Keamanan Sistem
Keamanan Sistem mengacu pada perlindungan terhadap semua sumber daya informasi perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang.
Tujuan-tujuan Keamanan ; dimaksudkan untuk mencapai 3 tujuan utama , yaitu :
1. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orang-orang yang tidak berhak.
2. Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi mereka yang berwenang untuk menggunakannya.
3. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari sistem fisik yang diwakilinya.
A. TUJUAN KONTROL
untuk memastikan bahwa CBIS telah diimplementasikan seperti yang direncanakan, system beroperasi seperti yang dikehendaki, dan operasi tetap dalam keadaan aman dari penyalahgunaan atau gangguan.
B. TUGAS KONTROL CBIS
Metode Untuk Mendapatkan dan Memelihara Kontrol CBIS Manajemen dapat melakukan kontrol langsung
Manajemen mengontrol CBIS secara tidak langsung dengan terus menerus melalui CIO.
Manajemen mengontrol CBIS secara tidak langsung berkenaan dengan proyeknya melalui pihak ketiga
AREA PENGONTROLAN CBIS
KONTROL PROSES PENGEMBANGAN
Untuk memastikan bahwa CBIS yg diimplementasikan dapat memenuhi kebutuhan pemakai atau berjalan sesuai rencana harus menjalani tahapan/fase yang antara lain :
Fase Perencanaan
Mendefinisikan tujuan dan kendala
Fase Analisis & Disain> Mengidentifikasi kebutuhan informasi
> Menentukan kriteria penampilan
> Menyusun disain dan standar operasi CBIS
Fase Implementasi> Mendefinisikan program pengujian yang dapat diterima
> Memastikan apakah memenuhi criteria penampilan
> Menetapkan prosedur utk memelihara CBIS
Fase Operasi & Kontrol> Mengontrol CBIS selagi berevolusi selama fase SLC
> Memastikan bahwa CBIS yang diimplementasikan dapat memenuhi kebutuhan
KONTROL DISAIN SISTEM
Kontrol tidak boleh diterapkan jika biayanya lebih besar dari manfaatnya. Nilai atau manfaat adalah tingkat pengurangan resiko.
Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA dan Manajer Jaringan membangun fasilitas kontrol tertentu dalam disain system. Selama fase implementasi, programmer menggabungkan kontrol tersebut ke dalam system. Disain system dikontrol dengan cara menggabungkan kontrol software menjadi lima bagian pokok, yaitu :
I. Permulaan Transaksi (Transaction Origination)
Tahap-tahap yang harus dilakukan pada permulaan transaksi :
Permulaan Dokumentasi Sumber > Perancangan dokumentasi
> Pemerolehan dokumentasi
> Kepastian keamanan dokumen
Kewenangan > Bagaimana entry data akan dibuat menjadi dokumen dan oleh siapa
Pembuatan Input Komputer > Mengidentifikasi record input yang salah dan memastikan semua data input
diproses
Penanganan Kesalahan > Mengoreksi kesalahan yang telah dideteksi dan menggabungkan record yg telah dikoreksi ke record entry
Penyimpanan Dokumen Sumber > Menentukan bagaimana dokumen akan disimpan dan dalam kondisi
bagaimana dapat dikeluarkan
II. Entri Transaksi
Entri transaksi mengubah data dokumen sumber menjadi bentuk yang dapat dibaca oleh komputer. Kontrol ini berusaha untuk menjaga keakuratan data yang akan ditransmisikan ke jaringan komunikasi atau yang akan dimasukkan secara langsung ke dalam komputer. Area kontrolnya meliputi atas :
Entri Data
> Kontrol dalam bentuk prosedur tertulis dan dalam bentuk peralatan inputnya sendiri. Dapat dilakukan dengan proses offline/online
Verifikasi Data
> Key Verification (Verifikasi Pemasukan)
Data dimasukkan ke sistem sebanyak 2 kali
> Sight Verification (Verifikasi Penglihatan)
Melihat pada layar sebelum memasukkan data ke system
Penanganan Kesalahan
> Merotasi record yang telah dideteksi ke permulaan transaksi untuk pengoreksian
Penyeimbangan Batch
> Mengakumulasikan total setiap batch untuk dibandingkan dengan total yang sama yang dibuat selama permulaan transaksi
III. Komunikasi Data
Tanggungjawab manajer jaringan dengan menggabungkan ukuran keamanan ke dalam sistem dan memonitor penampilan untuk memastikan keamanan telah dilakukan dgn baik
Komputer yang ada dalam jaringan memberikan peluang risiko keamanan yang lebih besar dari pada komputer yang ada di dalam suatu ruangan. Area kontrol ini terdiri dari :
Kontrol Pengiriman Data
Kontrol Channel Komunikasi
Kontrol Penerimaan Pesan
Rencana Pengamanan Datacom Secara Keseluruhan
IV. Pemrosesan Komputer
Pada umumnya semua elemen kontrol pada disain system selalu dikaitkan dengan pemasukan data ke dalam komputer. Area kontrol pada pemrosesan komputer terdiri dari :
Penanganan Data
Penanganan Kesalahan
Database dan Perpustakaan Software
Sebagian besar kontrol database dapat diperoleh melalui penggunaan Sistem Manajemen Database (Database Management System/DBMS)
Tingkat keamanan dalam DBMS terdiri dari :
Kata kunci (Password)
Direktori pemakai (User Directory)
Direktori elemen data (Field Directory)
Enkripsi (Encryption)
V. Output Komputer
Komponen subsistem ini bertanggung jawab untuk mengirimkan produk (output) kepada pemakai (user). Yang termasuk dalam area ini adalah :
Distribusi
> Kontrol pada distribusi laporan berusaha untuk memastikan ketepatan orang yang menerima output.
Penyeimbangan Departemen Pemakai
> Bila departemen pemakai menerima output dari komputer, maka keseluruhan kontrol dari output dibandingkan dengan total yang sama yang telah ditetapkan pada waktu pertama kali data input dibuat.
Penanganan Kesalahan
Kelompok kontrol tertentu dapat ditetapkan didalam area pemakai dengan menjalankan prosedur formal untuk mengoreksi kesalahan.
Penyimpangan Record
> Tujuan komponen kontrol yang terakhir ini adalah untuk memelihara keamanan yang tepat terhadap output komputer dan untuk mengontrol penyelesaian yang sia-sia.
Penyeimbangan Operasi Komputer
> Kontrol ini memungkinkan pelayanan informasi untuk memverifikasi bahwa semua batch dan transaksi yang diterima dari departemen pemakai telah diproses.
KONTROL PENGOPERASIAN SISTEM
Kontrol pengoperasian sistem
dimaksudkan untuk mencapai efisiensi dan keamanan. Kontrol yang memberikan
kontribusi terhadap tujuan ini dapat diklasifikasikan menjadi lima area :
1. Struktur
organisasi
Staff pelayanan informasi di organisir
menurut bidang spesialisasi. Analis programmer dan personel operasi biasanya
dipisahkan dan hanya mengembangkan keterampilan yang diperlukan untuk area
pekerjaannya sendiri.
Penjadwalan menetapkan jadwal produksi
untuk semua aktivitas operasi, personil entri data mengubah data input menjadi
bentuk yang dapat dibaca oleh komputer. Operator komputer melakukan setup
komputer yang diperlukan untuk menjalankan pekerjaan personil bagian kontrol
input dan output menetapkan kontrol pada point dimana kerja batch memasukkan
dan mengeluarkan sistem. Personel bagian kontrol produksi memastikan bahwa
pekerjaan yang berjalan telah sesuai dengan jadwal.
Penjadwalan membuat jadwal harian
sampai mingguan secara maju dan memberikan jadwal tersebut kepada bagian
kontrol produksi setiap hari. Bagian kontrol produksi mempunyai tanggung jawab
untuk mengkoordinasikan jadwal tersebut dalam operasi komputer. Penjadwalan
terpisah dari kontrol produksi ini membuatnya sulit untuk menjalankan program
yang tak mendapat persetujuan atau membuat perubahan terhadap database yang tak
resmi. Dalam lingkungan online, kontrol yang diberikan oleh penjadwal harus
diperoleh dengan memadukan kontrol jaringan dan kontrol database yang telah
dijelaskan sebelumnya.
2. Kontrol
perpustakaan
Perpustakaan komputer adalah sama
dengan perpustakaan buku, dimana didalamnya ada pustakawan, pengumpulan media,
area tempat penyimpanan media, dan prosedur untuk menggunkan media tersebut.
Kebanyakan media komputer terdiri atas
kumparan tape magnetis, sedangkan media lain bisa meliputi kaset, disket dan
stack disk yang dapat dikeluarkan. Yang boleh mengakses perpustakaan media
hanyalah pustakawan. Kopi duplikat file dan program harus dipelihara, walaupun
ia tidak berada di dalam perpustakaan. Harus ada lokasi lain dalam area
komputer yang digunakan sebagai pembendung dari bencana atau dari kerusakan.
3. Pemeliharaan
peralatan
Bila perusahaan menyewa mainframe atau
mikrokomputer atau membelinya dengan perjanjian pemeliharaan, maka tanggung
jawab untuk menjaga peralatan tersebut agar berjalan dengan baik adalah
tanggung jawab dari pemasok atau perusahaan yang mengeluarkan peralatan
tersebut. Orang yang tugasnya memperbaiki komputer, yang disebut costumer
engineer (CE) atau field engineer (FE) atau teknisi lapangan, menjalankan
pemeliharaan yang terjadwal maupun yang tak terjadwal. Pemeliharaan yang tak
terjadwal dilakukan pada waktu komputer mengalami masalah, yang disebut
pemeliharaan preventif (PM), dimaksudkan untuk mencegah masalah yang muncul.
Manajer operasi komputer memonitor
penampilan komputer untuk memastikan bahwa waktu istirahatnya (downtime) tidak
terlalu panjang. Downtime adalah jangka waktu ketika komputer tidak dapat
dijalankan karena sesuatu hal. Manajer memonitor penampilan dengan cara
mengamati aktivitas dalam area operasi, berbicara dengan personel operasi dan
FE, serta menerima laporan mengenai penampilan sistem.
4. Perencanaan
atas bencana
Perusahaan yang membangun kontrol
pengoperasian dalam tiap area tersebut diatas dapat memperoleh tingkat keamanan
yang tinggi, namun disaster (bencana) mungkin saja akan tetap terjadi. Sebagai
contoh, api yang menjalar dibagian lain dalam gedung dapat saja menghancurkan
terminal, tape program dapat terhapus karena kesalahan, dan perusahaan yang
memasok form kertas dapat juga merusak sistem. Manajemen harus mengantisipasi
dan merencanakan kemungkinan yang tak terlihat tersebut dengan cara membuat
disaster plan (perencanaan atas bencana). Rencana atas bencana yang dibuat
perusahaan tersebut dapat terdiri atas beberapa rencana per bagian yang secara
terpisah menangani keadaan darurat, backup, record penting, dan recovery.
Rencana keadaan darurat. Rencana
keadaan darurat (emergency plan) tidak dimaksudkan untuk mencegah bencana namun
untuk meminimalkan pengaruhnya. Prioritas utamanya adalah keselamatan tenaga
kerja perusahaan. Strategi yang efektif dapat dilakukan dengan memasang alarm,
dengan latihan evakuasi, dan melindungi mesin-mesin dengan penutup atau dengan
sistem anti kebakaran.
Rencana backup.
Rencana backup (backup plan) menjelaskan bagaimana perusahaan dapat melanjutkan
operasinya dari ketika terjadi bencana sampai ia kembali beroperasi secara
normal. Bila hanya sedikit bagian sistem yang mengalami degradasi dan waktunya
singkat, maka peralatan backup bisa ditempatkan di tempat tersebut.
Cara yang mungkin jarang dilakukan
adalah dengan membuat kerjasama dengan perusahaan lain yang menggunakan jenis
peralatan yang sama. Bila komputer di perusahaan A tidak dapat digunakan, maka
ia menggunakan komputer di perusahaan B, demikian pula sebaliknya.
Cara yang lain adalah dengan
menghubungi biro pelayanan backup komersial, yang bisa memberikan pelayanan
fasilitas komputer lengkap dengan cara berlangganan. Perjanjian seperti
asuransi, yaitu perusahaan membayar sejumlah uang tertentu untuk dapat
mempunyai hak penggunaan fasilitas jika nantinya ia memerlukannya.
Cara lain dari hot site ini adalah
bahwa perusahaan diminta membangun fasilitas komputer backupnya sendiri yang
meliputi segala sesuatu kecuali komputer. Kemudian, jika terjadi bencana maka
komputer didapatkan dari pemasok. Istilah cold site atau empty shell digunakan
untuk menjelaskan jenis fasilitas ini.
Rencana record penting.
Rencana lain yang ada kaitannya dengan rencana backup adalah rencana record
penting (vital-record plan). Rencana ini mengidentifikasi file data penting dan
menentukan tempat penyimpanan kopi duplikat. Lokasi penyimpan harus jauh dari
tempat instalasi komputer.
Rencana recovery.
Rencana recovery (recovery plan) melengkapi rencana backup dan rencana record
penting dengan cara menentukan bagaimana sumber-sumber CBIS dapat disusun
kembali. Rencana recovery ini mengidentifikasi sumber-sumber peralatan
pengganti, fasilitas komunikasi, dan pasokan-pasokan.
sumber: buku Tinggkat II gunadarma
0 komentar:
Posting Komentar