Page 68 - Modul CA - Sistem Informasi dan Pengendalian Internal (Plus Soal)
P. 68
SISTEM INFORMASI
DAN PENGENDALIAN INTERNAL
keluaran ialah seperti telah disebutkan di atas: laporan tidak akurat, tidak lengkap, terlambat atau
data tidak up to date, banyak item data yang tidak relevan, bias, dibaca oleh pihak yang tidak berhak.
Dalam sistem yang sudah lebih terbuka (menggunakan jaringan komunikasi publik) potensi akses
oleh hacker, cracker atau orang yang tidak berwenang lainnya menjadi makin tinggi.
2. Mengidentifikasi dan Menjelaskan Pengendalian yang Dirancang untuk Melindungi Kerahasiaan
Informasi yang Sensitif dan Privasi dari Informasi Personal Pelanggan
Organisasi harus melindungi informasi yang sensitif seperti rencana strategis, rahasia dagang,
informasi biaya, dokumen-dokumen hukum, dan perbaikan proses. Tindakan yang harus dilakukan
untuk melindungi kerahasiaan informasi sensitif perusahaan antara lain:
a. Identifikasi dan klasifikasi informasi yang harus dilindungi
Hal ini merupakan langkah pertama yang dilakukan untuk mengidentifikasi dimana informasi
sensitif tersebut berada dan siapa yang memiliki akses terhadap informasi tersebut. Setelah
diidentifikasi, langkah selanjutnya adalah mengklasifikasikan informasi tersebut dengan cara
menilai seberapa penting informasi tersebut bagi perusahaan. Proses klasifikasi informasi ini perlu
melibatkan manajemen senior untuk mengetahui nilai informasi tersebut bagi perusahaan. Setelah
diidentifikasi, perangkat pengendalian yang tepat dapat digunakan untuk melindungi informasi
sensitif tersebut.
b. Melindungi kerahasiaan dengan enkripsi
DOKUMEN
Enkripsi merupakan satu-satunya cara untuk melindungi informasi yang singgah melalui internet.
Hal ini juga merupakan suatu bagian dari defense-in-depth untuk melindungi informasi yang
disimpan di website atau di jaringan umum.
c. Pengendalian akses terhadap informasi sensitif
IAI
Piranti lunak information rights management (IRM) memberikan tambahan perlindungan untuk
sumber informasi tertentu, memberikan kemampuan tidak hanya membatasi akses ke arsip atau
dokumen tertentu, namun juga terhadap tindakan tertentu (seperti membaca, menyalin, mencetak,
mengunduh ke USB, dsb) yang diberikan kepada setiap orang untuk mengakses sumber daya
tersebut. Beberapa piranti lunak IRM bahkan mampu membatasi privilege dalam periode waktu
tertentu dan untuk menghapus arsip yang dilindungi dari jarak jauh.
d. Pelatihan
Para pegawai harus mengetahui informasi apa yang boleh mereka bagi dengan pihak eksternal dan
informasi apa yang harus dilindungi. Mereka juga harus diajarkan bagaimana caranya melindungi
data rahasia. Pelatihan juga sangat penting untuk menggunakan email dengan tepat, pesan singkat,
dan blog, karena tidak mungkin untuk mengendalikan distribusi informasi berikutnya setelah
informasi tersebut diterbitkan atau dikirim melalui salah satu media di atas.
3. Mengidentifikasi dan Menejlaskan Pengendalian yang Dirancang untuk Memastikan Integritas
Pemrosesan dan Ketersediaan Sistem
Prinsip kerangka privasi The Trust Service terkait erat dengan prinsip kerahasiaan, namun perbedaan
mendasarnya adalah privasi lebih menekankan pada perlindungan atas informasi personal mengenai
pelanggan daripada data organisasi. Akibatnya, pengendalian yang perlu diterapkan untuk melindungi
privasi adalah perlindungan yang sama seperti perlindungan atas kerahasiaan, yakni: identifikasi
informasi yang harus dilindungi, enkripsi, kendali atas akses dan pelatihan.
Pengendalian Privasi
Langkah pertama dalam melindungi privasi informasi personal yang didapatkan dari pelanggan adalah
untuk mengidentifikasi informasi apa yang didapatkan, dimana disimpan informasi tersebut dan siapa
saja yang boleh mengakses informasi tersebut. Hal ini penting untuk menerapkan pengendalian untuk
Ikatan Akuntan Indonesia 59