PENGENDALIAN KEAMANAN FISIK DAN LOGIS. Titien S. Sukamto

dokumen-dokumen yang mirip
KEAMANAN OPERASIONAL SI. Titien S. Sukamto

TEKNIK AUDIT DATA CENTER DAN DISASTER RECOVERY. Titien S. Sukamto

PROGRAM AUDIT SISTEM INFORMASI. Titien S. Sukamto

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER DIANA RAHMAWATI

Keamanan Data. Pengamanan data dan dokumen sangat penting, tapi sayangnya, jarang dilakukan dengan tuntas.

BAB 4 EVALUASI TERHADAP PENGENDALIAN BENGKEL GAC AUTO SERVICE

PERATURAN TERKAIT PENGENDALIAN INTERNAL

Langkah langkah FRAP. Daftar Risiko. Risk

Keamanan dan Kontrol Sistem Informasi

KEAMANAN JARINGAN KOMPUTER ` MODUL 1 DASAR DASAR KEAMANAN KOMPUTER. DISUSUN OLEH Kundang K.Juman,Ir, MMSI

Lampiran 1. Tabel Check List Pengendalian Manajemen Operasional

INFRASTRUCTURE SECURITY

TEKNIK AUDIT. Titien S. Sukamto

BAB 4 AUDIT SISTEM INFORMASI APLIKASI PENJUALAN KREDIT PADA PT RODAMAS

BAB I PENDAHULUAN. Suatu jaringan idealnya dapat menghubungkan antartitik secara any to any.

THE VISIONING PHASE. Titien S. Sukamto

Lampiran Checklist Pengendalian Manajemen Operasional. 1 Apakah terhadap seluruh operasi komputer. telah dilakukan penjadwalan sehingga dapat

Daftar Pustaka. Mulyadi Auditing. Edisi Keenam. Jakarta: Salemba Empat Sistem Akuntasi. Edisi Ketiga. Jakarta: Salemba Empat.

Etika dalam Sistem Informasi

BAB IV SIMPULAN DAN SARAN

Lampiran Check List Pengendalian Manajemen Operasional. No. Pertanyaan Y T Keterangan Standart

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

www. dickyprihandoko.worpress.com

1 BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB 4 EVALUASI SISTEM INFORMASI. No Kegiatan Metode Waktu. Mencari Informasi dari Buku dan. Internet yang berkaitan dengan

PERTEMUAN 12 Keamanan dan Administrasi Database. (Chap. 20 Conolly)

12. PERKEMBANGAN / KEMAJUAN

Etika dan Keamanan SI

AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

DAFTAR PERTANYAAN. 1. Apakah kebutuhan pemakai / end-user (dalam kasus ini divisi penjualan) telah

DAFTAR ISI. On System Review Pemeriksaan Prosedur Eksisting untuk Database Backup dan Recovery. PLN Dis Jabar & Banten - LPPM ITB

KEAMANAN/SECURITY. Permasalahan Keamanan Auttentikasi Ancaman Program Ancaman Sistem Sistem Keamanan Deteksi Gangguan Enkripsi Windows NT

BAB 4 AUDIT SISTEM INFORMASI. audit dari wawancara dengan manajer yang terkait dan bagian bagian yang

: POB-SJSK-009 PROSEDUR OPERASIONAL BAKU Tanggal Berlaku : 1/01/2013 Backup & Recovery Nomor Revisi : 02

BAB VI AUDIT SISTEM INFORMASI BERBASIS KOMPUTER

Konsep Dasar Audit Sistem Informasi

Pengendalian Sistem Informasi Berdasarkan Komputer

BAB 5 SIMPULAN DAN SARAN

Lampiran 1 : Kuesioner Pengendalian Intern Penjualan Kredit Berbasis Komputer. Kuesioner Pengendalian Intern Akuntansi dalam Sistem Komputer

BAB 4 HASIL PENELITIAN DAN EVALUASI. Kuesioner yang dibuat mencakup 15 bagian dari IT Risk Management yang. 6. Rencana Kontingensi/Pemulihan Bencana

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. mengumpulkan data dan mengolah data berdasarkan hasil dari wawancara dengan

Vpn ( virtual Private Network )

PERTEMUAN 8 PENGAMANAN SISTEM INFORMASI BERBASIS KOMPUTER

PENGENDALIAN SISTEM INFORMASI BERDASARKAN KOMPUTER

Auditing. Obyektif. 3.1 Phase Audit Sistem Informasi

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

EVALUASI KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

Contoh : Isi pesan/ , membuka data yang bukan haknya, menjual data

LAMPIRAN. Hasil kuesioner yang dilakukan dengan Manager PT. Timur Jaya, Bapak Jimmy Bostan

BAB 4 AUDIT SISTEM INFORMASI. Pada bab ini akan membahas mengenai proses pelaksanaan Audit Sistem

BAB I PENDAHULUAN. I.1 Latar Belakang Masalah

Pengantar Komputer. Keamanan Komputer. Salhazan Nasution, S.Kom

BAB 4 EVALUASI SISTEM INFORMASI PERSEDIAAN BARANG JADI. untuk meningkatkan efektifitas dan efisiensi kegiatan operasional perusahaan.

1. Pendahuluan 1.1 Latar Belakang

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA PT. ABC

PT. GRAND BEST INDONESIA

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT. MAKARIZO INDONESIA. tidak akurat dan tidak lengkap merupakan kegiatan audit yang penting dalam

BAB 2 TINJAUAN PUSTAKA

Standar Internasional ISO 27001

Level 0. Keamanan Level 0 (Psychical Security) Keamanan fisik yang merupakan tahap awal dari keamanan komputer.

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

e-banking STUDI TENTANG e-banking PADA BANK BNI

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

1. Bagaimana topologi jaringan di PT.Arya Group? 2. Siapa saja yang terhubung dengan topologi jaringan PT. Arya Group?

PENGAMANAN SISTEM INFORMASI

BAB V IMPLEMENTASI DAN PEMBAHASAN. dibutuhkan Hardware dan software untuk menggunakan program Sistem Informasi

BAB 4 EVALUASI SISTEM INFORMASI PENJUALAN PADA CABANG CV. PESONA DIGITAL DI MALL TAMAN ANGGREK

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

Physical Security and Biometrics. Abdul Aziz

FRAMEWORK, STANDAR, DAN REGULASI. Titien S. Sukamto

SISTEM BASIS DATA 2. WAHYU PRATAMA, S.Kom., MMSI.

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN BARANG HABIS PAKAI PADA PT. LOKA MAMPANG INDAH REALTY

BAB 4 AUDIT SISTEM INFORMASI PENJUALAN KREDIT DAN PIUTANG PADA PT. TIRATANA ELECTRIC

Keamanan Logik. Arsitektur Keamanan dan Sistem Administrator STMIK Amikom Purwokerto

Metode Autentikasi melalui Saluran Komunikasi yang Tidak Aman

DATA CENTER: PENDAHULUAN

1. Lingkup Kerja. 2. Pelaksana. 3. Alat dan Bahan. 4. Referensi. 5. Uraian Instruksi Kerja. Operasional Server

THE RECOMMENDATION PHASE. Titien S. Sukamto

PENGAMANAN SISTEM basis DAta

Hanya kunci publik yang dipertukarkan antara pengirim dan penerima. Sebelum transmisi sebenarnya dimulai antaraa dua host, host pengirim mengirimkan

INTEGRITAS DAN KEAMANAN DATA. Gentisya Tri Mardiani, S.Kom., M.Kom

BAB IV PENGENDALIAN DAN SISTEM INFORMASI AKUNTANSI

BAB 4 AUDIT SISTEM INFORMASI PERSEDIAAN PADA PT BRAHMANA. yang terdapat pada PT Brahmana.

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI

BAB 4 EVALUASI SISTEM INFORMASI SUMBER DAYA MANUSIA

Berusaha melindungi data dan informasi dari orang yang tidak berada dalam ruang lingkupnya. b. Ketersediaan

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

KEAMANAN KOMPUTER. Pertemuan 10

LAMPIRAN A KUESIONER. Menetapkan Dan Mengatur Tingkatan Layanan (DS1)

KUESIONER. Nama Responden. Bagian/Jabatan

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB 4 EVALUASI SISTEM INFORMASI AKTIVA TETAP PADA PT. TRITEGUH MANUNGGAL SEJATI

BAB 4 EVALUASI SISTEM INFORMASI PADA PT CATRA NUSANTARA BERSAMA. 4.1 Hasil Evaluasi Terhadap Pengendalian Manajemen

INSTRUKSI DIREKTUR JENDERAL IMIGRASI NOMOR IMI-572.UM TAHUN 2009 TENTANG PROSEDUR DAN AKSES PUSAT DATA KEIMIGRASIAN (PUSDAKIM)

IMPLEMENTASI REMOTE ACCESS VPN PADA JARINGAN TEKNIK INFORMATIKA UNPAS MENGGUNAKAN OPENVPN ACCESS SERVER

KESIMPULAN DAN SARAN

Transkripsi:

PENGENDALIAN KEAMANAN FISIK DAN LOGIS Titien S. Sukamto

PENGENDALIAN KEAMANAN FISIK

KEAMANAN FISIK Keamanan fisik merupakan dasar dari pengendalian lingkungan SI organisasi. Tujuan pengendalian ini adalah untuk mengendalikan kerusakan atau akibat dari kerusakan. Fokus pengendalian tentunya fisik SI, berupa hardware ataupun lokasi dari SI itu sendiri. Risiko kerusakan berasal dari alam (gempa bumi, banjir, badai, kebakaran akibat petir) dan manusia (aksi teroris, pencurian, kebakaran yang disengaja). Tidak ada bagian di dunia ini yang bisa lepas dari bencana yang disebutkan di atas. Yang penting adalah tindakan untuk mencegah akibat yang berkepanjangan dari kerusakan yang terjadi

KUNCI FISIK Kunci fisik merupakan garis pertahanan pertama dari pengendalian keamanan fisik. Hal ini diterapkan pada lokasi/ruangan/tempat dimana komputer utama, server, dll berada. Kunci tradisional pemberian kunci dibatasi hanya untuk pihak-pihak/staff yang berwenang saja. Jika ada pihak lain yang tidak berwenang tetapi memiliki keperluan untuk mengakses ruangan, perlu pendampingan. Perhatikan juga penyerahan kunci ruangan dari staff yang dipindahkan atau sudah tidak bekerja di lokasi tersebut. Electronic badge keunggulan dibanding kunci tradisional, 1) tidak perlu diberikan ke semua pegawai. Jika ada staff yang dipindahkan atau berhenti cukup untuk menghapus hak akses dari sistem, sehingga sekalipun badge tidak dikembalikan, tidak masalah, 2) penggunaan badge dapat dibatasi waktunya. Misal untuk beberapa ruangan ada yang diprogram untuk selalu terkunci pada setelah jam kerja.

KUNCI FISIK CONT... Cipher locks kunci yang dapat dibuka dengan memasukkan sandi (angka/karakter) rahasia melalui keypad yang disediakan. Kendalanya adalah setiap ada pegawai baru atau berhenti, sandi harus diganti kemudian diinformasikan kepada semua pihak-pihak yang membutuhkan. kunci kombinasi membutuhkan seperangkat kombinasi kunci kunci Biometrik kunci ini bekerja dengan mengenali fitur unik dari fisik seseorang (sidik jari, handprints, retina, facial image, voice recognition, dll)

KEAMANAN FISIK Security guard Video surveilance cameras dipasang pada lokasi yang strategis. Efektif untuk mendeteksi adanya aktivitas yang mencurigakan General emergency and detection controls alarms yang dipicu api, asap, atau aksi lain, misal membukan pintu dengan paksa, water sprinkle, dll. Heating, Ventilation and Cooling system (HVAC) komputer bertahan diruangan yang dingin, kering dan dust-free. Tetapi tidak semuanya. Misal mainframe. HVAC juga berguna untuk menjaga kesehatan staff. Asuransi berguna untuk menutupi biaya replacement hardware dan software, serta biaya re-create data yang rusak atau hilang. Bahkan untuk mengembalikan pendapatan yang hilang akibat kegagalan hardware dan software, namun hal ini sulit di klaim karena sulit dibuktikan.

KEAMANAN FISIK CONT... Periodic Backups harian (data), mingguan dan bulanan (full backup: system software, aplikasi, data). Pemberian sistem log penting untuk mendokumentasikan proses backup yang telah dilakukan dan tempat penyimpanan backup dipindahkan. Media backup (CD, harddisk, flashdisk,dll). Akan lebih baik jika media backup disimpan terpisah dengan yang asli Emergency power and Uninterruptible Power System (UPS) System dirancang untuk setiap fasilitas pengolahan informasi penting Business Resumption Programs (BRP) skala dokumen BRP tidak harus seperti ensiklopedia, karena jika terlalu besar akan sulit untuk dikelola. BRP harus jelas, ringkas, dan mudah dibaca, tetapi mengandung prosedur kunci utama yang penting untuk menjamin langkah-langkah recovery dilakukan tepat waktu dan dengan cara yang benar. Setelah BRP dibuat, penting bagi organisasi untuk melakukan uji secara berkala.

KEAMANAN FISIK CONT... Isi BRP : 1. Daftar kontak personel utama di organisasi (nomor telepon rumah, ponsel, dan alamat rumah) 2. Lokasi kantor/markas cabang 3. Identifikasi dan tingkat operasional dalam penanganan risiko (mulai dari proses dengan risiko tinggi, data) 4. Deskripsi mengenai kejadian yang memicu proses BRP. Bagian ini harus mencantumkan prosedur BRP dan prosedur BRP yang sesuai dengan tingkat kerusakan/risiko yang dialami 5. Ringkasan deskripsi aktivitas yang harus dilakukan pada masing-masing area operasional. Penting pemberian gambar ilustrasi 6. Pertimbangan dampak psikologi karyawan yang mungkin dialami dan akan mempengaruhi saat ia menjalankan tugas/pekerjaan

PENGENDALIAN KEAMANAN LOGIS

KEAMANAN LOGIS Kunci pertama dalam melndungi sistem informasi dari unauthorized access terletak pada rancangan dan pemrograman pengendalian keamanan logis yang tertanam dalam sistem itu sendiri. Sebelum keamanan logis dirancang, penting bagi tim pengembang sistem untuk mengetahui jenis risiko apa saja yang mungkin akan dihadapi sistem ke depannya. Identifikasi risiko akan mempengaruhi jenis dan tipe pengendalian keamanan logis yang dibutuhkan untuk kemudian dirancang ke dalam sistem.

PERANCANGAN KEAMANAN LOGIS Identifikasi risiko signifikan yang akan dihadapi sistem paling baik jika melalui proses penilaian risiko yang formal. Baik auditor internal maupun eksternal banyak yang mempersiapkan dokumen penilaian risiko sebagai standar dari proses audit mereka, hal ini juga akan menjadi sumberdaya yang baik bagi tim pengembang SI. Salah satu contoh pengendalian tersulit adalah kemungkinan adanya unauthorized activities yang dilakukan oleh Admin keamanan sistem. Contoh, Admin sistem bisa melakukan penambahan, penghapusan dan perubahan user serta kemampuan akses user; mengawasi dan mengatur aktivitas sistem; mengendalikan parameter keamanan sistem; meninjau keamanan sistem dan operational log, dll. Untuk dapat menyelesaikan tugas tersebut, Admin diberi akses tak terbatas terhadap sistem.

PERANCANGAN KEAMANAN LOGIS CONT... Banyak sekali kasus, dimana tim pengembang sistem tidak berpikir dua kali tentang fakta tersebut. Nantinya ini akan jadi tugas auditor untuk menginformasikan kepada tim pengembang tentang perlunya pemberian batas untuk kemampuan Admin terhadap sistem. Ada beberapa teknik yang dapat dilakukan : Rancanglah sistem sedemikian rupa sehingga membutuhkan Admin kedua untuk mengkonfirmasi setiap ada perubahan pada sistem. Rancang sistem dengan menyertakan log yang bersifat read-only untuk mencatat setiap kejadian yang mungkin akan mengancam keamanan sistem. Sertakan juga prosedur untuk meninjau log secara periodik

MENGHIDUPKAN SISTEM BARU Setelah proses perograman dan instalasi selesai, Admin dan teknisi instalasi memulai inisiasi untuk eksekusi dan mengaktifkan sistem untuk pertama kalinya. Sistem dirancang untuk dapat mengenali User ID dan maiden password. Semua User ID dan maiden password harus dicatat ke dalam dokumen sistem, untuk menjaga saat sistem perlu untuk di reinisiasi kembali seperti semula. Setelah sistem berhasil berjalan, User diminta untuk mengganti maiden password menjadi password yang mereka kehendaki (dengan pemberian standar pembuatan password). Ingat bahwa, password baru harus melalui proses enkripsi, agar tidak terlihat oleh Admin.

MENGHIDUPKAN SISTEM BARU CONT... Admin juga diharapkan dapat membuat parameter keamanan, contoh standard : 1. Panjang Password minimal sistem harus secara otomatis menolak disaat user berusaha memasukkan password kurang dari panjang yang ditetapkan 2. Waktu kadaluwarsa password saat password mencapai masa kadaluwarsa, sistem harus meminta user untuk memasukkan password baru 3. Jumlah percobaan gagal masuk sistem sebelum akhirnya menangguhkan User ID 4. Waktu perhari dan hari perminggu user diperbolehkan mengakses sistem 5. Waktu tidak aktif sampai akhirnya sign-off/log out user secara otomatis

USER ID DAN PASSWORD User ID dan Password merupakan bentuk yang paling umum dalam pengendalian keamanan logis. Tanpa itu, siapa saja bisa mengakses sistem dan melakukan unauthorized transaction. Contohnya, mendapat akses untuk informasi sensitif, merusak data dan program, menyebarkan virus, malware, dll.

REMOTE ACCESS CONTROL Remote Access Control adalah kemampuan untuk mendapatkan dan mengendalikan akses terhadap komputer atau jaringan dari jarak jauh. Jenis RAC yang paling umum : Secure Socket Layer (SSL) protokol yang digunakan untuk enkripsi Internet sessions antara remote computer dengan jaringan server. Virtual Private Network (VPN) konsepnya hampir sama dengan SSL, hanya saja VPN biasanya membutuhkan hardware dan software khusus. Kini telah banyak software, aplikasi yang dapat digunakan untuk melakukan RAC.

REFERENSI Jack J. Champlain. Auditing Information Systems. 2nd Edition. 2003 David L. Prowse. CompTIA Security+ SY0-301 Authorized Cert Guide. 2nd Edition. 2012

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan