Page 65 - Modul CA - Sistem Informasi dan Pengendalian Internal (Plus Soal)
P. 65
SiStem informaSi
dan Pengendalian internal
6.2.2 Pengendalian Detektif
Pengendalian detektif meningkatkan keamanan dengan cara memonitor efektivitas pengendalian preventif
dan mendeteksi insiden yang berhasil ditangani oleh pengendalian preventif. Pengendalian deteksi yang
digunakan antara lain:
1. Analisis Log
Hampir sebagian besar sistem memiliki kapabilitas yang besar untuk mencatat siapa saja yang
mengakses sistem dan tindakan spesifik apa saja yang dilakukan oleh setiap pengguna. Log atau catatan
ini membentuk suatu jejak audit (audit trail) atas akses sistem. Sama halnya dengan jejak audit lainnya,
catatan-catatan ini hanya bermakna jika secara rutin diperiksa. Log analysis merupakan proses untuk
memeriksa catatan atas siapa saja yang mengakses sistem dan secara spesifik apa saja yang dilakukan
oleh setiap pengguna ketika mengakses sistem untuk mengidentifikasi potensi kemungkinan serangan
yang dapat terjadi.
2. Intrusion Detection System
Intrusion Detection System (IDS) berisi seperangkat sensor dan unit monitoring pusat yang
menghasilkan catatan trafik jaringan yang telah diizinkan untuk melewati firewall dan kemudian
menganalisis catatan tersebut untuk mendeteksi adanya tanda-tanda usaha untuk melakukan intrusi/
gangguan atau gangguan yang sudah terjadi.
DOKUMEN
3. Laporan Manajemen
COBIT bagian ME1 dan ME2 mengharuskan manajemen untuk memonitor dan mengevaluasi kinerja
sistem maupun pengendalian sistem. Kerangka COBIT memberikan panduan bagi manajemen
untuk mengidentifikasi faktor kunci kesuksesan yang terkait dengan setiap tujuan pengendalian dan
menyarankan indikator kinerja kunci yang dapat digunakan oleh manajemen dalam memonitor dan
menilai efektivitas pengendalian.
4. Pengujian Keamanan IAI
COBIT control objective DS 5.5 mencatat perlunya dilakukan pengujian secara berkala atas efektivitas
prosedur pengamanan yang saat ini sudah ada. Salah satunya adalah dengan menggunakan vulnerability
scanner untuk mengidentifikasi potensi kelemahan dalam konfigurasi sistem. Selain itu, penetration
testing juga dapat digunakan sebagai alat tes yang lebih kuat untuk menuji efektivitas keamanan
informasi perusahaan. Penetration test merupakan usaha yang disahkan yang dilakukan oleh tim audit
intern atau tim konsultan TI eksternal untuk menerobos masuk ke dalam sistem informasi organisasi.
Tim ini mencoba semua cara yang mungkin untuk menerobos keamanan sistem perusahaan. Hal
ini perlu dilakukan untuk mengidentifikasi dimana saja perlindungan khusus harus diberikan untuk
mencegah adanya akses tidak sah terhadap sistem perusahaan.
6.2.3 Pengendalian Korektif
Banyak pengendalian korektif yang mengandalkan penilaian manusia. Konsekuensinya, efektivitasnya
tergantung pada sejauh mana perencanaan dan persiapan sudah dilakukan. Hal ini menyebabkan COBI
control objective DS 5.6 mengharuskan untuk mendefinisikan dan mengkomunikasikan karakteristik
insiden keamanan untuk memfasilitas klasifikasi dan perlakuan yang tepat.
1. Pengendalian Umum dan Pengendalian Aplikasi
Secara sederhana, pengendalian umum adalah semua bentuk pengendalian yang tidak terkait
langsung dengan aplikasi komputer. Contohnya, memastikan bahwa ruang kantor terkunci, kemudian
penempatan satpam di tugas jaga. Sedangkan pengendalian aplikasi adalah semua pengendalian
terkait dengan aplikasi tertentu. Semua pengendalian yang dilekatkan dengan satu aplikasi.
56 Ikatan Akuntan Indonesia
