Page 63 - Modul CA - Sistem Informasi dan Pengendalian Internal (Plus Soal)
P. 63
SiStem informaSi
dan Pengendalian internal
1. Pelatihan
Manusia memegang peranan penting dalam keamanan informasi. Para pegawai harus memahami dan
mengikuti kebijakan keamanan organisasi. Sehingga, pelatihan merupakan pengendalian preventif.
Semua pegawai harus diajarkan mengapa keamanan sangat penting bagi keselamatan perusahaan
dalam jangka panjang. Mereka harus diajarkan untuk tidak berbagi password, tidak membuka email-
email yang mencurigakan, hanya menggunakan piranti lunak yang asli, dan melakukan langkah-
langkah yang diperlukan untuk melindungi komputernya secara fisik.
2. Kendali atas akses para pengguna (autentifikasi dan otorisasi)
Tujuan dari pengendalian akses pengguna adalah untuk mengidentifikasi setiap orang yang mengakses
sistem informasi organisasi dan menelusuri tindakan-tindakan yang mereka lakukan. Terdapat dua
jenis pengendalian akses pengguna yang digunakan, yakni pengendalian otentifikasi yang membatasi
siapa saja yang dapat mengakses sistem informasi organisasi; dan pengendalian otorisasi yang
membatasi apa saja yang boleh dilakukan oleh setiap orang jika mereka diberikan akses terhadap
sistem informasi organisasi.
3. Kendali atas akses fisik
Kendali atas akses fisik dimulai dari titik masuk ke gedung tempat aset secara fisik berada. Idealnya,
hanya ada satu titik masuk yang tidak terkunci selama jam kerja normal. Pada kondisi darurat seperti
antisipasi atas kejadian kebakaran, biasanya diperlukan pintu darurat keluar, namun akses terhadap
DOKUMEN
pintu darurat ini tidak boleh diberikan pada pihak luar dan harus dihubungkan dengan sistem alarm
yang secara otomatis akan berbunyi ketika pintu darurat terbuka. Selain itu, resepsionis atau petugas
jaga harus berada di lokasi pintu masuk utama untuk memverifikasi identitas pengunjung. Para
pengunjung harus mendaftarkan diri dan didampingi oleh karyawan kapanpun mereka masuk ke
dalam gedung.
IAI
Di dalam gedung, akses fisik ke ruangan tempat peralatan komputer berada juga harus dibatasi.
Ruangan ini harus selalu terkunci dan semua pintu masuk dan keluar harus di monitor dengan
sistem CCTV (closed-circuit television). Akses masuk yang gagal berkali-kali harus secara otomatis
memicu alarm berbunyi. Ruangan yang berisi server yang menyimpan data sensitif perusahaan harus
dilengkapi dengan kunci pengamanan yang lebih canggih, seperti card reader, numeric keypad, atau
berbagai peralatan biometric seperti mata atau retina, sidik jari, dan sebagainya.
Pengendalian atas akses fisik harus mempertimbangkan faktor biaya-manfaat. Dengan demikian
perlu adanya keterlibatan manajemen puncak dalam merencanakan pengendalian keamanan akses
fisik untuk memastikan bahwa semua sumber sistem informasi telah dinilai dengan tepat serta sifat
dan kombinasi akses pengendalian merefleksikan nilai dari aset yang dijaga tersebut.
4. Kendali atas akses jaringan
Banyak perusahaan kini memberikan akses jarak jauh kepada para pegawai, pelanggan dan pemasok
terhadap sistem informasi perusahaan. Biasanya akses ini terjadi melalui internet. Namun di beberapa
perusahaan masih ada yang menggunakan jaringan khusus milik mereka sendiri atau menggunakan
akses dial-up langsung dengan modem. Banyak perusahaan juga kini memberikan akses nirkabel
terhadap sistem informasinya. Metode pengendalian yang dapat digunakan untuk mengendalikan
akses jaringan sesuai dengan COBIT antara lain:
a. Menggunakan batasan-batasan pengamanan seperti router, firewall dan intrusion prevention
system lainnya. Piranti yang disebut border router menghubungkan sistem informasi organisasi ke
internet. Dibalik setiap border router terdapat firewall utama. Router dan firewall ini bersama-sama
bertindak sebagai filter untuk mengendalikan informasi apa saja yang boleh dimasuki dan diambil
dari sistem informasi organisasi.
54 Ikatan Akuntan Indonesia
