METRIK DAFTAR TEMUAN AUDIT TEMUAN RESIKO REKOMENDASI TINDAK LANJUT. rentan akan menyebabkan. penting.

Transkripsi

1 Manajemen Keamanan METRIK DAFTAR TEMUAN AUDIT TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Tidak adanya Jika terjadi Pengadaan alat Dipasang alat alat deteksi kebakaran pendeteksi panas pendeteksi panas dan maka tidak dan asap pada tiap panas dan asap asap pada terdeteksi ruangan terutama pada ruanganruangan setiap dengan cepat, ruangan yang yang ruangan. sehingga menyimpan datadata rentan akan menyebabkan dan peralatan terjadinya kerugian materi penting. kebakaran pada perusahaan. TINGKAT RESIKO High Stasiun pengendalian tidak dijaga oleh staf. Tidak ada petugas yang siaga jika terjadi bahaya kebakaran. Sebaiknya terdapat petugas yang selalu siaga di stasiun pengendalian. Pengadaan stasiun pengendalian yang oleh staf selalu siaga High Back up data tidak dilakukan secara rutin. Serta tidak adanya back up offsite. Kertas printer tidak diletakan di ruang terpisah. Apabila terjadi kehilangan data induk, maka tidak ada data cadangan dan itu akan menyebabkan kehilangan data. Kertas merupakan material yang mudah terbakar sehingga dapat mengakibatkan api menjalar. Harus ada back up data secara periodik. Dan harus ada back up offsite yang ditujukan untuk penyelamatan dan keamanan data penting. Sebaiknya material yang mudah terbakar seperti kertas diletakan pada ruangan yang terpisah dari ruang printer. Back up setiap hari atau setiap ada pembaharuan atau penambahan data dan diadakannya back up offsite minimal dengan ruangan yang terpisah dari ruangan inti. Kertas diletakkan di tempat khusus yang tidak rentan akan kebakaran High High

2 152 Dokumendokumen yang berkaitan dengan penggajian hanya disimpan pada lemari kayu Semua hardware tidak ditutup dengan bahan tahan air sewaktu tidak digunakan Karyawan diperbolehka n makan dan minum didekat peralatan komputer. Tidak ada anti virus pada komputer. Tidak ada antisipasi apabila salah satu komputer terkena virus Lemari kayu dapat terbakar, apabila terjadi kebakaran, maka dokumendokumen tersebut juga akan ikut terbakar Air dapat merusak hardware. Jika terjadi kelalaian, maka dapat merusak komputer Tidak adanya anti virus dan pelaksanaan update anti virus secara periodik dapat membahayakan keamanan data dan merusak jaringan sistem yang ada pada masing-masing PC. Virus dari satu komputer dapat menyebar ke komputer lainnya. Sebaiknya dokumen disimpan pada lemari besi sehingga tidak dapat terbakar dan lebih aman. Semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan. Tidak makan dan minum didekat komputer. Meng-install anti virus pada setiap komputer Melakukan antisipasi apabila ada virus seperti dengan meng-scan komputer yang terkena virus Menyimpan dokumendokumen tersebut pada lemari besi. Menutup semua hardware dengan bahan tahan air agar tidak rusak. Karyawan diwajibkan untuk makan dan minum pada tempat yang disediakan. Setiap komputer di install anti virus agar terhindar dari virus. Menyiapkan antisipasi apa yang akan dilakukan apabila salah satu komputer terkena virus. High High High High High

3 153 Administrator tidak memeriksa dengan teliti pembelian hardware dan software serta bukti penggunaan sistem informasi Petugas keamanan tidak mengontrol aset-aset keamanan secara rutin Dapat terjadi kerancuan akan kepastian mengenai ketepatan hardware atau software yang dibeli dan penggunaanya tidak efisien Jika terjadi halhal yang tidak diinginkan maka tidak dapat ditanggulangi dengan baik dan bahkan dapat terjadi kesalahan fatal. Setiap pembelian hardware dan software sebaiknya memiliki bukti pembelian dan penggunaanya sesuai dengan kebutuhan Sebaiknya dilakukan pemeriksaaan secara rutin dan membuat laporan pemeriksaanya. Memeriksa dengan teliti bukti-bukti pembelian dari setiap hardware dan software yang digunakan. Meningkatkan kontrol terhadap asetaset keamanan. High High

4 PENGENDALIAN BOUNDARY TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Penggantian password tidak harus dilakukan secara rutin. Tidak ada batasan maksimal untuk kesalahan input password Perusahaan tidak menerapkan pengendalian cryptographic Memungkinkan pihak yang tidak berotorisasi untuk mengakses data dalam komputer yang bersifat rahasia dan pribadi. Menyebabkan pihak yang tidak mempunyai hak akses dan tidak bertanggungjawa b dapat bereksperimen terhadap password tersebut. Tanpa pengendalian cryptographic, maka password dapat dicuri oleh orangorang yang ahli dalam bidang IT. Dilakukan penggantian password sesering mungkin minimal sebulan sekali sehingga data yang ada dapat terjamin kerahasiaanya. Sebaiknya ditetapkan batasan maksimal untuk password. Pengendalian cryptographic ditetapkan agar password tidak dapat dicuri dan dipergunakan oleh pihak-pihak yang tidak bertangungjawab. Selain itu, perusahaan juga dapat menggunakan enscript data Pergantian password secara rutin sesuai kebutuhan. Menetapkan batasan maksimal dalam sistem untuk pembatasan maksimal kesalahan input password (misalnya 3 kali) Menerapkan pengendalian cryptographic dalam sistem. TINGKAT RESIKO High High High

5 PENGENDALIAN INPUT TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Tiap Menyebabkan Sebaiknya setiap Pengadaan transaksi manipulasi data transaksi harus ada otorasisai input yang otorisasi agar tidak dalam setiap terjadi tidak disalahgunakan. transaksi diotorisasi. (nama-nya dicetak Tidak terdapat validity test untuk menjamin keabsahan transaksi. Menyebabkan kesalahan data Harus ada validity test. juga) Menerapka n validity test dalam sistem TINGKAT RESIKO High High 4. PENGENDALIAN OUTPUT TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Tiap hasil Pertanggungjawab Setiap hasil output output tidak an dan keabsahan harus diotorisasi diotorisasi hasil output terlebih dahulu terlebih diragukan. dahulu. sehingga jelas dan dapat dipertanggungjawa ban. Penetapan otorisasi secara manual ataupun secara otomatisasi TINGKAT RESIKO High Laporan yang dihasilkan tidak akurat dan tidak sesuai dengan kebutuhan. Menyebabkan manipulasi data. Setiap laporan yang dihasilkan harus akurat dan sesuai dengan kebutuhan. Laporan harus lengkap dengan adanya tanggal, waktu pencetakan dan paraf pemberian persetujuan. High

6 PENGENDALIAN PROSES TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Belum Audit trail Diadakan audit Membentuk pernah ada diperlukan untuk trail dengan audit trail prosedur mengecek dan membentuk tim sehingga audit trail memeriksa apakah audit yang dapat pada sistem sistem berkerja melakukan inspeksi dilakukan aplikasi dengan proses secara rutin inspeksi penggajian yang benar dan secara rutin bekerja dengan seefisien mungkin Waktu yang Pemrosesan data Sebaiknya Mengotoma digunakan terlalu menyita pemrosesan data tisasi sistem untuk waktu sehingga dilakukan dengan yang ada. pemrosesan tidak efisien. efisien dengan cara data tidak mengotomatisasi lah efisien sistem-sistem yang karena tidak ada. semua sistem telah terotomatisa si. TINGKAT RESIKO High High 6. PENGENDALIAN DATABASE TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Back up data Back up data Back up dilakukan setiap hari atau setiap 2 kalau perlu setiap minggu sekali ada data baru Jika back up data dilakukan2 minggu sekali, maka sangat memungkinkan untuk melakukan manipulasi data atau tidak akuratnya data atau perubahan data terjadi data dilakukan setiap ada perubahan dan pembahar uan data. TINGKAT RESIKO High

7 157 Database tidak disajikan dalam bentuk userinterface yang user friendly. Ketika hendak melakukan terhadap database akan memusingkan user yang menggunakan Merubah database. format Database dibuat lebih user friendly disesuaikan dengan kebutuhan user. High 7. PENGENDALIAN APLIKASI KOMUNIKASI TEMUAN RESIKO REKOMENDASI TINDAK LANJUT Beberapa Memperlambat Mengusahakan Pengecekkan komputer proses dan kinerja penggantian baik rutin memiliki dari para pegawai hardware maupun untuk hardware serta software yang hardware dan menimbulkan bersangkutan dan software resiko kerusakan software yang sudah yang lebih tinggi dan out-of-date penggatian atau pembaharuan software dan hardware yang sudah out of date. TINGKAT RESIKO High

8 158 BLANKO KUESIONER Pengendalian Umum Terhadap Manajemen Keamanan No Pertanyaan Jawaban Keterangan Tingkat Resiko Ya Tidak KEBAKARAN 1. Apakah terdapat alat pendeteksi panas dan asap api pada setiap ruangan? 2. Apakah tabung pemadam api mudah dijangkau? 3. Apakah terdapat tombol saklar untuk mengendalikan listrik di seluruh gedung? 4. Apakah gedung dibangun dari bahan tahan api? 5. Apakah terdapat pintu atau tangga darurat? 6. Apakah signal peringatan kebakaran akan langsung dikirim ke semua ruangan ketika alarm berbunyi? 7. Apakah terdapat stasiun pengendalian yang selalu dijaga oleh staf? 8. Apakah terdapat prosedur atau jadwal pemeliharaan gedung baik dan teratur? 9. Apakah tiap komputer di departemen menggunakan Uninterruptible Power Supply (UPS) dan stabilizer?

9 Apakah ruang komputer dibersihkan secara teratur? 11. Apakah back up datadata penting sering dilakukan? Dan apakah ada backup offsite? 12. Apakah kertas printer diletakan di ruang terpisah? 13. Apakah terdapat pengawasan rutin terhadap sistem dan peralatan untuk perlindungan kebakaran? 14. Apakah setiap ruangan memiliki pemadam kebakaran otomatis? 15. Apakah dokumen yang berhubungan dengan sistem penggajian disimpan di tempat yang aman dari kebakaran? BANJIR 16. Apakah atap, dinding dan lantai gedung terbuat dari bahan tahan air? 17. Apakah terdapat alarm pada lokasi strategis? 18. Apakah semua aset sistem diletakan pada tempat yang tinggi? 19. Apakah semua hardware ditutup dengan bahan tahan air sewaktu tidak digunakan?

10 KERUSAKAN STRUKTURAL Apakah lokasi perusahaan sudah terletak di daerah yang aman terhadap kerusakan struktural? 21. Apakah aset disimpan pada tempat yang aman? POLUSI 22. Apakah karyawan diperbolehkan makan dan minum di dekat peralatan komputer? 23. Apakah pada setiap lantai terdapat tempat sampah yang memadai? 24. Apakah tempat sampah dibersihkan secara rutin? PENYUSUP 25. Apakah perusahaan sudah menggunakan alarm? 26. Apakah perusahaan memiliki petugas keamanan yang bertugas menjaga gedung 24 jam? 27. Apakah kartu identitas karyawan telah digunakan sebagai mana mestinya? VIRUS 28. Apakah semua komputer telah di-install anti virus? 29. Apakah ada antisipasi apabila komputer terkena virus? 30. Apakah setiap data transaksi dibuatkan back up datanya?

11 161 PENYALAHGUNAAN SOFTWARE, DATA DAN LAYANAN 31. Apakah software dilindungi dengan hak cipta? 32. Apakah administrator keamanan memeriksa dengan teliti pembelian hardware dan software serta bukti pengunaan sistem informasi? 33. Apakah ada hukuman jika terjadi penyalahgunaan? HACKER 34. Apakah semua sistem menggunakan password? 35. Apakah password hanya diketahui oleh orang yang bersangkutan? 36. Apakah petugas keamanan mengontrol sistem dan aset-aset yang ada secara rutin?

12 162 Pengendalian Batasan No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah setiap user diberikan PIN untuk mencegah pengaksesan data oleh unauthorized user? 2. Apakah tampilan password ketika diketik invisible (tidak terbaca)? 3. Apakah pergantian password dilakukan dengan rutin? 4. Apakah terdapat ketentuan dalam penggunaan password? (seperti panjang password maximal 6 digit, huruf dan angka). 5. Apakah sistem menerapkan pengendalian cryptographic dengan mengacak data yang ada? 6. Apakah terdapat batasan maximal untuk kesalahan input password? (Jika ya, berapa kali dan apakah terdapat tampilan error message jika terjadi kesalahan?) 7. Apakah setiap user dibatasi mekanisme pengaksesan sistem?

13 163 Pengendalian Input No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah tiap transaksi input yang terjadi telah diotorisasi? 2. Apakah perusahaan telah melakukan antisipasi terhadap terjadinya kesalahan pada data yang di-input? 3. Apakah telah dilakukan validity tests untuk menjamin keabsahan transaksi berisi kode, karakter, dan field size? 4. Bahasa pemrograman yang digunakan: a. Office b. ASP c. VB d. Oracle e. Foxpro 5. Sistem pemrosesan data : a. Batch System b. On-line real time 6. Apakah user dan operator diberikan pelatihan terlebih dahulu mengenai cara input data?

14 164 Pengendalian Output No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah tiap hasil output telah diotorisasi terlebih dahulu? 2. Apakah laporan yang dihasilkan akurat dan sesuai dengan kebutuhan (setiap laporan telah tercantum tanggal, waktu pencetakan dan paraf pemberian persetujuan)? 3. Apakah hasil diperoleh dengan tepat waktu? 4. Apakah output yang dihasilkan dapat dipercaya? 5. Apakah output yang dihasilkan lengkap?

15 165 Pengendalian Process No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah perbaikan terhadap kesalahan pemasukkan data sudah dapat dilakukan dengan mudah? 2. Apakah sudah terdapat prosedur audit trail pada sistem aplikasi penggajian? 3. Apakah waktu yang dibutuhkan dalam pemrosesan data sudah se-efisien mungkin? 4. Apakah perusahaan sudah menyimpan dokumen pendukung sebagai bukti-bukti pencatatan?

16 166 Pengendalian Database No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah sudah terdapat langkah pem-backup-an data secara rutin? 2. Apakah file backup telah disimpan ditempat yang aman dari resiko/semua kejadian yang diperkirakan akan terjadi? 3. Apakah user interface dari database sudah user friendly? 4. Apakah proses query data dapat dilakukan dengan mudah? 5. Apakah dalam database sudah terdapat fungsi create, add, read, delete? 6. Apakah sudah terdapat pemisahan akses bagi masing-masing bagian?

17 167 Pengendalian Application Communication No Pertanyaan Ya Jawaban Tidak Keterangan Tingkat Resiko 1. Apakah sistem informasi di perusahaan sudah menggunakan jaringan LAN? 2. Apakah sistem penggajian pada komputer yang digunakan sudah terproteksi agar tidak dapat diakses oleh divisi lain? 3 Apakah sistem LAN yang digunakan sudah beroperasi dengan baik? 4 Apakah hardware dan sofware yang digunakan masih dapat mendukung operasional perusahaan dengan baik? 5 Apakah sisfo penggajian sudah dapat berjalan dengan baik, sesuai dengan prosedur yang ditetapkan oleh kepala bagian personalia dan direktur.

18 LAMPIRAN 168

19 Laporan Absensi 169

20 Laporan data karyawan 170

21 Formulir Daftar Lembur 171

22 Bukti permohonan permintaan dana 172

23 Laporan Gaji 173

24 174 Rekap Upah Harian

25 Tanda Terima Upah Inspecting 175

26 Slip Gaji 176

27 177 RANCANGAN LAYAR Software pengambilan data absensi dari mesin Cardnetic

28 Untuk mengakses utility software pengambilan data absensi 178

29 Data mentah absensi dari mesin Cardnetic 179

30 Transfer data absensi dari File CARDAT.TXT ke CARDAT.SDF proses absensi 180

31 Selesai proses transfer data absensi. Kemudian ketik QUIT untuk keluar foxprol. 181

32 Proses pengiriman data absensi hasil loading dari mesin ke jaringan (pengolah absensi berbasis DOS) 182

33 Kalau Yes, Persetujuan untuk melanjutkan proses, jika No. kembali ke prompt H: 183

34 Program pengolahan absensi. 184

35 185 Input password untuk pengambilan data karyawan Tampilan absensi untuk pengambilan data karyawan harian

36 186 Tampilan layar pengambilan kartu absensi Tampilan layar untuk mengedit kartu absensi per tanggal

37 187 Tampilan layar absensi karyawan Login untuk pengeditan absensi karyawan

38 188 Tampilan proses pengentrian absensi untuk total jam kerja Pengambilan data per periode

39 189 Tampilan pengentrian penghitungan potongan gaji karyawan Tampilan untuk melihat data gaji karyawan

40 190 Tampilan gaji karyawan Tampilan untuk pengambilan laporan dengan menginput password terlebih dahulu

41 191 Tampilan untuk print slip upah Tampilan untuk pencetakan slip gaji per karyawan

42 192 Modul menu gaji bulanan Modul menu File Master Karyawan

43 193 Menu untuk tambah, edit, lihat, hapus, clean data. Menu lihat data gaji karyawan

44 194 Menu edit data gaji karyawan Menu penyiapan data absensi per periode penggajian.

45 195 Menu untuk memeriksa data jam kerja karyawan Menu tampilan Daftar Jam kerja karyawan.

46 196 Menu Daftar Kode Bagian Menu proses gaji staff.

47 197 Menu pembuatan laporan. Laporan Daftar karyawan

48 198 Menu print daftar karyawan per NIP Menu print daftar karyawan per BAGIAN

49 199 Menu print daftar karyawan per Shift Menu print daftar karyawan berdasarkan pendidikan

50 200 Print daftar karyawan berdasarkan masa kerja. Print daftar karyawan berdasarkan Nomor Induk (NIP)

51 201 Menu Print daftar potongan Menu pengolahan absensi.

52 202 Menu pengambilan data absensi dari CARDAT.SDF Menu edit absensi karyawan.

53 203 Menu edit absensi per tanggal Menu edit karyawan per NIP

54 204 Menu proses perhitungan absensi. Menu edit keterangan absensi (status -> Ijin, mangkir, Sakit, Cuti, dll)