View
318
Download
0
Category
Tags:
Preview:
DESCRIPTION
Information Systems Controls for Systems Reliability 1. Confidentiality 2. Privacy 3. Processing integrity 4. Availability sumber: Accounting Information Systems 20 edition, Marshall B. Romney
Citation preview
Chapter 9 & 10
Information Systems Controls for Systems Reliability
Maya CiptaningtyasYahya Astiar
Umi BadriyahDewi Novita Wulandari
Sistem yang dapat diandalkan memenuhi lima prinsip : Information Security
(dibahas di Chapter 8) Confidentiality Privacy Processing integrity AvailabilitySECURITY
CO
NF
IDE
NT
IALI
TY
PR
IVA
CY
PR
OC
ES
SIN
G I
NT
EG
RIT
Y
AV
AIL
AB
ILIT
Y
SYSTEMSRELIABILITY
Confidentiality and Privacy
SECURITY
CO
NF
IDE
NT
IALI
TY
PR
IVA
CY
PR
OC
ES
SIN
G I
NT
EG
RIT
Y
AV
AIL
AB
ILIT
Y
SYSTEMSRELIABILITY
KERAHASIAAN
Sistem yang handal menjaga kerahasiaan informasi
yang penting. Menjaga kerahasiaan mengharuskan
manajemen mengidentifikasi informasi apa yang
penting yang biasanya disebut dengan Intellectual
property (kekayaan intelektual) meliputi:
Rencana Strategis
Rahasia Dagang
Biaya informasi
Dokumen hukum
Proses perbaikan
Langkah Melindungi Kerahasiaan
•Dimana informasi, siapa yang memiliki akses ke sana?
•Klasifikasikan nilai informasi
Identifikasi &
Klasifikasi
•Proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengentahuan khusus.
Enkripsi
•Kontrol otorisasi yang kuat harus digunakan untuk membatasi tindakan (membaca, menulis, mengubah, menghapus, menyalin, dll) pihak lain yang tidak berwewenang untuk mengakses informasi rahasia
Kontrol Akses
•Informasi yang boleh diketahui oleh pihak luar dan informasi yang harus dirahasiakan
•Cara penggunaan enkripsi software
•Menutup informasi rahasia sebelum meninggalkan komputer
Pelatihan
PRIVASI
Berhubungan dengan melindungi informasi pelanggan vs informasi internal perusahaan
Metode pengendalian
Identifikasi dan klasifikasi
Enkripsi
Kontrol akses
Pelatihan
Privacy Concerns
SPAM
email yang tidak dikehendaki oleh pemilik email yang berisi iklan atau konten yang menyinggung.
Controlling the Assault of Non-Solicited Pornography & Marketing (CAN-SPAM)
Hukuman pidana dan perdata untuk spamming
Identity Theft (pencurian identitas)
Penggunaan tidak sah informasi pribadi orang lain untuk keuntungan pelaku.
Perusahaan memiliki akses untuk mengakses informasi tersebut dan dengan demikian harus menjaga privasi pelanggan.
10 Metode Untuk Melindungi Privasi Pelanggan
1. Manajemen
2. Pemberitahuan
3. Pilihan & persetujuan
4. Koleksi
5. Gunakan & simpan
6. Akses
7. Pengungkapan kepada pihak ke-3
8. Keamanan
9. Kualitas
10.Pelaksanaan & pengawasan
Enkripsi
Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 278
Kekuatan Enkripsi
Panjang keyword
Jumlah bit (karakter) yang digunakan untuk mengubah teks menjadi blok-blok
Umumnya 256 karakter
Alogaritma
Proses atau cara mengkombinasikan teks dan kunci untuk membuat tulisan yang tidak terbaca
Kebijakan kunci enkripsi
Disimpan dengan aman dengan kode akses yang kuat
Tipe Enkripsi
Simetris
Satu kunci untuk mengenkripsi dan mendekripsi
Kelebihan : cepat
Kelemahan : rentan diketahui
Asimetris
Kunci yang berbeda untuk mengkripsi dan mendekripsi
Kelebihan : sangat aman
Kelemahan : sangat lambat
Hashing
Salah satu struktur data yang digunakan
dalam penyimpanan data sementara.
Tujuan dari hashing adalah untuk
mempercepat pencarian kembali dari
banyak data yang disimpan.
Apabila informasi mengalami perubahan
maka kode hash juga akan berubah,
sehingga dapat memastikan verifikasi
informasi
Digital Signature Hash dari sebuah dokumen
menggunakan kunci pencipta dokumen
Memberikan bukti:
Dokumen yang belum diubah
Dari yang membuat dokumen
Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 281
Digital Certificate
Dokumen elektronik yang berisi kunci
publik entitas
Menyatakan identitas pemilik kunci publik
Diterbitkan oleh Certificate Authority
Virtual Private Network (VPN)
Saluran komunikasi pribadi biasa disebut sebagai
terowongan (tunnels), yang hanya dapat diakses oleh pihak
yang memiliki enkripsi yang sesuai dan kunci dekripsi
(memiliki user ID dan password tertentu)
Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 284
Processing Integrity and Availability
SECURITY
CO
NF
IDE
NT
IALI
TY
PR
IVA
CY
PR
OC
ES
SIN
G I
NT
EG
RIT
Y
AV
AIL
AB
ILIT
Y
SYSTEMSRELIABILITY
INTEGRITAS PEMROSESAN
Ada tiga kategori pengendalian yang dapat
digunakan untuk menghasilkan system yang
handal
Pengendalian Input
Pengendalian Proses
Pengendalian Output
1. Pengendalian Input
Garbage-in, Garbage-out
Apabila data yang dimasukkan ke dalam sistem tidak
akurat, tidak lengkap, atau tidak valid maka hasil
akhirnya juga akan sama saja. Input berikut adalah
kontrol integritas yang mengatur masukan.
a. Bentuk desain
b. Pembatalan & penyimpan Dokumen
c. Pengendalian data entry
Data Entry Checks Field check Sign check Limit check Range check Size check Completeness check Validity check Reasonableness check Check digit verification Prompting Close-loop verification
Pemrosesan tumpukan
Batch Processing
Masukan beberapa dokumen sumber sekaligus dalam satu kelompok.
Batch Totals
Membandingkan total input dengan total output
Finansial
Hash
Record count
2. Pengendalian Proses Data yang cocok
Label file
Perhitungan kembali total batch
Cross-Footing and Zero Balance Tests
Write Protection
Pengendalian pembaruan bersamaan
3. Pengendalian Output Review pengguna (user)
Reconciliation
Kontrol pengiriman data
Periksa jumlah
Parity checking
KETERSEDIAAN
Sistem yang handal tersedia untuk digunakan kapan pun diperlukan.
Untuk memungkinkan fungsi tersebut maka perlu dikembangkan :
Meminimalkan risiko sistem downtime Pemeliharaan pencegahan
Toleransi kesalahan
Lokasi data pusat
Pelatihan
Manajemen patch
Pemulihan & memulai kembali operasi normal Back-up
Incremental
Diferensial
Business Continuity Plan (BCP)
Tidak hanya pada operasi teknologi informasi melainkan pada semua proses bisnis.
Disaster Recovery Plan (DRP)
Prosedur untuk mengembalikan fungsi TI pada suatu organisasi dalam hal hancurnya data center karena bencana alam atau terorisme.
Cold Site
Hot Site
Pusat data sekunder
Mengubah Pengendalian
Proses formal yang digunakan untuk memastikan bahwa modifikasi hardware, software, atau proses tidak mengurangi keandalan sistem.
1) Perubahan perlu didokumentasikan.
2) Perubahan harus disetujui oleh manajer yang tepat.
3) Perubahan perlu diuji sebelum diimplementasikan.
4) Semua dokumentasi perlu diperbarui untuk perubahan.
5) Backout rencana perlu dikembangkan.
6) Hak pengguna dan hak istimewa perlu dipantau selama perubahan.
1. Problem 9.5.
Create a spreadsheet to compare current monthly
mortgage payments versus the new monthly payments
if the loan were refinanced, as shown:
a. Restrict access to the spreadsheet by encrypting it.
b. Further protect the spreadsheet by limiting users to
only being able to select and enter data in the six
cells without borders.
KASUS
Problem 9.5. (cont…)
a. Restrict access to the spreadsheet by
encrypting it. (Membatasi akses spreadsheet
dengan mengenkripsinya. )
Langkah pertama:
Gunakan Microsoft Excel 2007, pilih menu
Prepare dan kemudian klik Encrypt
Document. (lihat gambar)
Problem 9.5. (cont…)
Problem 9.5. (cont…)
Langkah kedua:
Masukkan password yang mudah diingat.
Problem 9.5. (cont…)
b. Further protect the spreadsheet by limiting
users to only being able to select and enter
data in the six cells without borders.
(Melindungi spreadsheet dengan membatasi
pengguna untuk memasukkan data ke dalam
enam sel tanpa batas.)
Untuk melindungi dua sel yang berisi rumus
(kotak merah), lakukan langkah berikut:
1) Pilih sel (D6: D8) dan (D11: D13).
2) Kemudian pilih menu Format dan klik
Format Cells. (lihat gambar)
Problem 9.5. (cont…)
Problem 9.5. (cont…)
Hapus centang pada kotak di samping “Locked", karena
ini menjadikan enam sel tersebut tidak dilindungi pada
langkah berikutnya.
Problem 9.5. (cont…)
Pilih menu Format, klik "Protect Sheet“, kemudian:
1) masukkan password, dan
2) hapus centang pada kotak “Select Locked Cells“ (lihat gambar). Ini akan melindungi seluruh sel kecuali sel yang tidak dilindungi pada langkah sebelumnya. Pengguna hanya dapat bergerak di antara enam sel terkunci tersebut. Pastikan untuk mengingat password yang telah dipilih pada langkah sebelumnya, karena itu adalah satu-satunya cara untuk membuka spreadsheet.
Problem 9.5. (cont…)
2. Problem 10.9.
Create data validation rules in a spreadsheet to
perform each of the following controls:
a. Limit check – that values in the cell are < 70
b. Range check – that values in the cell are between
15 and 65
c. Sign check – that values in the cell are positive
d. Field check – that values in a cell are only numeric
e. Size check – that cell accepts no more than 40
characters of text
f. Reasonableness check – that cell’s value is less than
75% of cell to its left
g. Validity check – that a value exists in a list of
allowable values
KASUS
Problem 10.9. (cont...)
a. Limit check – that values in the cell are < 70
Problem 10.9. (cont...)
b. Range check – that values in the cell are between
15 and 65
Problem 10.9. (cont...)
c. Sign check – that values in the cell are positive
Problem 10.9. (cont...)
d. Field check – that values in a cell are only numeric
Problem 10.9. (cont...)
e. Size check – that cell accepts no more than 40
characters of text
Problem 10.9. (cont...)
f. Reasonableness check – that cell’s value is less than
75% of cell to its left
Problem 10.9. (cont...)
g. Validity check – that a value exists in a list of
allowable values
Recommended