Tugas Sistem Informasi dan Pengendalian Internal
Sistem Informasi dan Pengendalian Internal
Konsep Dasar Keamanan Informasi Pemahaman Serangan, Tipe
-Tipe Pengendalian Prinsip - prinsip The Five Trust Service untuk keandalan
sistem
Oleh : Nurul Hidayati Yuliani
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, MM, CMA
Pembahasan
Konsep Dasar Keamanan Informasi Pemahaman Serangan, Tipe -Tipe Pengendalian
Prinsip - prinsip The Five Trust Service untuk keandalan sistem
Saat ini informasi merupakan komoditi yang sangat berharga baik untuk rannah pribadi atau kelompok
seperti perusahaan ,organisasi, lembaga pemerintahan, perguruan tinggi.
Mengingat begitu pentingnya informasi ini sering kali ada pihak pihak yang
ingin memanfaatkan informasi untuk hal-hal yang bukan semestinya, dan untuk
menghindari hal itu terjadi perlu adanya keamanan informasi.
Sebelum membahas lebih jauh tentang keamanan itu sendiri, pada
dasarnya keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.
Manajemen daya informasi sendiri terdiri dari [1]:
1.
Perlindungan sehari-hari disebut Manajemen Keamanan Informasi (iformation
security management /ISM)
2.
Persiapan untuk menghadapi operasi setelah bencana disebut
Manajemen Kesinambungan Bisnis (businees continuity management /BCM)
Pengertian
Keamanan[2]
·
John D. Howard, Computer
Security is preventing attackers from achieving objectives through unauthorized
access or unauthorized use of computers and networks.
·
G. J. Simons, keamanan sistem
informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling
tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik.
·
Wikipedia, keamanan komputer atau
sering diistilahkan keamanan sistem informasi adalah cabang dari teknologi
komputer yang diterapkan untuk komputer dan jaringan. Tujuan keamanan komputer
meliputi perlindungan informasi dan properti dari pencurian, kerusakan, atau
bencana alam, sehingga memungkinkan informasi dan aset informasi tetap diakses
dan produktif bagi penggunanya. Istilah keamanan sistem informasi merujuk pada
proses dan mekanisme kolektif terhadap informasi yang sensitif dan berharga
serta pelayann publikasi yang terlindungi dari gangguan atau kerusakan akibat
aktivitas yang tidak sah, akses individu yang tidak bisa dipercaya dan kejadian
tidak terencana.
Trust Service Framework[3]
Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang
berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses
(baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan
serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality),
dimana informasi keorganisasian yang sensitive (seperti rencana pemasaran,
rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi (privacy), dimana informasi
pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya
dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari
pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing
integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan
hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana
sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan
kontraktual.
Tujuan Keamanan sistem informasi[4]
Keamanan Sistem Informasi dimaksudkan untuk mecapaitiga sasara utama
sebagai berikut :
·
Kerahasiaan (Confidentiality) Membutuhkan bahwa informasi (data) hanya bisa diakses oleh mereka yang
memiliki otoritas.
·
Integritas (Integrity) Membutuhkan bahwaa informasi hanya dapat diubah oleh pihak yang memiliki
otoritas.
·
Ketersediaan (Availability ) Mensyaratkan bahwa ketersediaan informasi yang tersedia bagi mereka yang
memiliki wewenang ketika dibutuhkan.
Manajemen Keamanan Informasi
Istilah corporate information systems security officer
(CISSO) telah digunakan untuk orang yang berada di organisasi yang bertanggung
jawab pada sistem keamanan informasi perusahaan.
Saat ini ada istilah baru yaitu corporate information assurance officer (CIAO)
yang melaporkan kepada CEO dan mengatur suatu unit jaminan informasi.
Manajemen Keamanan Informasi (ISM)
ISM terdiri dari empat langkah :
1.
Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan.
2.
Mendefinisikan resiko dari ancaman yang dapat memaksakan
3.
Penetapan kebijakan keamanan informasi
4.
Menerapkan controls yang tertuju pada resiko
Benchmarks juga digunakan untuk memastikan integritas
dari sistem manajemen resiko.
Gambar
9.1[5]
Domain Keamanan Sistem Informasi[6]
·
Keamanan Pengoperasian , teknik-teknik
kontrol pada operasi personalia, sistem informasi dan perangkat keras.
·
Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek keamanan serta kendali yang terkait pada
pengembangan sistem informasi. Cakupannya meliputi: (1) Tingkatan
Kerumitan Fungsi dan Aplikasi; (2) Data Pengelolaan Keamanan BasisData;
(3) SDLC: Systems Development Life Cycle; (4) metodology pengembangan aplikasi
(5) pengendalian perubahan perangkat lunak; (6) program bermasalah;
·
Rencana Kesinambungan Usaha dan Pemulihan Bencana, mempelajari bagaimana aktifitas bisnis dapat tetap berjalan meskipun
terjadi gangguan atau bencana. Cakupannya meliputi: Indentifikasi Sumber
Daya Bisnis, Penentuan Nilai Bisnis, Analisa Kegagalan Bisnis, Analisa
Kerugian, – Pengelolaan Prioritas dan Krisis, Rencana Pengembangan,
Rencana Implementasi, dan Rencana Pemeliharaan
·
Hukum, Investigasi, dan Etika, mempelajari berbagai jenis aturan yang terkait dengan kejahatan
komputer dan legalitas transaksi elektronik, serta membahas masalah etika dalam
dunia komputer.
·
Keamanan Fisik, mempelajari berbagai
ancaman, resiko dan kontrol untuk pengamanan fasilitas sistem informasi.
Cakupannya meliputi: Kawasan Terbatas, Kamera Pemantau dan Detektor Pergerakan,
– Bunker (dalam tanah), Pencegahan dan Pemadaman Api, Pemagaran,
Peralatan Keamaman, Alarm, dan Kunci Pintu
·
Audit (Auditing)
Ancaman[7]
Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau
peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber daya iformasi
perusahan.
Ancaman dapat berupa internal atauexternal, disengaja atau tidak disengaja.
Pada gambar di bawah ini memperlihatkan tujuan keamanan informasi dan
bagaimana keamaan informasi diberlakukan terhadap empat jenis resiko :
·
Pencurian dan penyingkapan tidak sah
·
Penggunaan tidak sah
·
Pembinasaan dan pengingkaran layanan yang tidak sah
·
Modifikasi yang tidak sah
Gambar
9.2[8]
Attack (Serangan) untuk keamanan dapat dikategorikan ke dalam empat
kategori utama[9] :
·
Gangguan (Interruption) Aset dari sistem di bawah serangan sehingga menjadi tidak tersedia atau
tidak dapat digunakan oleh pihak berwenang. Contohnya adalah perusakan /
modifikasi perangkat keras atau jaringan saluran.
·
Intersepsi (Interception) Orang yang tidak
berwenang mendapatkan akses ke aset. Pihak bersangkutan dimaksud bisa
orang, program, atau sistem lain. Contohnya adalah penyadapan data dalam
jaringan.
·
Modifikasi (Modification) Orang yang tidak berwenang dapat membuat perubahan pada aset.
Contohnya adalah perubahan nilai file data, memodifikasi program sehingga tidak
beres, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
·
Fabrikasi (Fabrication) Sebuah pihak yang
tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah
mengirimkan pesan palsu kepada orang lain
Pengendalian
Pengendalian mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau meminimalkandampak resiko pada
perusahaan jika resiko tersebut terjadi. Pegedaliandi dibagi menjadi tiga
kategori yaitu :
1.
Pengendalian Teknis (Tehnical control)
Pengendalian yang menjadi satu di dalam sistem dan
dibuat oleh penyusun sistem selama masa siklus penyusuna sistem.
a.
Pengendalian akses
·
Idetifikasi pegguna
·
Otentifikasi pengguna
·
Otorisasi pengguna
b.
Sistem deteksi gangguan
c.
Firewall
Gamar9.4[10]
2.
Pengendalian Kriptografis
3.
Pengendalian Fisik
Pengendalian Preventif, Detektif dan Korektif[11]
1. Pengendalian
Preventif.
Yaitu pengendalian yang mencegah masalah sebelum
timbul. Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman.
Oleh karena itu, organisasi menerapkan satu set pengendalian untuk melindungi
aset informasi. Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian
atas ancaman terhadap aset informasi:
a. Pengendalian
autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba
untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat
mengakses sistem informasi organisasi.
b. Pengendalian
otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik
sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian
tersebut, maka solusi di bidang teknologi informasi sendiri pun diperlukan.
Terdapat beberapa solusi teknologi informasi yang dapat digunakan:
a. Pengendalian
antimalware. Malware dapat menghancurkan informasi atau memperoleh akses tanpa
ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan
perlindungan malware sebagi salah satu dari kunci keamanan yang efektif.
b. Pengendalian akses
jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap sistem mereka.
Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan organisasi dan
seluruh upaya untuk tersambung ke dalamnya.
c. Pengendalian
pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk
melindungi parimeter jaringan, namun diperlukan tambahan pengendalian preventif
pada stasiun kerja, server, printer, dan perangkat lainnya
(secara kolektif disebut endpoint) yang meliputi jaringan organisasi.
Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas yang terlibat dalam
mengelola keamanan endpoint.
d. Enkripsi. Enkripsi
memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa ijin
terhadap informasi sensitif.
2. Pengendalian
Detektif.
Yaitu pengendalian yang didesain untuk menemukan
masalah pengendalian yang tidak terelakan.
3. Pengendalian
Korektif.
Yaitu pengendalian yang mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang
dihasilkan. Terdapat tiga pengendalian korektif yang penting:
a. Pembentukan
sebuah tim perespon insiden komputer (computer incident response team – CIRT).
Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan
utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui
empat tahap:
1). Pemberitahuan(recognition) adanya sebuah
masalah
2). Penahanan (containment) masalah
3). Pemulihan (recovery)
4). Tindak
lanjut (foloow up).
b. Pendesainan individu
khusus (Chief Informastion Security Officer – CISO).
c. Penetapan serta penerapan sistem
manajemen path yang didesain dengan baik. Patch adalah kode yang
dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan tertentu.
Pengendalian Umum dan Aplikasi.
1. Pengendalian Umum.
Yaitu pengendalian yang didesain untuk memastikan
sistem informasi organisasi serta pengendalian lingkungan stabil dan dikelola
dengan baik.Pengendalian
umum digolongkan menjadi beberapa, diantaranya:
a. Pengendalian organisasi dan otorisasi adalah secara
umum terdapat pemisahan tugas dan jabatan antara pengguna sistem (operasi) dan
administrator sistem (operasi
b. Pengendalian operasi. Operasi sistem informasi
dalam perusahaan juga perlu pengendalian untuk memastikan sistem informasi
tersebut dapat beroperasi dengan baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan. Perubahan-perubahan yang
dilakukan terhadap sistem informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d. Pengendalian akses fisikal dan
logikal.Pengendalian akses fisikal berkaitan dengan akses secara fisik terhadap
fasilitas-fasilitas sistem informasi suatu perusahaan, sedangkan akses logikal
berkaitan dengan pengelolaan akses terhadap sistem operasi sistem tersebut (misal: windows).
2. Pengendalian Aplikasi
Yaitu pengendalian yang mencegah, mendeteksi, dan
mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi. Terdapat
beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi menjadi dua
tipe dalam perusahaan:
a. Perangkat lunak berdiri sendiri. Terdapat
pada organisasi yang belum menerapkan SIA dan sistem ERP, sehingga masih banyak
aplikasi yang berdiri sendiri pada masing-masing unitnya. Contoh: aplikasi (software)
MYOB pada fungsi akuntansi dan keuangan.
b. Perangkat lunak di server. Tedapat
pada organisasi yang telah menerapkan SIA dan sistem ERP. Aplikasi terinstall
pada server sehingga tipe struktur sistemnya memakai sistem client-server . Client hanya
dipakai sebagai antar-muka (interface) untuk mengakses aplikasi
pada server.
Selain macam-macam aplikasi
dalam pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut,
diantaranya:
a. Pengendalian Organisasi dan Akses
Aplikasi. Pada pengendalian organisasi, hampir sama dengan pengendalian
umum organisasi, namun lebih terfokus pada aplikasi yang diterapkan perusahaan.
b. Pengendalian Input. Pengendalian input
memastikan data-data yang dimasukkan ke dalam sistem telah tervalidasi, akurat,
dan terverifikasi.
c. Pengendalian Proses. Pengendalian
proses biasanya terbagi menjadi dua tahapan, yaitu (1) tahapan transaksi,
dimana proses terjadi pada berkas-berkas transaksi baik yang sementara maupun
yang permanen
(2) tahapan database, proses yang dilakukan pada
berkas-berkas master.
d. Pengendalian Output. Pada pengendalian
ini dilakukan beberapa pengecekan baik secara otomatis maupun manual (kasat
mata) jika output yang dihasilkan juga kasat mata.
e. Pengendalian Berkas Master. Pada
pengendalian ini harus terjadi integritas referensial pada data, sehingga tidak
akan diketemukan anomali-anomali, seperti:
- Anomaly penambahan
- Anomaly penghapusan
- Anomaly pemuktahiran/pembaruan
Gambar
9.5[12]
Langkah-Langkah dalam Proses Pengendalian[13]
Mockler (1984) membagi pengendalian dalam 4 langkah yaitu :
1. Menetapkan standar dan Metode Mengukur Prestasi Kerja
Standar yang dimaksud adalah criteria yang sederhana untuk prestasi kerja,
yakni titik-titik yang terpilih didalam seluruh program perencanaan untuk
mengukur prestasi kerja tersebut guna memberikan tanda kepada manajer tentang
perkembangan yang terjadi dalam perusahaan itu tanpa perlu mengawasi setiap
langkah untuk proses pelaksanaan rencana yang telah ditetapkan.
2. Melakukan Pengukuran Prestasi Kerja
Pengukuran prestasi kerja idealnya dilaksanakan atas dasar pandangan
kedepan, sehingga penyimpangan-pennyimpangan yang mungkin terjadi ari standar
dapat diketahui lebih dahulu.
3. Menetapkan Apakah Prestasi Kerja Sesuai dengan Standar
Yaitu dengan membandingkan hasil pengukuran dengan target atau standar yang
telah ditetapkan. Bila prestasi sesuai dengan standar manajer akan menilai
bahwa segala sesuatunya beada dalam kendali.
4. Mengambil Tindakan Korektif
Proses pengawasan tidak lengkap bila tidak diambil tindakan untuk
membetulkan penyimpangan yanf terjadi. Apabila prestasi kerja diukur dalam
standar, maka pembetulan penyimpangan yang terjadi dapat dipercepat, karena
manajer sudah mengetahui dengan tepat, terhadap bagian mana dari pelaksanaan
tugas oleh individu atau kelompok kerja, tindakan koreksi itu harus dikenakan.
Kerahasiaan dan Privasi[14]
1. Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data
penting yang tersimpan pada sistem organisasi yang tidak boleh diakses atau
digunakan oleh orang-orang yang tidak berhak. Terdapat empat tindakan dasar
yang harus dilakukan untuk menjaga kerahasiaan atas informasi sensitif:
a.
Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi.
b. Mengenkripsi
informasi. Enkripsi adalah alat yang penting dan efektif untuk melindungi
kerahasiaan. Enkripsi adalah satu-satunya cara untuk melindungi informasi
dalam lalu lintas internet dan cloud publik.
c. Mengendalikan
akses atas informasi.
d. Melatih para pegawai
untuk menangani informasi secara tepat.
2. Privasi
Prinsip privasi Trust Services Framework erat
kaitannya dengan prinsip kerahasiaan, perbedaan utamanya, yaitu lebih berfokus
pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok,
atau rekan bisnis dari pada data keorganisasian. Terdapat dua permasalahan
utama terkait privasi:
a. Spam
adalah e-mail tak diinginkan yang mengandung baik periklanan maupun
konten serangan. Spam merupakan permasalahan yang terkait privasi karena
penerima sering kali menjadi target tujuan atas akses tak terotorisasi terhadap
daftar dan databasee-mail yang berisi informasi pribadi.
b. Pencuri identitas (identity
theft), yaitu penggunaan tidak sah atas informasi pribadi seseorang demi
keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan moral untuk
menerapkan pengendalian demi melindungi informasi pribadi yang organisasi
kumpulkan.
Permasalahan mengenai spam, pencurian
identitas, dan perlindungan privasi individu telah menghasilkan berbagai
regulasi pemerintah. Untuk membantu organisasi agar hemat biaya dalam mematuhi
banyaknya persyaratan ini, American Institute of Certified Public Accountant
(AICPA) dan Canadian Institute of Chartered Accountants (CICA)
bersama-sama mengembangkan sebuah kerangka yang disebut prinsip-prinsip
yang diterima umum (Generally Accepted Privacy Principles – GAAP).
Kerangka tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik
terbaik untuk melindungi privasi informasi pribadi para pelanggan yang terdiri
dari:
1). Manajemen;
2). Pemberitahuan;
3). Pilihan dan persetujuan;
4). Pengumpulan;
5). Penggunaan dan Retensi;
6). Akses;
7). Pengungkapan kepada pihak ketiga;
8). Keamanan;
9). Kualitas;
10). Pengawasan dan penegakan.
Contoh Implementasi
PENGENDALIAN AKSES
A. TUJUAN
Pengendalian akses bertujuan untuk memastikan
otorisasi akses pengguna dan mencegah akses pihak yang tidak berwenang terhadap
aset informasi khususnya perangkat pengolah informasi.
B. RUANG LINGKUP
Kebijakan dan standar pengendalian akses ini
meliputi:
1.
Persyaratan untuk pengendalian akses;
2.
Pengelolaan akses pengguna;
3.
Tanggung jawab pengguna;
4.
Pengendalian akses jaringan;
5.
Pengendalian akses ke sistem operasi;
6.
Pengendalian akses ke aplikasi dan sis tern informasi;
dan
7.
Mobile Computing dan Teleworking.
C.
KEBIJAKAN
1.
Persyaratan untuk Pengendalian Akses
Unit eselon I harus menyusun,
mendokumentasikan, dan mengkaji ketentuan akses ke aset informasi berdasarkan
kebutuhan organisasi dan persyaratan kearnanan.
2.
Pengelolaan Akses Pengguna
a. Pendaftaran pengguna
Unit TIK pusat dan unit TIK eselon I harus
menyusun prosedur pengelolaan hak akses pengguna sesuai dengan peruntukannya.
b. Pengelolaan hak akses khusus
Unit TIK pusat dan unit TIK eselon I harus
rnernbatasi dan mengendalikan penggunaan hakakses khusus.
c. Pengelolaan kata sandi pengguna
1) Unit TIK pusat dan unit TIK eselon I harus rnengatur
pengelolaan kata sandi pengguna; dan
2) Pengelolaan kata sandi pengguna sesuai dengan
standar yang ditetapkan dalarn kebijakan dan Standar Penggunaan Akun dan Kata
Sandi, Surat Elektronik, dan Internet di Lingkungan Departernen Keuangan.
d. Kajian hak akses pengguna
Unit eselon I harus mernantau dan mengevaluasi
hak akses pengguna dan penggunaannya secara berkala untuk rnernastikan
kesesuaian status pernakaiannya.
3.
Tanggung Jawab Pengguna
a. Pengguna harus mematuhi aturan pembuatan dan
penggunaan kata sandi.
Tanggung jawab pengguna terhadap kata sandi
sesuai dengan standar tanggung jawab pengguna yang ditetapkan dalam Kebijakan
dan Standar. Penggunaan Akun dan Kata Sandi, Surat Elektronik, dan Internet di
Lingkungan Departemen Keuangan;
b. Pengguna harus memastikan perangkat pengolah
informasi yang digunakan mendapatkan perlindungan terutama pada saat di
tinggalkan; dan
c. Pengguna harus melindungi informasi agar tidak
diakses oleh pihak yang tidak berwenang.
4.
Pengendalian Akses Jaringan
a. Penggunaan layanan jaringan
1) Unit TIK pusat dan unit TIK eselon I harus
mengatur akses pengguna dalam mengakses jaringan Kementerian Keuangan sesuai
dengan peruntukannya; dan
2) Unit TIK pusat dan unit TIK eselon I harus
mengatur akses pengguna dalam mengakses internet. Akses pengguna dalam
mengakses internet sesuai dengan standar yang ditetapkan dalam Kebijakan dan
Standar Penggunaan Akun dan Kata Sandi, Surat Eiektronik, dan Internet di
Ungkungan Kementerian Keuangan.
b. Otorisasi pengguna untuk koneksi eksternal
Unit TIK pusat dan unit TIK eselon I harus
menerapkan proses otorisasi pengguna untuk setiap akses ke dalam jaringan
internal melalui koneksi eksternal (remde access).
c. Perlindungan terhadap diagnosa jarak jauh dan
konfigurasi port
1) Akses ke perangkat keras dan perangkat lunak
untuk diagnosa harus dikontrol berdasarkan prosedur dan hanya digunakan oleh
pegawai yang berwenang untuk melakukan pengujian, pemecahan masalah, dan
pengembangan sistem; dan
2) Port pada fasilitas jaringan yang tidak dibutuhkan
dalam kegiatan atau fungsi Iayanan harus dinonaklifkan.
d. Pemisahan dalam jaringan
Unit TIK pusat dan unit TIK eselon I harus
memisahkan jaringan untuk pengguna, sistem informasi, dan Iayanan informasi.
e. Pengendalian koneksi jaringan
Unit TIK pnsat dan unit TIK eselon I harus
menerapkan mekanisme pengendalian akses pengguna sesuai dengan persyaratan
pengendalian akses.
f. Pengendalian routing jaringan
Pengendalian routing jaringan internal
Kementerian Keuangan harus dilakukan sesuai pengendalian akses dan kebutuhan
layanan informasi.
5.
Pengendalian Akses ke Sistem Operasi
a. Prosedur akses yang aman
Akses ke sistem operasi harus dikontrol dengan
menggunakan prosedur akses yang aman.
b. Identifikasi dan otorisasi pengguna ,
1) Setiap pengguna harus memiliki akun yang unik
dan hanya digunakan sesuai dengan peruntukannya; dan
2) Proses otorisasi pengguna harus menggunakan
teknik autentikasi yang sesuai untuk memvalidasi identitas dari pengguna.
c. Sistem pengelolaan kata sandi
Sistem pengelolaan kata sandi harus mudah
digunakan dan dapat memastikan kualitas kata sandi yang dibuat pengguna.
d. Penggunaan system utilities
Unit TIK pusat dan unit TIK eselon I harus
membatasi dan mengendalikan penggunaan system utilities.
e. Session
time-out
Fasilitas session time-out harus
diaktifkan untuk menutup dan mengunci layar komputer, aplikasi, dan koneksi
jaringan apabila tidak ada aktivitas pengguna setelah periode tertentu.
f. Pembatasan waktu koneksi
Unit TIK pusat dan unit TIK eselon l harus
membatasi waktu koneksi untuk sistem inforrr.asi dan aplikasi yang memiliki
klasifikasi sangat rahasia dan rahasia.
6.
Pengendalian Akses ke Aplikasi dan Sistem Informasi
a. Unit TIK pusat dan unit TIK eselon I harus
memastikan bahwa akses terhadap aplikasi dan sistem informasi hanya diberikan
kepada pengguna sesuai peruntukannya.
b. Aplikasi dan sistem informasi yang memiliki
klasifikasi sangat rahasi dan rahasia harus diletakkan pada lokasi terpisah
untuk mengurangi kemungkinan diakses oleh pihak yang tidak berwenang.
7.
Mobile Computing dan Teleworking
a. Unit TIK pusat dan unit TIK eselon I membangun
kepedulian pengguna perangkat mobile computing dan teleworking akan
risiko-risiko keamanan yang terus meningkat terhadap informasi yang tersimpan
dalam perangkat mobile computing; dan
b. Pengguna perangkat mobile computing dan
teleworking harus rnengikuti prosedur yang terkait penggunaan perangkat mobile
computing dan teleworking untuk rnenjaga kearnanan perangkat dan
inforrnasi di dalarnnya.
D. STANDAR
1.
Persyaratan untuk Pengendalian Akses
Persyaratan untuk pengendalian akses
rnencakup:
a. Penentuan kebutuhan kearnanan dari pengolah
aset inforrnasi; dan
b. Pernisahan peran pengendalian akses, seperti
adrninistrasi akses dan otorisasi akses.
2.
Pengelolaan Akses Pengguna
Prosedur pengelolaan akses pengguna harus
rnencakup:
a. Penggunaan akun yang unik untuk rnengaktifkan
pengguna agar terhubung dengan sistern inforrnasi atau Iayanan, dan pengguna
dapat bertanggung jawab dalarn penggunaan sistern inforrnasi atau layanan
tersebut. Penggunaan akun khusus hanya diperbolehkan sebatas yang diperlukan
untuk kegiatan atau alasan operasional, dan harus disetujui Pejabat yang
berwenang serta didokurnentasikan;
b. Perneriksaan bahwa pengguna rnerniliki
otorisasi dari pernilik sistern untuk rnenggunakan sistem inforrnasi atau
layanan, dan jika diperlukan harus mendapat persetujuan yang terpisah dari
Pejabat yang berwenang;
c. Pemeriksaan bahwa tingkat akses yang diberikan
sesuai dengan tujuan kegiatan dan konsisten dengan Kebijakan dan Standar SMKI
di Lingkungan Kementerian Keuangan;
d. Pernberian pemyataan tertu!is' kepada pengguna
tentang hak aksesnya dan rnerninta pengguna rnenandatangani pernyataan
ketentuan akses tersebut;
e. Pernastian penyedia layanan tidak rnernberikan
akses kepada pengguna sebelurn prosedur otorisasi telah selesai;
f. Pemeliharaan catatan pengguna layanan yang
terdaftar dalam rnenggunakan layanan;
g. Penghapusan atau penonaktifan akses pengguna
yang telah berubah tugas dan atau fungsinya, setelah penugasan berakhir atau
mutasi;
h. Pemeriksaan, penghapusan, serta penonaktifan akun
secara berkala dan untuk pengguna yang rnerniliki lebih dari 1 (satu) akun; dan
i.
Pernastian bahwa akun tidak digunakan oleh pengguna lain
..
3.
Pengelolaan Hak Akses Khusus (privilege management)
Pengelolaan hak akses khusus harus
mempertimbangkan:
a. Hak akses khusus setiap sistem dari pabrikan
perlu diidentifikasi untuk dialokasikan diberikan kepada pengguna yang terkait
dengan produk, seperti sistem operasi, sistem pengelolaan basis data, aplikasi;
b. Hak akses khusus hanya diberikan kepada
pengguna sesuai dengan peruntukkannya berdasarkan kebutuhan dan kegiatan
tertentu;
c. Pengelolaan proses otorisasi dan aatatan dari
seluruh hak akses khusus yang dialokasikanj diberikan kepada pengguna. Hak
akses khusus tidak boleh diberikan sebelum proses otorisasi selesai;
d. Pengembangan dan penggunaan sistem rutin
(misal job scheduling) harus diutamakan untuk menghindari kebutuhan
dalam memberikan hak akses khusus secara terus menerus kepada pengguna;
e. Hak akses khusus harus diberikan secara
terpisah dari akun yang digunakan untuk kegiatan umum, seperti akun system
administrator, database administrator, dan network administrator.
4.
Kajian Hak Akses Pengguna
Kajian hak akses pengguna harus
mempertimbangkan:
a. Hak akses pengguna harus dikaji paling sedikit
6 (enam) bulan sekali atau setelah terjdi perubahan pada sistem, a tau struktur
organisasi;
b. Hak akses khusus harus dikaji paling sedikit 6
(enam) bulan sekali dalam jangka waktu lebih sering dibanding jangka waktu
pengkajian hak akses pengguna, atau apabila terjadi perubahan pada sistem, atau
struktur organisasi;
c. Pemeriksaan hak akses khusus harus dilakukan
secara berkala, untuk memastikan pemberian hak akses khusus telah diotorisasi.
5.
Pengendalian Akses Jaringan
a. Menerapkan prosedur otorisasi untuk pemberian
akses ke jaringan dan layanan jaringan;
b. Menerapkan teknik autentikasi akses dari
koneksi eksternal, seperti teknik kriptografi, token hardware, dan dial-back;
dan
c. Melakukan penghentian isolasi layanan jaringan
pada area jaringan yang mengalami gangguan keamanan informasi.
6.
Pemisahan dalam Jaringan
Melakukan pemisahan dalam jaringan antara
lain:
a. Pemisahan berdasarkan kelompok layanan
informasi, pengguna, dan aplikasi; dan
b. Pemberian akses jaringan kepada tamu, hanya
dapat diberikan akses terbatas misalnya internet dan/ a tau sur at elektronik
tanpa bisa terhubung ke jaringan internal Kementerian Keuangan. ·
7.
Mobile Computing dan Teleworking
a. Penggunaan perangkat mobile computing dan
teleworking harus mempertimbangkan:
1) Memenuhi keamanan informasi dalam penentuan
lokasi;
2) Menjaga keaM.anan akses;
3) Menggunakan anti malicious code;
4) Memakai perangkat lunak berlisensi; dan
5) Mendapat persetujuan Pejabat yang berwenang/
atasan langsung pegawai.
b.
Pencabutan hak akses dan pengembalian fasilitas perangkat
teleworking apabila kegiatan telah selesai.
Daftar Pustaka
·
Hapzi Ali, 2018, Modul 6 Sistem Informasi dan
Pengendalian Internal, universitas Mercubuana,2018
·
Fairuzel said,2018, https://fairuzelsaid.wordpress.com/2010/08/24/cyberlaw-konsep-keamanan-sistem-informasi/ (12/04/2018 jam 06:20)
·
Dosen pendidikan, 2018, http://www.dosenpendidikan.com/10-konsep-dasar-keamanan-jaringan-komputer/ (12/04/2018 jam 06:22)
·
Yuriaiuary, 2018, http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html (13/04/2018 jam 14:40)
·
Audi, 2018, https://www.slideshare.net/audi15Ar/bab-9-keamanan-informasi-29170789 (12/04/2018 jam 17:17)
·
Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-131213021759-phpapp01/95/bab-9-keamanan-informasi-9-638.jpg?cb=1386901390 (12/04/2018 jam 17:17)
·
Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-131213021759-phpapp01/95/bab-9-keamanan-informasi-11-638.jpg?cb=1386901390
(12/04/2018 jam 17:20)
·
Audi, 2018, https://image.slidesharecdn.com/keamananinformasibab9-131213021759-phpapp01/95/bab-9-keamanan-informasi-23-638.jpg?cb=1386901390(12/04/2018 jam 20:47)
·
Ahmad qoni rizki, 2018, http://arenamateribelajar.blogspot.co.id/2012/11/langkah-langkah-dalam-proses.html (13/04/2018 jam 18:03)
·
No name, 2018,
http://player.slideplayer.info/74/12421219/slides/slide_5.jpg(13/04/2018 jam
17:50)
·
Lampiran Keputusan Menteri Keuangan no.479 / KMK.01/2010
Tentang Kebijakan Dan Standar Sistem Manajemen Informasi Di Lingkungan
Kementerian Keuangan, (diunduh tanggal 14 April 2018 pukul 16:00 WIB dari laman
http://ketentuan.pajak.go.id/aturan/lampiran/Lampiran_KMK_479_KMK01_2010.pdf)
[1] Hapzi
Ali, 2018
[2]
Fairuzelsaid, 2018
[3] Yuriaiuary,
2018
[4] Hapzi
Ali, 2018
[5] image.slidesharecdn.com,
2018
[6]
Fairuzelsaid, 2018
[7] Hapzi
Ali, 2018
[8] image.slidesharecdn.com,
2018
[9] dosenpendidikan.com,
2018
[10] image.slidesharecdn.com,2018
[11] Yuriaiuary,
2018
[12] player.slideplayer.info,
2018
[13] Ahmad
qon irizki, 2018
[14] Yuriaiuary,
2018
