A.

Jenis-jenis Pengendalian

Berdasarkan fungsinya, pengendalian terbagi tiga, yaitu:

a) Pengendalian preventif (preventive control)

Yaitu pengendalian yang mencegah masalah sebelum terjadi. Contoh merekrut
personal yang berkualifikasi, memisahkan tugas pegawai, dan mengendalikan
akses fisik atas aset dan informasi.

i.

People : menciptakan budaya sadar keamanan

Untuk menciptakan budaya ini, yang mana para karyawan dapat mematuhi
kebijakan dari perusahaan, manajer puncak seharusnya tidak hanya
mengkomunikasikan kebijakan kebijakan perusahaan namun juga
memimpin dengan memberikan contoh.

ii.

People : pelatihan
Semua karyawan harus di ajari mengapa ukuran keamanan asangat
openting untuk daya hidup perusahaan di masa mendatang. Mereka juga
perlu untuk dilatih untuk mengikuti praktik penggunaan computer dengan
aman. Pelatihan khususnya diperlukan untuk mendidik karyawan mengenai
social engineering attacks.

iii.

People : control akses pengguna

Adalah sangat penting untuk menyadari bahwa pihak luar bukan lah satu
satunya sumber ancaman. Karyawan dapat mengalami ketidakpuasan
karena banyak alasan dan mencari pembalasan atau dapat menjadi korup
karena kesulitan ekonomi atau di ancam untuk memberikan informasi
penting.

b) Pengendalian detektif (detective control)

Yaitu pengendalian yang didesain untuk menemukan masalah yang tidak
terelakkan. Contoh menduplikasi pengecekan hasil perhitungan, menyiapkan
rekonsiliasi bank dan neraca saldo bulanan.

i.

Analisis Log/Catatan
Analisis log adalah proses untuk meneliti catatan untuk mengetahui bukti
adanya kemungkinan serangan. Hal ini sangat penting khususnya untuk
menganalisis upaya gagal untuk login dan upaya gagal untuk mendapatkan
informasi tertentu.

ii.

System deteksi intrusi/gangguan

System ini terdiri dari sekumpulan sensor dan unit monitor yang
menciptakan log/catatan dari arus jaringan yang di ijinkan untuk melewati
firewall dan menganalisis catatan tersebut untuk upaya atau gangguan
yang berhasil masuk.

iii.

Pengujian penyusupan
Adalah sebuah percobaan dengan otorisasi dari tim audit atau dari tim
konsuktasi keamanan untuk merusak system informasi dari perusahaan.

iv.

Pengawasan berkelanjutan
Pengawasan yang berkelanjutan adalah salah satu alat penting dalan deteksi
karena dapat mampu mengetahui potensial masalah dengan tepat waktu.

c) Pengendalian korektif (corrective control)

Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta

memperbaiki dan memulihkan dari kesalahan yang telah terjadi. Contoh menjaga
salinan backup pada file, perbaikan kesalahan entri data, dan pengumpulan ulang
transaksi-transaksi untuk pemrosesan selanjutnya.

i.

Computer Incident Response Team (CIRT)

CIRT seharusnya tidak hanya terdiri dari spesialis teknis namun juga terdiri
dari senior manajemen operasi, karena beberapa potensi permasalahan
keamanan dapat memiliki konsekuensi terhadap ekonomi.

ii.

Chief Information Security Officer (CISO)

CISO harus memahami lingkungan/kondisi dari teknologi perusahaan dan
bekerja dengan Chief Information Officer (CIO) untuk merancang,
mengimplementasikan dan mempromosikan kebijakan keamanan dan
prosedur.

iii.

Patch Management
Patch/ Tambalan adalah sebuah kode yang di rilis oleh pengembang
aplikasi untuk memperbaiki kerentanan. Patch management adalah sebuah
proses untuk menggunakan patch secara teratur dan memperbaharui
software yang digunakan oleh perusahaan.

B. Kerahasiaan dan Kontrol Privasi

a) Menjaga kerahasiaan
Perusahaan memproses banyak informasi yang sensitive, termasuk rencana strategi,
rahasia perdagangan, informasi biaya, dokumen hokum, dan proses pengembangan. Harta
ini sangat krusial untuk kemampuan kompetitif dan kesuksesan dari perusahaan untuk
jangka panjang.
Terdapat 4 tindakan yang harus dilakukan untuk menjaga kerahasiaan dari informasi
sensitive.
i.
ii.

Mengidentifikasi dan Mengklasifikasikan informasi yang perlu dilindungi

Menjaga kerahasiaan dengan enkripsi

iii.
iv.

Mengkontrol akses terhadap informasi sensitif.

Pelatihan

b) Privasi
i.

Pengendalian privasi
Sebagai langkah pertama dalam menjaga privasi dari informasi personal yang
dikumpulkan dari pelanggan, karyawan, pemasok dan partner bisnis adalah
mengidentifikasi informasi apa yang di miliki oleh perusahaan? Dimana
disimpan informasi itu? Dan siapa saja yang memiliki akses terhadap informasi
tersebut?
Sangat penting untuk melaksanakan pengendalian untuk melindungi informasi
tersebut, karena insiden yang melibatkan pemberitahuan rahasia mengenai
informasi personal yang tidak terotoriasasi baik itu dengan sengaja maupun tidak
akan menimbulkan biaya yang sangat besar.

ii.

Perhatian privasi
a. SPAM
SPAM merupakan e-mail yang tidak diinginkan yang dapat berisikan
iklan maupun konten yang menyinggung.
SPAM tidak hanya mengurangi fungsi e-mail, namun juga menjadi salah
satu sumber virus, worms, dan program spyware dan malware
b. Pencurian identitas
Adalah penggunaan tidak sah dari informasi personal seseorang untuk
keuntungan pelaku kejahatan.

c) Peraturan privasi dan GAPP

GAPP menandai dan menentukan 10 praktik terbaik secara internasional untuk
melindungi privasi pelanggan :
i.
ii.
iii.
iv.
v.
vi.
vii.
viii.
ix.
x.

Manajemen
Notice
Choice and consent
Collection
Use and retention
Access
Disclosure to third parties
Security
Quality
Monitoring and enforcement

C. Memproses integritas dan control ketersediaan

a) Memproses integritas

Prinsip memproses integritas dari Trust Service Framework menyatakan bahwa system
yang andal adalah yang mampu menghasilkan informasi yang akurat, lengkap, tepat
waktu dan valid.
i.

Input controls
Kalimat sampah masuk, sampah keluar mengaris bawahi pentingnya
pengendalian input. Jika data yang dimasukkan ke dalam system tidak akurat,
tidak lengkap atau tidak valid maka output juga akan mengalami hal yang sama.
Akibatnya, personil yang sah hanya akan bertindak dalam lingkup tanggung
jawab dan otoritasnya dalam menyiapkan dokumen. Sebagai tambahan, desain
formulir, penundaan, dan penyimpanan sumber dokumen dan pengendalian
pemasukan data secara otomatis sangat dibutuhkan untuk memvirifikasi validitas
dari sebuah data.

ii.

Pengendalian control
Pengendalian juga diperlukan untuk meyakinkan bahwa data telah diproses
secara benar.

iii.

Pengendalian output
Pemeriksaan hasil/output dari system menyediakan pengendalian tambahan
terhadap pemrosesan integritas.

b) Ketersediaan
Gangguan terhadap proses bisnis dikarenakan tidak adanya system atau informasi dapat
menyebabkan kerugian secara keuangan. Karena itu, COBIT 5 control processes DSS01
dan DSS04 menunjukkan pentingnya keyakinan bahwa system dan informasi tersedia
untuk digunakan kapanpun. Tujuan utama adalah untuk mengecilkan resiko system
downtime. Adalah tidak mungkin untuk menghilangkan resiko system downtime secara
keseluruhan. Oleh karena itu perusahaan perlu pengendalian yang dirancang untuk
memungkinkan secara cepat melanjutkan operasi secara normal setelah sebuah kejadian
mengganggu ketersediaan system.