Terdapat 15 area pengendalian

Pengendalian TI didefinisikan sebagai suatu pernyataan hasil yang diinginkan atau maksud yang dicapai oleh prosedur pengendalian implementasi dalam kegiatan TI khusus.

Jawaban :

1. Integritas Sistem adalah sebuah sistem yang di dalamnya terdiri atas pilar-pilar yang mana di dalamnya terdapat pelaksanaan yang menjunjung tinggi integritas demi institusi tersebut.

    Integritas Sistem terdiri dari :
    a. Ketersediaan dan kesinambungan sistem komputer untuk user.
    b. Kelengkapan, Keakuratan, Otorisasi, serta proses yg auditable.
    c. Persetujuan dari user atas kinerja sistem yang di inginkan.
    d. Preventive maintenance agreements untuk seluruh perlengkapan.
    e. Kesesuaian kinerja antara S/W dan jaringan dengan yang diharapkan.
    f. Serta adanya program yang disusun untuk operasi secara menyeluruh.

2. Manajemen Sumber Daya adalah suatu proses menangani berbagai masalah pada ruang lingkup karyawan, pegawai, buruh, manajer dan tenaga kerja lainnya untuk dapat menunjang aktivitas organisasi atau perusahaan demi mencapai tujuan yang telah ditentukan.

    Manajemen Sumber Daya terdiri dari :
    a. Faktor-faktor yang melengkapi integritas sistem.
    b. Yaitu meyakini kelangsungan (ongoing) H/W, S/W, SO, S/W aplikasi, dan komunikasi.
        jaringan komputer, telah di pantau dan dikelola pada kinerja yang maksimal namun 

        tetap dengan biaya yang wajar.
  c. Hal-hal tersebut di dokumentasikan secara formal, demi proses yan berkesinambungan.

3. Pengendalian Perubahan S/W Aplikasi  dan S/W sistem 

    a. Menentukan adanya keterlibatan dan persetujuan user dalam hal adanya perubahan  

        terhadap s/w aplikasi dan s/w sistem
   b. Setiap pengembangan dan perbaikan aplikasi harus melalui proses formal dan di 

       dokumentasi serta telah melalui tahapan-tahapan pengembangan sistem yang 

       dibakukan dan disetujui.

4. Backup dan Recovery
    a. Demi kelangsungan usaha, harus tersedia data processing disaster recovery planning 

        (rencana pemulihan data dan pusat sistem informasi apabila terjadi kehancuran),
    b. Baik berupa backup dan pemulihan normal, maupun rencana contingency untuk 

        kerusakan pusat SI (lokasi gedung, peralatanya, SDM-nya maupun manualnya).

5. Contigency Planning
    a. Perencanaan yang komprehenshif di dalam mengantisipasi terjadinya ancaman
    b. terhadap fasilitas pemrosesan SI
    c. Dimana sebagian besar komponen utama dari disaster recovery plan telah 

     dirumuskan dengan jelas, telah di koordinasikan dan disetujui, seperti critical application 

     systems, identifikasi peralatan dan fasilitas penunjang H/W, sistem S/W dan sebagainya.

6. System S/W Support
    a. Pengukuran pengendalian dalam pengembangan, penggunaan, dan pemeliharaan 

        dari S/W SO, biasanya lebih canggih dan lebih cepat perputarannya dibandingkan 

      dengan S/W aplikasi dengan ketergantungan yang lebih besar kepada staf teknik untuk 

        integritas fungsionalnya.
    b. Pengukuran kendali pengamanan aplikasi individu maupun pengamanan logika sistem 

        secara menyeluruh (systemwide logical security).

7. Dokumentasi
    a. Integritas dan ketersediaan dokumen operasi, pengembangan aplikasi, user dan S/W 

        sistem.
    b. Diantaranya dokumentasi program dan sistem, buku pedoman operasi dan schedule 

         operasi,
    c. Untuk setiap aplikasi sebaiknya tersedia dokumentasi untuk tiap jenjang user.

8. Pelatihan atau Training
   a. Adanya penjenjagan berdasarkan kemampuan untuk seluruh lapisan manajemen dan 

       staf, dalam hal penguasaannya atas aplikasi-aplikasi dan kemampuan teknisnya.
   b. Serta rencana pelatihan yang berkesinambungan.

9. Administrasi
    a. Struktur organisasi dan bagannya, rencana strategis, tanggungjawab fungsional, job 

     description, sejalan dengan metoda job accounting dan/atau charge out yang digunakan.
    b. Termasuk didalamnya pengukuran atas proses pengadaan dan persetujuan untuk 

         semua sumber daya SI.

10. Pengendalian Lingkungan dan Keamanan Fisik
      a. Listrik, peyejuk udara, penerang ruangan, pengaturan kelembaban, serta kendali 

          akses ke sumber daya informasi.
      b. Pencegahan kebakaran, ketersediaan sumber listrik cadangan,
      c. Juga pengendalian dan backup sarana telekomunikasi.

11. Operasi
      a. Diprogram untuk merespon permintaan/keperluan SO.
      b. Review atas kelompok SO berdasarkan job schedulling, review yang terus-menerus 

          terhadap operator, retensi terhadap console log message, dokumentasi untuk 

           run/restore/backup atas seluruh aplikasi.
       c. Daftar personel, dan nomor telepon yang harus dihubungi jika muncul masalah SO, 

            penerapan sistem sift dan rotasi serta pengambilan cuti untuk setiap operator.

12. Telekomunikasi
      a. Review terhadap logical and physical access controls, AKS – Bab VII Halaman : 10
      b. Metodologi pengacakan (encryption) terhadap aplikasi electronic data interchange 

          (EDI).
     c. Adanya supervisi yang berkesinambungan terhadap jaringan komputer dan komitmen 

         untuk ketersediaan jaringan tersebut dan juga redundansi saluran telekomunikasi.

13. Program Libraries
      a. Terdapat pemisahan dan prosedur pengendalian formal untuk application source 

           code dan compiled production program code dengan yang disimpan di application 

           test libraries development.
      b. Terdapat review atas prosedur quality assurance.

14. Application Support
      a. Bahwa proses tetap dapat berlangsung walaupun terjadi kegagalan sistem.
      b. Sejalan dengan kesinambungan proses untuk inisiasi sistem baru, manajemen.
      c. proyek, proses pengujian yang menyeluruh antara user dan staf SI.
      d. Adanya review baik formal maupun informal terhadap tingkat kepuasan atas SDLC 

          yang digunakan.

15. Microcomputer Controls
      a. Pembatasan yang ketat dalam pengadaan, pengembangan aplikasi, dokumentasi 

           atas aplikasi, produksi maupun aplikasi dengan misi yang kritis, sekuriti logika, dan 

           fisik terhadap microcomputer yang dimiliki,
      b. Serta pembuatan daftar inventaris atas H/W, S/W, serta legalitas dari S/W untuk 

           menghindari tuntutan pelanggaran hak cipta

Audit SI

Audit

Kata Audit berasal dari bahasa Latin ‘Audire’ (B.N.Tandon, 2000, p.l) yang berarti ‘mendengar’, yaitu pada jaman dahulu apabila seorang pemilik usaha merasa ada suatu kesalahan atau penyalahgunaan, maka ia akan mendengarkan kesaksian orang tertentu.

Audit Sistem Informasi

Jadi Audit sistem informasi dapat didefinisikan sebagai proses pengumpulan dan evaluasi fakta/ evidence untuk menentukan apakah suatu sistem informasi telah melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif dengan menggunakan sumber daya secara efisien. Dalam pelaksanaan audit digunakan etika profesi yang dirumuskan oleh organisasi profesi Information System Audit and Control Association (ISACA).

Tahap-Tahap Audit Sistem Informasi :

Proses audit sistem informasi dilakukan berdasarkan prosedur melalui tahap-tahap sebagai berikut :

a. Perencanaan Audit (Planning The Audit)

b. Pengujian Pengendalian (Test Of Controls)

c. Pengujian Transaksi (Test Of Transaction)

d. Pengujian Keseimbangan atau Keseluruhan Hasil (Tests Of Balances or Overal Result)

e. Penyelesaian / Pengakhiran Audit (Completion Of The Audit)

Tujuan Audit Sistem Informasi

 Ada 4 tujuan Audit Sistem Informasi, yaitu :

1.    Mengamankan Asset

Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.

2.    Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya.

• Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar.
• Perlu pengorbanan biaya.
• Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

3.    Menjaga Efektifitas Sistem
-  Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya.

• Perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user)
• Apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user (misal pengambil  keputusan).
• Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya

-  Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu.
-  Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.
- Evaluasi ini akan memberikan masukan bagi pengambil keputusan apakah kinerja sistem layak dipertahankan; harus ditingkatkan atau perlu dimodifikasi; atau sistem sudah usang, sehingga harus ditinggalkan dan dicari penggantinya

4.    Efisiensi Sumber Daya
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.

Apa yang dimaksud dengan konsep 'Proses Pencapaian Tujuan' ?

Pengendalian internal telah mengalami perubahan dari konsep 'ketersediaan pengendalian' ke konsep 'proses pencapaian tujuan'. Apakah maksud dari konsep 'Proses Pencapaian Tujuan' tersebut ?

Jawab :

Konsep 'Proses pencapaian tujuan’  artinya untuk mencapai sebuah tujuan bukan lagi berada tingkat atas (pemimpin) akan tetapi berada ditingkat bawah karena mereka itu yang deket dengan para konsumenya sehingga mengatahui dan mengerti apa yang dibutuhkan oleh pasar. Dan mereka juga memiliki keahlian sesuai dengan bidangnya. Pengorganisasian yang paling tepat untuk kondisi seperti ini adalah pengorganisasian orkes simponi. Organisasi ini sepenuhnya akan digerakan oleh dinamika para pekerja (ujung tombak) sesuai spesialisai masing-masing.

Untuk menjaga kekompakan agar terjadi irama yang serasi dibutuhkan seorang manajer yang berfungsi sebagai konduktor. Manajer tersebut tidak lagi harus memiliki pengetahuan teknis seperti yang dimiliki pemain orkesnya, tetapi yang diperlukan hanya seorang yang mampu mengatur tempo dan menguasai tingkatan nada. 

Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan langkah-langkah utama pelaksanaan program keamanan

Perencanaan Keamanan Sistem keamanan jaringan komputer yang terhubung ke internet harus direncanakan dan dipahami dengan baik agar dapat melindungi investasi dan sumber daya di dalam jaringan komputer tersebut secara efektif. Sebelum mulai mengamankan suatu jaringan komputer, harus ditentukan terlebih dahulu tingkat ancaman (threat) yang harus diatasi dan resiko yang harus diambil maupun yang harus dihindari. Untuk itu, jaringan komputer harus dianalisa untuk mengetahui apa yang harus diamankan, untuk apa diamankan, seberapa besar nilainya, dan siapa yang bertanggung jawab terhadap data dan asset-aset lain di dalam jaringan komputer tersebut. Di bawah ini adalah hal-hal yang harus dimengerti dalam perencanaan kebijakan keamanan jaringan komputer: 

1. Risiko

Resiko adalah suatu kemungkinan di mana penyusup berhasil mengakses komputer di dalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi pemilik jaringan komputer tersebut? Apakah penyusup dapat merusak data yang penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugian terhadap pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat memperoleh hak akses terhadap suatu account, maka dia dapat dengan menyamar sebagai pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman di dalam suatu jaringan komputer dapat berakibat seluruh jaringan komputer menjadi tidak aman.  

2. Ancaman

Pada dasarnya ancaman datang dari seorang yang mempunyai keinginan memperoleh akses ilegal ke dalam suatu jaringan komputer. Oleh karena itu harus ditentukan siapa saja yang diperbolehkan mempunyai akses legal ke dalam sistem dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang ingin dicapai oleh penyusup dan akan sangat berguna bila dapat membedakan mereka pada saat merencanakan sistem keamanan jaringan komputer. Beberapa tujuan para penyusup antara lain: Pada dasarnya hanya ingin tahu sistem dan data yang ada pada suatu jaringan komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini sering disebut The Curious. Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya. Penyusup yang mempunyai tujuan seperti ini sering disebut dengan The Malicious. Berusaha untuk menggunakan sumber daya di dalam sistem jaringan komputer untuk memperoleh popularitas. Penyusup jenis ini sering disebut dengan The High-Profile Intruder. Ingin tahu data apa yang ada di dalam jaringan komputer sasaran untuk selanjutnya dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan The Competition.

3. Kelemahan

Kelemahan menggambarkan seberapa kuat sistem keamanan suatu jaringan komputer terhadap jaringan komputer yang lain dan kemungkinan bagi seseorang untuk mendapat akses illegal ke dalamnya. Risiko apa yang bakal dihadapi bila seseorang berhasil membobol sistem keamanan suatu jaringan komputer? Tentu saja perhatian yang harus dicurahkan terhadap sambungan Point to Point Protocol secara dinamis dari rumah akan berbeda dengan perhatian yang harus dicurahkan terhadap suatu perusahaan yang tersambung ke internet atau jaringan komputer besar yang lain. Seberapa besar waktu yang dibutuhkan untuk mendapatkan kembali data yang rusak atau hilang? Suatu investasi untuk pencegahan akan dapat memakan waktu sepuluh kali lebih cepat dari pada waktu yang diperlukan untuk mendapatkan kembali data yang hilang atau rusak.

Sumber : Detikinet.com

Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?

1. Aset Fisik

•  Personel (end users, analyst, programmers, operators, clerks, Guards).

• Hardware (media penyimpanan, dan periperal) seperti Mainfarme, minicomputer, microcomputer, disk, printer, communication lines, concentrator, terminal).

• Fasilitas (Furniture, office space, computer rrom, tape storage rack).

• Dokumentasi (System and program doc.,database doc.,standards plans, insurance policies, contracts).

• Supplies (Negotiable instrument, preprinted forms, paper, tapes, cassettes).

2. Aset logika

• Data atau informasi dan software termasuk sistem (Compilers, utilities, DBMS, OS, Communication Software, Spreadsheets).

• Aplikasi (Debtors, creditors, payroll, bill-of-materials, sales, inventory).

sumber :

http://farida.staff.gunadarma.ac.id/Downloads/folder/0.7