Sebagian besar,menurut saya Keamnan dan kontrol Sistem Informasi Adalh sebagai berikut......
Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut (lihat tulisan strategi pendekatan manajemen resiko dalam pengembangan sistem informasi). Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara tentang:
Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Menutup servis yang tidak digunakan
Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan dengan beberapa servis dijalankan sebagai default. Sebagai contoh, pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan. Untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.
Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.
Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.
Pemantau integritas system
Pemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem. Salah satu contoh program yang umum digunakan di sistem UNIX adalah program Tripwire. Program paket Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas.
Audit: Mengamati Berkas Log
Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya
Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas.
Penggunaan Enkripsi untuk meningkatkan keamanan
Salah satu mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).
Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di sistem anda, maka anda membuka akses (meskipun secara terbatas) kepada orang luar. Apabila server anda terhubung ke Internet dan memang server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati sebab anda membuka pintu akses ke seluruh dunia.
Membatasi akses melalui Kontrol Akses
Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah kontrol akses.
Proteksi halaman dengan menggunakan password
Salah satu mekanisme mengatur akses adalah dengan menggunakan pasangan userid (user identification) dan password. Untuk server Web yang berbasis Apache[6], akses ke sebuah halaman (atau sekumpulan berkas yang terletak di sebuah directory di sistem Unix) dapat diatur dengan menggunakan berkas “.htaccess”.
Mengetahui Jenis Server
Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan.
Keamanan Program CGI
Common Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web.
Proses Sistem Informasi
Proses audit sistem informasi yang berbasis risiko serta sesuai dengan standar audit dapat digambarkan secara singkat sebagai berikut :
Pada tahap survei pendahuluan, auditor akan berusaha untuk memperoleh gambaran umum dari lingkungan TIK yang akan diaudit. Kemudian dilanjutkan dengan pemahaman yang lebih mendalam dari seluruh sumber daya TIK – infrastruktur, aplikasi, informasi, personil – yang termasuk ke dalam lingkup audit, serta pemahaman atas sistem pengendalian intern TIK yang ada seperti struktur organisasi, kebijakan, prosedur, standar, parameter, dan alat bantu kendali lainnya.
Selanjutnya auditor akan melakukan analisis risiko pendahuluan untuk mengidentifikasi berbagai risiko yang mungkin timbul di lingkungan TIK yang diaudit serta kelayakan rancangan pengendalian intern TIK yang telah ada. Jika rancangan pengendalian intern TIK dipandang memadai maka auditor selanjutnya akan melakukan pengujian dari pelaksanaan kendali-kendali tersebut, namun jika dipandang tidak layak maka auditor akan langsung melakukan pengujian terinci terhadap risiko TIK secara mendalam (dengan jumlah sampel yang cukup besar).
Setelah melakukan pengujian pengendalian intern TIK dan auditor telah memperoleh bukti yang memadai bahwa pengendalian intern TIK telah dilaksanakan sesuai rancangannya maka selanjutnya auditor akan melakukan pengujian terinci atas risiko TIK secara terbatas (dengan jumlah sampel yang terbatas). Namun jika hasil pengujian pengendalian intern TIK menunjukkan bahwa pelaksanaan pengendalian intern TIK tidak sesuai dengan rancangannya maka auditor akan melakukan pengujian terinci risiko TIK secara mendalam.
Bukti-bukti yang diperoleh auditor dari hasil analisis risiko dan rancangan kendali serta pengujian pengendalian intern TIK dan pengujian terinci risiko TIK selanjutnya akan digunakan oleh auditor untuk menyusun laporan audit sistem informasi yang memuat kesimpulan audit beserta tanggapan dari pihak yang diaudit atas rekomendasi yang disampaikan oleh auditor dalam rangka peningkatan pengendalian intern TIK.
Tujuan dan Lingkup Sistem Informasi
Tujuan Audit Sistem Informasi dapat dikelompokkan ke dalam dua aspek utama dari ketatakelolaan TIK, yaitu :
nConformance (Kesesuaian) – Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian, yaitu : Confidentiality (Kerahasiaan), Integrity (Integritas), Availability (Ketersediaan) dan Compliance (Kepatuhan).
nPerformance (Kinerja) - Pada kelompok tujuan ini audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kinerja, yaitu : Effectiveness (Efektifitas), Efficiency (Efisiensi), Reliability (Kehandalan).
Lingkup Audit Sistem Informasi pada umumnya difokuskan kepada seluruh sumber daya TIK yang ada, yaitu Aplikasi, Informasi, Infrastruktur dan Personil.
Untuk lebih praktisnya, berikut ini adalah beberapa tujuan audit sistem informasi yang pernah dilakukan, antara lain :
üEvaluasi atas kesesuaian (strategic alignment) antara rencana strategis dan rencana tahunan organisasi dengan rencana strategis TIK, rencana tahunan TIK dan rencana proyek/program TIK.
üEvaluasi atas kelayakan struktur organisasi TIK, termasuk pemisahan fungsi (segregation of duties) dan kelayakan pelimpahan wewenang dan otoritas (delegation of authority).
üEvaluasi atas pengelolaan personil TIK, termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi/demosi/mutasi, serta terminasi personil TIK.
üEvaluasi atas pengembangan TIK, termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi dan migrasi, pelatihan dan dokumentasi TIK, serta manajemen perubahaan.
üEvaluasi atas kegiatan operasional TIK, termasuk pengelolaan keamanan dan kinerja pengelolaan pusat data (data center), pengelolaan keamanan dan kinerja jaringan data, dan pengelolaan masalah dan insiden TIK serta dukungan pengguna (helpdesk).
üEvaluasi atas kontinuitas layanan TIK, termasuk pengelolaan backup & recovery, pengelolaan prosedur darurat TIK (IT emergency plan), pengelolaan rencana pemulihan layanan TIK (IT recovery plan), serta pengujian rencana kontijensi operasional (business contigency/continuity plan).
üEvaluasi atas kualitas pengendalian aplikasi, termasuk pengendalian input, pengendalian proses dan pengendalian output.
üEvaluasi atas kualitas data/informasi, termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.
Peranan Sistem Informasi di Lembaga Pemerintahan
Dengan pemahaman bahwa manajemen TIK di lembaga pemerintahan merupakan suatu hal rumit dan kompleks serta penting bagi layanan publik, maka sudah pasti semua pimpinan lembaga pemerintahan ingin mengetahui kondisi ketatakelolaan TIK yang selama ini telah dilaksanakan di lembaganya.
Disinilah peranan Audit Sistem Informasi di dalam suatu lembaga pemerintahan, yaitu untuk memberikan suatu hasil evaluasi yang independen mengenai kesesuaian dan kinerja dari TIK yang ada, apakah sudah dapat melindungi aset TIK, menjaga integritas dan ketersediaan sistem dan data, menyediakan informasi yang relevan dan handal, dan mencapai tujuan organisasi dengan efektif, serta menggunakan sumber daya TIK dengan efisien.
Para pemeriksa dari BPK, BPKP dan Bawasda serta kantor akuntan publik atau konsultan audit yang melakukan audit atas lembaga pemerintahan, diharapkan dapat memberikan suatu hasil evaluasi yang independen atas kesesuaian dan kinerja pengelolaan TIK di lembaga pemerintahan, serta memberikan berbagai rekomendasi yang dapat dengan signifikan meningkatkan ketatakelolaan TIK di lembaga tersebut.
Keterpurukan ketatakelolaan TIK di lembaga pemerintahan saat ini, yang seringkali hanyalah berupa belanja-belanja proyek TIK tanpa kejelasan kesesuaian dan kinerja yang diharapkan, tentunya tidak lepas dari kemampuan para pemeriksa dalam melakukan evaluasi dan memberikan rekomendasi terkait ketatakelolaan TIK serta komitmen dari para pimpinan lembaga dalam menindaklanjuti rekomendasi tersebut. Audit Sistem Informasi tidak dilaksanakan untuk mencari temuan atau kesalahan, namun untuk memberikan kesimpulan serta merekomendasikan perbaikan yang dapat dilakukan atas pengelolaan TIK.
Manfaat Sistem Informasi di Lembaga Pemerintahan
Secara sederhana, dapat dikatakan bahwa Audit Sistem Informasi di lembaga pemerintahaan akan dapat memberikan banyak manfaat, antara lain :
üMeningkatkan perlindungan atas aset TIK lembaga pemerintahan yang merupakan kekayaan negara, atau dengan kata lain aset milik publik,
üMeningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik,
üMeningkatkan penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik,
üMeningkatkan peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,
üMeningkatkan efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan.
Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah dilaksanakan oleh lembaga pemerintahan.
Tidak ada komentar:
Posting Komentar