Rabu, 27 November 2013

Makalah sistem informasi akuntansi

Kata Pengantar


Makalah ini disusun untuk melengkapi tugas Sistem Informasi Akuntansi yaitu dengan materi dan dapat membantu para mahasiswa dalam mengikuti mata kuliah Sitem Informasi Akuntansi.
            Pada makalah ini diberikan materi tentang Penipuan dan Pengamanan Komputer.
            Penyusun menyadari bahwa makalah ini masih banyak kekurangan dan sangat jauh dari sempurna, baik dari segi isi, susunan, maupun bahasa. Untuk itu segala tegur sapa dan kritik membangun dari segenap pembaca  sangat Penyusun harapan. Mudah – mudahan bias menjadi lebih baik.
            Demikian, mudah – mudahan makalah ini benar -  benar dapat bermanfaat bagi pembaca.

Sistem Keamanan Terkomputerisasi
            Keamanan sistem informasi adalah subsistem dari organisasi yang mengontrol risiko khusus yang terkait dengan sistem informasi berbasis-komputer. Sistem keamanan komputer memiliki elemen dasar dari suatu sistem informasi, seperti perangkat keras, database prosedur, dan laporan. Misalnya, data mengenai pemakaian perangkat lunak dan pelanggaran keamanan bisa dikumpulkan dalam waktu nyata, disimpan dalam database, dan digunakan untuk membuat laporan.
Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik adalah sebuah sistem informasi yang perkembangannya membutuhkan aplikasi dari pendekatan siklus-hidup. Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis sistem yang dibuat; dirancang; implementasi; dan operasi, evaluasi, dan kontrol. Tujuan masing-masing fase siklus-hidup ini adalah sebagai berikut:
FASE SIKLUS - HIDUP
TUJUAN
Analisis sistem
Menganalisis kerapuhan sistem dalam konteks ancaman yang berhubungan dan penyingkapan kerugian mereka yang terkait.
Rancangan sistem
Merancang ukuran keamanan dan rencana kemungkinan untuk mengontrol penyingkapan kerugian yang dikenali.
Implementasi sistem
Mengimplementasikan ukuran keamanan seperti yang dirancang.
Operasional, evaluasi dan kontrol sistem
Mengoperasikan sistem dan menaksir efektivitas dan efisiensinya. Membuat perubahan saat keadaan membutuhkan.
Secara kolektif, keempat fase itu dianggap sebagai manajemen resiko sistem informasi. Manajemen risiko sistem informasi adakah proses menaksir dan mengontrol risiko sistem komputer.
FASE SIKLUS-HIDUP
LAPORAN KE  DEWAN DIREKSI
Analisis sistem
Ringkasan dari semua penyingkapan kerugian yang berhubungan.
Rancangan sistem
Rencana rinci untuk mengontrol dan mengatur kerugian, termasuk anggaran sistem keamanan komputer yang langka.
Implementasi sistem operasional, evaluasi dan kontrol sistem
Khusus pada penampilan sistem keamanan komputer termasuk perincian kerugian dan pelanggaran keamanan, analisis pemenuhan, dan biaya mengoperasionalkan sistem keamanan.

Sistem Keamanan Informasi dalam Organisasi
Bila sistem keamanan informasi menjadi efektif, ini haruslah diatur oleh kepala petugas keamanan/chief security officer (CSO). Orang ini harus melapor langsung kepada dewan direktur untuk memelihara independensi secara penuh. Kewajiban utama dari CSO adalah memberikan laporan kepada dewan direktur untuk disetujui yang mencakup setiap fase dari siklus hidup.
Menganalisis Kerapuhan dan Ancaman
Terdapat dua pendekatan dasar atau metode untuk menganalisis kerapuhan dan ancaman sistem. Dalam pendekatan kuantitatif kepada penaksiran resiko, setiap penyingkapan kerugian dihitung sebagai produk dari biaya kerugian seseorang dikali kemungkinan terjadinya. Beberapa kesulitan dalam menerapkan pendekatan kuantitatif untuk menaksir penyingkapan kerugian yaitu, pertama, mengidentifikasi biaya per kerugian yang relevan dan kemungkinan terkait yang bisa menyulitkan. Biaya relevan dari sebuah kerugian adalah penurunan keuntungan perusahaan sebagai hasil dari terjadinya kerugian. Tetapi, biaya ini bisa menyulitkan untuk diperkirakan karena bisa melibatkan perkiraan biaya interupsi bisnis yang tidak bisa diprediksi atau memperkirakan biaya penggantian sebuah komputer yang hanya bisa digantikan dengan model lebih baru. Kedua, memperkirakan kemungkinan kegagalan tertentu pada masa depan, yang sangat sulit karena perkembangan teknologi yang cepat berubah. Sebagai contoh, banyak manajer gagal dalam meramalkan virus komputer. Selanjutnya, dalam memprediksi kemungkinan serangan yang secara sengaja pada sistem, orang harus memperkirakan biaya dan keuntungan serangan bagi pelaku potensial. Namun, perkiraan ini membutuhkan asumsi tentang pilihan resiko pelaku.
Metode kedua penaksiran risiko untuk keamanan komputer adalah pendekatan kualitatif. Pendekatan ini hanya mendaftarkan kerapuhan dan ancaman sistem, secara subjektif mengatur mereka dengan urutan atas kontribusi mereka kepada penyingkapan kerugian total perusahaan. Banyak perusahaan mencampurkan kedua metode tersebut dan terlepas dari metode mana yang digunakan, analisis apapun harus meliputi penyingkapan kerugian untuk minimal dalam bidang: interupsi bisnis, kerugian perangkat lunak, kerugian data, dan sebagainya.
Bila pendekatan kuantitatif yang digunakan, biaya bisa diperkirakan menggunakan salah satu dari banyak metode, termasuk biaya penggantian, penyangkalan jasa, pertanggung-jawaban pihak ketiga (yang dihasilkan dari ketidak mampuan perusahaan untuk memenuhi kontrak), dan interupsi bisnis.
Kerapuhan dan Ancaman
Kerapuhan adalah kelemahan dalam sebuah sistem, dan ancaman adalah eksploitasi potensial dari kerapuhan. Ada dua katagori ancaman yaitu aktif dan pasif. Ancaman aktif meliputi penipuan sistem dan sabotase komputer sedangkan ancaman pasif meliputi kesalahan sistem seperti juga bencana alam, gempa bumi, banjir, kebakaran dan topan badai. Kesalahan sistem melambangkan kegagalan peralatan komponen seperti kegagalan disk, kekurangan daya, dan lainnya.
v  Seriusnya Penipuan Sistem Informasi
Kejahatan berbasis komputer adalah bagian dalam masalah umum dari kejahatan kerah-putih. Statistik memperlihatkan bahwa kerugian perusahaan yang disebabkan oleh penipuan dan penggelapan melebihi total kerugian karena penyuapan, pencurian, dan mengutil dengan marjin yang luas. Oleh karena itu, keamanan sistem informasi adalah sebuah masalah internasional sehingga banyak negara memiliki hukum yang diarahkan pada keamanan komputer seperti membuat Undang-undang kriminal khusus yang diarahkan terhadap kejahatan komputer.

v  Orang yang Memberikan Ancaman kepada Sistem Informasi
              I.        Karyawan Sistem Komputer
Ini meliputi bagian pemeliharaan, programer, operator, karyawan administratif sistem informasi, dan klerk kontrol data.
a)    Bagian Pemeliharaan Komputer
Meliputi bagian pemeliharaan yang memasang perangkat keras dan lunak, memperbaiki perangkat keras, dan memperbaiki kesalahan kecil dari perangkat lunak.
b)    Programer
Programer sistem sering menulis program untuk memodifikasi dan memperluas sistem operasional jaringan. Mereka biasanya diberi tanggung jawab dengan akses universal kepada semua arsip perusahaan. Hal ini dapat menjadi ancaman karena programer aplikasi bisa membuat modifikasi yang tidak diinginkan oleh program yang ada atau menulis program baru untuk hal-hal yang tidak diinginkan.
c)    Operator Jaringan
Orang yang meramalkan dan mengawasi operasional jaringan komputer dan komunikasi disebut operator jaringan. Biasanya, operator ditugaskan dengan ijin keamanan tingkat tinggi, jadi mengijinkan untuk secara rahasia mengawasi semua komunikasi jaringan.
d)    Personil Administratif Sistem Informasi
Orang ini biasanya memiliki akses rahasia keamanan, arsip, program, dan lainnya. Administrator akun memiliki kemampuan membuat akun fiktif atau memberikan kata kunci kepada akun yang ada.
e)    Klerk Kontrol Data
Orang yang bertanggung jawab untuk memasukkan secara manual dan otomatis data ke dalam komputer, sehingga memiliki kesempatan untuk melakukan kecurangan dengan memanipulasi data masukan.
            II.        Pemakai
Banyak pemakai memiliki akses ke data sensitif yang dapat mereka bocorkan kepada para pesaing. Dalam banyak kasus, pemakai bisa mengontrol masukan komputer yang penting seperti memo kredit, kredit akun, dan lainnya.
           III.        Pengacau
Siapapun yang mengakses peralatan, data elektronik, atau arsip tanpa otorisasi yang benar. Pengacau yang menyerang sistem informasi untuk kesenangan dan tantangan disebut hacker. Jenis pengacau lain meliputi :
a.    Pengacau yang tidak ketahuan
Pelanggan bisa masuk ke dalam area yang tidak terjaga dan membaca data sensitif pada komputer pribadi yang tidak dipelihara.
b.    Penyadap Kawat
Sebagian besar informasi yang diproses oleh komputer perusahaan bergerak melalui kawat dan kabel. Sebagian informasi hanya dikirimkan dari satu ruangan ke yang lainnya, dan informasi lainnya bisa dikirimkan lintas negara melalui internet. Jalur ini rapuh terhadap penyadap kawat, yang bisa dilakukan meski menggunakan alat yang murah (misalnya rekaman sederhana dan sepotong kawat) yang mampu melakukan tugas tanpa memberikan tanda apapun bahwa kawatnya disadap.
c.    Piggybacker
Jenis penyadapan kawat yang paling canggih disebut piggybacking. Dengan metode ini, pelaku memotong informasi yang sah dan mengganti dengan informasi yang lain.
d.    Pengacau Peniru
Orang yang meniru orang lain untuk menipu perusahaan. Pengacau jenis ini menggunakan ID dan kata kunci pemakai yang didapatkan dengan tidak sah untuk mengakses sumber daya elektronik perusahaan.
e.    Pencuri Dengar
Tabung sinar katoda (CRT) standar yang digunakan dalam unit display video umumnya mengeluarkan gangguan elektromagnetik (EMI) pada sebuah frekuensi yang mampu diambil oleh pesawat televisi biasa. Peralatan ini bisa mengawasi informasi sensitif saat muncul pada CRT perusahaan. Informasi apapun yang melewati jaringan komunikasi umum sangat rapuh untuk dicuri dengar.

v  Ancaman Aktif kepada Sistem Informasi Akuntansi
Terdapat 6 metode yang bisa digunakan orang untuk melakukan penipuan sistem informasi, yaitu :
1.    Manipulasi Masukan
Metode ini membutuhkan kemampuan teknis yang paling sedikit. Orang bisa mengubah masukan hampir tanpa pengetahuan tentang bagaimana sistem komputer beroperasi. Sebagai contoh seseorang menerobos masuk ke dalam situs Web sebuah perusahaan besar dan mencuri ribuan nomor kartu kredit. Kemudian ia berbelanja di Web dan terlibat dalam ratusan ribu dolar transaksi penipuan dengan sejumlah besar pedagang.
2.    Pengubahan Program
Metode ini paling umum digunakan karena membutuhkan keterampilan pemrograman yang hanya dimiliki oleh sejumlah kecil orang. Terdapat juga metode pengujian program yang tersedia pada perusahaan besar yang dapat digunakan untuk mendeteksi sebuah program yang digunakan untuk mendeteksi sebuah program yang diubah.
Pintu jebakan adalah bagian dari sebuah program komputer yang mengijinkan seseorang untuk mengakses program sambil memotong fasilitas keamanan normalnya untuk menjamin bahwa mereka akan selalu memiliki akses untuk masuk.
3.    Pengubahan Arsip Langsung
Orang-orang akan menemukan berbagai cara untuk memotong proses normal untuk memasukkan data kepada program komputer. Sebagai contoh seorang pemalsu mengganti arsip induk piutang dagang miliknya dengan yang asli.
4.    Pencurian Data
Sejumlah besar informasi dikirimkan antarperusahaan melalui internet. Informasi ini rapuh terhadap pencurian selama dalam perjalanan karena bisa dipotong atau disadap. Barang-barang seperti disket juga bisa dicuri dengan menyelundupkannya keluar dari perusahaan dalam sebuah kantong atau tas. Barang yang lebih tebal seperti laporan yang tebal bisa diselundupkan keluar dalam tempat sampah.
5.    Sabotase
Sabotase komputer memberikan bahaya yang sangat serius kepada sistem informasi apapun. Pengrusakan sebuah komputer atau perangkat lunak bisa menyebabkan kebangkrutan sebuah perusahaan. Dalam beberapa kasus, seorang penipu bisa menggunakan sabotase untuk mengecoh dan menutupi penipuannya.
6.    Penyalahgunaan atau Pencurian Sumber Informasi
Salah satu jenis penyalahgunaan sumber informasi hadir saat karyawan menggunakan sumber komputer perusahaan untuk bisnis mereka sendiri. Contohnya beberapa karyawan mencuri komputer mainframe perusahaan selama periode beberapa hari, menyelundupkan melalui pintu belakang.
Sistem Keamanan Sistem Informasi
Mengontrol keamanan bisa dilakukan dengan mengimplementasikan ukuran keamanan dan rencana kemungkinan. Ukuran keamanan berfokus pada pencegahan dan mendeteksi ancaman, sedangkan rencana kemungkinan berfokus pada memperbaiki efek ancaman. Walaupun begitu harus ditekankan bahwa semua kontrol itu bagian sistem keamanan komputer, sistem keamanan komputer harus menjadi bagian dari struktur kontrol internal secara keseluruhan.
v  Lingkungan Kontrol
Lingkungan kontrol adalah dasar untuk efektivitas dari keseluruhan sistem kontrol. Membuat lingkungan kontrol yang baik bergantung pada delapan faktor. Masing-masing faktor dibahas saat ia bersinggungan dengan sistem keamanan komputer.
§  Filosofi Manajemen dan Gaya Operasional
Aktifitas pertama yang paling penting adalah meningkatkan moral dan suasana kondusif untuk keamanan. Tidak menjamin seberapa canggihnya sebuah sistem itu, selalu ada sebuah cara menghindarinya. Karenanya yang utama adalah menjaga kesadaran akan suasana yang aman dan semua karyawan harus dididik untuk masalah keamanan.
§  Struktur Organisasi
Dalam berbagai organisasi, akuntansi, perhitungan, dan pemrosesan data semuanya sudah diatur oleh petugas kepala informasi (CIO). Hal ini menimbulkan beragam masalah untuk pembuatan dan memelihara pola otoritas dan tanggung jawab.
§  Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk sebuah komite audit yang gilirannya harus menunjuk atau menyetujui penunjukan auditor internal. Auditor internal harus secara periodik melaporkan semua fase sistem keamanan komputer kepada komite audit. Sedangkan, komite audit secara periodik juga berkonsultasi dengan auditor eksternal dan manajemen tinggi atas prestasi kepala petugas keamanan dan sistem keamanan komputer.
§  Aktivitas Kontrol Manajemen
Sangatlah penting membuat kontrol yang berhubungan dengan penggunaan dan akuntabilitas dari semua sumber yang berhubungan dengan komputer dan sistem informasi.
§  Fungsi Audit Internal
Sistem keamanan komputer secara konstan diaudit dan kemudian dimodifikasi untuk memenuhi kebutuhan yang berubah. Kebijakan dan prosedur keamanan harus diuji baik untuk pemenuhan dan efektivitasnya.
§  Kebijakan dan Praktek Karyawan
Pemisahan kewajiban, pengawasan yang memadai, rotasi pekerjaan, cuti yang dipaksakan, dan pemeriksaan ganda, semuanya adalah praktek karyawan yang penting. Hal ini muncul dari kebutuhan untuk memisahkan tanggung jawab penjagaan dan penyimpanan catatan. Bila dimungkinkan juga harus dibuat pemisahan kewajiban mengenai akses ke kunci arsip akuntansi. Praktek karyawan yang berkaitan dengan memperkerjakan dan memberhentikan juga penting. Harus diseleksi hati-hati karena merekrut satu orang yang menyimpang bisa menghancurkan seluruh perusahaan dan bagi karyawan yang dihentikan harus dengan hati-hati.
§  Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan peraturan pemerintah. Kegagalan untuk memberikan keamanan yang memadai dalam salah satu area tersebut bisa menjadikan tindakan kriminal. Penting untuk mengimplementasikan kebijakan internal yang terdokumentasi baik untuk mencegah pembajakan perangkat lunak, pembuatan dan pendistribusian salinan yang ilegal dari perangkat lunak yang memiliki hak cipta.

v  Kontrol untuk  Ancaman Aktif
Cara utama untuk mencegah ancaman aktif yaitu  dengan mengimplementasikan urutan lapisan dari kontrol akses. Filosofi dibalik pendekatan berlapis kepada kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan calon pelaku dari target potensialnya. Tiga lapis demikian adalah kontrol akses-tempat, kontrol akses-sistem, kontrol akses-arsip.
1.    Kontrol Akses-Tempat
Tujuan dari kontrol akses-tempat yaitu secara fisik memisahkan orang yang tidak sah dari sumber komputer. Semua pemakai harus diwajibkan menggunakan tanda identifikasi keamanan (dengan foto). Semua ruang yang berisi peralatan komputer atau data sensitif harus memiliki pintu terkunci. Lebih disukai, kuncinya bisa diprogram sehingga mereka bisa menolak kunci dari mereka yang telah dipindahkan atau diberhentikan. Kerumitan pemrosesan data harus ditempatkan dalam gedung terisolasi yang dikelilingi oleh pagar dan akses gerbang.
Semua konsentrasi dari data komputer (misalnya perpustakaan data, pencetak  jaringan, entri data, dan tempat keluaran data) dan peralatan harus ditempatkan pada tempat yang sulit ditemukan, dibalik pintu dengan kunci yang bisa diprogram.  Serangan atas perpustakaan data dan ruang misi-kritis lainnya bisa diminimalkan dengan sistem entri yang sangat ketat. Sistem demikian melibatkan pengaturan pintu-ganda untuk ruang penyimpanan data komputer. Pusat entri data terpusat haruslah merupakan area yang sangat dilindungi dan sama sekali tidak boleh dimasuki orang yang tidak penting. Pencetak jaringan, pembuat gambar (plotter), dan mesin faksimili, seperti juga keluaran, juga harus dilindungi.

2.    Kontrol Akses-Sistem
Kontrol Akses-Sistem adalah kontrol berorientasi – perangkat lunak yang dirancang untuk menjaga agar pemakai yang tidak sah tidak menggunakan sistem. Tujuannya yaitu untuk mengotentikasi pemakai dengan menggunakan cara seperti ID pemakai, kata kunci, alamat IP, dan alat perangkat keras.
Setiap pemakai internal bisa diberikan sebuah nomor ID pemakai dan kata kunci pada sembilan tingkatan, pada tingkat komputer bengkel kerja atau pribadi, jaringan, komputer, server arsip, katalog arsip, program arsip data atau database, catatan, dan field data. Setiap tingkatan ini memberikan lapisan perlindungan berurutan yang memisahkan calon pengacau dari data sensitif. Pada tingkatan diatas, tingkat bengkel kerja, pemakai harus memasukkan informasi identifikasi yang benar bahkan sebelum mampu meminta akses ke jaringan komunikasi. Kemudian, setelah mengakses jaringan, pemakai harus memasukan lebih banyak informasi identifikasi sebelum mengakses sebuah komputer tuan rumah atau server arsip. Setelah itu, identifikasi tambahan dibutuhkan sebelum mengakses katalog arsip tertentu. Sistem operasional secara otomatis harus mencatat waktu, tanggal, dan nomor pemakai yang berhubungan dengan semua akses.
Sistem pada awalnya harus memberikan kata kunci kepada pemakai dan kemudian memberikan kembali kepada mereka secara periodik. Kata kunci yang ideal terdiri dari huruf besar dan kecil, simbol khusus, dan angka. Menghubungkan dua kata tidak berhubungan dengan simbol khusus juga merupakan kompromi yang baik antara kesederhanaan dan keamanan. Tidak ada sistem kata kunci yang bernilai kecuali kata kunci itu sendiri dilindungi. Semua karyawan harus dididik untuk menggunakan kata kunci yang baik.

3.    Kontrol Akses-Arsip
Lapisan terakhir dari kontrol akses diterapkan pada tingkat arsip. Kontrol tersebut mencegah akses tidak sah baik kepada data. Kontrol arsip paling fundamental adalah pembuatan bimbingan otorisasi dan prosedur untuk mengakses dan mengubah arsip. Semua program penting harus disimpan dalam arsip terkunci. Ini berarti bahwa program bisa diijalankan tetapi tidak bisa dilihat atau diubah. Hanya keamanan yang mengetahui kode (kata kunci) untuk membuka arsipnya. Secara periodik mereka harus memeriksa program dalam opersional untuk menentukan apakah mereka identik bit-demi-bit dengan versi yang diijinkan.

v  Kontrol Untuk Ancaman pasif
Ancaman pasif meliputi masalah seperti kegagalan daya dan perangkat keras. kontrol untuk ancaman demikian bisa preventif atau korektif.

Sistem Toleran – Kesalahan
Kebanyakan metode berhadapan dengan kegagalan komponen sistem bergantung pada pengawasan dan kelebihan. Bila satu bagian dari sistem itu gagal, bagian kelebihan dengan segera mengambil alih, dan sistem terus beroperasi dengan sedikit atau tanpa interupsi. Sistem demikian disebut sistem toleran – kesalahan .

Memperbaiki Kesalahan : Pendukung Arsip
Ada tiga jenis pendukung yakni :
Ø  Pendukung penuh         : Membuat pendukung semua arsip pada disk tertentu.
Ø  Pendukung kenaikan    : Hanya membuat pendukung arsip yang telah
                                        dimodifikasi sejak pembuatan pendukung penuh atau
                                           kenaikan yang terakhir.
Ø  Pendukung diferensial : Sama seperti pendukung kenaikan, hanya saja arsipnya
                                       tidak diatur ulang hingga 0 selama pembuatan
                                       pendukung.

Secara umum, pembuatan pendukung kenaikan membutuhkan media penyimpanan yang lebih kecil dan cepat daripada pendukung diferensial. Prosedur untuk memperbaiki pendukung kenaikan melibatkan pemulihan kumpulan pendukung penuh terakhir terlebih dahulu dan kemudian memulihkan semua kumpulan pendukung kenaikan, satu persatu, dengan urutan kronologis.

v  Keamanan Internet
Topik tentang keamanan internet berhak mendapatkan perhatian khusus karena hubungan perusahaan dengan internet membuatnya menjadi target khusus bagi setiap hacker di dunia. Kerapuhan terhubung – internet bisa muncul dari kelemahan dalam lima bidang yaitu :
ü  Kerapuhan Sistem Operasional
Server Web pada intinya adalah perpanjangan dari sistem operasional. Hasilnya adalah kelemahan dalam keamanan sistem operasional juga mungkin membuat kelemahan terkait pada keamanan server Web. Untuk alasan ini, administrator keamanan, pertama dan terutama, harus mengamankan sistem operasional.
ü  Kerapuhan Server Web
Server web adalah sistem operasional yang serupa dimana tetap diperlukan secara konstan untuk mengawasi buletin penasihat untuk pembaruan keamanan server web karena server Web dan browser Web cenderung untuk lebih sering diperbarui daripada sistem operasional, dan pembaruannya selalu datang dengan kemungkinan keamanan baru yang lemah. Server web juga lebih berfungsi pada garis depan keamanan karena mereka adalah portal yang sering dilewati orang luar.
ü  Kerapuhan Jaringan Pribadi
Resiko khusus terjadi saat sebuah server Web diletakan pada sebuah komputer utama yang dihubungkan dengan berbagai komputer pemakai melalui pemakai jaringan area lokal , dan hacker bisa menyerang satu komputer melalui yang lain. Masalah ini begitu sulit karena secara virtual tidak mungkin administrator server menjamin keamanan yang memadai atas semua mesin pemakainya.
ü  Kerapuhan dari Beragam Program Server
Setiap server tambahan memberikan resiko keamanan tambahan, dan cacat keamanan yang berhubungan dengan salah satu server yang bisa membuka pintu untuk hacker untuk menyerang semua server lainnya di semua arsip pada komputer, bahkan komputer lain yang berada pada jaringan area lokal yang sama.
ü  Prosedur Keamanan Umum
Perangkat lunak keamanan terbaik di dunia tidak akan membantu bila administrator sistem tidak memaksakan kebijakan. Selanjutnya, semua kesalahan dan pengecualian harus dicatatkan ke arsip aman, dan catatan ini harus dimonitor secara konstan.
Pemulihan dari Bencana
 Bencana alam dan buatan manusia dapat terjadi. Angin puyuh, gempa bumi,                       kebakaran, banjir, tindakan kriminal dan teroris, serta kesalahan manusia dapat sangat parah merusak sumber daya komputerisasi organisasi, dan kemudian kesehatan organisasi itu sendiri. Itulah mengapa organisasi membuat manajemen risiko bencana yang menekankan pada perencanaan pencegahan dan kemungkinan.
   » Mencegah bencana
Pencegahan bencana adalah langkah pertama dalam mengatur risiko bencana. Banyak bencana yang dihasilkan dari sabotase dan kesalahan yang bisa dicegah dengan kebijakan dan perencanaan keamanan yang baik. Pertimbangan hati-hati harus diberikan kepada resiko bencana alam yang terkait dengan lokasi bangunan yang prospektif. Konsentrasi dari peralatan komputer dan data harus diletakan pada bagian gedung yang paling sedikit terekspos terhadap badai, gempa bumi, banjir, dan kebakaran juga termasuk tindakan sabotase sengaja.
» Perencanaan kemungkinan untuk bencana
Rencana pemulihan bencana harus diimplementasikan pada tingkatan tertinggi dalam perusahaan. Rancangan rencana ini harus meliputi tiga komponen utama yaitu:
·      Menilai kebutuhan kritis perusahaan
Semua sumber misi-kritis harus diidentifikasikan termasuk perangkat keras, perangkat lunak, syarat daya dan pemeliharaan, ruang gedung, catatan vital, dan sumber daya manusia.
·      Membuat daftar prioritas untuk pemulihan
Daftar ini menunjukan aktivitas dan jasa misi-kritis tertentu yang harus dibuat kembali dalam beberapa menit atau jam setelah bencana dan yang dibuat kembali pada beberapa hari, minggu, atau bulan kemudian.
·      Strategi dan prosedur pemulihan
Rencana harus meliputi rincian sehingga saat tertimpa bencana, perusahaan dengan segera mengetahui apa yang harus dilakukan, siapa yang harus melakukannya, dan akan membutuhkan waktu berapa lama. Pertimbangannya dirinci sebagai berikut:
1.  Pusat Respon Darurat
Saat tertimpa bencana, semua otoritas untuk pemrosesan data dan operasional komputer dipindahkan kepada tim respon darurat, yang dikepalai oleh direktur operasional darurat yang akan mengarahkan pelaksanaan rencana pemulihan dari pusat operasional darurat yang direncanakan sebelumnya.
2.  Prosedur Eskalasi
Spesifikasi lokasi pemdukung yang akan digunakan bila lokasi penghitungan utama hancur atau tidak bisa digunakan. Tiga jenis lokasi yang mungkin adalah pertama lokasi panas yaitu lokasi pengganti yang berisi jaringan kabel dan peralatan juga, kedua lokasi awal-melayang yaitu lokasi pengganti yang berisi jaringan kabel, peralatan,  juga data dan perangkat pendukung yang sangat canggih, ketiga lokasi dingin yaitu lokasi penghitungan pengganti yang berisi jaringan kabel untuk komputer tapi tanpa peralatan.
3.  Rencana Relokasi Karyawan
Rencana kemungkinan harus dibuat untuk kemungkinan bila harus mendadak merelokasikan karyawan ke lokasi pendukung.
4.  Rencana Penggantian Karyawan
Kemungkinan kehilangan karyawan untuk bencana harus dipertimbangkan juga dan karyawan pengganti mungkin membutuhkan pelatihan yang ekstensif.
5.  Rencana Penyelamatan
Memulihkan peralatan dan catatan yang berharga bisa dimungkinkan bila tindakan cepat segera dilakukan sehingga kerugian bisa diminimalkan.
6.  Rencana Pengujian dan Pemeliharaan Sistem
Kebutuhan penghitungan perusahaan sering berubah dengan cepat sehingga suatu rencana pemulihan bencana harus diuji setiap enam bulan agar dapat berfungsi dengan baik dalam krisis.

Referensi:
xa.yimg.com/kq/groups/.../Paper+Kelompok+2.docx

Tidak ada komentar:

Posting Komentar