Chapter 9 & 10

Information Systems Controls for Systems Reliability

Maya CiptaningtyasYahya Astiar

Umi BadriyahDewi Novita Wulandari

Sistem yang dapat diandalkan memenuhi lima prinsip : Information Security

(dibahas di Chapter 8) Confidentiality Privacy Processing integrity AvailabilitySECURITY

CO

NF

IDE

NT

IALI

TY

PR

IVA

CY

PR

OC

ES

SIN

G I

NT

EG

RIT

Y

AV

AIL

AB

ILIT

Y

SYSTEMSRELIABILITY

Confidentiality and Privacy

SECURITY

CO

NF

IDE

NT

IALI

TY

PR

IVA

CY

PR

OC

ES

SIN

G I

NT

EG

RIT

Y

AV

AIL

AB

ILIT

Y

SYSTEMSRELIABILITY

KERAHASIAAN

Sistem yang handal menjaga kerahasiaan informasi

yang penting. Menjaga kerahasiaan mengharuskan

manajemen mengidentifikasi informasi apa yang

penting yang biasanya disebut dengan Intellectual

property (kekayaan intelektual) meliputi:

Rencana Strategis

Rahasia Dagang

Biaya informasi

Dokumen hukum

Proses perbaikan

Langkah Melindungi Kerahasiaan

•Dimana informasi, siapa yang memiliki akses ke sana?

•Klasifikasikan nilai informasi

Identifikasi &

Klasifikasi

•Proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengentahuan khusus.

Enkripsi

•Kontrol otorisasi yang kuat harus digunakan untuk membatasi tindakan (membaca, menulis, mengubah, menghapus, menyalin, dll) pihak lain yang tidak berwewenang untuk mengakses informasi rahasia

Kontrol Akses

•Informasi yang boleh diketahui oleh pihak luar dan informasi yang harus dirahasiakan

•Cara penggunaan enkripsi software

•Menutup informasi rahasia sebelum meninggalkan komputer

Pelatihan

PRIVASI

Berhubungan dengan melindungi informasi pelanggan vs informasi internal perusahaan

Metode pengendalian

Identifikasi dan klasifikasi

Enkripsi

Kontrol akses

Pelatihan

Privacy Concerns

SPAM

email yang tidak dikehendaki oleh pemilik email yang berisi iklan atau konten yang menyinggung.

Controlling the Assault of Non-Solicited Pornography & Marketing (CAN-SPAM)

Hukuman pidana dan perdata untuk spamming

Identity Theft (pencurian identitas)

Penggunaan tidak sah informasi pribadi orang lain untuk keuntungan pelaku.

Perusahaan memiliki akses untuk mengakses informasi tersebut dan dengan demikian harus menjaga privasi pelanggan.

10 Metode Untuk Melindungi Privasi Pelanggan

1. Manajemen

2. Pemberitahuan

3. Pilihan & persetujuan

4. Koleksi

5. Gunakan & simpan

6. Akses

7. Pengungkapan kepada pihak ke-3

8. Keamanan

9. Kualitas

10.Pelaksanaan & pengawasan

Enkripsi

Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 278

Kekuatan Enkripsi

Panjang keyword

Jumlah bit (karakter) yang digunakan untuk mengubah teks menjadi blok-blok

Umumnya 256 karakter

Alogaritma

Proses atau cara mengkombinasikan teks dan kunci untuk membuat tulisan yang tidak terbaca

Kebijakan kunci enkripsi

Disimpan dengan aman dengan kode akses yang kuat

Tipe Enkripsi

Simetris

Satu kunci untuk mengenkripsi dan mendekripsi

Kelebihan : cepat

Kelemahan : rentan diketahui

Asimetris

Kunci yang berbeda untuk mengkripsi dan mendekripsi

Kelebihan : sangat aman

Kelemahan : sangat lambat

Hashing

Salah satu struktur data yang digunakan

dalam penyimpanan data sementara.

Tujuan dari hashing adalah untuk

mempercepat pencarian kembali dari

banyak data yang disimpan.

Apabila informasi mengalami perubahan

maka kode hash juga akan berubah,

sehingga dapat memastikan verifikasi

informasi

Digital Signature Hash dari sebuah dokumen

menggunakan kunci pencipta dokumen

Memberikan bukti:

Dokumen yang belum diubah

Dari yang membuat dokumen

Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 281

Digital Certificate

Dokumen elektronik yang berisi kunci

publik entitas

Menyatakan identitas pemilik kunci publik

Diterbitkan oleh Certificate Authority

Virtual Private Network (VPN)

Saluran komunikasi pribadi biasa disebut sebagai

terowongan (tunnels), yang hanya dapat diakses oleh pihak

yang memiliki enkripsi yang sesuai dan kunci dekripsi

(memiliki user ID dan password tertentu)

Sumber: Accounting Information Systems edisi 20, Marshall B. Romney hal. 284

Processing Integrity and Availability

SECURITY

CO

NF

IDE

NT

IALI

TY

PR

IVA

CY

PR

OC

ES

SIN

G I

NT

EG

RIT

Y

AV

AIL

AB

ILIT

Y

SYSTEMSRELIABILITY

INTEGRITAS PEMROSESAN

Ada tiga kategori pengendalian yang dapat

digunakan untuk menghasilkan system yang

handal

Pengendalian Input

Pengendalian Proses

Pengendalian Output

1. Pengendalian Input

Garbage-in, Garbage-out

Apabila data yang dimasukkan ke dalam sistem tidak

akurat, tidak lengkap, atau tidak valid maka hasil

akhirnya juga akan sama saja. Input berikut adalah

kontrol integritas yang mengatur masukan.

a. Bentuk desain

b. Pembatalan & penyimpan Dokumen

c. Pengendalian data entry

Data Entry Checks Field check Sign check Limit check Range check Size check Completeness check Validity check Reasonableness check Check digit verification Prompting Close-loop verification

Pemrosesan tumpukan

Batch Processing

Masukan beberapa dokumen sumber sekaligus dalam satu kelompok.

Batch Totals

Membandingkan total input dengan total output

Finansial

Hash

Record count

2. Pengendalian Proses Data yang cocok

Label file

Perhitungan kembali total batch

Cross-Footing and Zero Balance Tests

Write Protection

Pengendalian pembaruan bersamaan

3. Pengendalian Output Review pengguna (user)

Reconciliation

Kontrol pengiriman data

Periksa jumlah

Parity checking

KETERSEDIAAN

Sistem yang handal tersedia untuk digunakan kapan pun diperlukan.

Untuk memungkinkan fungsi tersebut maka perlu dikembangkan :

Meminimalkan risiko sistem downtime Pemeliharaan pencegahan

Toleransi kesalahan

Lokasi data pusat

Pelatihan

Manajemen patch

Pemulihan & memulai kembali operasi normal Back-up

Incremental

Diferensial

Business Continuity Plan (BCP)

Tidak hanya pada operasi teknologi informasi melainkan pada semua proses bisnis.

Disaster Recovery Plan (DRP)

Prosedur untuk mengembalikan fungsi TI pada suatu organisasi dalam hal hancurnya data center karena bencana alam atau terorisme.

Cold Site

Hot Site

Pusat data sekunder

Mengubah Pengendalian

Proses formal yang digunakan untuk memastikan bahwa modifikasi hardware, software, atau proses tidak mengurangi keandalan sistem.

1) Perubahan perlu didokumentasikan.

2) Perubahan harus disetujui oleh manajer yang tepat.

3) Perubahan perlu diuji sebelum diimplementasikan.

4) Semua dokumentasi perlu diperbarui untuk perubahan.

5) Backout rencana perlu dikembangkan.

6) Hak pengguna dan hak istimewa perlu dipantau selama perubahan.

1. Problem 9.5.

Create a spreadsheet to compare current monthly

mortgage payments versus the new monthly payments

if the loan were refinanced, as shown:

a. Restrict access to the spreadsheet by encrypting it.

b. Further protect the spreadsheet by limiting users to

only being able to select and enter data in the six

cells without borders.

KASUS

Problem 9.5. (cont…)

a. Restrict access to the spreadsheet by

encrypting it. (Membatasi akses spreadsheet

dengan mengenkripsinya. )

Langkah pertama:

Gunakan Microsoft Excel 2007, pilih menu

Prepare dan kemudian klik Encrypt

Document. (lihat gambar)

Problem 9.5. (cont…)

Problem 9.5. (cont…)

Langkah kedua:

Masukkan password yang mudah diingat.

Problem 9.5. (cont…)

b. Further protect the spreadsheet by limiting

users to only being able to select and enter

data in the six cells without borders.

(Melindungi spreadsheet dengan membatasi

pengguna untuk memasukkan data ke dalam

enam sel tanpa batas.)

Untuk melindungi dua sel yang berisi rumus

(kotak merah), lakukan langkah berikut:

1) Pilih sel (D6: D8) dan (D11: D13).

2) Kemudian pilih menu Format dan klik

Format Cells. (lihat gambar)

Problem 9.5. (cont…)

Problem 9.5. (cont…)

Hapus centang pada kotak di samping “Locked", karena

ini menjadikan enam sel tersebut tidak dilindungi pada

langkah berikutnya.

Problem 9.5. (cont…)

Pilih menu Format, klik "Protect Sheet“, kemudian:

1) masukkan password, dan

2) hapus centang pada kotak “Select Locked Cells“ (lihat gambar). Ini akan melindungi seluruh sel kecuali sel yang tidak dilindungi pada langkah sebelumnya. Pengguna hanya dapat bergerak di antara enam sel terkunci tersebut. Pastikan untuk mengingat password yang telah dipilih pada langkah sebelumnya, karena itu adalah satu-satunya cara untuk membuka spreadsheet.

Problem 9.5. (cont…)

2. Problem 10.9.

Create data validation rules in a spreadsheet to

perform each of the following controls:

a. Limit check – that values in the cell are < 70

b. Range check – that values in the cell are between

15 and 65

c. Sign check – that values in the cell are positive

d. Field check – that values in a cell are only numeric

e. Size check – that cell accepts no more than 40

characters of text

f. Reasonableness check – that cell’s value is less than

75% of cell to its left

g. Validity check – that a value exists in a list of

allowable values

KASUS

Problem 10.9. (cont...)

a. Limit check – that values in the cell are < 70

Problem 10.9. (cont...)

b. Range check – that values in the cell are between

15 and 65

Problem 10.9. (cont...)

c. Sign check – that values in the cell are positive

Problem 10.9. (cont...)

d. Field check – that values in a cell are only numeric

Problem 10.9. (cont...)

e. Size check – that cell accepts no more than 40

characters of text

Problem 10.9. (cont...)

f. Reasonableness check – that cell’s value is less than

75% of cell to its left

Problem 10.9. (cont...)

g. Validity check – that a value exists in a list of

allowable values