Pengendalian Sumber Data

data-source-urlPerusahaan harus membentuk prosedur pengendalian untuk memastikan bahwa semua dokumen sumber memiliki otorisasi, akurat, lengkap, jelas, dan masuk ke dalam sistem atau dikirim ke tujuannya dengan tepat waktu.
Pengendalian sumber data untuk memastikan integritas sistem terdiri atas:

Contoh kasus jika pengendalian Integritas Lemah

Jika pengendalian aplikasi lemah, output sistem informasi cenderung berisi kesalahan. Data yang salah dapat mengarah ke pengambilan keputusan manajemen yang buruk dan dapat secara negatif mempengaruhi hubungan perusahaan dengan pelanggan, pemasok, dan pihak eksternal lainnya.

integrity-a-urlSebagai contoh: beberapa negara bagian menuntut Experian (dulunya TRW), biro besar untuk pelaporan kredit, karena melaporkan informasi kredit yang tidak akurat dan melanggar privasi pelanggan. Tuntutan hukum teraebut dipicu oleh ribuan komplain pelanggan mengenai informasi yang tidak akurat dan negatif pada laporan kredit mereka.

Integritas System untuk melindungi, mendeteksi, dan mengoreksi kesalahan transaksi

integrity-urlTujuan utama dari pengendalian aplikasi adalah untuk melindungi, mendeteksi, dan mengoreksi kesalahan dalam transaksi ketika mengalir melalui berbagai tahap dalam program pemrosesan data.

Dengan kata lain, pengendalian memastikan integritas masukan aplikasi tertentu, data yang disimpan, program, transmisi data, dan output. Dalam kasus pembukaan, Jason Scott menemukan beberapa faktur fiktif di SPP yang mungkin telah diproses oleh sistem piutang dan pembayaran kas.

integrity-a-urlJika demikian, hal ini menunjukkan kegagalan pengendalian integritas aplikasi. Akan tetapi, pengendalian umum yang tidak memadai, yang memastikan bahwa lingkungan pengendalian berdasarkan komputer dari organisasi stabil dan dikelola dengan baik, juga dapat menyebabkan kerusakan pengendalian. Pengendalian umum dan pengendalian aplikasi penting dan perlu, karena pengendalian aplikasi akan lebih efektif dengan adanya pengendalian umum yang kuat.

Perubahan Pengendalian Manajemen pada SI berbasis Komputer

Untuk mengendalikan perubahan sistem informasi, perusahaan memerlukan kebijakan dan prosedur pengendalian manajemen perubahan secara formal. Pengendalian ini harus rnencakup hal-hal berikut:change-mgt-url

  • Peninjauan secara berkala terhadap semua sistem untuk mengetahui perubahan yang dibutuhkan.
  • Semua permintaan diserahkan dalam format yang baku.
  • Pencatatan dan peninjauan permintaan perubahan dan penambahan sistem dari pemakai yang diotorisasi.
  • Penilaian dampak perubahan yang diinginkan terhadap tujuan, kebijakan, dan standar keandalan sistem.
  • Pengkategorian dan penyusunan semua perubahan dengan menggunakan prioritas yang ditetapkan.
  • Implementasi prosedur khusus untuk mengatasi hal-hal yang mendadak, seperti pencatatan semua perubahan darurat yang menyimpang dari prosedur standar dan meminta manajemen meninjau dan menyetujuinya setelah fakta tersebut. Pastikan adanya jejak audit untuk semua hal-hal yang mendadak.
  • Pengkomunikasian semua perubahan ke manajemen dan sampaikan ke peminta perubahan mengenai status perubahan yang mereka inginkan.
  • Permintaan peninjauan, pengawasan, dan persetujuan dari manajemen TI terhadap semua perubahan hardware, software dan tanggung jawab pribadi.
  • Penugasan tanggung jawab khusus bagi semua yang terlibat dalam perubahan dan awasi kerja mereka.
  • Pengontrolan hak akses sistem untuk menghindari akses data dan sistem yang tidak memiliki otorisasi.
  • Pemastian bahwa semua perubahan melewati semua langkah yang sesuai (pengembangan, pengujian, dan implementasi).
  • Pengujian semua perubahan hardware, infrastruktur, dan software secara ekstensif dalam lingkungan non-produksi yang terpisah sebelum menempatkannya ke dalam mode produksi yang sebenarnya.
  • Pemastian adanya rencana untuk melindungi semua perubahan sistem yang kritis, untuk menjaga kemungkinan adanya sistem yang tidak bekerja atau tidak berjalan dengan sesuai.
  • Implementasi fungsi kepastian kualitas untuk memastikan bahwa semua standar dan prosedur diikuti dan untuk menilai apakah kegiatan yang berubah mencapai tujuannya atau tidak. Temuan ini harus disampaikan ke departemen pemakai, manajemen sistem informasi, dan manajemen atas.
  • Pembaruan semua dokumentasi dan prosedur ketika perubahan diimplementasikan.

Memasang Sistem Pelarian (Runaway) kasus : Westpac Banking Corporation di Sydney, Australia

Westpac Banking Corporation di Sydney, Australia menyelidiki proyek pengembangan sistem lima tahun untuk mendefinisikan ulang peran teknologi informasi. Proyek yang menggunakan Core System 90 (CS90) dianggarkan sebesar $85 juta. Tujuannya adalah untuk desentralisasi sistem informasi Westpac dengan menyediakan alat computer-aided software engineering (CASE) dan sistem ahli ke para manajer cabang. Desentralisasi akan membuat Westpac mampu memberikan respons yang lebih cepat terhadap kebutuhan pelanggan sambil mengurangi ukuran departemen SIA internal.

runaway-urlSekitar 3 tahun setelah proyek dimulai, Westpac mengambil stok CS90 dan menyimpulkan bahwa CS90 tidak dapat dikendalikan. Meskipun proyek itu telah menghabiskan dana hampir $150 juta, namun tidak ada hasil berguna yang diperoleh. Selain itu, pejabat bank menyatakan bahwa jadwal penyelesaian proyek tidak dapat dipenuhi. Oleh karena masalah serius yang dihadapinya dengan portofolio utang dan program manajemen aset, Westpac memutuskan untuk tidak mengeluarkan dana lagi untuk CS90. Jadi, bank memecat IBM, yang menjadi integrator sistem dan pengembang software utama, dan menyewa Andersen Consulting (yang sekarang bernama Accenture) untuk meninjau proyek itu dan mengembangkan rekomendasi untuk menyelamatkannya.

budget-scalePengucuran dana yang sia-sia untuk proyek CS¬90 Westpac hanya merupakan satu cerita yang sudah sering didengar: proyek komputer yang melebihi anggaran dan tidak selesai tepat waktu, yang sering disebabkan oleh integrator sistem yang tidak mampu memenuhi janji-janjinya yang terlalu tinggi. Para ahli industri menyebut proyek tersebut sebagai pelarian (runaway). Selama beberapa tahun, KPMG mengambil alih sekitar 50 proyek komputer pelarian (runaway), dan memperkirakan bahwa, sekitar dua pertiga dari kasus-kasus ini, masalah timbul dari kesalahan manajemen integrator sistem.

Sistem komputer yang dibangun oleh pihak ketiga yang mengeluarkan banyak biaya dan tidak dapat memenuhi tenggat waktu, sama halnya dengan sistem yang dikembangkan secara internal. Oleh sebab itu, peraturan dasar manajemen dan pengendalian proyek wajib digunakan, termasuk pengawasan melekat terhadap kemajuan sistem selama pengembangan. Sayangnya, banyak perusahaan yang tidak melakukan hal ini.

InTime-logoSebaliknya, mereka bergantung pada kepastian integrator bahwa proyek akan diselesaikan tepat waktu. Sering kali, integrator tidak memenuhi tenggat waktu tetapi tidak memberitahukan kepada klien, karena memperkirakan bahwa proyek masih dapat diselesaikan tepat waktu jika didorong dengan keras pada menit terakhir. Dalam kasus seperti itu, menurut para ahli yang menyelamatkan sistem pelarian, CIO dan eksekutif SIA yang lain sama salahnya dengan integrator sistem.

Para ahli tersebut menyarankan bahwa proyek integrasi sistem harus diawasi oleh komite sponsor, yang dibentuk oleh CIO, dan diketuai oleh pemenang internal proyek. Manajer departemen untuk semua unit yang akan menggunakan sistem itu harus masuk dalam komite ini. Peran komite ini adalah untuk menetapkan prosedur formal untuk mengukur dan melaporkan status proyek. Pendekatan yang terbaik adalah dengan membagi proyek menjadi tugas-tugas yang dapat dikelola, menugaskan tanggung jawab untuk setiap tugas, dan melakukan pertemuan berkala (minimal setiap bulan) untuk meninjau kemajuan dan menilai kualitas.

Sama pentingnya adalah langkah-langkah yang harus diambil di luar proyek. Sebelum pihak ketiga dipanggil untuk mengajukan penawaran atas proyek, spesifikasi yang jelas harus dikembangkan, termasuk deskripsi yang jelas dan definisi sistem, tenggak waktu yang jelas, dan kriteria penerimaan yang tepat untuk setiap tahap proyek. Meskipun pengembangan spesifikasi mungkin terlihat mahal, namun dalam jangka panjang akan menghemat uang.

system-integrator-urlSebagai contoh: Pemerintah Daerah Suffolk, New York, baru-baru ini menghabiskan waktu 12 bulan dan uang sebesar $500.000 untuk menyiapkan spesifikasi yang rinci untuk sistem informasi penegakan hukum yang baru sebesar $16 juta sebelum menerima penawaran. Pemerintah daerah tersebut kemudian menyewa Unisys Corporation and Grumman Data Systems untuk mengembangkan sistem tersebut. Pejabat pemerintah daerah yakin bahwa usaha awal yang mereka lakukan membantu memastikan kesuksesan sistem yang baru dan menghemat biaya hardware sebesar $3 juta.

detail-spec-urlBeberapa integrator sistem mungkin menolak spesifikasi yang rinci dan metode pengendalian proyek yang ketat. Sebagai contoh: setelah meninjau spesifikasi pemerintah Daerah Suffolk, hanya 6 dari 22 integrator yang menyatakan tertarik untuk mengajukan penawaran untuk proyek tersebut. Hal ini harus dipandang sebagai anugerah, bukan masalah. Para integrator yang tidak menghargai usaha perusahaan untuk mengendalikan secara ketat biaya dan kualitas proyek sistemnya, adalah integrator yang biasanva bertanggung jawab atas berbagai systemnya, adalah integrator yang biasanya bertanggung jawab atas berbagai system pelarian(runaway).

*Integrator sistem adalah pemasok yang bertanggung jawab untuk mengelola usaha pengembangan sistem kerja sama melibatkan personil pengembangannya, pembelinya, dan mungkin juga personil pengembangan sistem, dari salah satu atau beberapa pemasok yang lain, yang sedapat mungkin menggunakan standar yang umum.

Pengembangan Proyek dan Pengendalian Akuisisi

Metodologi yang formal, sesuai, dan terbukti diperlukan untuk mengatur pengembangan, akuisisi, implementasi, dan pemeliharaan sistem informasi dan teknologi yang terkait. Metodologi tersebut harus berisikan pengendalian yang sesuai untuk peninjauan dan persetujuan manajemen, keterlibatan pemakai, analisis, desain, pengujian, implementasi, dan konversi.

metodology-urlMetodologi tersebut juga harus memungkinkan manajemen untuk melacak masukan informasi dari sumber mereka ke penempatan akhirnya atau dari penempatan akhir kembali ke sumber awalnya (jejak audit).

Ada banyak contoh proyek pengembangan atau akuisisi yang dikelola secara buruk yang menghabiskan bnnyak uang kerena prinsip-prinsip dasar pengendalian manajemen diabaikan. Contohnya Oklahoma State Insurance Fund yang menghentikan kontrak pengembangan dengan Policy Management Systems untuk sistem software yang akan mengeluarkan kebijakan dan memproses serta melacak klaim dan premium. Kontrak tersebut dibatalkan ketika proyek terlambat beberapa bulan dari jadwalnya dan menghabiskan $ljuta lebih banyak dari yang dianggarkan.

Sama halnya dengan yang dijelaskan dalam kasus Westpac Banking Corporation menghentikan proyek integrasi sistem skala besar setelah menghabiskan lebih dari $150 juta.

Pengamanan Komputer vs Hacker

Pengamanan Internet masih perlu melewati jalan yang panjang untuk dapat dianggap aman. Pada saat perusahaan memperkenalkan program pengamanan yang baru, maka hacker sering menemukan cara untuk menembusnya.

netscape_startSebagai contoh, kunci pengamanan browser Web Netscape ditembus dua kali dalam beberapa bulan setelah softwarenya diluncurkan. Guna memotivasi hacker untuk menginformasikan ke perusahaan mengenai masalah pengamanan di masa depan, Netscape mulai menawarkan hadiah bagi siapa saja yang menemukan jalan untuk menerobos softwarenya.

Off-Line Internet Server sebagai alternatif Pengamanan

Perusahaan yang lain menggunakan pendekatan yang terbalik. Mereka membuat server Internet yang tidak dihubungkan dengan sistem komputer mereka.

internet-off-lineData yang disimpan dalam server hanya data yang ingin disediakan oleh perusahaan bagi pemakai Internet dan merupakan data yang tidak perlu dikhawatirkan jika hilang.

Jika hacker berhasil merusak sistem, perusahaan cukup menjalankan kembali (restart) sistem tersebut dan memasukkan lagi (reload) data yang disimpan dalam sistem tersebut.

Enkripsi Amplop Elektronik sebagai pengaman Email.

electronic-mail-envelope-symolAmplop elektronik dapat melindungi pesan e-mail. Amplop tersebut dibuat dengan menggunakan teknik enkripsi kunci pribadi atau publik. Jika kerahasiaan kunci terjaga, maka keaslian dan integritas email yang dienkripsi dapat dijamin. Orang yang menerima email membuka amplop dengan menggunakan kunci untuk mendekripsikan pesan.

Beberapa perusahaan, seperti Philip Morris, sangat berhati-hati terhadap hacker, virus, dan aspek-aspek lain yang tidak diinginkan dari penggunaan Internet, sehingga melarang pegawainya untuk mengakses Internet dan e-mail dari luar.

Perusahaan yang lain hanva memiliki hubungan Internet keluar, satu arah, sehingga pegawai dapat menggunakan Internet untuk melakukan penelitian. Tidak ada akses dari luar, ke dalam sistem . Akan tetapi, hal ini membatasi keefektifan Internet karena para pegawai tidak dapat menerima e-mail.

Tunneling sebagai sarana pengamanan Internet.

Pengamanan Internet dapat juga dicapai dengan menggunakan pendekatan vang disebut tunneling. Dalam tunneling, jaringan dihubungkan melalui Internet-firewall ke firewall—dan data dibagi menjadi segmen-segmen kecil vang disebut paket internet protocol (IP), dienkripsi, dicampur dengan jutaan paket dari ribuan komputer yang lain, dan dikirim melalui Internet.

tunnelingPada bagian penerima, paket tersebut didekripsi dan dirakit ulang menjadi pesan awalnya. Hal ini membuat perusahaan dapat menggunakan Internet untuk menciptakan jaringan pribadi virtual dan menghindari biaya penyewaan jalur pribadi untuk menghubungkan jaringan. Tunneling dapat juga digunakan untuk melindungi jaringan individual di dalam organisasi.

Implementasi Firewall

firewall-a-urlFirewall dapat dan seharusnya diimplementasikan dalam dua tingkat. Pada tingkat pertama, router harus menghalangi semua paket data yang keluar dan masuk, menguji sumber atau tujuan informasi, dan memutuskan apakah paket tersebut dapat diteruskan atau tidak. Paket yang lolos dari uji tersebut kemudian diarahkan ke pintu gerbang (gateway) aplikasi yang sesuai, yang menyediakan pengamanan tingkat kedua.

Pintu gerbang aplikasi dapat diprogram untuk menguji isi dari paket yang masuk atau keluar dan menentukan apakah paket tersebut dapat diteruskan lebih jauh atau tidak.
Firewall, sama seperti kunci lainnya, dapat ditembus. Oleh sebab itu, perusahaan juga menerapkan sistem deteksi gangguan untuk menyediakan peringatan tepat waktu ketika terjadi akses yang tidak memiliki otorisasi.

firewall-urlSelain itu, firewall dapat dilewati oleh hubungan komunikasi nirkabel antara sistem internal dan pihak luar. Jadi, para profesional pengamanan komputer dan audit internal perlu mengawasi dan meninjau secara berkelanjutan semua hubungan dalam jaringan komunikasi organisasi mereka.

Usaha pengendalian saat ini memfokuskan pada konstruksi firewall yang tidak dapat ditembus untuk menghindari akses sistem yang tidak memiliki otorisasi. Lebih mudah memiliki pengendalian akses yang kuat pada titik entri tunggal daripada berusaha mengendalikan berbagai titik entri.

digital-vax-11-780-urlDigital Equipment Corp. menginstal firewall yang disebut Screening External Access Link (SEAL), antara jaringan korporat internal dan Internet. SEAL telah berhasil menghalangi penyusup selama 11 tahun. Akan tetapi, perusahaan yang lain tidak terlalu beruntung. Pada suatu hari Thanksgiving, hacker berhasil menerobos firewall General Electric dan mengakses informasi kepemilikan. GE harus menutup akses internetnya selama 72 jam untuk menilai kerusakan dan mengoreksi masalah tersebut.

Penggunaan Firewall untuk mengendalikan Akses.

 

Organisasi dapat menggunakan firewall untuk mengendalikan akses yang tidak memiliki otorisasi, baik oleh orang luar maupun oleh pegawai yang berusaha mengakses bagian sistem yang tidak boleh mereka akses.

Seperti yang ditunjukkan dalam Gambar dibawah ini, firewall adalah hardware dan software yang mengendalikan komunikasi antara jaringan internal perusahaan, yang kadang-kadang disebut sebagai jaringan yang dipercaya, dan jaringan luar, atau jaringan yang tidak dipercaya, seperti Internet atau jaringan penambah nilai (value-added network). firewall-url

Firewall adalah pembatas antar-jaringan yang menghalangi keluar masuknya informasi yang tidak diinginkan dalam jaringan yang dipercaya. Jaringan yang kompleks kadang-kadang dibagi ke dalam beberapa sub¬jaringan, yang masing-masing memiliki firewall sendiri. Organisasi sering menggunakan firewall untuk memisahkan jaringan internal, sehingga data sensitif terlindung dari penggunaan internal yang tidak memiliki otorisasi.

Firewall harus mampu melindungi dari serangan, kerusakan, dan modifikasi vang tidak diotorisasi. Firewall sering menggunakan hardware, software, dan teknologi lain yang berlebihan (redundant) untuk mengurangi gangguan dan kerusakan.

Pengendalian Internet dan E-commerce

Berikut ini adalah alasan-alasan mengapa perhatian harus diberikan ketika menjalankan bisnis melalui Internet:the-cloud

  • Ukuran dan kompleksitas Internet sangat besar, sama luasnya dengan masyarakat global yang bergantung pada Web. Jumlah pemakaian Internet meningkat sangat besar.
  • Internet menawarkan variabilitas yang sangat besar dalam hal kualitas, kompatibilitas, kelengkapan, dan stabilitas produk dan pelayanan jaringan.
  • Sebelum pesan Internet tiba di tujuannya, pesan tersebut dapat dengan mudah melewati 6 sampai 10 komputer. Setiap orang yang berada di salah satu komputer tersebut dapat membacanya atau mengkopi pesan tersebut. Bahkan orang lain dapat membaca pesan-pesan yang dikirim melalui intranet (Internet internal) perusahaan, seperti yang baru-baru ini diketahui oleh perusahaan besar ketika mengadakan audit internal. Audit tersebut menyingkap bahwa pesan-pesan e¬mail yang bersifat rahasia dikirim antar-eksekutif di kantor pusat ternyata dapat dibaca oleh administrator jaringan yang bekerja di gedung lain yang jaraknya 30 mil dari kantor pusat tersebut.
  • Banyak Website yang pengamanannya salah. Suatu studi pada 2.200 site menemukan bahwa antara 70 dan 80 persennya memiliki kesalahan pengamanan yang serius. Site dengan profil tinggi cenderung lebih sering mengalami kesalahan yang serius daripada site yang kurang populer.hacking-url
  • Hacker tertarik pada Internet. Sebagai contoh: enam anak muda di Denmark ditangkap karena menggunakan Internet untuk menembus komputer Peramalan Cuaca Nasional. Untungnya para hacker tersebut tidak sampai merusak system tersebut yang dapat mengakibatkan jatuhnya pesawat penerbangan yang bergantung pada peramalan cuaca. Para hacker ditemukan ketika password pegawai yang sudah lama mulai muncul lagi di dalam sistem. Dalam kasus yang lain, seorang hacker berusia 16 tahun menggunakan komputer di rumahnya dan Internet untuk menembus lebih dari seratus jaringan internasional. Meskipun mereka tidak memiliki bukti, beberapa peneliti kuatir bahwa hacker mampu mencuri data nuklir yang bersifat rahasia.

Pengendalian Internal untuk Jaringan PC

Di sebagian besar organisasi, PC secara elektronik dihubungkan dengan menggunakan jaringan lokal dan WAN. Salah satu keuntungan bagi jaringan PC adalah peningkatan prosedur pengamanan dan pengendalian serta penerapannya melalui pengendali jaringan pusat. Pengendalian password akan dibutuhkan, penggunaan PC akan diawasi secara terpusat, prosedur perlindungan dari virus dapat diterapkan, dan prosedur pembuatan cadangan dapat dilaksanakan secara otomatis.

Information-systems-security-and-control-Presentation-Transcript-9371Mengembangkan strategi pengendalian internal untuk PC dimulai dengan menginventarisir seluruh PC dan mengidentifikasi penggunaannya. Kemudian, setiap PC harus diklasifikasikan sesuai dengan risiko dan pajanan(exposure) yang terkait dengan aplikasinya.

Contohnya, sebuah PC digunakan untuk mempertahankan catatan akun utang usaha dan membuat pengeluaran tunai (cash disbursement) yang menghadapi risiko dan pajanan lebih banyak daripada PC yang digunakan hanya untuk mengetik dokumen (word processing). Selanjutnya, program pengamanan harus dibuat untuk setiap PC sesuai dengan tingkat risiko dan pajanannya, serta sesuai dengan sifat aplikasi sistem.

Mungkin aplikasi PC yang paling sensitif adalah sistem akuntansi yang berada dalam pengendalian satu orang, yang mencerminkan pemisahan tugas yang tidak memadai. Dalam kasus semacam ini, praktik sumber daya manusia yang baik harus diikuti, seperti pemeriksaan latar belakang sebelum mempekerjakan, jaminan keloyalan, liburan wajib, serta rotasi tugas secara periodik.

Kebijakan dan Prosedur untuk pengendalian komputer utama.

Banyak kebijakan dan prosedur untuk pengendalian komputer utama dapat diaplikasikan untuk jaringan PC. Pengendalian berikut ini juga merupakan pengendalian yang penting:policies-procedures-url

  •  Latihlah pemakai mengenai pengendalian yang berkaitan dengan PC serta arti pentingnya. Pengamanan harus merupakan bagian penting dari proses pengembangan aplikasi. Pemakai yang mengembangkan program aplikasi mereka sendiri harus diajarkan cara untuk menguji dan mendokumentasikannya.
  • Batasi akses dengan menggunakan kunci di PC dan apabila mungkin, atas disk drive. Perlengkapan harus dengan jelas diberi label dengan menggunakan etiket yang tidak dapat dipindahkan.
  • Buatlah kebijakan dan prosedur untuk (1) mengendalikan data yang dapat disimpan atau di-download ke PC, (2) meminimalkan potensi pencurian atas PC yang dipindahkan dari tempat perusahaan, (3) melarang pemakai menggunakan software pribadi ke dalam PC, mengkopi software perusahaan untuk penggunaan pribadi, atau menggunakan sistem tanpa memiliki otoritas. Ketidakberadaan pengendalian dalam hal-hal inilah (atau kegagalan dalam menerapkannya) yang membuat seorang pegawai perusahaan sekuritas besar di San Francisco menggunakan sistem komputer perusahaan untuk membeli dan menjual kokain.
  • PC yang mudah dibawa tidak boleh disimpan dalam mobil dan harus dibawa masuk ke kabin pesawat bukan di bagasi. PC yang berisi data rahasia harus dikunci sewaktu malam dan diamankan ketika tidak sedang digunakan. Di Kementerian Pertahanan Inggris, sebuah laptop dicuri, sementara laptop tersebut berisi seluruh rencana perang Operasi Badai Gurun (Operation Desert Storm).
  • Simpanlah data yang sensitif dalam lingkungan yang seaman mungkin, seperti menyimpannya dalam server atau komputer pusat, sebagai ganti PC. Alternatifnya, data yang sensitif dapat disimpan dalam disket atau disk drive yang dapat dipindahkan dan disimpan dalam lemari besi. Seseorang menggunakan obeng di kantor pusat Levi Strauss untuk mengambil hard drive dari sebuah PC. Drive tersebut berisi data pribadi (nama, nomor jaminan sosial, tanggal lahir, dan nomor rekening bank) 20.000 pegawainya. Data ini dapat digunakan untuk mengajukan aplikasi kartu kredit secara curang dan untuk menarik uang tunai dari rekening bank terkait.
  • Instal software yang secara otomatis akan mematikan terminal atau komputer yang termasuk dalam jaringan setelah tidak digunakan dalam waktu yang telah ditentukan.
  • Buatlah cadangan hard drive secara teratur.
  • Enkripsi atau lindungi file dengan password agar data yang dicuri tidak berguna.
  • Gunakanlah program penghapusan tuntas yang benar-benar membersihkan data dalam disk ketika data yang rahasia dihapus. Perintah hapus ini dalam sebagian besar PC hanya menghapus indeks data, bukan data itu sendiri. Banyak program utilitas yang dapat memulihkan kembali data yang dihapus (bukan yang benar¬-benar dihapus).
  • Buatlah dinding pelindung di sekitar sistem operasi untuk mencegah pemakai mengubah file sistem yang penting.
  • Oleh karena PC paling rentan ketika baru dinyalakan, PC harus di boot dalam sistem pengamanan. Pemakai tidak boleh dapat menggunakan bagian manapun sistem hingga pemakai memberikan otorisasi vang sesuai. Usaha apa pun untuk memindahkan software sistem dari sistem tersebut, harus membuat keyboard menjadi tidak dapat dioperasikan.
  • Apabila pemisahan tugas secara fisik tidak mungkin dilakukan, gunakan pengendalian password berlapis untuk membatasi akses pegawai ke data yang tidak sesuai serta menciptakan pemisahan tugas yang efektif.
  • Gunakanlah spesialis atau program pengamanan untuk mendeteksi kelemahan dalam jaringan. Program pengamanan akan meniru penyelundup dan memberikan informasi berharga tentang seberapa aman aktivitas jaringan serta di mana saja perbaikan harus dilakukan. Perhatian harus diberikan agar program ini tidak digunakan untuk kepentingan lain yang menyimpang. Contohnya, SATAN (System Administrator Tool for Analyzing Networks), sebuah program pengamanan gratis vang ditawarkan di Internet, dapat membantu membuka jaringan ke pihak luar dalam situasi tertentu.
  • Audit dan catatlah hal-hal yang dilakukan para pemakai dan waktu mereka melakukannya, agar pelanggaran pengamanan dapat dilacak dan diperbaiki.
  • Didiklah para pemakai mengenai risiko virus komputer dan cara meminimalkannva

Perlindungan PC dan Jaringan Klien Server

client-server-urlDalam desakan untuk berpindah dari sistem komputer pusat ke jaringan klien/server, banvak perusahaan yang gagal mengembangkan sistem yang memadai untuk pengendalian internal untuk jaringan klien/server rnereka. Mereka kini terpaksa mengubah desain aplikasi tersebut dengan fitur pengamanan yang sesuai. Perusahaan lain telah membangun aplikasi klien/server yang kritis dengan misi, yang tidak dapat digunakan karena tidak ada fitur pengamanan yang memadai. PC dan jaringan PC lebih rentan terhadap risiko pengamanan daripada komputer utama, dalam beberapa hal berikut ini:

  1. PC terdapat di mana-mana, berarti akses secara fisik sulit dikendalikan. Setiap jaringan PC menjadi alat yang harus dikendalikan. Makin banyak pemakainya, makin besar risiko serangan pada jaringan. Contohnya, Chevron Texaco mendistribusikan informasi ke puluhan ribu pegawai dengan menggunakan lebih dari 40.000 PC.
  2. Para pemakai PC secara umum kurang menyadari pentingnya pengamanan dan pengendalian.
  3. Banyak orang yang mengetahui dengan baik operasi dan penggunaan PC.
  4. Pemisahan tugas yang memadai sulit dilaksanakan karena PC terletak di departemen-departemen pemakai, dan seseorang dapat bertanggung jawab baik untuk pengembangan maupun operasi.
  5. Jaringan diakses dari lokasi jarak jauh dengan menggunakan modem, Internet, EDI serta sistem komunikasi lainnya. Banyaknya jumlah dan keanekaragaman titik akses ini secara signifikan meningkatkan risiko yang dihadapi oleh jaringan.
  6. PC mudah dibawa dan sistem pengamanan yang paling baik di dunia jug a tidak dapat melindungi data yang berada dalam PC, apabila PC tersebut hilang, dicuri, atau salah letak.

“Kartu Aktif” secara Diam-diam Mendeteksi Keberadaan Pegawai

George Orwell dari Big Brother mengamati dengan lebih tajam daripada sebelumnya Laboratorium Penelitian Olivetti dan laboratorium komputer Cambridge University di Cambridge, Inggris. Para pegawai di sana menggunakan peralatan lacak infra merah yang disebut dengan kartu aktif, yang memungkinkan jaringan komputer secara diam-diam mendeteksi keberadaan pegawai. Sebagai tambahan dari pengamanan fisik dalam gedung perusahaan, sistem pelacakan otomatis ini dapat digunakan untuk melacak objek di bandar udara, dari tas koper hingga anak yang hilang.

aktif-card-urlKartu kecil yang dijepitkan di kantong baju atau tergantung di sabuk, dilengkapi dengan alat transmisi yang memancarkan sinyal kode unik setiap beberapa detik. Sinyal tersebut akan ditangkap oleh sensor infra merah yang terletak di setiap ruang, serta mengirimnya ke tempat kerja atau PC yang berfungsi sebagai node dalam jaringan komputer yang terdistribusi. Ketika ada panggilan telepon masuk ke perusahaan, resepsionis akan membuka sistem, melacak pegawai yang bersangkutan, dan memindahkan panggilan telepon ke telepon terdekat dengan pegawai.

Manfaat praktis kartu aktif, seperti tidak adanya telepon yang terlewat, telah mengubah pihak yang meragukan kartu ini menjadi pemakai yang sangat percaya dan sukarela. Salah satu potensi penghalang adalah sistem akan merespons kartu, bukan orang yang memakainya. Siapa pun pemakai kartu yang memiliki kode unik tersebut, akan memiliki identitas dari pemilik aslinya. Memecahkan masalah pem¬buktian keaslian adalah target proyek penelitian yang berkenaan dengan kartu tersebut.

Pengenalan teknologi ini menimbulkan beberapa isu hukum dan etika. Kritik menyatakan bahwa teknologi baru tersebut mengorbankan privasi pribadi demi kemudahan dan efisiensi. Beberapa pegawai yang memakai kartu aktif dapat merasa seperti tahanan rumah yang gelangnva akan menyalakan alarm ketika mereka keluar rumah. Beberapa orang merasa bahwa teknologi ini adalah teknologi yang sangat bagus di tangan yang tepat, tetapi manajer yang buruk akan membuat hidup pegawai menjadi sengsara.

Uji kesesuaian untuk membatasi akses atas SI berbasis Komputer

Perusahaan harus memiliki kerangka kerja yang memungkinkan pihak manajemen dan departemen yang memiliki informasi dan data untuk mengklasifikasinya berdasarkan dampak hilangnya keamanan atau kerahasiaan atas bisnis perusahaan. Beberapa data tidak memerlukan pembatasan akses, seperti data yang dimasukkan ke dalam Website yang dapat diakses umum. Beberapa data dibatasi hanya untuk pegawai. Data lainnva bersifat rahasia dan akses dibatasi hanya untuk pemilik dan pihak manajemen puncak.

Dalam sebagian besar perusahaan, beberapa tingkat pengamanan (atau kerahasiaan) akan ditetapkan digunakan. Ketika data dan program telah diklasifikasi, pemilik dan pihak manajemen puncak dapat menetapkan hak akses pegawai dan pihak luar. Dalam membuat penetapan ini, pemisahan tugas yang memadai harus tetap dipertahankan. Integritas data dan pengamanan data juga penting sehingga tidak ada seorang pun dalam organisasi yang memiliki otoritas untuk membaca, menambah, menghapus, dan mengubah data tanpa ada orang lainnya yang meninjau aktivitas tersebut.

Ketika seseorang mencoba mengakses data atau program atau mengoperasikan sistem, uji kesesuaian (compatibility test) harus dilaksanakan untuk menetapkan apakah pemakai memiliki otorisasi untuk melaksanakan tindakan yang akan dilakukannya. Contohnya, pegawai pabrik tidak akan diberikan otorisasi untuk memasukkan data mengenai utang usaha, dan staf pembelian tidak akan diizinkan untuk memasukkan pesanan penjualan. Prosedur ini penting untuk mencegah baik kesalahan yang tidak disengaja maupun yang disengaja, dalam memanipulasi sistem.

uji-kesesuaian-img030Uji kesesuaian menggunakan matriks pengendalian akses (access control matrix), yang berupa daftar nomor identifikasi dan password para pemakai yang memiliki otorisasi; daftar seluruh file, data, program; dan akses setiap pemakai atas mereka. Gambar dibawah ini memperlihatkan matriks pengendalian akses dengan kode untuk empat jenis akses.

Pemakai 12345-ABC hanya diizinkan untuk membaca dan menampilkan file C, serta dibatasi dari berbagai akses ke file atau program lainnya. Pemakai 12389-RST, yaitu seorang programer, memiliki otorisasi untuk membuat perubahan jenis apa pun atas program 2, dan dapat membaca serta menampilkan catatan dari File B. Pemakai 12567-¬XYZ, mungkin seorang supervisor, memiliki otorisasi untuk membaca dan menampilkan isi seluruh file dan program.
Gambar Matriks Pengendalian Akses

Memastikan Integritas Password dalam membatasi akses atas SI

  1. integritas-passsword-rzajr506Mintalah pemakai untuk menjaga kerahasiaan nornor identifikasi dan password. Sistem seharusnya tidak menampilkan nomor identifikasi atau password di tampilannya ketika pemakai memasukkannya. Pemakai harus jangan pernah mengungkapkan password. Di Pacific Bell, beberapa hacker remaja berlagak seperti pegawai perusahaan dan membujuk pemakai sistem untuk memberikan password yang mereka butuhkan untuk mengakses sistem.
  2. Secara acak berikanlah password ke pemakai, karena password yang dipilih sendiri oleh pemakai sering kali dapat ditebak dengan mudah.
  3. Ubahlah pasisword sesering mungkin untuk mempertahankan kerahasiaan. Beberapa bulan setelah dipecat, seorang pegawai wanita di California masuk ke dalam komputer milik bekas perusahaannya, untuk mengkopi dan merusak file. Polisi menggerebek rumahnya dan menyita jutaan dolar software perusahaan. Perusahaan telah membuat password-nya tidak valid, tetapi karena password tidak diubah secara teratur, maka password yang dicuri sebelum dia pergi, memungkinkannya mengakses ke sistem.
  4. Berikanlah nomor identifikasi eletronik ke setiap peralatan yang memiliki otorisasi. Peralatan yang memiliki otorisasi harus menjadi satu-satunya peralatan yang diizinkan untuk berinteraksi dengan sistem, dan hanya diizinkan mengakses data tertentu. Contohnva, akses ke catatan penggajian dapat dibatasi ke komputer dan terminal di bagian penggajian serta pihak manajemen puncak yang terkait.
  5. Putuskan hubungan dan nonaktifkan iden¬tifikasi bagi siapa pun yang tidak dapat memberikan nomor identifikasi atau password yang valid, dalam tiga kali percobaan. Hal ini mencegah hacker memrogram komputer dalam rangka mencoba berbagai kombinasi nomor identifikasi dan password pemakai. Salah satu perusahaan di Fort Worth memiliki kemampuan untuk mengimplementasikan pengendalian ini, tetapi memutuskan bahwa pengendalian ini menggunakan terlalu banyak sumber daya sistem. Setelah auditor intemalnya menemukan bukti adanya percobaan akses berulang-ulang, mereka mengaktifkan software pengendali, dan menemukan lima pegawai yang mencoba menebak password yang dibutuhkan untuk mengakses data rahasia. Kelima pegawai tersebut diberhentikan.
  6. Selidikilah dengan segera peralatan yang digunakan untuk melakukan percobaan akses ke sistem dengan menggunakan nomor identifikasi atau password yang tidak valid.
  7. Mintalah pegawai untuk mematikan computer mereka ketika tidak digunakan. Merupakan hal yang sangat penting untuk tidak meninggalkan komputer tanpa penjagaan selama interaksi on¬line dengan database perusahaan yang rahasia.
  8. Batasi pemakai atau transaksi terminal untuk waktu tertentu, seperti dalam jam kerja normal.
  9. Batasi dengan segera akses seorang pegawai ketika dia dipindahkan ke bagian lain. Contohnya, seseorang yang dipindah dari bagian penggajian harus tidak boleh memiliki akses lagi ke data penggajian.
  10. Nonaktifkan dengan segera nomor identifikasi dan password pegawai yang diberhentikan. Dalam tinjauan pengamanan yang dilaksa¬nakan oleh Ernst & Young, 240 bekas pegawai masih memiliki akses ke sistem on-line perusahaan.
  11. Gunakanlah program pemindai password unttrk mendeteksi password vang lemah atau yang mudah ditebak.
  12. Mintalah kartu pintar (smart card) yang meng¬hasilkan password baru dan unik setiap menit. Sistem akan menggunakan algoritma yang sama dengan kartu tersebut dan karena waktunya telah disamakan, akan menghasilkan password yang sama.

Identifikasi biometris dalam membatasi akses atas SI berbasis Komputer

biometric-ident-guy-biPeralatan indentifikasi biometris mengidentifikasi karakteristik unik seperti sidik jari, pola suara, pola retina, pola dan tampilan muka, bau badan, dinamika tanda tangan, serta pola pengetikan (cara pemakai mengetik beberapa karakter). Ketika seseorang ingin mengakses sisfem, identifikasi biometrisnya akan dicocokkan dengan data yang disimpan dalam komputer.

Biometric-Identification-And-Automatic-Immigration-Check-For-Anyone-ArrestedContohnya, Oracle memiliki alat sebesar telapak tangan yang membandingkan sidik jari pemakai dengan data yang disimpan dalam database pusat. Alat tersebut juga melacak aliran dan tekanan darah, yang memungkinkannya membedakan antara sidik jari sungguhan dengan model lilin atau sarung tangan. Bank¬-bank besar mulai menginstal pemindai retina di ATM mereka untuk mencegah akses tanpa otorisasi. Pemindai tersebut menangkap dan mendigitalkan pola pembuluh darah yang dihasilkan ketika cahaya diarahkan ke retina, yang memiliki informasi 10 kali lebih banyak daripada sidik jari.

Biro Imigrasi dan Naturalisasi Amerika Serikat telah mulai menggunakan pembaca tangan elektronik untuk memverifikasi identifikasi seseorang. Sidik tangan pemohon paspor ditangkap dan disimpan dalam kartu seukuran dompet. Ketika pemegang kartu memasuki negara tersebut, kartu miliknya dan tangannya akan diletakkan di atas alat pembaca khusus yang mencocokkan keduanya. Di bandar udara yang dilengkapi dengan pembaca tangan, paspor tidak perlu diperlihatkan ketika seorang pemegang kartu datang kembali ke negara tersebut. Tujuan akhirnya adalah memasukkan data sidik tangan berkode dalam paspor yang dapat dibaca mesin.

iris scan securityAlat biometris yang ideal dapat beradaptasi dengan perubahan sekecil apa pun, tetapi akan menolak pemakai yang tidak memiliki otorisasi. Sayangnya, masih terdapat masalah. Contohnya, alat pengenal suara dapat menolak seseorang yang mengalami pilek atau yang suaranya tidak jelas karena berbicara lewat jalur telepon, sementara pemindai retina dapat menolak seseorang yang mengalami mata merah. Kelemahan lainnya adalah, kecuali untuk pemindai suara, pemakai harus memiliki alat identifikasi biometris jarak jauh atau secara fisik hadir untuk menggunakan sistem.

Idefitifikasi melalui kepemilikan fisik dalam membatasi akses atas SI berbasis Komputer

ScreenshotIDPRO1bOrang juga dapat diidentifikasi melalui identifikasi kepemilikan fisik (hal-ha1 yang mereka miliki secara fisik), seperti kartu tanda pengenal (ID card) yang berisi nama orang tersebut, nomor identifikasi, foto, serta informasi lainnya yang berhubungan. Komputer dan peralatan pengamanan, seperti kunci pintu, dapat membaca kartu tanda pengenal.

Sayangnya, kartu tersebut juga dapat hilang, dicuri, dan diberikan. Keamanan dapat ditingkatkan secara signifikan apabila pemakai diminta untuk memiliki baik kartu tanda pengenal maupun password sebelum mendapat akses ke sistem. Akan tetapi, sistem ini pun dapat dikompromikan.

hacking-urlContohnya, seorang hacker menjebol masuk ke sistem Motorola dengan menelepon bagian pemberi bantuan informasi, dengan mengatakan bahwa dirinya adalah pegawai yang bekerja dari rumah dan melupakan kartu tanda pengenalnya (kartu tersebut membuat password acak yang berubah setiap beberapa detik). Bagian pemberi bantuan informasi mempercayai dirinya dan membiarkannva masuk ke jaringan perusahaan. Untungnya, dia tidak secara permanen merusak sistem perusahaan.

Nomor identifikasi (ID) pemakai dan password dalam membatasi akses atas SI berbasis Komputer

incard42Pengidentifikasi pengetahuan yang paling sering digunakan adalah nomor identifikasi pemakai dan sistem pembuktian keaslian (authentication system). Ketika mencoba masuk ke dalam sistem, para pemakai mengidentifikasi dirinya dengan memasukkan ID pemakai yang unik, seperti nomor kepegawaian atau nomor akun. (Catat bahwa nama seorang pemakai bisa jadi bukan merupakan pengidentifikasi yang unik).

Log in internet connection with a secure padlock and arrowPemakai kemudian memasukkan password, yaitu serangkaian karakter vang hanya diketahui oleh pemakai dan sistem. Apabila pemakai memasukkan ID dan password sesuai dengan data di komputer, maka sistem akan berasumsi bahwa pemakai tersebut adalah pemakai yang memiliki otorisasi. Kelemahan dari penggunaan password adalah password dapat ditebak, hilang, disalin, atau diberikan, sehingga menimbulkan potensi adanya orang yang tidak memiliki otorisasi atau yang berbahaya, mendapatkan akses ke sistem.

Contohnya, narapidana pemerkosa anak yang sedang bekerja di rumah sakit Boston, menggunakan password pegawai yang sudah mengundurkan diri untuk mendapatkan akses ke file rahasia pasien. Dia kemudian mendapatkan nomor telepon keluarga yang memiliki anak-anak kecil. Para pemakai harus tetap bertanggung jawab untuk mempertahankan kerahasiaan ID dan password pemakai mereka, serta bertanggung jawab atas tindakan apapun yang dilaksanakan oleh orang lain yang masuk atau menggunakan kedua pengidentifikasi tersebut.

Pengendalian atas Akses Secara Logik.

Para pemakai harus diizinkan untuk hanya mengakses data yang diotorisasikan pada mereka, dan mereka hanya melaksanakan fungsi tertentu yang diotorisasikan pada mereka, seperti membaca, mengkopi, menambah serta menghapus data.

Merupakan hal yang penting juga untuk melindungi data dari pihak luar organisasi. Sebagai contoh, sebuah pesaing perusahaan manufaktur menjebol masuk ke dalam sistem perusahaan dan melihat-lihat data perusahaan hingga menemukan data tawaran suatu proyek bernilai miliaran dolar. Pesaing tersebut memberikan penawaran yang sedikit lebih rendah dari perusahaan dan memenangkan kontrak. Gangguan ini akhirnya ditemukan oleh sistem audit, tetapi bukan sebelum hilangnya kesempatan tawaran kontrak.

physical-access-control-urlDalam rangka membatasi akses logis, sistem harus membedakan antara para pemakai yang memiliki otorisasi dengan yang tidak, menggunakan hal-hal yang diketahui atau dimiliki oleh pemakai, tempat pemakai mengakses sistem, atau karakteristik pribadi lainnya.

Mungkin pendekatan yang paling umum adalah menggunakan hal-hal yang diketahui para pemakai. Contohnya, komputer dapat menanyakan pada para pemakai pertanyaan yang bersifat pribadi; seperti nama gadis ibu mereka. Para pemakai juga dapat diminta untuk memasukkan nomor identifikasi personal (personal identification number-PIN).

Pengendalian atas Akses Secara Fisik

physical-logical-accessKemampuan secara fisik untuk menggunakan perlengkapan komputer, disebut sebagai akses secara fisik, sedangkan kemampuan untuk mendapatkan akses ke data perusahaan, disebut sebagai akses secara logis. Kedua akses ini harus dibatasi. Pengamanan akses secara fisik dapat dicapai denagn menggunakan pengendalian-pengendalian berikut ini:physical-access-control-url

  • Tempatkan perlengkapan komputer di ruang terkunci dan batasi akses hanya untuk personil yang memiliki otoritas saja.
  • Memiliki hanya satu atau dua jalan masuk ke ruang komputer. Jalan masuk tersebut harus dikunci dengan aman serta diawasi dengan baik oleh penjaga keamanan dan sistem cctv (closed-circuit television).
  • Meminta ID pegawai yang sesuai, seperti kartu pengamanan, untuk melewati titik akses. Kartu pengamanan yang modern memasukkan foto dan kode magnetis, elektris atau optis yang dapat dibaca melalui pembaca khusus kartu pengamanan. Teknik ID yang mutakhir bahkan dapat secara otomatis mencatat setiap pegawai yang keluar dan masuk ke dalam sebuah daftar yang dipertahankan di komputer dan secara periodik ditinjau oleh supervisor.
  • Meminta pengunjung untuk menandatangani sebuah daftar tamu ketika mereka memasuki dan meninggalkan lokasi. Beritahukan mereka kebijakan pengamanan perusahaan, berikan kartu pengunjung, dan kawal pengunjung ke tempat tujuannya.
  • Gunakan sistem alarm untuk mendeteksi akses yang tidak tnemiliki otorisasi sewaktu di luar jam kerja.
  • Batasi akses atas saluran telepon pribadi dan tidak terdeteksi, atau atas terminal dan PC yang memiliki otorisasi.
  • Pasang kunci ke PC dan peralatan komputer lainnya. Batasi akses ke program, data, dan perlengkapan off-line. Tempatkan hardware dan komponen penting sistem lainmya jauh dari bahan yang berbahaya atau mudah terbakar.
  • Pasang detektor asap dan api serta pemadam kebakaran, yang tidak merusak perlangkapan komputer.

Pemisahan Tugas dalam Fungsi Sistem dalam mengatasi Penipuan pada SI berbasis Komputer

segregation-of-duties-urlDi dalam sistem informasi yang sangat terintegrasi, prosedur yang dahulu dilakukan oleh beberapa orang, kini digabungkan. Oleh sebab itu, siapapun yang memiliki akses tak terbatas ke komputer, program komputer, dan data, dapat memiliki kesempatan untuk melakukan kejahatan dan menyembunyikan penipuan. Dalam rangka memerangi ancaman ini, organisasi harus mengimplementasikan prosedur pengendalian yang sesuai, seperti pemisahan tugas yang efektif dalam fungsi sistem informasi. Otoritas dan tanggung jawab harus dengan jelas dibagi di antara fungsi-fungsi berikut ini:

  1. Administrasi sisten (system administration). Administrasi sistem bertanggung jawab untuk memastikan bahwa berbagai bagian dari sistem informasi beroperasi dengan lancar dan efisien.
  2. Manajemen jaringan (network management). Para manajer jaringan memastikan bahwa peralatan yang dapat diaplikasikan telah dihubungkan ke jaringan intrenal dan eksternal organisasi, serta jaringan tersebut beroperasi secara terus-menerus dan sesuai dengan fungsinya.
  3. Manajemen keamanan (security management). Manajemen pengamanan bertanggung jawab untuk memastikan bahwa seluruh aspek sistem telah aman dan dilindungi dari ancaman internal serta eksternal.
  4. Manajemen perubahan (change management). Para personil ini mengelola seluruh perubahan atas sistem informasi organisasi, untuk memastikan bahwa mereka dibuat dengan mudah dan efisien, serta untuk mencegah kesalahan dan penipuan.
  5. Pemakai (user). Departemen-departemen pemakai sistem mencatat transaksi, mengotorisasi data yang akan diproses, serta menggunakan output sistem.
  6. Analisis sistem (system analyst). Analis sistem membantu pemakai untuk menetapkan kebutuhan informasi mereka dan kemudian mendesain sebuah sistem informasi untuk memenuhi kebutuhan tersebut.
  7. Pemrogram (programming). Para programer menggunakan desain yang disediakan oleh analis sistem dan membuat sebuah sistem informasi dengan cara menulis program komputer.
  8. Operator komputer (computer operation). Para operator komputer menjalankan soft, ware di komputer milik perusahaan. Mereka memastikan bahwa data telah dimasukkan dengan tepat, diproses dengan benar, serta output yang dibutuhkan dapat dihasilkan.
  9. Perpustakaan sistem informasi (information system library). Pengelola perpustakaan sistem mempertahankan penyimpanan database, file, dan program perusahaan dalam tempat terpisah, yang disebut sebagai perpustakaan sistem informasi.
  10. Pengendalian data (data control). Kelompok pengendali data memastikan bahwa data sumber telah disetujui dengan benar, mengawasi arus kerja melalui komputer, merekonsiliasi input dan output, mempertahankan catatan tentang kesalahan input untuk memastikan kesalahan tersebut diperbaiki dan dimasukkan kembali, serta mendistribusikan output sistem.

separation of dutiesMerupakan hal yang penting untuk diketahui bahwa orang-orang yang melakukan fungsi¬-fungsi ini haruslah orang-orang yang berbeda. Mengizinkan seseorang untuk melakukan dua atau lebih pekerjaan, akan menghadapkan perusahaan pada kemungkinan terjadinya penipuan.

Contohnya, apabila seorang programer untuk sebuah lembaga pemberi kredit diizinkan untuk menggunakan data asli dalam menguji program yang dibuatnya, maka dia dapat menghapus saldo kredit mobilnya ketika melaksanakan uji tersebut. Seperti juga halnya apabila seorang operator komputer memiliki akses ke logika program dan dokumentasinya, dia bisa saja, ketika memproses program penggajian perusahaan, mengubah program untuk menaikkan gajinya.

right-man-in-the-wrong-placeSebagai tambahan atas pemisahan tugas yang memadai, organisasi harus memastikan bahwa orang yang mendesain, mengembangkan, mengimplementasikan, dan mengoperasikan sistem informasi milik perusahaan, berkualifikasi serta terlatih baik. Kondisi yang sama juga harus diberlakukan bagi orang-orang yang bertanggung jawab atas pengamanan sistem.

Contoh Surat Permohonan pada Proposal Rencana Usaha

Kepada

Yth. Bapak/Ibu Pimpinan

Kementerian Koperasi & UKM

Di Tempat.

Dengan Hormat,

Saya yang bertanda tangan dibawah ini:

Nama                                                    :

Jenis Kelamin                                     :

Tempat/Tgl. Lahir                             :

Agama                                                  :

Alamat                                                  :

No. Telp.                                              :

                Dengan ini mengajukan Proposal Permohonan Bantuan Modal Usaha  kehadapan Bapa/Ibu Pimpinan. Sebagai bahan pertimbangan bagi Bapak/Ibu Pimpinan dalam proses seleksi, bersama ini saya lampirkan:

1.       Fotocopy KTP

2.       Fotocopy Kartu Keluarga

3.       Fotocopy NPWP

4.       Pasphoto 2×3 2 lbr

5.       Pasphoto 4×6 2 lbr

6.       Fotocopy Rekening Bank

Demikian Proposal Permohonan Bantuan Modal Usaha ini saya ajukan , Atas segala bentuk perhatian dan pertimbangan yang telah dan akan Bapak/Ibu Pimpinan berikan saya haturkan terima kasih.

Jakarta,

(Nama jelas)

Contoh Halaman Ringkasan pada Proposal Rencana Usaha

Berikut adalah contoh Halaman ringkasan pada Proposal Rencana Usaha.

Ringkasan Proposal

A.      Manajemen

a.       Nama Usaha

b.      Nama Pemilik

c.       Bidang Usaha

B.      Pemasaran

a.       Produk yg dipasarkan

b.      Sasaran konsumen

c.       Wilayah pemasaran

d.      Rencana penjualan/bln

e.      Harga jual

C.      Keuangan

a.       Total Pembiayaan

b.      Modal sendiri

c.       Bantuan modal yang diajukan

d.      Jumlah penjualan/bln

e.      Keuntungan/bln(bruto)

 

Contoh Lay-out Proposal Usaha

Halaman-1 berisi JUDUL (silahkan Klik untuk melihat formatnya)
Halaman-2 berisi Ringkasan Proposal (silahkan Klik untuk melihat formatnya)
Halaman-3 berisi Surat Permohonan (silahkan Klik untuk melihat formatnya)
Halaman-4 berisi
Bab I.
Pendahuluan
1. Latar Belakang.
Jika usaha itu telah berjalan maka sub-bab ini berisi :
kondisi usaha saat ini dan kendala yang dihadapi.

Jika usaha itu baru akan dirintis, maka sub-bab ini berisi :
Peluang yang terlihat dan potensi yang dimiliki oleh pengaju proposal.

2. Maksud dan Tujuan.
Jika usaha itu sudah berjalan, maka Sub-bab ini berisi:
Permohonan bantuan modal untuk rencana pengembangan usaha
Jika usaha itu baru akan dirintis, maka sub-bab ini berisi :
Rencana untuk memulai usaha dan permohonan bantuan modal untuk memulainya,
Halaman-5 sd 6 berisi:
Bab II
Pembahasan.
1. Tempat usaha.
Sub-bab ini berisi:
Lokasi usaha(alamat dan lain sebagainya)
2. Rencana anggaran.
Sub-bab ini berisi:
Rincian peralatan dan bahan serta peralatan tambahan yang diperlukan untuk menjalankan usaha(biasanya berbentuk table seperti contoh lay-out dibawah ini:

tabel-rincian-anggaran-proposal-usaha

3. Strategi Pemasaran Usaha.
Sub-bab ini berisi:
Strategi pemasaran yang akan dijalankan, biasanya mengacu kepada PLC(Product Life Cycle).
Jika usaha baru maka strategi yang akan dijalankan dititik beratkan pada Promosi,
Jika usaha sudah berjalan dan berada pada posisi pertumbuhan(growth) maka strategi yang akan dijalankan adalah Distribusi/membuat kemudahan bagi konsumen untuk memperoleh produk, jika berada pada posisi Dewasa(Mature) maka strategi harga yang akan dijalankan, strategi ini dapat berbentuk memperluas pasar baik dalam bentuk turun atau menaikkan harga, Jika dalam posisi menurun(Decline) maka strategi produk baru yang akan dijalankan, dapat berupa memperluas jangkauan pasar atau membuka pasar yang baru atau dapat juga dilakukan dengan merubah produk.
4. Resiko Usaha.
Sub-bab ini berisi:
Resiko yang akan dihadapi dalam menjalankan usaha ini.
5. Penanggulang Resiko Usaha.
Sub-bab ini berisi:
Cara menanggulangi resika yang timbul.
Halaman-7 berisi:
Bab II
Penutup.
Berisi:
Simpulan dan harapan pengaju proposal serta jangan lupa mencantumkan tanggal dan tanda tangan.

Pengamanan sebagai unsur pengendalian bencana atas SI berbasis Komputer.

IS-Security-urlBeberapa klasifikasi pengendalian yang membantu untuk memastikan pengamanan sistem adalah: pemisahan tugas dalam fungsi sistem, pengendalian akses secara fisik dan logis, perlindungan atas PC dan jaringan klien/server, serta pengendalian atas Internet dan e-commerce. Tabel dibawah ini meringkas pengendalian pengamanan utama.
Ringkasan Pengendalian Pengamanan Utama:

Kategori Pengendalian

Kategori Pengendalian-1

Contoh kasus lain: Bagaimana Nasdaq Pulih dari 11 September

september_11_burningBaru-baru ini, nilai dari rencana pemulihan dari bencana ditekankan dengan adanya peningkatan kegiatan teroris akhir-akhir ini. Contoh yang paling jelas adalah peristiwa 11 September 2001, yaitu serangan menara World Trade Center. Kerusakan yang disebabkan oleh dua pesawat terbang tersebut berhasil membuat beberapa perusahaan bangkrut. Akan tetapi, karena adanya rencana pemulihan dari bencana yang efektif, Nasdaq bangkit dan beroperasi kembali 6 hari setelah penyerangan tersebut.

liberty-plaza-urlKantor pusat Nasdaq berlokasi di lantai 49 dan 150 dalam One Liberty Plaza, yang berseberangan letaknya dengan World Trade Center. Pada saat pesawat pertama menghantam gedung tersebut, para penjaga keamanan Nasdaq segera mengevakuasi personil dari gedung tersebut. Sebagian besar pegawai sudah berada di luar gedung, tepat saat pesawat kedua menghantam menara lainnya. Walaupun para pegawai dievakuasi dari kantor pusat dan kantor yang berlokasi di Times Square sementara kehilangan saluran telepon, Nasdaq mampu merelokasi kegiatannya ke pusat cadangan di Marriott Marquis. Pada saat mereka berada di sana, para eksekutif Nasdaq langsung mempelajari daftar prioritas mereka; pertama, para personil mereka; kedua, keadaan para pedagang saham mereka; ketiga, kerusakan fisik; dan terakhir, situasi industri perdagangan saham.

effective-communication-the-leaders-greatest-skill_poster_imgKomunikasi yang efektif menjadi penting dalam menetapkan kondisi prioritas di atas. Nasdaq mendapatkan kesuksesannya dalam berkomunikasi dan berkoordinasi dengan rekan lainnya di industri tersebut dari latihan simulasi untuk 2YK. Sewaktu mempersiapkan perubahan untuk 2YK, Nasdaq telah mengatur telekonferensi berskala internasional dengan seluruh bursa efek. Hal ini membantu mereka mengatur konferensi serupa setelah serangan tersebut. Nasdaq telah memiliki rencana untuk satu potensi krisis, dan hal ini terbukti membantu dalam pemulihan dari krisis yang di luar perkiraan.

Perusahaan tersebut mampu dengan cepat mengidentifikasi situasi dan para pedagang saham yang akan membutuhkan bantuan tambahan, sebelum Nasdaq dapat membuka pasar kembali, dengan cara membuat prioritas dan telekonferensi.

nasdaq-urlSistem Nasdaq yang sangat berlapis dan tersebar juga membantu perusahaan dengan cepat membuka kembali pasar. Setiap pedagang saham terhubung dengan dua pusat hubungan Nasdaq, dan terdapat 20 pusat hubungan di seluruh Amerika Serikat, Pusat-pusat hubungan tersebut dihubungkan ke setiap server mereka dengan menggunakan dua saluran terpisah, dan terkadang dengan menggunakan dua vendor yang berbeda. Server disimpan di gedung yang berbeda dan memiliki dua topologi jaringan. Walaupun listrik mati di Lower Manhattan, sistem Nasdaq secara relatif tidak terpengaruh.

Ketika personil Nasdaq tidak dapat lagi menempati kantor di Manhattan dan saluran tclepon mati di kantor Times Square, Nasdaq masih memilki kantor di Maryland dan Connecticut, yang memungkinkannya mengawasi proses pengaturan. Hal ini juga mengurangi risiko kehilangan seluruh jajaran manajemen senior Nasdaq. Walaupun banyak orang yang hilang di Liberty Plaza, perusahaan tersebut akan masih memiliki jajaran manajemen senior di lokasi lain.

Nasdaq juga mengambil tindakan pencegahan dengan meminta para eksekutifnva membawa lebih dari satu telepon genggam, untuk berjaga-jaga apabila salah satu penyedia pelayanau telepon mengalami kegagalan, dan berinvestasi dalam asuransi gangguan untuk membantu menangguhkan biaya menutup pasar. Perencanaan dan perkiraan mengenai masa depan telah menyelamatkan Nasdaq dari kerugian yang dapat dikatakan sebesar puluhan juta dolar.
Sumber: Tom FieId,”How Nasdaq Bounced Back,” CIO (1 November 2001):54-58.

Model untuk Perencanaan Pemulihan dari Bencana, Sebuah contoh kasus pemulihan bencana SI.

Nilai atas rencana pemulihan dari bencana ditekankan dengan adanya berbagai sejarah kasus yang timbul. Kasus yang mungkin paling diingat adalah cerita mengenai kebakaran bank terburuk dalam sejarah, dan bagaimana cara bank tersebut pulih dari bencana dengan mengikuti sebuah rencana, yang sejak saat itu menjadi model perencanaan pemulihan.

resistivePada hari Thanksgiving, kebakaran besar menyapu kantor-kantor di Northwest National Bank, Minneapolis, menghancurkan catatan dan fasilitas pemrosesan data milik Bank. Peristiwa tersebut dideskripsikan sebagai kebakaran terburuk dalam sejarah di kota itu. Akan tetapi, pada hari Senin berikutnya, para pegawai bank kembali bekerja dimarkas baru-menangani penyimpanan, penarikan, investasi, pinjaman, dan transaksi rutin bank lainnya.

Kebakaran tersebut dapat saja mengancam keberadaan bank untuk tetap beroperasi di bisnisnya, tetapi ternyata tidak terjadi. Ha1 ini disebabkan adanya rencana pemulihan dari bencana yang terinci. Oleh karena catatan hampir setiap transaksi bank disimpan di tempat lain dalam komputer dan mikrofilm, bank hanya kehilangan, kalaupun ada yang hilang, sedikit data penting. Setelah hari terjadinya kebakaran tersebut, komputer di kantor pelayanan setempat bekerja keras untuk membuat kopi baru atas catatan yang hancur, Rencana pemulihan tersebut menyediakan cetak biru terinci bagi para eksekutif bank, untuk membentuk ruang kantor yang baru, mendapatkan perlengkapan kantor yang baru, serta membuat pengaturan lainnva yang penting bagi keberlanjtuan operasi perbankan Northwest.

bank-urlSebagai contoh lainnya, sewaktu subuh kebakaran melanda Bank Sierra di Porterville, California, dan menghancurkan kantor utama bank serta meluluh ¬lantahkan komputer utamanya. Walaupun fasilitas di bank tersebut tampak dilindungi dengan baik oleh sistem penyemprot air (sprinkler) dan sistem pemadam api halon, kebakaran terjadi sampai melalui atap gedung, yang kemudian runtuh, melumat sistem penyemprot air serta melepaskan gas halon ke udara. Pusat database milik bank beserta catatan yang terkait, termasuk catatan personal dan pinjaman hipotek, catatan kartu kredit, serta cek yang belum diproses, hancur.

Setelah menerapkan rencana pemulihan dari bencana yang didasarkan atas pengalaman Northwest National Bank setebal 150 halaman, para pejabat Bank Sierra dengan cepat mengidentifikasi anggota tim, tugas yang penting, dan peralatan yang dibutuhkan. serta mulai usaha satu malam untuk memulihkan pelayanan bank. Keesokan harinya; pada jam 10.00 pagi, 9 jam setelah kebakaran terjadi, file cadangan ¬telah on-line, dan para teller melaksanakan bisnis -melalui jendela loket seperti tidak ada yang terjadi pada bank tersebut. Dalam rangka memprosestransaksi harian bank yang mencapai 25.000 hingga: 40.000 transaksi, pemrosesan data di lokasi cadangan, dengan fasilitas komputer (hot site) yang disediakan di dekat San Ramon, digunakan. File yang telah diperbarui di download dari lokasi tersebut ke komputer utama, yang disediakan oleh perusahaan Denver, yang kemudian akan mengirimkan kembali hasil cetakan setiap hari ke Porterville. Dalam waktu 6 hari setelah kebakaran, bank tersebut telah membereskan simpanan transaksinya, dan rekening pelanggan telah diperbarui.

Uji dan revisi periodik dalam upaya memulihkan SI yang terkena bencana

art_of_software_testingRencana pemulihan tidak lengkap hingga rencana tersebut diuji secara lengkap dengan menggunakan simulasi bencana, dan membuat setiap tim pemulihan dari bencana melaksanakan aktivitas yang ditugaskan kepadanva.

revision_test__1Rencana tersebut harus diuji kembali dua kali dalam setahun. Sebagian besar rencana biasanya gagal pada uji awal, bahkan rencana yang telah diuji sekalipun jarang dapat mengantisipasi atau mengatasi masalah yang muncul ketika terjadi bencana. Lagi pula, rencana pemulihan harus secara tertus menerus ditinjau dan direvisi untuk memastikan bahwa rencana tersebut mencerminkan aplikasi komputer, perlengkapan konfigurasi sistem, dan penugasan personil yang terbaru.

Tujuan dari rencana pemulihan atas bencana pada SI berbasis Komputer.

protect-IT-urlTujuan dari rencana pemulihan atas bencana yang dialami oleh sebuah SI berbasis komputer adalah untuk

  1. Meminimalkan gangguan, kerusakan, dan kerugian;
  2. Memberikan cara alternatif memproses informasi untuk sementara waktu;
  3. Meneruskan jalannya operasi normal sesegera mungkin; dan
  4. Melatih dan memperkenalkan personil dengan operasi perusahaan secara darurat.

plan_b_postnoon_news-435x292-300x201Rencana pemulihan dari bencana serta rencana kontinjensi lainnya harus diuji secara teratur dan diperbarui sejalan dengan perubahan situasi atau kebutuhan. Rencana pemulihan dari bencana yang baik harus berisi elemen-elemen di bawah ini.

  • Prioritas proses pemulihan
  • Jaminan
  • Data dan file prograan cadangan
  • Penugasan khusus
  • Fasilitas cadangan computer dan telekomunikasi
  • Uji dan revisi periodik
  • Dokumentasi yang lengkap

 

Duplikasi sebagai upaya membangun Fasilitas cadangan computer dan telekomunikasi

Di dalam organisasi yang memiliki beberapa lokasi, pemakai dapat mendistribusikan kapasitas pemrosesan agar fasilitas lainnya dapat mengambil-alih apabila terjadi kerusakan atau kehancuran pada suatu lokasi.

cartoon-duplicationDalam beberapa kasus, sistem juga dapat menjadi begitu penting hingga perusahaan melakukan investasi untuk memiliki duplikat hardware, software atau peralatan penyimpanan data. Contohnya, sistem di Caesar’s Palace, Las Vegas, memiliki peran yang begitu penting, sehingga duplikat yang persis sama atas seluruh sistem, termasuk kopi terakhir database, dipertahankan pada jarak 500 kaki dari sistem utamanya.

Contoh lain cara membangun Fasilitas cadangan computer dan telekomunikasi

other-site-urlCara kedua adalah membuat kontrak dengan sebuah vendor untuk menyediakan lokasi kontinjen dalam situasi darurat. Lokasi cadangan dengan fasilitas komputer (hot site) adalah fasilitas yang dibentuk untuk memenuhi permintaan pemakai.

hot-cold-site-urlLokasi cadangan tanpa fasilitas komputer (cold site) menyediakan segala hal yang dibutuhkan untuk secara cepat menginstal perlengkapan komputer (tersedia tenaga listrik, AC, dan sistem pendukung), tetapi belum ada komputer yang diinstal. Pemakai lokasi cadangan tanpa fasilitas komputer harus mengontrak vendor untuk memastikan pengiriman perlengkapan dan software secara cepat, pada situasi darurat.

Contohnya, beberapa organisasi dapat menyalurkan operasi sistem informasinya ke fasilitas pemulihan dari bencana ke bagian lain dari negara tempat mereka beroperasi, setelah peristiwa bencana 11 September di 2001 World Trade Center.

Contoh cara membangun Fasilitas cadangan computer dan telekomunikasi

Fasilitas cadangan dapat diatur dalam beberapa cara. Salah satunya adalah membangun perjanjian resiprokal dengan sebuah organisasi dengan fasilitas yang sesuai agar setiap pihak dapat menggunakan untuk sementara waktu fasilitas pemrosesan data milik salah satu pihak apabila terjadi keadaan darurat.

remote-site-urlContohnya, empat bank yang komputer dan datanya rusak atau hancur dalam peristiwa pengeboman World Trade Center tahun1993, dapat menggunakan fasilitas cadangan milik New York Clearing House, untuk menyelesaikan transaksi senilai $90 miliar pada hari pengeboman tersebut.

Penugasan Khusus dalam upaya pemulihan atas SI yang terkena bencana

Rencana pemulihan dari bencana membutuhkan seorang koordinator yang bertanggung jawab untuk pengimplementasian seluruh tahap rencana tersebut. Orang tersebut kemudian akan menugaskan tanggung jawab mengenai aktivitas pemulihan ke orang-orang dan tim-tim tertentu.

special-assignment-urlAktivitas ini harus mencakup pengaturan fasilitas baru, pengoperasian komputer, proses instal software, pembangunan fasilitas komunikasi data, pemulihan atas catatan-catatan penting, serta pengaturan formulir dan pasokan.

Data dan file program cadangan dalam upaya pemulihan atas SI yang terkena bencana

data-backup-urlHarus terdapat prosedur untuk memulihkan file yang hilang atau rusak. Seluruh program dan file data harus dibuat cadangannya secara teratur dan sesering mungkin, serta disimpan dalam lokasi yang aman, jauh dari komputer utama.

Akibat dari pengeboman Gedung Federal di kota Oklahoma, kantor-kantor Federal Employees Credit Union hancur, dan 18 dari 33 pegawai meninggal dunia. Walaupun seluruh catatan dan komputernva hancur, duplikat informasi penting telah disimpan di luar lokasi kantor. Dua hari kemudian, perusahaan tersebut dibuka kembali di lokasi baru dengan komputer dan sistem telepon baru.

Contoh manfaat Data dan File cadangan dalam mengatasi akibat bencana atas SI

the-cloudHard drive PC sering kali dibuat cadangannya ke CD, disket, dan pita file; akan tetapi, apabila kopi cadangan disimpan berdekatan dengan PC, maka cadangan tersebut iuga bisa dihancurkan oleh bencana yang menghancurkan PC.

file-not-found-urlHal inilah yang terjadi ketika First Interstate Bancorp mengalami kebakaran di kantor pusat mereka di Los Angeles. First Interstate kini berulang kali mengingatkan pegawai mereka untuk membuat cadangan file dan membawanya ke rumah mereka setiap hari setelah bekerja.

Salomon, sebuah firma pialang, memiliki sistem yang membuat kopi cadangan per minggu atas seluruh file, di dalam 3.000 tempat kerjanya di seluruh dunia. Mereka juga memiliki kopi seluruh program aplikasi di dalam duplikat system komputer.

Sangatlah penting untuk mendokumentasikan prosedur pembuatan cadangan dan secara periodik berlatih menyimpan kembali sistem dari data cadangan. Melalui cara ini, pegawai tahu bagaimana caranya untuk secara cepat memulai kembali sistem, ketika terjadi kegagalan.

Membuat Data dan File Cadangan untuk metoda Batch dan On-Line

direct_backupFile yang diproses secara batch akan dibuat cadangannya dengan menggunakan konsep rekonstruksi bertingkat (grandfather-father-son concept). Di dalam pemrosesan secara batch, ketika file utama dalam pita diperbarui dengan adanya serangkaian transaksi, file utama baru akan dibuat dalam file berbentuk pita yang baru. Apabila file utama hancur, maka file utama tersebut dapat dibuat kembali dengan menggunakan master utama sebelumnya dan file transaksi yang terkait.

grandfather-fs2Contohnya, anggaplah bahwa pada hari Rabu malam, file utama hancur. File utama ini dapat dibuat kembali dengan menggunakan file utama hari Selasa (father file) bersama dengan file transaksi hari Selasa. Apabila file hari Selasa juga hancur, maka dapat dibuat kembali dengan menggunakan file utama hari Senin (grandfather file) bersama dengan file transaksi hari Senin. File utama-hari Rabu, seperti telah dijelaskan sebelumnya, kemudian dapat direkonstruksi dengan menggunakan file utama hari Selasa yang baru, bersama dengan file transaksi hari Selasa.

blogProsedur yang serupa digunakan untuk memastikan bahwa database on-line dan file utama dapat dibentuk kembali. Pemeriksaan di tempat dibuat secara periodik selama pemrosesan; sistem membuat kopi database atau file utama pada waktu tersebut, beserta dengan informasi yang dibutuhkan untuk memulai kembali sistem. File pemeriksaan di tempat disimpan dalam disk terpisah atau pita file. Apabila terjadi masalah, sistem dapat dimulai kembali dengan menentukan pemeriksaan di tempat terakhir, dan kemudian memproses kembali seluruh transaksi berikutnya.

Di dalam prosedur yang disebut sebagai pengulangan (rollback), kopi yang belum diperbarui dari setiap catatan dibuat sebelum transaksi diproses. Apabila terjadi kegagalan hardware, catatan akan diulang hingga ke nilai yang belum diperbarui, kemudian transaksi akan diproses ulang dari awal.

Metoda membuat Data dan FIle Program cadangan

data-backup-iconFile cadangan dapat dikirim secara fisik ke lokasi vang jauh; atau dapat dikirim secara elektronik ke fasilitas cadangan melalui pengaman elektronis.

Banyak penyedia jasa pengaman elektronis yang meminta para pegawai perusahaan untuk menginstal software_mereka di komputer para pegawai, agar mereka dapat menggunakan hubungan Internet untuk berhubungan dengan komputer, dan secara otomatis membuat cadangan data, yang biasanya dilakukan tengah malam.

Apabila data hilang atau perlu diakses, hubungan Internet memberikan akses cepat secara on-line ke data yang dibuat cadangannya. Demi melindungi privasi data, seluruh data dienkripsi sebelum dikirimkan.

Mewaspadai perluasan jaringan dalam upaya Meminimalkan Waktu Kegagalan Sistem Informasi berbasis Komputer

computer-networking-services-250x250Di dalam dunia e-business saat ini yang saling berhubungan, keamanan sistem organisasi sering kali bergantung pada keamanan Internet secara keseluruhan. Oleh sebab itu, organisasi harus mempertimbangkan bagaimana perluasan jaringan atau gangguan sistem akan mempengaruhi organisasi, dan kemudian membuat rencana kontinjensi yang memadai dan dapat dilaksanakan.

Contohnya, suatu organisasi mungkin membutuhkan bantuan banvak entitas organisasi lainnya untuk dapat menanggulangi dengan memadai serangan pengingkaran pelayanan.

Rencana Pemulihan dari Bencana atas SI berbasis Komputer.

disaster-recovery-plan-chapter four1Setiap organisasi harus memiliki rencana pemulihan dari bencana agar kemampuan pemrosesan data dapat dipulihkan sebaik dan secepat mungkin apabila terjadi bencana besar. Tidak adanya sistem informasi dapat merugikan perusahaan; beberapa perusahaan melaporkan kerugian sebesar $500.000 per jam dalam waktu kegagalan.

John Alden Life Insurance memperkirakan bahwa, tanpa rencana pemulihan dari bencana mereka, angin topan Andrew dapat membuat perusahaan berhenti beroperasi selama tiga hari. Kebanyakan dari 350 perusahaan yang hancur sistemnya pada peristiwa pengeboman World Trade Center di tahun 1993 tidak memiliki rencana pemulihan dari bencana; maka, 150 di antaranya bangkrut.

Oleh karena kerusakan yang ditimbulkan lebih besar dari peristiwa 11 September 2001, yaitu serangan atas World Trade Center, jumlah perusahaan yang berhenti beroperasi bahkan lebih banyak lagi. Jadi, dapat dipastikan bahwa tidak ada perusahaan yang tidak memiliki rencana pemulihan dari bencana yang baik, termasuk memiliki cadangan data, bisa berharap untuk bertahan hidup dengan runtuhnya gedung tersebut.

Survei atas 200 perusahaan besar di Amerika Serikat menunjukkan bahwa hanva sepertiga perusahaan tersebut yang memiliki rencana pemulihan dari bencana, dengan penyimpanan data di luar perusahaan (off-site data storage) untuk aplikasi klien/server mereka.

Meminimalkan Waktu Kegagalan Sistem Informasi berbasis Komputer

no PCsKerugian keuangan yang besar dapat terjadi apabila kegagalan pemakaian fungsi hardware atau software menyebabkan kegagalan sistem informasi. Beberapa metode untuk meminimalkan waktu kegagalan sistem adalah melalui kebijakan dan prosedur, jaminan yang memadai, pemeliharaan rutin (preventive maintenance), sistem tenaga listrik yang stabil, serta batas toleransi kesalahan.

Organisasi harus mengembangkan dan mengimplementasikan kebijakan serta prosedur untuk mengatasi kehilangan tenaga listrik, kesalahan (pada sistem, program, dan data), kehilangan atau kerusakan data, serta jenis masalah lainnya. Personil yang mengoperasikan sistem harus mengenal dengan baik kebijakan dan prosedur tersebut, serta mampu untuk mengikutinya ketika timbul masalah.

Apabila sebuah sistem gagal, jaminan atas bencana dan gangguan bisnis yang memadai dapat mempercepat kemampuan organisasi untuk mengembalikan ketersediaan sistem, serta untuk memulihkan diri dari kerugian yang dialami.

Pemeliharaan Rutin sebagai upaya Meminimalkan Waktu Kegagalan Sistem Informasi berbasis Komputer

maintenance-urlPemeliharaan rutin mencakup kegiatan menguji komponen sistem secara teratur dan mengganti komponen-komponen yang tidak baik kondisinya. Sistem pasokan tenaga listrik yang stabil (uninterruptible power supply-UPS) adalah pasokan listrik bantuan yang mengatur arus tenaga listrik ke komputer, untuk mencegah kehilangan data karena naik turunnya tenaga listrik. Di dalam kondisi listrik mati, UPS memberikan pasokan tenaga listrik cadangan untuk membuat sistem komputer tetap berjalan dalam waktu yang terbatas, sampai sistem komputer dapat dengan aman dimatikan.

Batas toleransi kesalahan mendeskripsikan kemampuan sistem untuk tetap beroperasi ketika komponen sistem (seperti PC, terminal, jalur pengiriman data, serta disk drive) mengalami kegagalan. Hal ini dicapai dengan menggunakan komponen duplikat, yang akan mengambil-alih sistem ketika terjadi kegagalan.

Ketersediaan SI sebagai salah satu syarat Keandalan SI berbasis Komputer.

System FailureBeberapa alasan mengapa sistem dapat tidak tersedia bagi para pemakai adalah adanya kegagalan pada hardware dan software, bencana alam, serta tindakan sabotase yang disengaja. Salah satu cara sabotase yang paling populer, yang secara signifikan sering kali membatasi kegiatan e-business suatu organisasi, disebut sebagai serangan pengingkaran pelayanan (denial-of service attack).

Demi memastikan ketersediaan sistem informasi, organisasi perlu meminimalkan waktu kegagalan sistetn (system downline) dan mengembangkan rencana pemulihan dari bencana (disaster recovery plan). Kedua pengendalian ini diringkas pada Tabel dibawah ini.
Ringkasan Pengendalian Utama atas Ketersediaan

Dokumentasi sebagai salah satu pengendalian yang mempengaruhi Keandalan Sistem Informasi berbasis Komputer

documentation-36467vPengendalian penting lainnya yang mempengaruhi empat prinsip keandalan adalah implementasi prosedur dan standar dokumentasi, untuk memastikan dokumentasi yang jelas dan ringkas. Dokumentasi yang berkualitas memfasilitasi komunikasi dan peninjauan kemajuan secara teratur selama pengembangan sistem, dan dapat digunakan sebagai referensi serta alat pelatihan bagi pegawai sistem yang baru.

Dokumentasi juga menyederhanakan pemeliharaan program, terutama ketika proses pembaruan aplikasi dilaksanakan oleh orang yang berbeda, serta menurunkan masalah yang berkaitan dengan pergantian pegawai (job turnover), seperti adanya programer yang keluar di tengah-tengah sebuah proyek besar.
Dokumentasi dapat diklasifikasikan menjadi tiga kategori dasar, yaitu:

  1. Dokumentasi administratif (adminstrativ,e documentation) mendeskripsikan standar dan prosedur untuk pemrosesan data, termasuk pembenaran dan otorisasi sistem yang baru dan yang diubah; standar untuk analisis, desain, dan pemrograman) sistem; serta prosedur untuk penanganan dan penyimpanan file.
  2. Dokumentasi sistem (system documentation) mendeskripsikan setiap sistem aplikasi dan fungsi utama pemrosesannya. Termasuk di dalammya adalah bahan naratif, bagan alir, dan daftar program. Dokumentasi ini menunjukkan input, pemrosesan, output, dan prosedur penanganan kesalahan atas sistem.
  3. Dokumentasi operasional (operating documentation) mendeskripsikan hal apa yang dibutuhkan untuk menjalankan sebuah program, termasuk konfigurasi perlengkapan, program dan file data, prosedur untuk mengatur dan melaksanakan pekerjaan, kondisi yang mungkin dapat mengganggu pelaksanaan program, serta tindakan korektif atas gangguan pada program.

Mengembangkan Rencana Keandalan Sistem Informasi berbasis Komputer menurut SYSTRUST

systrust-urlMenurut SysTrust, cara yang baik untuk mulai mengembangkan rencana keandalan sistem adalah dengan mengidentifikasi dan mendokumentasikan (1) kebutuhan ketersediaan, keamanan, dapat dipelihara, dan integritas dari para pemakai yang memiliki otorisasi, dan (2) tujuan kinerja, kebijakan, dan standar untuk keempat prinsip keandalan.

Kebutuhan pemakai biasanya didokumentasikan dalam perjanjian tingkat pelayanan atau dokumen perusahaan lainnya. Perusahaan harus memiliki sebuah proses formal untuk mengidentifikasi dan meninjau seluruh perubahan hukum, peraturan, kontrak, atau perjanjian tingkat pelayanan lainnya yang dapat mempengaruhi kebutuhan pemakai atau tujuan kinerja, kebijakan, ataupun standar sistem. Selanjutnva, seluruh permintaan atas perubahan dari para pemakai harus dicatat dan ditinjau.

Procedure Icon 2Prosedur harus ada untuk memastikan bahwa ketersediaan, keamanan,dapat dipelihara, dan integritas sistem yang sebenarnya, bisa diuji secara teratur dan hasilnva diperbandingkan dengan tujuan kinerja, kebijakan, dan standar. Hasil dari uji serta perbandingan tersebut, bersama dengan seluruh masalah keandalan sistem, hanus didokumentasikan dan dilaporkan ke pihak manajemen, agar seluruh masalah dapat dipecahkan. Catatan mengenai masalah dan penyimpangan harus dianalisis secara periodik untuk mengidentifikasi kecenderungan yang dapat berdampak pada keandalan sistem serta pada perubahan yang dilaksanakan.

Organisasi harus mengidentifikasi seluruh sumber daya informasi yang signifikan, seperti hardware, program, data, dan transaksi. Organisasi kemudian harus memutuskan siapa yang memiliki sumber daya, siapa yang menyimpannya, siapa yang dapat mengakses secara fisik dan logis, dan siapa yang bertanggung jawab untuk membangun dan memelihara keamanan serta keandalannya.

Sebagai bagian dari rencana keandalan sistem, program kesadaran atas keamanan dapat membantu pegawai untuk memahami pentingnya keamanan dan keandalan sistem.
Program ini harus dikomunikasikan ke seluruh pegawai yang ada. Pegawai baru harus diminta untuk menandatangani perjanjian bahwa mereka akan mentaati kebijakan keamanan ketika mereka mulai bekerja.

risk-assesment-urlSeluruh sistem mengalami perubahan dan penilaian risiko harus dilaksanakan dan dievaluasi ketika terjadi perubahan di dalam maupun di luar lingkungan fisik sistem. Perubahan apa pun dalam komponen sistem harus dievaluasi berdasarkan dampaknya atas tujuan kinerja sistem, kebijakan, dan standar.

Mengembangkan Rencana Keandalan Sistem Informasi berbasis Komputer

disaster-recovery-urlPada penelitian baru-baru ini, 66 persen dari perusahaan yang melaporkan adanya masalah dengan sistem mereka, berkata bahwa salah satu alasannya adalah pengawasan yang tidak memadai atas pengendalian dan keamanan. Sedangkan 44 persen menyatakan bahwa pemahaman yang tidak, memadai atas konsep dan desain pengendalian merupakan faktor penyebabnya.

Kondisi ini mengangkat masalah yang signifikan dalam banyak perusahaan-kurangnya rencana yang efektif untuk memastikan keandalan sistem informasi mereka. Mengembangkan dan memperbarui terus-menerus rencana keandalan yang komprehensif, adalah salah satu pengendalian penting yang dapat diimplementasikan oleh perusahaan.

Manajer tingkat puncak harus diberikan tanggung jawab dan akuntabilitas formal untuk mengembangkan, mensupervisi, dan menyelenggarakan rencana tersebut. Rencana keandalan sistem harus dikomunikasikan tepat waktu, ke seluruh pemakai sistem yang memiliki otorisasi dan personil yang bertanggung jawab atas implementasi dan pengawasan atas rencana tersebut.

Meeting1Cara yang paling umum untuk melaksanakan hal ini adalah melalui memo, pertemuan, buku pedoman standar dan kebijakan, serta interaksi dengan kantor informasi milik organisasi. Rencana tersebut harus secara terus-menerus ditinjau dan diperbarui.

Pengendalian yang berhubungan dengan beberapa prinsip kenadalan SI berbasis Komputer.

Pengendalian berikut sesuai untuk beberapa prinsip keandalan, yaitu: perencanaan strategis dan penganggaran, mengembangkan rencana keandalan sistem, dan melaksanakan dokumentasi. Tabel dibawah ini meringkas pengendalian-pengendalian utama.
Ringkasan Pengendalian Umum Utama Keandalan1

Kriteria untuk mencapai SI berbasis komputer yang Andal.

Bagi setiap prinsip keandalan (Ketersediaan/availability, Keamanan/security, Dapat dipelihara/maintainability dan Integritas/integrity) tiga kriteria berikut ini dikembangkan untuk mengevaluasi pencapaian prinsip-prinsip tersebut:availability-url

  1. Entitas memiliki tujuan kinerja (performance objective), kebijakan, dan standar yang telah ditetapkan, didokumentasikan, dan dikomunikasikan, dan telah memenuhi tiap prinsip keandalan. SysTrust mendefinisikan tujuan kinerja sebagai tujuan umum yang ingin dicapai entitas; kebijakan adalah peraturan-peraturan yang memberikan arah formal untuk mencapai tujuan, dan mendorong kinerja; serta standar sebagai prosedur yang dibutuhkan dalam implementasi, agar sesuai dengan kebijakan.
  2. Entitas menggunakan prosedur, sumber daya manusia, software, data, dan infrastruktur untuk mencapai setiap prinsip keandalan, dengan berdasarkan pada kebijakan dan standar yang telah ditetapkan.
  3. Entitas mengawasi sistem dan mengambil tindakan untuk mencapai kesesuaian dengan tujuan, kebijakan, dan standar, untuk setiap prinsip keandalan.integrity-url

Apa yang Terdapat dalam Sistem Informasi berbasis komputer yang Andal?

systrust-urlSysTrust menggunakan empat prinsip berikut ini untuk menetapkan apakah suatu sistem andal atau tidak:

  1. Ketersediaan (availability). Sistem tersebut tersedia untuk dioperasikan dan digunakan dengan mencantumkannya pada pernyataan atau perjanjian tingkat pelayanan.
  2. Keamanan (security). Sistem dilindungi dari akses, fisik maupun logis yang tidak memiliki otorisasi. Hal ini akan membantu mencegah (a) penggunaan yang tidak sesuai, pemutar-balikan, penghancuran atau pengungkapan informasi dan software, serta (b) pencurian sumber daya sistem.
  3. Dapat dipelihara (maintainability). Sistem dapat diubah apabila diperlukan tanpa mempengaruhi ketersediaan, keamanan, dan integritas sistem. Hanya perubahan dokumen vang memiliki otorisasi dan teruji sajalah yang termasuk dalam sistemdan data terkait. Bagi seluruh perubahan yang telah direncanakan dan dilaksanakan, harus tersedia sumber daya untuk mengelola, menjadwalkan, mendokumentasikan, dan mengkomunikasikan perubahan ke pihak manajemen dan para pemakai yang memiliki otorisasi.
  4. Integritas (integrity). Pemrosesan sistem bersifat lengkap, akurat, tepat waktu, dan diotorisasi. Sebuah sistem dikatakan memiliki integritas apabila dapat melaksanakan fungsi yang diperuntukkan bagi sistem tersebut secara keseluruhan dan bebas dari manipulasi sistem, baik yang tidak diotorisasi maupun yang tidak disengaja.

SI yang Andal dalam Pengendalian Sistem Informasi berbasis Komputer

cicaDi dalam ekonomi global yang saling berhubungan saat ini, sistem informasi yang tidak andal dapat membahayakan tidak hanya perusahaan dan pegawai yang menggunakannya, tetapi juga rantai pasokan perusahaan.

aicpa-urlMenyadari kebutuhan atas jaminan sistem informasi, AICPA bersama Canadian Institute of Chartered Accountants (CICA) memperkenalkan pelayanan evaluasi baru, yang disebut dengan SysTrust, yang secara independen menguji dan memverifikasi keandalan sistem. Pelayanan ini memberikan jaminan pada pihak manajemen, pelanggan, vendor dan mitra bisnis, bahwa suatu sistem informasi benar-benar andal.

Pengendalian Sistem Informasi berbasis Komputer

Information-systems-security-and-control-Presentation-Transcript-9371Di dunia saat ini, makin banyak perusahaan yang bergantung pada teknologi informasi (TI) untuk memproses informasi bisnisnya secara elektronis. Organisasi meggunakan TI untuk menjalankan bisnisnya, produksinya, dan melaksanakan pelayanannya. Perusahaan tidak dapat lagi membangun penghalang di sekeliling sistem informasinya serta mengunci semua orang di luar. Sebaliknya, mereka harus berbagi informasi dan menggunakan TI untuk menghubungkan sistem informasinya dengan pihak-pihak yang sering berinteraksi dengan mereka, yaitu: pelanggan, vendor, pegawai, mitra bisnis, pemegang saham, dan lembaga pemerintah. Peningkatan hubungan ini membuat sistem informasi lebih rentan terhadap masalah.

Mencapai keamanan dan pengendalian yang memadai atas sumber daya informasi organisasi, harus menjadi prioritas pihak manajemen puncak. Walaupun tujuan pengendalian internal tetaplah sama bagaimanapun bisnis dijalankan atau sejauh apa pun TI digunakan, cara mencapai keamanan dan pengendalian atas informasi telah berubah secara signifikan dalam tahun-tahun belakangan ini. Berdasarkan perkiraan pengembangan dalam e-commerce dan TI, tampaknya perubahan tersebut akan terus berlanjut.

Oleh karena sistem informasi berkembang, begitu pula dengan sistem pengendalian internal. Ketika bisnis bergeser dari sistem manual ke sistem komputer utama, pengendalian baru harus dikembangkan untuk menurunkan atau mengendalikan risiko yang dibawa oleh sistem informasi berdasarkan komputer yang baru ini. Oleh sebab itu, ketika bisnis bergeser dari sistem berdasarkan komputer utama yang tersentralisasi menjadi model yang terdistribusi, seperti sistem klien/server, pengendalian baru harus dikembangkan. Saat ini, oleh karena adanya pergeseran ke lingkungan e-commerce berdasarkan Internet, pengendalian baru perlu dikembangkan untuk mengendalikan munculnya risiko-risiko baru. Untungnya, perkembangan dalam sistem informasi dan dalam TI, juga memberikan kesempatan bagi organisasi untuk meningkatkan pengendalian internalnya.

Umpan Djempol + Telur Puyuh.

ari sabtu 20 agustus 2011, ade BukBer & Sahur Bareng DI TL, tapi aye ade tahlilan 40 ari wafatnye mertue, jadi kagak bise dateng sesi atu, nah pagi-pagi nganggur, daripade bengong mending ke empang P&K aje deh, en ni jalan ceritenye:

Abis sahur, nunggu subuh buka milis…sepi…….sepi…..!!!!! abis subuh ngeracik empan dah:

Jempol-7adonannye kayak gini nih :
1/2 bungkus Umpan Wangi + Biang Susu Jempol
1/2 bungkus Umpan Amis + Crystal Jempol
30 butir telor puyuh
3 sendok makan kacang mede
3 cm keju kraft (keju kraft potong jadi 6 bagian)
kocok lepas pake kocokan telor jadul
kalu ude nyampur siapin loyang masupin 3 lembar daon pandan
tuang deh ntu adonan kedalem loyang terus kukus 30 menit.
sembari nunggu empan mateng pegi beli kroto 2 ons ame deho 1 kaleng.
kroto dikukus, deho ame minyaknye diblender ampe kayak eek bayi.
kalu adonan ude mateng matiin kompor, buka kukusan bakal ngedinginin empan ame kroto(tujuannye biar endapan aer nguap).
tarok blenderan deho dalam baskom, masupin empan aduk sampe rate.terus masupin kroto kukus aduk lagi, pan jadinye rade lembek.
nah sise empan jempol nyang amis pake deh bakal ngerasin mpan.
kalu pengen mpan rade perak(gampang buyar kalo kena aer) pas ngaduknye jangan kelewatan diteken tapi diteken ale kadarnye aje.
kalu pengen mpannye pulen(rade lengket) ye ngaduknye teken pake tenage. nah mpan ude siap.

kul 8:00 meluncur ke parung serab(empang P&K) nyampe lokasi cume ade atu pemancing, set dah bijimane nih…..tapi H Mancuk(pemilik empang) ngomong berape orang aje jadi, kagak use khawatir, kul 9:00 mulain nyang pade dateng walhasil ade 8 orang, diundi deh, aye dapet lapak 28, wah ngalamat panen nih…..!!!!!

Bener aje aye bise naekin ….kagak tanggung-tanggung….54(lime puluh empat ekor) ikan rame/sekilo tige ame sekilo due ples atu super banci 1,58 Kg, kagak juare sih abis ketiban ame nyang 1,64Kg(juarenye tunggal doang), tapi en ni ati puas banget dari mulain setat ampe kul 4:00 sore gentak teruuuuussssss……!!!!!!

Ohhh…iye…….aye ude bekali-kali make kumpusisi empan kayak diatas dan hasilnye kagak ngecewain…..aye sengaje share en ni empan biar sudare-sudare aye semue bise ngebuktiin.

Kagak lupe aye ngucapin mekasi ame Yang Mahe Kuase. Terus aye juge mekasi banyak ame Kang Ito selaku penggagas dan produsen empan DJEMPOL…..Kang…..pertahankan komposisi empannye…..selaen jadi produsen….Kang Ito juge ikut berjase ame sudare-sudare kite nyang make dan ude behasil ngebuktiin saktinye entu empan….(asal bener ngadonnye).