KEAMANAN OPERASIONAL SI. Titien S. Sukamto

Transkripsi

1 KEAMANAN OPERASIONAL SI Titien S. Sukamto

2 KEAMANAN OPERASIONAL SI Operasional sistem informasi termasuk di dalamnya adalah pengendalian internal pada fasilitas pengolahan data juga lingkungan pada end-user yang dirancang untuk membantu operasional organisasi berfungsi secara efisien dan efektif dalam lingkungan ekonomi, keuangan, politik, dan legal. Operasional SI bukan merupakan bagian yang terpisah dari fungsi operasional lainnya di organisasi.

3 COMPUTER OPERATIONS Computer operations terdiri dari proses-proses SI yang menjamin bahwa input data di olah dalam bentuk yang efektif dan efisien untuk mendukung sasaran strategis dan operasional bisnis di organisasi. Audit operasional komputer termasuk penilaian pengendalian internal yang menjamin : 1. Penjadwalan dan pengawasan tugas/pekerjaan 2. Media distribusi keluaran (Output) 3. Prosedur Backup dan Recovery 4. Prosedur perawatan (maintenance) 5. Asuransi 6. Problem Management

4 PENJADWALAN DAN PENGAWASAN PRODUKTIVITAS PEKERJAAN Pekerjaan diselesaikan tepat waktu dan kapasitasnya cukup untuk memenuhi kebutuhan pengelolaan jangka menengah dan panjang. Sistem informasi untuk otomatisasi dan inisiasi job-scheduling dan meningkatkan efisiensi operasioal dengan secara otomatis menginisiasi penjadwalan pekerjaan selanjutnya saat pekerjaan sebelumnya selesai. Masing-masing pekerjaan/job harus diberi nomor prioritas, misalnya (1-9, pekerjaan mana yang memiliki prioritas tertinggi dan terendah), yang memungkinkan jobscheduling software untuk menginisiasi program dengan prioritas tertinggi terlebih dahulu.

5 PENJADWALAN DAN PENGAWASAN PRODUKTIVITAS PEKERJAAN CONT... Untuk mengawasi efektifitas dari job-scheduling software, manajemen dari operasional komputer harus menerima laporan harian yang mengindikasikan waktu mulai dan selesainya masing-masing pekerjaan, dibandingkan dengan penjadwalan pekerjaan yang direncanakan. Informasi ini nantinya akan memberi manajemen alat untuk secara independen menilai apakah pekerjaan diselesaikan dalam waktu yang sesuai jadwal yang telah disetujui. Kendali pengawasan lainnya adalah secara periodik menilai jumlah disk storage yang tersedia dan penggunaan kapasitas sistem. Pengawasan ini termasuk tracking persentase kapasitas processing system yang digunakan pada periode waktu yang spesifik, misal satu hari, satu minggu, satu bulan dan satu tahun.

6 MEDIA DISTRIBUSI KELUARAN (OUTPUT) Pekerjaan yang memanfaatkan sistem informasi akan menghasilkan output elektronik (file). Aktivitas ini harus dikerjakan melalui area distribusi dalam ketepatan waktu sehingga pemilik data dapat menggunakan informasi secara efektif. Output media fisik (dokumen kertas, microfilm) harus dikendalikan untuk menjamin bahwa staff/individu yang tidak berwenang tidak dapat mengakses ataupun mendapat informasi yang sensitif. Demikian juga dengan output elektronik, yang dikendalikan adalah logical access.

7 PROSEDUR BACKUP DAN RECOVERY Setiap organisasi harus memiliki Business Resumption Plan (BRP). Sebagai bagian dari rencana, ada prosedur untuk melindungi data dan program untuk menghadapi kerusakan atau kehilangan secara disengaja maupun tidak. Pengendalian utaman perlindungan ini adalah backup dari system software, program aplikasi, dan data juga penyimpanan dan rotasi dari media backup (CD, magnetic tapes) ke lokasi lain yang aman. Prosedur ini dilakukan secara periodik (harian, mingguan, bulanan)

8 PROSEDUR PERAWATAN Hardware komputer harus diperbaiki berdasarkan rekomendasi dari pabrik pembuatnya yang dijelaskan di dalam kontrak pembelian dengan vendor hardware. Prosedur perawatan harus dapat melindungi hardware komputer dari kegagalan pakai. Perawatan juga didapatkan melalui garansi yang diberikan oleh vendor. Penting bagi organisasi untuk mencatat setiap aktivitas perawatan yang dilakukan, disusun berdasarkan tipe peralatan yang ada di organisasi, vendor dan teknisi. Biaya dan rutinitas prosedur perawatan juga harus didokumentasikan.

9 ASURANSI; PROBLEM MANAGEMENT Asuransi Organisasi harus memiliki asuransi yang jumlahnya dapat menutupi semua hardware dan software komputer untuk biaya replacement, re-create data yang hilang, dan mungkin mengembalikan pendapatan yang hilang. Problem management Jumlah dan tipe masalah sistem yang muncul harus dicatat untuk menjamin bahwa masalah sistem terdokumentasi dan diselesaikan secara tepat waktu dan efektif. Beberapa organisasi masih mempertahankan Departemen Help Desk yang dapat membantu user via telepon saat terjadi masalah. Organisasi lainnya, terkadang meminta pemilik proses dari setiap sistem untuk menyelesaikan masalahnya dari sistemnya. Dokumen manajemen masalah, berisi jenis masalah, waktu terjadinya, aktivitas penyelesaian.

10 BUSINESS OPERATIONS Operasi bisnis terdiri dari semua fungsi dalam organisasi selain lingkup operasi komputer. Operasi bisnis biasanya termasuk proses input data ke dalam operasi komputer kemudian menggunakan keluaran dari operasi komputer tersebut untuk proses sehari-hari. Pengendalian sistem informasi yang ada dalam lingkungan operasi bisnis melingkupi 3 kategori dasar pengolahan dan kategori data elektronik: input, processing dan output. Tetapi terdapat juga pengendlaian lain yang berdampak terhadap sistem informasi yang kritis terhadap efektifitas fungsi operasi bisnis. Contoh pengendalian operasi bisnis : 1. Edit and Reasonableness Check 2. Integrity/completeness check 3. Efficiency/Effectiveness Controls (Pengendalian Efisiensi dan Efektivitas) 4. Internal database Balancing and Monitoring (Penyeimbangan dan pengawasan Basis data internal) 5. Inadequate Support of End-User Applications (Dukungan terhadap apliksi End-User)

11 EDIT AND REASONABLENESS CHECKS Untuk membantu mencegah data yang tidak valid masuk ke dalam sistem, sistem diprogram dengan protokol edit and reasonableness check otomatis. Contoh, edit checks dapat mencegah kalimat dimasukkan ke dalam field yang harusnya diisi hanya angka, atau sebaliknya. Selain itu terdapat laporan mengenai data yang diinputkan ke dalam sistem dan dibandingkan dengan dokumen asli untuk mengidentifikasi kesalahan. Jika terdapat kejadian bahwa sistem tetap menerima dan berusaha mengolah semua data yang dimasukkan meskipun tidak sesuai dengan kunci yang diminta, penerima dari laporan pengecualian ini bertugas memasukkan koreksi data.

12 INTEGRITY/COMPLETENESS CHECKS Ketika sejumlah besar data diimpor /ekspor secara elektronik ke sistem lain, kendali integritas dan kelengkapan data dapat menyediakan jaminan bahwa penerima akan menerima semua data tanpa kerusakan dan kehilangan informasi. Pengirim akan memberikan catatan jumlah data yang dapat dibandingkan saat penerima menerima data.

13 PENGENDALIAN EFISIENSI DAN EFEKTIVITAS Di dialam setiap operasi bisnis, akan selalu ada kesempatan untuk meningkatkan efisiensi dan efektivitas melalui otomatisasi prosedur manual. Manajemen sering mengabaikan kesempatan ini karena mereka terlalu sibuk mengejar deadline dan masalah operasional sehari-hari, padahal hal tersebut dapat terselesaikan dengan baik jika mereka berhasil mengotomatisasi proses manual mereka.

14 PENYEIMBANGAN DAN PENGAWASAN BASIS DATA INTERNAL Laporan manajemen dan informasi lainnya bersumber dari basis data internal yang dapat diandalkan. Keamanan terhadap informasi harus ketat untuk menjamin bahwa informasi tetap murni dan tidak terganggu oleh pihak manapun,

15 INADEQUATE SUPPORT OF END-USER APPLICATIONS Banyak dari jenis aplikasi yang digunakan oleh end-user dikembangkan oleh individu yang memiliki sedikit pengalaman training. Akibatnya, dokumentasi logis dan rancangan aplikasi tidak ada. Kemudian ketika pengembang berhenti atau diganti, hilang pula pengetahuan mengenai bagaimana aplikasi bisa dilanjutkan atau diciptakan kembali. Beberapa aplikasi end-user itu sederhana dan dapat di re-create atau ditingkatkan, bahkan saat pengembang/developer aplikasi sudah tidak berada di tempat. Jika pada aplikasi ini timbul masalah, manajemen akan kebingungan mencoba menghubungi developer sebelumnya agar bisa menyelesaikan masalah. Masalah ini akan terselesaikan jika saat pengembangan aplikasi, developer aplikasi diminta untuk menyertakan dokumen pengembangan dan bahkan memberikan panduan penggunaan.

16 REFERENSI Jack J. Champlain. Auditing Information Systems. 2nd Edition. 2003