maka setelah itu akan diabaikan, sedangkan sistem prosesor watchdog, mengambil alih pemrosesan bila sesuatu terjadi pada prosesor pertama. DASD dibuat toleran kesalahan dengan beberapa metode, termasuk pemeriksaan baca setelah tulis, penguncian sektor buruk, dan pembuatan cermin disk.
Pemeriksaan baca setelah tulis, disk drive membaca kembali sebuah sektor setelah menuliskannya ke disk, mengkonfirmasikan bahwa ia dituliskan tanpa kesalahan. Bila konfirmasi gagal, sektor pada disk diberi tanda (flagged) dan dikunci, sehingga ia tidak dapat digunakan lagi, kemudian data dapat dituliskan ke sektor yang baik. Toleransi kesalahan untuk kegagalan daya dapat dicapai dengan power supply yang baik. Apabila dayanya gagal, sistem pendukung yang berdaya aki mengambil alih dengan cepat, sehingga tidak terjadi kerugian kontinuitas dalam aktivitas pemrosesan. Dalam hal ini ada waktu cukup untuk memindahkan sistem ke generator atau mematikannya dengan cara yang benar. Akhirnya, beberapa alat menghaluskan turun naiknya tegangan, yang dapat menyebabkan kerusakan parah pada beberapa komponen elektronik. Toleransi kesalahan pada tingkatan transaksi melibatkan pemrosesan rollback dan pembuatan bayangan database.
Pemrosesan rollback, transaksi tidak pernah ditulis ke disk, hingga selesai. Apabila daya gagal atau kesalahan lain terjadi, sementara sebuah transaksi ditulis, maka program database secara otomatis menggulung dirinya ke belakang pada keadaan sebelum terjadi kesalahan. Pembuatan bayangan database adalah serupa dengan pembuatan bayangan disk. Sebuah duplikat dari semua transaksi dibuat dan barangkali dikirimkan melalui komunikasi ke lokasi yang jauh.
Memperbaiki kesalahan pendukung arsip. Sebuah sistem yang memusatkan pembuatan arsip pendukung adalah sesuatu yang penting. Tiga jenis pendukung, yaitu: pendukung penuh, pendukung kenaikan, dan pendukung diferensial. Pendukung penuh membuat pendukung semua arsip pada disk tertentu. Setiap arsip berisi bit arsip yang diatur hingga 0 selama proses pembuatan pendukung. Sistem operasional secara otomatis mengatur bit hingga 1 kapan saja sebuah arsip diubah. Setiap bit arsip diatur kembali hingga 0 selama proses pembuatan pendukung. Jadi, pendukung kenaikan hanya membuat pendukung arsip yang telah dimodifikasi sejak pembuatan pendukung penuh atau kenaikan yang terakhir. Akhirnya, pembuatan pendukung diferensial adalah sama seperti pembuatan pendukung kenaikan, hanya saja bit arsipnya tidak diatur ulang hingga 0 selama pembuatan pendukung.
3.4.Keamanan Internet
Internet membuat sebuah jendela elektronik ke dunia luar yang menghilangkan sumber informasi perusahaan secara fisik, sehingga tidak mungkin sepenuhnya mengimplementasikan lapisan pemisahan fisik dari pendekatan akses keamanan yang berlapis. Contoh, perusahaan dapat meletakkan sebuah komputer dibalik pintu terkunci, namun komputer tidak benar-benar terisolasi bila terhubung dengan internet. 
Menurut George H. Bodnar dan William S. Hopwood (2001), kerapuhan terhubung internet dapat muncul dari kelemahan dalam lima bidang berikut: 
a.         Sistem operasional atau konfigurasinya
b.        Server web atau konfigurasinya.
c.         Jaringan pribadi dan konfigurasinya.
d.        Beragam program server.
e.         Prosedur keamanan umum.
Kerapuhan sistem operasional. Server Web adalah perpanjangan dari sistem operasional. Hasilnya, kelemahan dalam keamanan sistem operasional akan membuat kelemahan yang terkait pada keamanan server Web. Alasan ini, mendukung administrator keamanan untuk mengamankan sistem operasional. Masalahnya, tidak ada sistem operasional yang anti serangan, dan hacker terus menerus menemukan kelemahan baru dalam sistem operasional, sehingga administrator harus terus menerus mengawasi buletin keamanan yang dibuat oleh pemasok sistem operasional. Contoh, Microsoft tetap mengikuti informasi keamanan untuk Windows pada situs Web-nya di http://www.microsoft.com/.
Kerapuhan server Web. Server Web dan browser Web cenderung lebih sering diperbarui daripada sistem operasional, dan pembaharuannya selalu datang dengan kemungkinan keamanan baru yang lemah. Server Web lebih berfungsi pada garis depan keamanan, karena server Web adalah portal yang sering dilewati orang luar. Keamanan server Web dapat menurun, karena masalah konfigurasi. Salah satu masalah konfigurasi yang paling umum terdapat pada mengkonfigurasikan ijin untuk direktori dan arsip yang berkaitan dengan program skript yang bisa dilaksanakan. Program skript yang dapat dilaksanakan adalah komponen yang diperlukan untuk hampir semua situs Web komersial. 
Kerapuhan jaringan pribadi. Risiko khusus terjadi saat sebuah server Web diletakkan pada sebuah komputer utama yang dihubungkan dengan berbagai komputer pemakai melalui jaringan area lokal, dan hacker dapat menyerang satu komputer melalui yang lain. Apabila komputer pemakai memiliki akses kepada komputer yang menjadi tuan rumah server Web, maka hacker pertama-tama dapat menerobis masuk ke dalam salah satu komputer pemakai, kemudian bergantung kepada akses pemakai untuk menduduki komputer utama untuk server Web. Masalah ini begitu sulit, karena secara virtual tidak mungkin administrator server menjamin keamanan yang memadai atas semua mesin pemakainya, karena banyak perusahaan (pemakai) mengakses internet, menjalankan semua jenis program, dan tidak aman, serta mengkonfigurasi sistem operasional dengan tidak benar. Hacker menyerang satu komputer melalui komputer pengganti dengan mengirimkan surat elektronik (e-mail) dalam bentuk lampiran (attachment)berupa program kuda Troya ke komputer pengganti. Hacker mengakali penerima pada komputer pengganti umtuk membuka lampiran e-mail dengan menggunakan alamat pemngembalian dari seseorang yang telah dikenal. Hacker dalam hal ini, umumnya memperoleh daftar e-mail dari direktori perusahaan yang tersedia di situs Web perusahaan.
Kerapuhan dari beragam program server. Banyak komputer utama server Web yang bukan saja menjalankan server Web, namun juga server lainnya, termasuk server FTP (untuk pengiriman arsip ke dan dari komputer lain), server e-mail, dan server kontrol jarak jauh (yang mengijinkan komputer jarak jauh yang sah untuk mengambil kendali komputer utama). Masalahnya, setiap server tambahan memberikan risiko keamanan tambahan, dan cacat keamanan yang berhubungan dengan salah satu server yang dapat membuka pintu untuk hacker agar dapat menyerang server lainnya di semua arsip pada komputer, bahkan komputer lain yang berada pada jaringan area lokal yang sama.
Prosedur keamanan umum. Perangkat lunak keamanan terbaik di dunia tidak akan membantu, bila administrator sistem tidak memaksakan kebijakan. Selanjutnya, semua kesalahan dan pengecualian harus dicatatkan ke arsip aman, dan catatan ini harus dimonitor secara konstan.
IV. Pengelolaan Risiko Bencana
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
4.1.Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
      Bencana alam                                      30%
      Tindakan kejahatan yang terencana    45%
      Kesalahan manusia                              25%
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.
4.2.Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dab disetujui oleh kedua pihak tersebut. Desain perencanaan pemulihan mencakup tiga komponen utama, yaitu:
a.       Menaksir kebutuhan penting perusahaan
b.      Daftar prioritas pemulihan dari bencana
c.       Strategi dan prosedur pemulihan
Perencanaan ini masih mencakup hal-hal yang cukup detail sedemikian rupa sehingga pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan
·         Pusat respons darurat
·         Prosedur eskalasi
·         Menentukan pemrosesan komputer alternative
·         Rencana relokasi karyawan
·         Rencana penggantian karyawan
·         Perencanaan penyelamatan
·         Perencanaan pengujian sistem dan pemeliharaan sistem














DAFTAR PUSTAKA
            Bodnar, George H dan William S Hopwood (1997).Sistem Akuntansi dan Informasi edisi.Yogyakarta: Andi.



Tidak ada komentar:

Posting Komentar