# Jenis-Jenis Ancaman
Terhadap Sistem Informasi
Keamanan merupakan faktor penting yang perlu
diperhatikan dalam pengoperasian sistem informasi, yang dimaksudkan untuk
mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat
segala kerusakan sistem.
Ancaman terhadap sistem informasi dapat dibagi menjadi
dua macam, yaitu ancaman aktif dan ancaman pasif.
a. Ancaman aktif, mencakup:
1. kecurangan
2. kejahatan terhadap komputer
b. Ancaman pasif, mencakup:
1. kegagalan system
2. kesalahan manusia
3. bencana alam
Tabel 1.1:
Ancaman lain berupa kecurangan
dan kejahatan komputer. Ancaman ini mendasarkan pada komputer sebagai alat
untuk melakukan tindakan yang tidak benar. Penggunaan sistem berbasis komputer
terkadang menjadi rawan terhadap kecurangan (fraud)dan pencurian.
Metode yang umum digunakan oleh orang dalam melakukan
penetrasi terhadap sistem berbasis komputer ada 6 macam (Bonar dan Hopwood,
1993), yaitu:
- Pemanipulasian masukan.
- Penggantian program.
- Penggantian secara langsung.
- Pencurian data.
- Sabotase.
- Penyalahgunaan dan pencurian sumber daya komputasi.
Dalam banyak kecurangan terhadap komputer, pemanipulasian masukan merupakan metode yang paling banyak digunakan, mengingat hal ini bisa dilakukan tanpa memerlukan ketrampilan teknis yang tinggi. Pemanipulasian melalui program biasa dilakukan oleh para spesialis teknologi informasi.Pengubahan berkas secara langsung umum dilakukan oleh orang yang punya akses secara langsung terhadap basis data.
Pencurian data kerap kali dilakukan oleh “orang dalam”
untuk dijual. Salah satu kasus terjadi pada Encyclopedia Britanica Company
(bodnar dan Hopwood, 1993). Perusahaan ini menuduh seorang pegawainya menjual
daftar nasabah ke sebuah pengiklan direct mail seharga $3
juta.
Sabotase dapat dilakukan dengan berbagai cara. Istilah
umum untuk menyatakan tindakan masuk kedalam suatu sistem komputer tanpa
otorisasi, yaitu hacking. Pada masa kerusuhan rahun 1998, banyak
situs Web badan-badan pemerintah di Indonesia diacak-acak oleh para cracker.
# Ruang lingkup pengendalian SIA
Pengendalian
Internal
Pengendalian
internal adalah rencana organisasi dan metode bisnis yang dipergunakan
untuk
menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.
menjaga aset, memberikan informasi yang akurat dan andal, mendorong dan memperbaiki efisiensi jalannya organisasi, serta mendorong kesesuaian dengan kebijakan yang telah ditetapkan.
Paling
tidak terdapat tiga kerangka pengendalian yang digunakan secara luas:
1.COBIT (Control Objective for Information and Related Technology)
Dikembangkan
pertama kali oleh Information System Audit and Control
Association (ISACA) tahun 1992 yang kemudian dikelola oleh The IT Governance Institute (ITGI) ±sebuah badan
afiliasi ISACA ± hingga kini. COBITmerupakan kerangka pengendalian internal
yang diterima secara umum untuk teknologi informasi (TI). COBIT
diterjemahkan
ke dalam empat proses:
Plan
and Organise (PO)²menyediakan arahan untuk solusi dan pelayanan solusinya.
Acquire and Implement
(AI)²menyediakan solusi dan mengubahnya menjadi pelayanan
Deliver and Support
(DS)²menerima solusi dan membuatnya berguna bagi organisasi
Monitor and Evaluate
(ME)²memantau seluruh proses agar menjamin bahwa semua arahan diikuti
2. COSO
Internal Control Frameworks (COSO)
Dikembangkan
oleh The
Committee of Sponsoring Organization of the Treadway Commission sejak sebelum 1980 yang kemudian
dikembangkan hingga kini. COSO Internal
Control Framework lebih dikenal sebagai acuan yang diterima umum dalam pengendalian internal
perusahaan dan kaitannya dengan pelaporan keuangan dan
proses operasi.
Pengendalian
internal menurut COSO terdiri dari:
Lingkungan Pengendalian
Penilaian Risiko
Aktifitas Pengendalian
Informasi dan Komunikasi
Pemantauan
3. COSO
Enterprise Risk Management (ERM)
Merupakan
kerangka pengendalian internal dan manajemenrisiko yang dirancang COSO sebagai
pengembangan darikerangka sebelumnya, COSO Internal Control
Framework. Perbedaan mendasar dari COSO adalah bahwa ERMmengintegrasikan
keandalan kerangka pengendalian internalCOSO ke arah penilaian dan pengelolaan
risiko. ERMmengandung beberapa elemen utama menurut tingkatorganisasi dan
tingkat tujuan:
Lingkungan Internal
Penentuan Tujuan
Identifikasi Peristiwa
Penilaian Risiko
Tanggapan Risiko
Aktifitas Pengendalian
Informasi dan Komunikasi
Pemantauan
* COSO
memandang bahwa pengendalian internal secara umum adalah:
Sebuah
proses, yang dilaksanakan oleh dewan direksi,manajemen, dan personil lainnya,
yang dirancang untuk menyajikan keyakinan memadai terkait dengan pencapaian
tujuan-tujuan dibawah ini:
Efektifitas
dan efisiensi operasi
Keandalan
pelaporan keuangan
Kepatuhan
terhadap hukum dan peraturan
# Aktifitas & Proses pendendalian SIA
Secara umum, prosedur
pengendalian termasuk dalam satu dari lima kategori berikut ini:
Otorisasi transaksi dan
kegiatan yang memadai
Pemisahan tugas
Desain dan penggunaan
dokumen serta catatan yang memadai.
Penjagaan aset dan catatan
yang memadai.
Pemeriksaan independen atas
kinerja.
# Pengawasan Kinerja SIA
Komponen dari pengendalian internal adalah pengawasan.
Metode utama untuk mengawasi kinerja mencakup:
1. Supervisi yang efektif
2. Akuntansi pertanggungjawaban
3. Audit internal
1. Supervisi yang efektif
2. Akuntansi pertanggungjawaban
3. Audit internal
Sumber :
