SECURITY MANAGEMENT CONTROL

Transkripsi

1 SECURITY MANAGEMENT CONTROL PENDAHULUAN Administrator sistem informasi keamanan bertanggung jawab untuk memastikan bahwa sistem informasi aset yang aman. Aset aman ketika kerugian diharapkan bahwa akan terjadi dari ancaman eventuating selama beberapa periode waktu berada pada tingkat penerimaan. Catatan tiga aspek penting dari definisi kerugian keamanan tidak mungkin atau terlalu mahal. Kedua, kita menentukan beberapa tingkat kerugian diterima. Tingkat ini akan menentukan berapa banyak kita keluarkan untuk kontrol. Ketiga, kita harus memilih suatu periode waktu. Kami menentukan tingkat kerugian kita akan bersedia untuk mengalahkan selama periode ini. Sistem informasi aset yang kita harus melindungi melalui pengukuran keamanan dapat diklasifikasikan dalam dua cara. Aset fisik terdiri dari personil, perangkat keras (termasuk media penyimpanan dan peripheral), fasilitas, perlengkapan, dan dokumentasi. Aset logis terdiri dari data / informasi dan perangkat lunak. Dalam bab ini, kita fokus pada pekerjaan biasanya dilakukan oleh administrator sistem keamanan informasi. Meskipun fungsi spesifik mereka bervariasi di seluruh organisasi, mereka cenderung bertanggung jawab untuk kontrol atas (1) ancaman baik berbahaya dan nonberbahaya untuk aset fisik dan (2) ancaman berbahaya untuk aset logis. Selain itu, mereka sering bertanggung jawab untuk kontrol of the last resort. MELAKUKAN PROGRAM KEAMANAN Sebuah program keamanan adalah serangkaian berkelanjutan, teratur, review secara berkala dilakukan untuk memastikan bahwa aset yang terkait dengan fungsi sistem informasi dijaga secara memadai. Tinjauan keamanan pertama dilakukan adalah sering berolahraga. Keamanan administrator harus mempertimbangkan daftar ekstensif ancaman mungkin untuk aset yang terkait dengan fungsi sistem informasi, mempersiapkan inventarisasi aset, mengevaluasi kecukupan pengendalian atas aset, dan mungkin memodifikasi kontrol yang ada menerapkan kontrol baru. Ada delapan langkah yang harus dilakukan ketika melakukan peninjauan keamanan (1) penyusunan rencana proyek, (2) identifikasi aset, (3) penilaian aset, (4) identifikasi ancaman, (5) penilaian kemungkinan ancaman, (6) eksposur analisis, (7) kontrol penyesuaian dan (8) penyusunan laporan. 1.PERSIAPAN RENCANA PROYEK Ini mungkin tampak suatu kebutuhan jelas bahwa ulasan keamanan harus dimulai dengan persiapan rencana proyek. Sayangnya, review keamanan bidang tambang untuk waspada. Administrator keamanan, dan setiap tim proyek dibentuk untuk membantu mereka, bisa terjebak secara detail kecuali batasan yang ketat dikenakan pada pelaksanaan review. Jika tujuan review ini tidak disimpan dengan jelas dalam pikiran, terlalu banyak pekerjaan akan dilakukan yang hanya memiliki manfaat marjinal.

2 Rencana proyek dari tinjauan keamanan harus mencakup item berikut. Project qlan component Objectives of the review Scope of the review Task to be accomplished Organization of the project team Resources budget Schedule for task completion Explanation The objectives of the security reviews can be broadly based or narrowly defined. The objectives of the review define, in part, the scope of the review. Defining scope is especially important however, if the information systems functions is widely dispersed throughout an organization. Although the overall tasks must be undertaken will be known, specific tasks must be defined. Depending on the size and complexity of the review, the security administrator might have to enlist the assistance of consultants or staff who have detailed knowledge of the areas to be evaluated. The resources budget will be affected by the size and complexity of the review. It must specify the labor hours, materials and money required to complete the review. The plan must specify which tasks must be completed by what dates if the objectives of the security review are to be accomplished on a timely basis. 2.IDENTIFIKASI AKTIVA Langkah besar kedua dalam peninjauan keamanan untuk mengidentifikasi asosiasi aset dengan fungsi sistem informasi. Langkah ini bisa sulit karena dua alasan. Pertama, beberapa organisasi dimiliki sejumlah besar aset sistem informasi. Kedua, sistem informasi aset mungkin secara luas didistribusikan ke seluruh organisasi. Assets Category Examples Personnel End users, analysts, programmers, operators Hardware Mainframe computer, minicomputers, microcomputers Facilities Furniture, office space, computer rooms Documentation System and program documentation, database documentation, contracts Supplies Negotiable instruments, preprinted forms, paper, tapes, cassettes

3 Data/information Master file, transactions files Application software Debtors, creditors, payroll System Software Compilers, utilities, communication software 3.PENILAIAN AKTIVA Langkah ketiga dalam peninjauan keamanan, menilai aset, juga merupakan langkah yang sulit. Parker (1981) menunjukkan bahwa penilaian mungkin berbeda tergantung pada siapa yang diminta untuk memberikan penilaian, cara di mana aset tersebut bisa hilang, periode waktu untuk yang hilang, dan umur aset. Dalam jangka waktu yang nilai aset, aset mungkin akan lebih berguna untuk beberapa orang daripada yang lain. Penilaian aset fisik juga tidak dapat dianggap terpisah dari penilaian aset logis. Alasannya adalah bahwa nilai aset fisik sering harus dipertimbangkan dalam terang aset logis mereka simpan. Beberapa teknik dapat digunakan untuk menetapkan nilai aset. Dalam beberapa kasus, pengguna mungkin dapat memberikan penilaian langsung untuk dolar aset. Tujuan utama dari penilaian aset adalah untuk mengembangkan kepekaan pengguna dengan konsekuensi kemungkinan ancaman yang eventuates dan akhirnya untuk memungkinkan perkiraan yang akan dibuat dari jumlah yang dapat dibenarkan sebagai pengeluaran penjaga aman. Tugas penilaian aset harus dikejar hanya sebatas bahwa tujuan dapat dicapai memuaskan. 4.ANCAMAN IDENTIFIKASI Ancaman adalah beberapa tindakan atau bahkan yang dapat menyebabkan kerugian. Selama fase identifikasi ancaman, administrator keamanan berusaha untuk menyempurnakan semua ancaman bahan yang dapat terwujud dan hasilnya sistem informasi aset-aset yang terkena, dihapus baik sementara atau permanen, hilang, rusak, hancur atau digunakan untuk tujuan yang tidak sah. 5.ANCAMAN KEMUNGKINAN PENILAIAN Setelah mengidentifikasi ancaman yang dihadapi fungsi sistem informasi, administrator keamanan berikutnya harus berusaha untuk memperkirakan kemungkinan mereka terjadinya setiap ancaman selama periode waktu tertentu. Dalam beberapa kasus, data statistik mungkin tersedia. Seringkali, bagaimanapun, data sebelumnya tidak tersedia. Administrator keamanan kemudian harus menimbulkan kemungkinan terjadinya ancaman dari stakeholder yang terkait dengan sistem informasi. Untuk batas tertentu, sifat dan nilai dari aset yang terkait dengan fungsi sistem informasi mempengaruhi kemungkinan terjadinya ancaman. 6.ANALISIS SAMBUNGAN Tahap analisis eksposur terdiri dari empat tugas: (1) identifikasi kontrol di tempat; (2) penilaian keandalan dari kontrol di tempat, (3) evaluasi kemungkinan bahwa insiden ancaman akan berhasil, mengingat set kontrol di tempat dan kehandalan mereka; (4) penilaian kerugian yang akan mengakibatkan insiden kontrol di tempat. Eksposur muncul karena baik (1) tidak ada kontrol untuk menutupi insiden ancaman atau (2) ada beberapa kemungkinan bahwa kontrol di

4 tempat tidak akan beroperasi andal untuk insiden ancaman tertentu yang terjadi. Pertimbangkan, maka, tugas pertama; mengidentifikasi kontrol di tempat. Mungkin termudah tugas ini adalah dengan menggunakan salah satu dari kuesioner yang dirancang untuk menilai keamanan. Kuesioner ini berisi daftar kontrol yang luas bahwa administrator keamanan dapat digunakan untuk menentukan apakah kontrol sistematis yang hilang. Untuk menilai keandalan kontrol, keamanan, administrator harus menguji mereka. Untuk mengevaluasi kemungkinan insiden ancaman menghindari kontrol, para administrator keamanan mempertimbangkan masing-masing kategori aset yang diidentifikasi selama fase kedua dari meninjau, mempertimbangkan setiap ancaman yang diidentifikasi selama fase keempat meninjau, menentukan apakah kontrol ada untuk menutupi insiden ancaman, dan, jika demikian, mengevaluasi kemungkinan dari kontrol operasi efektif untuk menghilangkan atau mengurangi efek dari insiden ancaman. Untuk menentukan kerugian yang akan timbul dari suatu peristiwa ancaman yang menghindari kontrol, efek dari insiden ancaman pertama harus ditentukan. 7.PENGENDALIAN PENYESUAIAN Setelah analisis eksposur, administrator keamanan, harus mengevaluasi apakah tingkat paparan masing-masing diterima. Secara formal, evaluasi ini berarti mereka harus menentukan apakah selama beberapa periode waktu kontrol apapun dapat dirancang, diimplementasikan dan dioperasikan sedemikian rupa sehingga biaya kontrol adalah kurang dari pengurangan kerugian diharapkan yang terjadi berdasarkan o memiliki kontrol di tempat dan bekerja untuk mencakup satu atau lebih ancaman. Bagaimana administrator keamanan membuat keputusan ini adalah sebagian besar masalah penilaian, pengalaman pelatihan, dan. Untuk batas tertentu, panduan dapat diperoleh dari kuesioner kontrol yang digunakan untuk mengidentifikasi kontrol yang hilang selama fase analisis eksposur. Masih strategi lain untuk mengidentifikasi kontrol baru yang dibutuhkan adalah untuk menganalisis skenario yang dikembangkan selama tahap analisis eksposur. Fase penyesuaian kontrol juga termasuk pertimbangan dari kontrol yang ada. 8.LAPORAN PERSIAPAN Tahap akhir dalam peninjauan keamanan penyusunan laporan manajemen. Laporan ini mendokumentasikan temuan dari review dan khususnya, membuat rekomendasi untuk perlindungan baru yang harus dilaksanakan dan perlindungan yang ada yang harus dihentikan atau diubah. Seperti semua laporan kepada manajemen, seringkali merupakan bagian paling sulit adalah mendapatkan rekomendasi diterima. Tingkat penerimaan tergantung pada sejauh mana manajemen setuju dengan kekritisan dari eksposur diidentifikasi dan apakah mereka merasakan perlindungan yang direkomendasikan adalah ekonomi, teknis, dan operasional layak. Laporan keamanan juga harus mencakup rencana untuk pelaksanaan penjaga aman yang disarankan.

5 Ancaman Utama bagi Keamanan Sistem dan Tindakan Perbaikannya. Auditor harus mengerti lingkungan dan konsekuensi potensial dari ancaman-ancaman yang mungkin terjadi ini untuk tujuan audit dan control yang efektif. Berikut adalah beberapa ancaman utama yang dapat terjadi pada system informasi dan harus diperhatikan oleh auditor: 1. Fire damage - Kerusakan akibat api 2. Water damage - Kerusakan akibat air 3. Energy variations - Perubahan kekuatan energy listrik 4. Structural damage - Kerusakan structural 5. Pollution - Polusi 6. Unauthorized intrusion Intrusi tidak sah 7. Viruses and worms Virus computer 8. Misuse of software, data and service Penyalahgunaan software, data, dan layanan 9. Hacking A. Fire damage Untuk menghindari ancaman keamanan system dari kerusakan yang disebabkan dari api, maka auditor harus memperhatikan kesiapan klien dalam mencegah atau mengatasi terjadinya kebakaran. Berikut adalah beberapa system perlindungan kebakaran yang didesign dengan baik: - Memiliki alarm otomatis dan manual yang diletakan ditempat yang strategis dimana semua bagian organisasi terhubung. - Memiliki pemadam kebakaran yang otomatis dan manual di berbagai tempat strategis yang dapat digunakan saat terjadi kebakaran. - Menyimpan asset informasi system di bangunan yang dibuat tahan api / tidak mudah terbakar. - Memiliki petunjuk jalan darurat yang jelas dan dapat digunakan. - Untuk memperkecil resiko kebakaran, kabel-kabel elektrik ditempatkan di panel tahan api dan di tata hingga teratur.

6 B. Water Damage Kerusakan air juga dapat terjadi disaat kebakaran muncul. Berikut adalah beberapa cara perlindungan asset system informasi dari kerusakan akibat air: - Usahakan memiliki langit-langit, tembok, dan lantai yang anti air (waterproff) - Memiliki system pembuangan air yang memadai - Menyimpan asset system informasi di tempat yang tinggi dari permukaan air. - Melindungi mesin berat dengan kain penutup saat tidak digunakan - Memiliki parit kering disekitar bangunan dimana tersimpan asset system informasi. C. Energy Variations Beberapa bentuk variasi energy antara lain listrik naik, listrik turun, atau bahkan kehilangan listrik (mati lampu). Hal ini penting untuk dipertimbangkan karena dapat merusak atau memunculkan kesempatan ancaman terhadap asset system informasi. D. Structural damage Kerusakan structural pada umumnya muncul dari bencana-bencana alam seperti gempa bumi, angin topan, badai salju dan sebagainya. Untuk mencegah kerusakan asset dalam hal ini yang banyak berperan adalah bagian engineering. Para insinyur yang akan mempertimbangkan tekanan struktural bangunan. E. Pollution Debu dan barang konsumsi seperti makanan dam minuman merupakan polusi yang dapat menyebabkan kerusakan asset. F. Intrusi tidak sah Instrusi atau pencurian bisa terjadi dalam 2 bentuk. Bentuk yang pertama lebih di katakana sebagai bentuk fisik. Intrusi seperti ini pada umumnya berhubungan dengan fisik asset kita. Jadi aka nada asset yang hilang atau di curi. Sebagai pencegahan dapat digunakan system security/alarm di setiap gedung dan mewajibkan adanya control akses. Yang kedua intrusi juga dapat dilakukan dengan mendengarkan atau yang lebih akrab di katakan mata-mata.

7 Secara fisik asset kita tidak hilang namun seseorang menddapat informasi mengenai asset kita tersebut. Beberapa cara yang dapat digunakan untuk pencegahan antara laian: melarang pembawaan kamera, dan harus ada kamera pengawas CCTV sebagai control. G. Virus Komputer Ancaman lain adalah virus computer. Virus adalah program yang membuat program computer terinfeksi. Virus bisa saja menimbulkan program/file baru, mengubah file, bahkan menghilangkan file. Virus sangat cepat dan mudah tersebar. Untuk menangani virus, perusahaan perlu memiliki anti virus yang baik dan di update secara berkala. H. Misuse of software, data and service Banyak kejadian yang dapat menggambarkan praktek ini antara lain: - Software atau database perusahaan dicuri oleh karyawan atau competitor. - Perusahaan gagal untuk melindungi personal privasi database yang menyebabkuan kerugian. - Pekerja menggunakan layanan system informasi untuk mendukung kegiatan personal mereka. Cara yang dapat digunakan perusahaan untuk mencegah terjadinya ancaman seperti di atas adalah melindungi software dengan copyrights, paten, atau lisensi. I. Hacking Hacking di lakukan oleh seseorang yang mencoba untuk mendapatkan akses tidak sah ke sistem komputer dengan menghindari akses sistem control. Untuk mencegahnya, perusahaan diharapkan memiliki control akses yang menggunakan beberapa perangkat keamanan seperti password yang sulit. Ada 2 cara yang dapat dilakukan apabila sebuah ancaman-ancaman di atas terjadi terhadap asset system informasi kita : 1. Disaster recovery plan a. Emergency plan b. Backup plan c. Recovery plan

8 d. Test plan 2.Asuransi Operation Management Control Introduction Manajemen operasi bertanggung jawab terhadap pemakaian sehari-hari dari fasilitas hardware dan software, tujuannya 1) sistem aplikasi mampu melaksanakan dan menyelesaikan pekerjaan. 2) staff pengembangan dapat merancang, mengimplementasikan dan memelihara sistem aplikasi. Ada 8 fungsi yang bertanggung jawab pada manajemen operasi, yaitu 1. Pengoperasian komputer 2. Pengendalian jaringan komunikasi 3. Persiapan dan pengentrian data 4. Pengendalian produksi 5. Berkas Kepustakaan 6. Dokumentasi dan program kepustakaan 7. Help desk / dukungan teknis 8. Perencanaan kapasitas dan kinerja Pengoperasian komputer

9 Pengoperasian computer dimaksudkan untuk memastikan bahwa program aplikasi telah digunakan dengan benar untuk memenuhi kebutuhan entitas dan hanya file data yang benar saja yang digunakan selama pemrosesan. Pengendalian terhadap operasi computer harus diarahkan pada aktivitas yang mendukung pelaksanaan harian dari sistem. Dalam pengoperasian komputer ini harus ada 3 jenis pengendalian, yaitu: 1. Pengendalian untuk fungsi yang menjelaskan mengenai keberadaan fasilitas operator manusia atau otomatis. 2. Pengendalian yang menjelaskan bagaimana pekerjaan dijadwalkan pada hardware dan software platform. 3. Pengendalian mengenai bagaimana hardware dipelihara. Pengendalian operasi Banyak jenis kegiatan yang perlu dilakukan untuk mendukung pelaksanaan program dalam komputer, oleh karena itu dibutuhkan pengendalian pada komputer dengan berbagai cara, misalnya pengadaan pemeliharaan secara berkala, tempat penyimpanan harus terpisah dari data yang sudah kadaluarsa, data cadangan harus dibuat secara rutin, dan disk penyimpanan harus dibenahi agar lebih efisien dalam mencari data. Berikut adalah standard operations procedures: 1. Memantau dan menanggapi permintaan pada layar admin NSR Memeriksa layar sedikitnya setiap sepuluh menit. Memperbaiki request yang akan dikumpulkan dalam drive tunggal Memperbaiki request yang akan dimasukkan dalam Recovery Tape Mounts Log. Kaset yang dapat dipakai kembali mungkin perlu dilabel ulang Merekam kesalahan sistem dalam Operations Shift Message Log dan melaporkan kepada administrator sistem. 2. Meninjau log sistem dan masalah laporan. Keberhasilan laporan backup yang dapat dihapus segera. Kegagalan laporan backup yang mencakup rincian mengenai masalah dan informasi kontak klien. Laporan layanan harian yang diajukan secara elektronik. Scheduling Controls Salah satu pengendalian operasi yang penting adalah penjadwalan pemrosesan komputer secara harian. Pengendalian scheduling berfungsi untuk memastikan komputer hanya digunakan untuk tujuan otorisasi dan agar penggunaan sumber efisien. Pengendalian ini akan membantu memastikan bahwa program aplikasi telah diotorisasi untuk pemrosesan, secara aktual telah diproses dalam urutan yang benar dan tepat waktu. Tujuan dari schedule adalah untuk memberikan wewenang penggunaan sumber hardware dan sistem software dalam sistem aplikasi. Auditor harus memeriksa keberadaan dan kekuatan dari jadwal produksi. Bila jadwal tidak ada atau mungkin ada tapi tidak kuat, maka efisiensi dan efektifitas akan terancam.

10 Maintenance Controls Pemeliharaan hardware komputer dilakukan secara preventif. Pemeliharaan preventif dilakukan untuk menghindari kegagalan hardware pada tahap awal, yang biasanya dilakukan pada mainframe baru setelah itu pada minicomputer dan microcomputer. Sedangkan pemeliharaan perbaikan / repair maintenance dilakukan ketika mesin dan komponen-komponen tidak berfungsi dengan benar. Ada dua faktor yang berdampak pada keputusan untuk melakukan preventif atau perbaikan, yaitu: 1. Lokasi dari hardware. 2. Criticality dari operasional hardware perusahaan. Untuk memeriksa seberapa bagus fungsi pemeliharaan yang berpengaruh dengan mainframes dan minicomputer berlangsung, maka dapat dilakukan dengan melakukan wawancara terhadap manajer operasional, teknisi, dan operator untuk mengetahui kegiatan pemeliharaan yang diambil dan bagaimana pelaksanaannya. Network Operations Manajer operasional mempunyai tangung jawab untuk kegiatan perusahaan sehari-hari baik jaringan area luas maupun setempat (Wide Area or Local Area Networks). Untuk melaksanakan tanggung jawab ini, mereka harus memulai dan menghentikan operasional jaringan dan mengawasi kinerja channel jaringan komunikasi, alat jaringan, program dan data jaringan. Wide Area Network Controls WAN merupakan jaringan komputer yang mencakup area yang besar sebagai contoh yaitu jaringan komputer antar wilayah, kota atau bahkan negara, atau dapat didefinisikan juga sebagai jaringan komputer yang membutuhkan router dan saluran komunikasi publik. WAN digunakan untuk menghubungkan jaringan lokal yang satu dengan jaringan lokal yang lain, sehingga pengguna atau komputer di lokasi yang satu dapat berkomunikasi dengan pengguna dan komputer di lokasi yang lain. Jaringan WAN (Wide Area Network) juga merupakan kumpulan dari LAN dan/atau Workgroup yang dihubungkan dengan menggunakan alat komunikasi modem dan jaringan Internet, dari/ke kantor pusat dan kantor cabang, maupun antar kantor cabang. Dengan sistem jaringan ini, pertukaran data antar kantor dapat dilakukan dengan cepat serta dengan biaya yang relatif murah. Sistem jaringan ini dapat menggunakan jaringan Internet yang sudah ada, untuk menghubungkan antara kantor pusat dan kantor cabang atau dengan PC Stand Alone/Notebook yang berada di lain kota ataupun negara.

11 Dalam wide area network, operator harus mampu untuk mengidentifikasi ketika terjadi peristiwa yang tidak normal dan harus mampu untuk mencari jalan untuk membenahinya. Suatu alat penting yang digunakan oleh operator dalam mengatur wide area networks adalah network control terminal. Network control terminal menyediakan akses terhadap sistem software yang memperbolehkan beberapa hal fungsi untuk dilaksanakan, yaitu: 1. Memulai dan menghentikan proses. 2. Mengawasi tingkat kegiatan jaringan. 3. Memperbaharui saluran komunikasi. 4. Menyatukan sistem statistik. 5. Mereset panjang antrian. 6. Meningkatkan frekuensi cadangan. 7. Mendapatkan informasi status sistem. 8. Transmitting system warning dan status message. 9. Memeriksa lintasan data komunikasi. Network control terminal juga memperbolehkan operator untuk menghapus fungsi-fungsi yang hampir sama dalam jaringan, seperti misalnya: 1. Memulai atau menutup terminal. 2. Menanyakan status terminal. 3. Down-line yang memuat data atau program. 4. Membangkitkan total kontrol untuk perangkat terminal seperti mesin teller otomatis (ATM) dan titik perangkat penjualan. 5. Mengirim dan menerima peringatan terminal dan pesan kesalahan. Suatu network control terminal juga memperbolehkan operator untuk mengakses dan memelihara file data bervariasi yang dibutuhkan oleh software komunikasi. Beberapa pengendalian yang harus dilakukan oleh operator dalam menggunakan network controls terminal: 1. Hanya operator yang senior terlatih yang melaksanakan fungsi network control. 2. Fungsi network control harus terpisah dan dilaksanakan secara rutin. 3. Software network control harus bisa memperbolehkan pengendalian akses untuk diperkuat. 4. Software network control harus mempunyai audit trail yang aman untuk seluruh operator. 5. Manajemen operasional harus secara rutin review audit trail untuk mengetahui apakah jaringan operator tidak terotorisasi terjadi atau tidak. 6. Standar dokumentasi dan peraturan harus ada untuk operator jaringan. 7. Manajemen operasional harus secara rutin melakukan review kegiatan operator jaringan agar sesuai dengan standar dan protokol. Local Area Network Controls LAN adalah jaringan yang terbatas pada area geografis dan dapat menghubungkan suatu gedung atau jaringan yang berada pada jarak kurang lebih 10 kilometer saja. LAN dapat

12 digunakan untuk voice dan video transmission. Node yang menghubungkan LAN biasanya microcomputer berbasis workstation. Backup data dalam jaringan dapat berbeda-beda tergantung dari kompleksitas jaringan tersebut. Dalam jaringan kecil suatu sistem kerja tunggal dapat memiliki backup data dan memulihkan fungsi-fungsi untuk simpul-simpul lainnya. Ketika jaringan semakin kompleks dan melibatkan banyak simpul dan ada peningkatan kuantitas pemakaian data maka backup data biasanya dilakukan pada server. Tujuan pemeriksaan atas pengendalian Local Area Network (LAN) yaitu memastikan integritas data dan keamanan data yang terhubung ke dalam jaringan, sebagai tindakan pencegahan dan untuk mendeteksi adanya akses yang tidak terotorisasi. Manajemen operasional dari local area networks terjadi melalui fasilitas yang disediakan pada file server. Berikut adalah beberapa fungsi yang dapat dilaksanakan dalam local area network controls: 1. Ruang disk yang tersedia pada file server dapat diawasi. 2. Kegiatan utilisasi dan pola jalur dalam jaringan dapat diawasi. 3. Tingkat kehilangan data dalam jaringan dapat teridentifikasi. 4. Special network cards seringkali diadakan untuk menghubungkan ruang kerja utama ke jaringan area lokal. 5. File server dapat digunakan untuk menjalankan software yang mencegah, mendeteksi dan menghapus virus. Data Preparation and Entry Sekarang banyak sumber data yang dimasukkan ke dalam mikrokomputer berlokasi dekat dengan departemen dari pemakai yang bertanggung jawab untuk sistem aplikasi memproses sumber data. Dalam penginputan data dari sumber dokumentasi, manajemen operasional harus memastikan fungsi yang jelas dalam penginputan data dengan baik. Data preparation and entry harus dirancang untuk meningkatkan kecepatan, akurasi data dan untuk menjaga agar operator keyboard merasa nyaman. Operator keyboard harus mendapatkan pelatihan yang cukup untuk melaksanakan tugas-tugas pemasukan dan persiapan data dan adanya backup yang sesuai untuk melakukan pemasukan dan persiapan terhadap data input. Beberapa jenis keperluan data preparation dan entry juga membutuhkan pemeliharaan yang rutin. Misalnya seperti, peralatan dengan komponen mekanisnya, seperti mesin teller, harus diservis rutin apabila dioperasikan berkesinambungan. Manajemen operasional harus memastikan keberadaan cadangan untuk peralatan input data dan data preparation and entry. Dokumen sumber harus disimpan dengan aman sampai tidak dibutuhkan lagi untuk tujuan cadangan. Kontrol Produksi Bagian kontrol produksi di dalam manajemen operasi menjalankan lima fungsi utama: 1. Penerimaan dan pengiriman input dan output 2. Penjadwalan kerja (job scheduling)

13 3. Manajemen tingkat layanan 4. Kontrol transfer pricing/chargeout 5. Perolehan barang-barang konsumsi(consumable) Fungsi-fungsi ini biasanya cukup sederhana. Namun, pelaksanaan yang tepat dari fungi-fungsi ini biasanya sangat esensial bagi kelancaran jalannya aktivitas sehari-hari dari fungsi sistem informasi. Selain itu, fungsi-fungsi ini juga ditugaskan dalam kontrol produksi untuk mengimplementasikan beberapa bentuk penting dari pemisahan tugas. Kontrol Input/Output Dalam kebanyakan kasus, personil operasi tidak memiliki kontak dengan input yang berasal atau output yang diperoleh dari suatu sistrem aplikasi. Pengguna memasukan input ke dalam sistem aplikasi langsung melalui sebuah terminal/komputer. Demikian pula, mereka menampilkan dan mencetak output pada perangkat yang terletak di tempat kerja mereka dan langsung di bawah kendali mereka. Namun, dalam beberapa kasus, input bagi sebuah sistem aplikasi dapat disampaikan kepada fungsi operasi untuk diproses. Personil kontrol produksi harus memastikan bahwa mereka menerima input hanya dari pihak yang telah diotorisasi, menerima dan mencatat input, penyimpanan input yang aman, pemasukan input yang tepat waktu, dan penyimpanan yang aman input yang diproses sampai input tersebut dikembalikan pada pihak yang memberikannya. Dengan memiliki personil kontrol produksi mengambil tugas ini, lebih mengurangi kemungkinan terjadinya kesalahan. Personil kontrol produksi bertanggung jawab untuk penerimaan dan pengiriman output kepada pihak luar dan pengguna. Dalam situasi ini, personil kontrol produksi dapat memiliki beberapa tugas. Pertama, mereka harus memastikan bahwa output disiapkan tepat waktu. Kedua, personil kontrol produksi harus melakukan beberapa jenis pemeriksaan kualitas dari setiap output. Ketiga, personil kontrol produksi harus bertanggung jawab atas amannya penyimpanan dan pengiriman output. Personil kontrol produksi juga bertanggung jawab atas penyimpanan laporan dengan aman dan memastikan bahwa laporan tersebut diperoleh oleh pihak yang berwenang. Kontrol Penjadwalan Kerja Dalam lingkungan operasi komputer, sebuah pekerjaan terdiri dari satu atau lebih program yang harus dijalankan dan banyak sumber daya yang diperlukan untuk mendukung program tersebut. Pekerjaan dapat dimulai dengan satu dari dua cara. Pertama, pengguna dapat memulai sebuah pekerjaan dengan perintah yang diberikan kepada sebuah terminal. Alternatifnya, pekerjaan dapat dimulai baik dengan perintah dan fasilitas penjadwalan terotomatisasi baik dengan perintah dan fasilitas penjadwalan terotomatisasi.

14 Ketika sebuah pekerjaan dimulai oleh staf operasi ataupun melalui fasilitas operasi otomatis, bagian kontrol produksi harus bertanggung jawab untuk membuat jadwal operasi dan menyiapkan, serta melakukan testing terhadap file kontrol pekerjaan (job control file) yang diperlukan oleh setiap pekerjaan. Job control file dapat menjadi sesuatu yang kompleks. Auditor harus menginvestigasi apakah filetelah disiapkan dan didokumentasi sesuai dengan standar. Auditor juga harus mereview catatan pekerjaan yang dijalankan untuk mengevaluasi kepatuhan terhadap jadwal kerja. Backup dari job control file juga menhadi hal yang sangat penting. Jika job control file rusak atau hilang, keberlanjutan operasi dapat terganggu jika mereka tidak dapat diperbaiki dengan cepat. Selain itu, jika operasi telah berhasil dipulihkan, manajemen harus mengevaluasi apakah job control file harus dimodifikasi untuk mengakomodasi perbedaan hardware dan software di lokasi backup. Sejak operasi komputer otomatis semakin berkembang, lebiih kurang keandalan yang dapat ditempatkan pada operator untuk menyediakan manual backup yang lengkap dan akurat dalam hal adanya bencana. Manajemen kesesuaian tingkat layanan(service-level Agreements) Seiring fokus untuk menyediakan pelayanan komputer yang efektif dan efisien kepada pengguna semakin meningkat, banyak organisasi mengimplementasikan kesesuaian tingkat layanan(service-level agreements) antara pengguna dan fasilitas operasi komputer. Bagian kontrol produksi seringkali memiliki kewajiban untuk mengatur kesesuaian tingkat layanan. Sebuah kontrol yang penting adalah dengan memastikan komplain pengguna mengenai tingkat layanan langsung diarahkan ke bagian kontrol produksi bukan ke staf analisis, pemrograman, atau operasi sistem. Komplain harus ditangani oleh pihak independen bukan oleh seseorang yang mungkin menjadi sumber kesalahan dan penyimpangan. Selain itu, orang yang bertanggung jawab atas kesalahan dan penyimpangan dapat mengambil tindakan untuk menyembuyikan permasalahan. Auditor dapat mengevaluasi seberapa baik bagian kontrol produksi mengatur kesesuaian tingkat layanan dengan menginterview pengguna dan personil operasi, memeriksa catatan komplain dan mengevaluasi kecukupan tindakan follow-up, dan mengobservasi bagaimana staf kontrol produksi berinteraksi dengan pengguna dan personel operasi. Namun, evaluasi bagaimana baik komplain dan perselisihan ditangani juga memengaruhi penilaian atas apakah tujuan pengamanan aset dan integritas data telah dicapai dengan baik. Kontrol Transfer Pricing/Chargeout Jika fasilitas operasi komputer menggunakan sistem transfer pricing atau chargeout, bagian kontrol produksi seringkali memiliki tanggung jawab untuk penagihan pelanggan, pengumpulan penerimaan, dan menindak lanjuti hutang yang tidak terbayar. Dalam hal ini, personil kontrol produksi harus memantau sistem chargeout dengan hati-hati untuk memastikan

15 bahwa biaya/beban diotorisasi, akurat, lengkap, dan dimengerti oleh pengguna. Selain itu, personil kontrol produksi harus dapat menjawab pertanyaan pengguna pada biaya yang terjadi. Karena pentingnya peran personil kontrol produksi dalam operasi sistem chargeout, mereka mungkin dapat untuk memperingatkan manajemen jika harga transfer tidak memotivasi pengguna untuk menggunakan sumber daya komputer dengan efisien atau ketika ketidakpuasan, terhadap level beban yang timbul atau skema transfer-pricing yang digunakan, muncul dari kalangan pengguna. Personil kontrol produksi juga harus mengingatkan manajemen jika tingkat beban yang timbul mulai menyimpang dari ketentuan. Jika fasilitas operasi komputer melakukan outsource beberapa aktivitasnya, hal itu akan dikenakan biaya dengan sendirinya. Personil kontrol produksi bertanggung jawab atas pemeriksaan otentisitas, akurasi, dan kelengkapan faktur yang diperoleh dari vendor outsourcing. Dan lagi-lagi, mereka harus mengingatkan manajemen jika mereka meyakini biaya/beban tidak masuk akal atau jika mereka meyakini adanya kesempatan outsourcing yang lebih baik di tempat lain. Auditor dapat mengevaluasi seberapa baik bagian kontrol produksi mengatur fungsi transferpricing dengan menginterview pengguna untuk menentukan apakah mereka puas dengan tingkat layanan yang diberikan, menginterview personil kontrol produksi untuk menentukan sifat pekerjaan yang mereka jalankan, memeriksa dokumentasi yang berhubungan dengan fungsi transfer-pricing untuk menentukan apakah dokumen aktual, akurat, lengkap, dan aman; memeriksa catatan komplain untuk bukti kesalahan atau penyimpangan dan kecukupan prosedur tindak lanjut, dan mengobservasi cara personil kontrol produksi menjalankan tugasnya. Fokus utama mereka adalah efektivitas dan efisiensi tujuan. Namun, auditor juga harus sadar bahwa ketidaknormalan transfer-pricing dapat menimbulkan masalah yang akan merusak tujuan pengamanan aset dan integritas data. Perolehan barang-barang konsumsi(consumable) Fasilitas operasi komputer biasanya menggunakan barang-barang konsumsi (misal:kertas printer,disket) dalam jumlah yang substansial. Barang-barang ini sering dapat menjadi komponen yang material dalam anggaran operasional. Selain itu, jadwal operasi dapat terganggu jika barang-barang konsumsi ini tidak tersedia tepat waktu. Personil kontrol produksi biasanya bertanggung jawab dalan mengakuisisi dan mengatur barang konsumsi yang digunakan oleh fasilitas operasi komputer. Mereka harus memastikan bahwa stok barang konsumsi tersedia dalam jumlah yang cukup, memantau harga dan kualitas barang yang dibeli, memastikan bahwa barang konsumsi disimpan dengan aman, dan kontrol penggunaan barang konsumsi.

16 Auditor harus mengikuti kumpulan bukti-bukti dan evaluasi prosedur yang dijalankan dalam aktivitas pembelian dan inventarisasi. Karena dengan aktivitas pembelian dan inventory, tujuan pengamanan aset, integritas data, efektivitas sistem, dan efisiensi sistem menjadi sangat penting dalam pekerjaan pengumpulan bukti dan evaluasi. File Library Fungsi file library di dalam area operasi memiliki tanggung jawab dalam manajemen media penyimpanan organisasi. Biasanya, kebanyakan pekerjaan dikeluarkan pada pengaturan media penyimpanan removable. Namun, media penyimpanan tidak bergerak (fixed) juga harus dimanage, keandalan dari media penyimpanan fixed harus selalu dimonitor. Mengatur kumpulan media penyimpanan yang mampu dibaca mesin melibatkan empat fungsi, yaitu: 1. Penyimpanan Media Penyimpanan Karena media penyimpanan mungkin berisi file yang sangat penting, mereka harus disimpan dengan aman. Dalam kasus operasi mainframe, sebuah ruangan terpisah harus dibangun berdekatan dengan ruang komputer untuk menyimpan media penyimpanan yang diperlukan selama operasi sehari-hari. Akses ke ruangan ini juga harus dibatasi. Fasilitas ini, baik on site maupun off site, harus menjaga temperatur secara konstan, dan lingkungan bebas debu. Media penyimpanan komputer mikro juga harus disimpan dengan aman dan adanya pembatasan akses. Untuk mengatur banyak media penyimpanan secara efektif, biasanya beberapa tipe sistem pustaka terotomatisasi diperlukan. Sistem tersebut biasanya mencatat hal-hal berikut: 1. Pengenal untuk setiap sarana penyimpanan 2. Tempat dimana tiap sarana penyimpanan diletakkan 3. Nama orang yang bertanggung jawab atas sarana penyimpanan 4. Nama orang yang memiliki sarana penyimpanan 5. File yang disimpan dalam suatu sarana penyimpanan 6. Orang yang berwenang mengakses tiap sarana penyimpanan 7. Tanggal pembelian sarana penyimpanan 8. Riwayat penggunaan sarana penyimpanan 9. Riwayat pengalaman masalah pada sarana penyimpanan 10. Tanggal saat isi sarana penyimpanan dapat dihapus 11. Tanggal saat dimana sarana penyimpanan dikeluarkan dari file library 12. Tanggal saat dimana sara penyimpanan dikembalikan ke file library Auditor dapat menggunakan interview dan observasi untuk memeriksa apakah media penyimpanan telah disimpan dengan aman. Untuk mengevaluasi keamanan, mereka dapat mengobservasi fasilitas yang digunakan untuk menyimpan media penyimpanan di lokasi on site dan off site. Jika terdapat sistem pustaka terotomatisasi, auditor dapat menjalankan prosedur audit inventory dasar untuk memeriksa apakah lokasi media penyimpanan sama dengan catatan dalam sistem. Selain itu, auditor juga harus waspada dengan kepemilikan jumlah media penyimpanan yang berlebihan untuk kebutuhannya. Di samping karena biaya yang tinggi, dapat juga terjadi buruknya manajemen file dalam media penyimpanan.

17 2. Penggunaan Media Penyimpanan Penggunaan media penyimpanan harus dikontrol dengan hati-hati. Dalam lingkungan mainframe, pustakawan file harus mengeluarkan media penyimpanan sesuai dengan jadwal produksi yang telah terotorisasi. Idealnya mereka akan memindahkan media penyimpanan yang diperlukan ke ruang komputer dan mengumpulkan media setelah produksi telah selesai dijalankan. Dalam lingkungan komputer mikro, tingkat kontrol yang dijalankan atas penggunaan media penyimpanan tergantung pada seberapa pentingnya data yang disimpan dalam media tersebut.personil di lokasi off site harus menerima dan melakukan backup file hanya pada jadwal yang telah ditentukan atau pada saat adanya permintaan yang terotorisasi. Kewaspadaan harus selalu dilakukan ketika terdapat lebih dari satu file dalam sebuah sarana penyimpanan. Kecuali terdapat kontrol yang memadai, sistem aplikasi yang membaca suatu file dapat menyediakan ruang untuk membaca file lain, demikian pula data yang sensitif. Idelanya data-data yang sensitif harus disimpan tersendiri dalam sebuah sarana penyimpanan. Apabila waktu penyimpanan file telah habis, file itu seharusnya dihapuskan dari media penyimpanan. Prosedur ini mengurangi kemungkinan data yang sensitif terbuka di masa mendatang. Selain itu, media penyimpanan dapat digunakan untuk menyimpan file lain. Auditor dapat menggunakan interview, observasi, dan review atas dokumentasi untuk mengevaluasi kandalan kontrol terhadap media penyimpanan yang digunakan. Jika terdapat catatan atas media penyimpanan, auditor dapat mereview catatan tersebut untuk mengevaluasi apakah hanya personil yang berwenang saja yang mengakses media penyimpanan. Penggunaan yang tidak tepat atas media penyimpanan dapat menggangu tujuan pengamanan aset dan integritas data. 3. Pemeliharaan dan Pembuangan Media Penyimpanan Banyak jenis media penyimpanan dapat diandalkan dalam jangka waktu yang panjang, tetapi umumnya keandalannya berkurang sesuai umurnya. Dalam hal ini, keandalan media penyimpanan harus selalu diawasi, terlebih lagi apabila media tersebut digunakan untuk menyimpan file yang sangat penting. Media penyimpan seharusnya tidak dibiarkan menganggur untuk waktu yang lama. Jika tidak, risiko kesalahan read dan write dengan media tersebut semakin meningkat. Ketika media penyimpanan menjadi tidak dapat diandalkan, hal terbaik yang biasanya dilakukan adalah membuangnya. Kewaspadaan harus dilakukan untuk memastikan bahwa semua data yang sensitif telah dihapus dari media penyimpanan yang dibuang. Jika media penyimpanan harus dibawa keluar organisasi untuk pembersihan atau reparasi, kewaspadaan dengan menghapus data yang terdapat dalam media harus dilakukan juga. Auditor dapat mengevaluasi keandalan kontrol atas pemeliharaan media penyimpana dengan cara interview, observasi, dan review atas dokumentasi. Dalam hal organisasi menggunakan sistem manajemen media, auditor dapat mereview laporan yang dihasilkan oleh sistem untuk menentukan apakah pustakawan file diberitahu mengenai ketidakandalan media penyimpanan. Auditor dapat meng evaluasi kecukupan aktivitas tindak lanjut yang dilakukan oleh pustakawan file tersebut.

18 4. Lokasi Media Penyimpanan Media penyimpanan yang removable dapatdiletakkan baik on site maupun off site. Mereka harus diletakkan on site jika mereka digunakan utamanya untuk mendukung produksi yang dijalankan dengan system aplikasi. Mereka harus diletakkan off site jika mereka digunakan utamanya untuk tujuan backup dan recovery. Dalam lingkungan mainframe, penanggung jawab file bertanggung jawab untuk mengatur perpindahan media penyimpanan removable ke dan dari lokasi off-site. Perpindahan tersebut harus sesuai dengan jadwal backup yang telah disiapkan. Dalam lingkungan computer mikro, seseorang masih harus menjalankan tugas penanggung jawab file tersebut. Kontrol yang lebih baik harus dilakukan jika tanggung jawab ini dilimpahkan pada satu orang. Auditor dapat melakukan interviewe, observasi, review atas dokumentasi untuk mengevaluasi apakah media penyimpanan removable diletakkan dengan tepat. Auditor juga dapat mengamati bagaimana mereka mengirimkan backup dan menerima backup dari lokasi penyimpanan off-site. Dalam hal terdapat dokumentasi jadwal backup, auditor dapat memeriksa keberadaan dan lokasi backup media penyimpanan untuk penyesuaian dengan jadwal ini. Documentation and Program Library Banyak tipe pendokumentasian yang dibutuhkan untuk mendukung fungsi system informasi di dalam sebuah organisasi: strategi dan rencana operasional; aplikasi system dokumentasi; aplikasi program dokumentasi; sistem software dan kegunaan program dokumentasi; database dokumentasi; manual operasional; dan standar manual. Manajemen dokumentasi system informasi yang efektif bisa jadi cukup sulit untuk beberapa alasan. Pertama, tanggung jawab untuk dokumentasi seringkali tersebar di seluruh organisasi. Kedua, dokumentasi bisa saja disimpan dalam beberapa bentuk dan di beberapa lokasi. Pustakawan dokumentasi memiliki tanggung jawab untuk mengatur bahan-bahan pendukung dokumentasi fungsi system informasi. Fungsi tersebut termasuk: 1. Memastikan dokumentasi disimpan dengan aman. 2. Memastikan hanya pihak yang berwenang yang mendapatkan akses ke dokumentasi tersebut. 3. Memastikan dokumentasi tersebut selalu up-to-date 4. Memastikan adanya back up yang memadai untuk dokumentasi tersebut. Pustakawan dokumen juga mempunyai tanggung jawab untuk mengatur persedian software yang diperoleh atau software yang dilisensi dari organisasi tersebut. Auditor dapat menggunakan wawancara, observasi, dan pengkajian ulang dari dokumentasi untuk mengevaluasi aktifitas dari pustakawan dokumentasi. Help Desk/Technical Support

19 Fungsi Help desk/technical support pada area operasional memiliki dua tanggung jawab utama. Pertama, membantu pengguna akhir untuk memperkerjakan hardware dan software pengguna akhir. Kedua, menyediakan technical support untuk system produksi dengan menyediakan pemecahan masalah. Beberapa fungsi dari help desk/technical support area adalah: 1. Mengakuisisi hardware dan software untuk kepentingan pengguna akhir 2. Membantu pengguna akhir dalam menghadapi kesulitan dari software dan hardware 3. Melatih pengguna akhir dalam menggunakan hardware, software, dan databases 4. Menjawab pertanyaan-pertanyaan pengguna akhir 5. Memonitor perkembangan teknologi dan menginformasikannya kepada pengguna akhir 6. Memutuskan sumber masalah dengan system produksi dan menginisiatifkan langkahlangkah yang benar 7. Menginformasikan pengguna akhir masalah dengan hardware, software, atau database yang mungkin saja menyerang mereka. 8. Mengendalikan instalasi dari hardware dan software yang dikembangkan. 9. Memulai perubahan untuk mengembangkan keefisiensian. Agar help desk/technical support area berfungsi dengan efektif dan efisien, terdapat dua persyaratan yang penting. Pertama, personel yang kompeten dan dapat dipercaya. kedua, masalah manajemen sistem yang menampilkan persediaan, pencatatan, dan kapabilitas laporan harus tersedia untuk mendukung aktifitas dari help desk/ technical support area. Capacity Planning and Performance Monitoring Berdasarkan pemantauan kinerja statistik, manajer operasional harus membuat tiga keputusan. Pertama, mereka harus mengevaluasi apakah profil kinerja yang menunjukkan kegiatan yang tidak sah mungkin terjadi. Kedua, sesuai dengan kebutuhan pengguna, mereka harus memutuskan apakah kinerja system dapat diteriman. Dan pada akhirnya, lebih banyak sumber daya hardware dan software sistem yang mungkin dibutuhkan. Auditor berkepentingan untuk melihat bahwa monitoring kinerja manajemen operasional baik dan membuat keputusan yang kompeten atas hardware dan sistem software berdasarkan statistik yang dikumpulkan. Auditor harus menggunakan wawancara, observasi, dan pengkajian ulang dari dokumentasi untuk mengevaluasi seberapa baik operasional manajemen melakukan perencanaan kapasitas dan fungsi monitoring kinerja. Management Outsourced Operations Manajemen operasional seharusnya focus terhadap empat tipe pengendalian dalam pemantauan kontrak outsourcing mereka. 1. Evaluasi yang berkelanjutan dari viabilitas keuangan atas penjual outsourcing. 2. Memastikan kepatuhan atas istilah dan kondisi pada kontrak outsourcing 3. Memastikan kelanjutan dari reabilitas atas pengendalian di dalam operasional penjual outsourcing 4. Memelihara prosedur untuk pemulihan bencana dengan penjual outsourcing

20